Risicoanalyse en vaststellen kans en impact (classificatie COSO principe 11) 

De grote kracht van risicomanagement is om het management de juiste prioriteiten te laten stellen voor de inzet van mensen & middelen. Hiervoor dient de kans en impact van de geïdentificeerde risico’s te worden vastgesteld. Dit onderdeel wordt uitgelegd in principe 11 van de COSO ERM 2017. In deze blog op hoofdlijnen de kern.

Risicoanalyses op de verschillende organisatieniveaus

De impact van een risico (in relatie tot de bedrijfsdoelstellingen) wordt op meerdere niveaus beoordeeld: divisies, functies, projecten en operationele eenheden. Het is zeer goed mogelijk dat risico’s die op een afdeling/project als belangrijk worden beoordeeld, minder belangrijk blijken bij een overkoepelende divisie. Het is zeer waarschijnlijk dat risico’s op concern niveau meer impact hebben op de waarde van het bedrijf, het imago/ merk en de betrouwbaarheid.

Het gebruik van een standaard risicotaal is een goed hulpmiddel bij de beoordeling van risico’s op de verschillende niveaus van de organisatie. Soortgelijke risico’s voor bedrijfseenheden, divisies en functies kunnen tevens worden samengevoegd. Bij het oprollen/consolideren van soortgelijke risico’s kan eventueel een andere risicoscore worden bepaald. Er wordt zo zichtbaar dat risico’s die individueel een lage score hebben wel een hoge score verkrijgen als ze bij elkaar worden opgeteld. Meerdere kleine risico’s kunnen daarmee uiteindelijk een strategisch risico vormen.

Methode om kans- en impact (classificatie) vast te stellen

Het management selecteert de kans- en impact-schalen om zo de ernst van de risico’s vast te stellen. Bij het vaststellen wordt hierbij rekening gehouden met de omvang qua FTE, omzet/kosten, de aard en complexiteit van de organisatie en haar risicobereidheid.

De classificatie dient te worden afgestemd op het niveau van de werknemer die de risico’s scoort (per organisatie of operationele eenheid). Aanvaardbare risicobedragen kunnen bijvoorbeeld groter zijn op concern niveau dan op een operationeel niveau.

  • Impact: Resultaat of effect van een risico. Er kan een reeks mogelijke gevolgen verbonden zijn aan een risico. De impact van een risico kan positief of negatief zijn in relatie tot de strategie of de bedrijfsdoelstellingen.
  • Waarschijnlijkheid: De kans dat een risico zich voordoet. De kans kan op verschillende manieren tot uiting komen, zoals de volgende voorbeelden illustreren:
    • Kwalitatief: De kans van, met betrekking tot een mogelijk voorval of een omstandigheid en de bijbehorende gevolgen voor een specifiek bedrijfsdoel (binnen de tijdshorizon die wordt overwogen door het bedrijfsdoel, bijvoorbeeld twaalf maanden) ligt op afstand
    • Kwantitatief: De mogelijkheid van een risico, met betrekking tot een mogelijk voorval of een omstandigheid en de bijbehorende gevolgen voor een specifiek bedrijfsdoel (binnen de tijdshorizon die wordt overwogen door het bedrijfsdoel, bijvoorbeeld twaalf maanden) is 80%
    • Frequentie: De mogelijkheid van een risico met betrekking tot een mogelijk voorval of een omstandigheid en de bijbehorende gevolgen voor een specifiek bedrijfsdoel (binnen de tijdshorizon die wordt overwogen door het bedrijfsdoel, bijvoorbeeld twaalf maanden) is eens per twaalf maanden

Hoe ver vooruit kijken ?

Bij het bepalen van de tijdshorizon dient men aan te sluiten bij de tijdshorizon van de strategie en bedrijfsdoelstellingen. Als de bedrijfsdoelstellingen bijvoorbeeld zijn gericht op een termijn van drie jaar, kan het management binnen dat tijdsbestek risico’s overwegen. Omdat de strategie en bedrijfsdoelstellingen van veel entiteiten zich richten op de op korte tot middellange termijn, richt het management zich vaak op risico’s die samenhangen met dit tijdsbestek. De directie dient langer vooruit te kijken maar ook rekening te houden met de korte termijn.

.

Soorten analyses

Risicoanalyses kunnen kwalitatief, kwantitatief of een combinatie van beide zijn:

  • Kwalitatieve analyses (zoals interviews, workshops, enquêtes en benchmarking) worden vaak gebruikt wanneer het niet praktisch of kosteneffectief is om voldoende kwantitatieve gegevens te verkrijgen. Kwalitatieve beoordelingen zijn efficiënter om te voltooien. Er bestaan echter beperkingen in het vermogen om correlaties te identificeren of een kosten-batenanalyse uit te voeren
  • Kwantitatieve analyses (zoals modellering, beslissingsbomen, Monte Carlosimulaties, enzovoort) maken een grotere verfijning en precisie mogelijk en ondersteunen een kosten-batenanalyse. Als gevolg hiervan worden kwantitatieve benaderingen meestal gebruikt in meer complexe en geavanceerde activiteiten ter aanvulling van kwalitatieve technieken. Kwantitatieve benaderingen omvatten:
    • Probabilistische modellen (bijvoorbeeld value at risk, cashflow at risk en operationele verliesuitkeringen) die een reeks gebeurtenissen en de resulterende impact associëren met de waarschijnlijkheid van die gebeurtenissen op basis van aannames. Door bijvoorbeeld te begrijpen hoe iedere risicofactor kan variëren en hoe deze de kasstroom kan beïnvloeden, kan het management het risico beter meten en beheren.
    • Niet-probabilistische modellen (zoals gevoeligheidsanalyse en scenarioanalyse) gebruiken subjectieve aannames om de impact van gebeurtenissen in te schatten, zonder de bijbehorende waarschijnlijkheid voor een bedrijfsdoelstelling te kwantificeren. Met scenarioanalyses kan het management bijvoorbeeld de impact op een bedrijfsdoelstelling begrijpen om de winstgevendheid onder verschillende scenario’s te vergroten.

Afhankelijk van de complexiteit en volwassenheid van de organisatie, kan het management vertrouwen op een zekere mate van oordeelsvermogen en expertise bij het uitvoeren van de modellering/ algoritmes. Ongeacht de gebruikte aanpak, moeten de onderliggende aannames altijd duidelijk worden vermeld.

De verwachte impact van een risico kan van invloed zijn op het type benadering dat wordt gebruikt. Bij het beoordelen van risico’s die extreme gevolgen kunnen hebben, kan het management scenarioanalyses gebruiken. Bij het beoordelen van de effecten van meerdere gebeurtenissen daarentegen kan het management simulaties nuttiger vinden (bijvoorbeeld stresstests). Omgekeerd kunnen hoogfrequente risico’s met een lage impact meer geschikt zijn voor data-tracking en cognitieve gegevensverwerking.

Een laatste onderdeel van de analyse is om de onderlinge afhankelijkheden tussen risico’s te begrijpen. Onderlinge afhankelijkheden kunnen optreden wanneer meerdere risico’s van invloed zijn op een bedrijfsdoelstelling of wanneer het ene risico het andere triggert. Risico’s kunnen gelijktijdig of opeenvolgend optreden. De onderlinge afhankelijkheden worden meegenomen in de impact van het risico.

Bruto risico, Beoogde risico, en Restrisico

Als onderdeel van de risicobeoordeling neemt het management het bruto risico, het beoogde restrisico en het feitelijke restrisico in overweging:

  • Het bruto risico is het risico voor een organisatie zonder beheersmaatregelen
  • Het beoogde restrisico is het risiconiveau dat een organisatie bij het nastreven van haar strategie en bedrijfsdoelstellingen prefereert, wetende dat het management directe of gerichte beheersmaatregelen zal implementeren
  • Het feitelijke restrisico is het risico dat overblijft nadat het management actie heeft ondernomen

Het feitelijke restrisico moet gelijk zijn aan, of kleiner zijn dan, het beoogde restrisico. Wanneer het werkelijke resterende risico het beoogde risico overschrijdt, moeten er aanvullende maatregelen worden vastgesteld waardoor het management de risicohouding verder kan wijzigen.

Het management kan risico’s identificeren waarvoor onnodige beheersmaatregelen zijn getroffen.

Let op! De praktijk is vaak dat het voor medewerkers zeer lastig is om in bruto risico’s te denken. Over het algemeen noemen zij alleen rest risico’s en veronderstellen zij beheersing. Vraag daarom dus altijd naar de reeds bestaande beheersmaatregelen.

Risicokaarten  

De risicoanalyse wordt vaak afgebeeld met een risicokaart heatmap. De kleuren worden bepaald door de mate waarin de risico’s geaccepteerd of beheerst (risk appetite) moeten worden.

Het is van belang om de juiste classificatie van de kans- en impact-schalen te gebruiken, om zo te voorkomen dat alle risico’s bijvoorbeeld kleine kans/ kleine impact hebben. Per bedrijfsdoelstelling kan een dergelijke risicokaart gemaakt worden. Het management kan bij zijn beoordeling het risicoprofiel gebruiken om:

  • Te bevestigen dat de prestaties binnen de tolerantie vallen
  • Te bevestigen dat het risico binnen de risicobereidheid ligt
  • Te illustreren dat verschillende risico’s verschillende gevolgen kunnen hebben voor hetzelfde bedrijfsdoel
  • Risicobewuste beslissingen te nemen

Triggers voor een herijking van de risicoanalyse

Een analyse is een momentopname. Door signalen binnen of buiten de organisatie kan een herijking van de analyse noodzakelijk zijn. Uit deze signalen kan vervolgens worden afgeleid dat de oorspronkelijke  aannames voor de kans en impact veranderd zijn.

De impact van de risico’s en de frequentie waarmee de ernst van de situatie kan veranderen, geven ook aan hoe vaak het risicoprofiel herijkt dient te worden.

Risico’s die samenhangen met projecten of grondstoffenprijzen, moeten bijvoorbeeld dagelijks worden beoordeeld, maar de risico’s die samenhangen met de gewone business kunnen bijvoorbeeld 2 keer per jaar worden beoordeeld.

Bias in beoordeling

Kans en impact inschatten heeft ook te maken met risicointelligentie.

Analyses kunnen door verschillende teams in de organisatie worden uitgevoerd met als resultaat verschillende uitkomsten door bijvoorbeeld perceptieverschillen. Het kan zijn dat het ene team bijvoorbeeld bepaalde risico’s als ‘laag’ beoordeelt, maar een ander team beoordeelt ze als ‘gemiddeld’. Deze verschillen kunnen ontstaan door inconsistenties in de benadering en door verschillende percepties van de bedrijfsdoelstellingen of risico’s.

Kans en impact inschatten heeft ook te maken met risicointelligentie. Analyses kunnen daarnaast door verschillende teams in de organisatie worden uitgevoerd met als resultaat verschillende uitkomsten door bijvoorbeeld perceptieverschillen. Het kan zijn dat het ene team bijvoorbeeld bepaalde risico’s als ‘laag’ beoordeelt, maar een ander team beoordeelt ze als ‘gemiddeld’. Deze verschillen kunnen ontstaan door inconsistenties in de benadering en door verschillende percepties van de bedrijfsdoelstellingen of risico’s.

Bij het inschatten van kans en impact moet altijd rekening gehouden met de bias in de beoordeling. Door de beschikbaarheidsbias worden risico’s waar men beelden van ziet (de aanslag van 9/11) bijvoorbeeld hoger ingeschat dan risico’s waar men geen beelden van heeft (aantal extra verkeersdoden in USA naar aanleiding van. De angst voor vliegen na de aanslag).

De diverse bias kan ertoe leiden dat de ernst van een risico wordt onder- of overschat. Dit beperkt de effectiviteit van de geselecteerde risicoreactie. Het onderschatten van de ernst kan resulteren in een ontoereikende reactie, waardoor de organisatie blootgesteld blijft en mogelijk buiten de risicobereidheid van de entiteit valt. Overschatten van de ernst van een risico kan ertoe leiden dat middelen onnodig worden ingezet, waardoor inefficiënties in de organisatie ontstaan. Bovendien kan deze overschatting de prestaties van de organisatie belemmeren of het vermogen om nieuwe kansen te identificeren beïnvloeden.

Minder risico’s door algoritmes

Onlangs woonde ik een boeiende sessie bij waar de eendimensionale mens van filosoof Marcuse werd behandeld. Die avond werd er vooral gesproken over het vraagstuk schijnvrijheid; maken we eigenlijk zelf nog keuzes of worden we gevormd door onze omgeving? We hebben vrijheid verworven en kunnen onze eigen beslissingen maken, iets dat een goed gevoel geeft. Maar de vraag blijft of wij onze keuzes werkelijk zelf maken of dat onze omgeving ons tot bepaalde keuzes dwingt, zonder dat we dat doorhebben.

In het FD van zaterdag 9 februari las ik een sterk artikel van Roland van der Vorst over algoritmes en hoe zij ons leven steeds meer beïnvloeden. Hierbij kun je denken aan algoritmes die bepalen of je:

  • wel/niet wordt aangenomen
  • wel/niet een hypotheek krijgt
  • wel/niet een relatie vindt via een datingsite

Sociaal wenselijk gedrag

Stel dat uit onderzoek is gebleken dat betrouwbare mensen naar Bach luisteren. Dan ga jij toch ook naar Bach luisteren om die felbegeerde hypotheek te krijgen?

Maar stel je dan ook eens voor dat je die hypotheek niet krijgt omdat je ooit te laat was met een betaling (en je weet dat dit soort misstappen uit het verleden zorgvuldig worden geregistreerd).

Op deze manier worden je gedrag en prestaties uit het verleden bepalend voor belangrijke beslissingen. Met als gevolg dat je hier in het vervolg rekening mee zult gaan houden.

Kortom: we gaan sociaal wenselijk (door het algoritme bepaald) gedrag vertonen en worden eendimensionaal.

Laat de algoritmes je belangrijkste keuzes niet bepalen

Misschien is het grootste gevaar dat hierin schuilt wel dat we niet meer de risico’s nemen die nodig zijn om te kunnen groeien.

Laat daarom de algoritmes voor wat ze zijn en durf risico’s te nemen, wees rebels! Vergeet hierbij vooral niet om samen te werken met andere mensen, dat maakt je sterker.  

COSO 2017 Principes performance

In deze blog ga ik in op hoe risico-identificatie in de nieuwe COSO 2017 wordt omschreven met mijn eigen interpretatie en voorbeelden.

20 principes COSO 2017

Introductie risicomanagement principes in relatie tot performance

Waardecreatie en -behoud zijn twee zaken die worden gerealiseerd door het identificeren en beoordelen van (en reageren op) risico’s. Het gaat om die risico’s die de prestaties in relatie tot de gestelde doelen aanzienlijk kunnen beïnvloeden. 

Het performance onderdeel van COSO zoomt in op dié activiteiten die de organisatie ondersteunen in het nemen van besluiten. Daarnaast focust het op het bereiken van strategische doelstellingen en businessdoelstellingen.

Toevoegde waarde risicomanagement-systeem

Met een goed werkend risico-managementsysteem:

57% snelgroeiende bedrijven heeft GRC binnen 3 jaar volledig geautomatiseerd

Uitgelicht

Bijna elke organisatie is actief op het gebied van risicomanagement. Binnen elke afdeling neemt men stappen, soms vrijwillig, soms verplicht door wet- en regelgeving.  Het is ondertussen standaard geworden om centraal en decentraal risicoanalyses te doen. Ook zijn er steeds meer centrale functies o.a. een functionaris gegevensbescherming, internal auditor, privacy officer, business controller en risk & compliance officers. Deze functies worden door governance codes en wet- en regelgeving afgedwongen. Maar hoe begin je?

De implementatie van elke nieuwe wet-regelgeving start met een lijst van de verplichtingen in Excel. Om te kijken of de organisatie eraan voldoet wordt vervolgens  de hele organisatie erbij betrokken. Maar doordat iedere medewerker hier op zijn eigen manier mee om gaat ontstaat er een enorme brei aan Excel-documenten die zeer moeilijk te onderhouden en te integreren zijn.

Wil je kennis van GRC bijvoorbeeld aan de hand van de COSO of ISO31000 samen een uitgebreide demo van onze GRC tool, mail mijn dan direct; r.hart@naris.com

Onderzoek

In 2014 deed FM onderzoek naar de mate van automatisering van (onder andere) de governance risk en compliance (GRC) processen binnen Nederlandse bedrijven. Slechts 1 op de 10 bleek deze processen destijds in hoge mate geautomatiseerd te hebben.

Afbeelding1

automatisering GRC

Uit een recent onderzoek (2018) van Capgemini onder 500 senior finance directeuren in Europa en Noord-Amerika kwam naar voren dat 56% van de snelgroeiende bedrijven verwacht dat de risicomanagementprocessen binnen 3 jaar volledig geautomatiseerd zijn. Ondernemingen schaffen GRC-software aan om hun bestaande raamwerk voor risicobeheer, interne controle en toezicht te centraliseren en te automatiseren.

Redenen voor automatisering GRC  processen

Hieronder een aantal belangrijke redenen die hieraan ten grondslag liggen:

  • GRC-software vergroot de efficiëntie en administratieve lastenverlichting. Veel activiteiten op het GRC vlak gaan over het vastleggen van bewijsmateriaal en behelzen een administratief proces. Door nieuwe complexe wet- en regelgeving neemt dit voortdurend toe. Werken in Excel is voor een individu eenvoudig, maar de verwerking van verschillende Excel-documenten is zeer inefficiënt en foutgevoelig. Met integrale GRC-software kunnen risico’s, key controls en audits uniform worden vastgelegd in een systeem waardoor de kwaliteit zal stijgen. Versiebeheer maar tevens zoeken en hergebruik worden daardoor haalbaarder. Ook kan informatie worden opgerold/ geconsolideerd waardoor een integraal inzicht ontstaat en er sneller risicosignalen worden vastgesteld. Goede risk & compliance software zorgt op deze manier voor kostenbesparing en een hogere efficiëntie binnen uw organisatie.
  • De softwarepakketten op GRC-gebied zijn steeds makkelijker te koppelen en worden voortdurend professioneler.  Doordat steeds meer organisaties hun primaire systemen naar de Cloud (Azure/Amazon) brengen ligt de integratie met primaire systemen en andere systemen binnen bereik. Hierdoor kunnen partijen die werkelijk verstand van het vakgebied hebben hun kennis beter delen.
  • De nieuwe COSO 2017 positioneert riskmanagement expliciet als een managementvaardigheid, waardoor risicomanagement een zaak van de gehele organisatie wordt. Een geïntegreerd onderdeel van bedrijfsprocessen. Met GRC-software faciliteert,  de tweede lijn,  deze manager met kennis en makkelijke reporting.  Door deze geïntegreerde aanpak  kunnen integrale afwegingen rondom risicobeheersmaatregelen worden gemaakt, bijvoorbeeld tussen safety & security,

Houding en gedrag

Een veranderende manier van werken (met of zonder een softwarepakket) vraagt om een cultuuromslag. De implementatiestappen en de geformuleerde standaardtaal dienen specifiek bij de organisatie aan te sluiten. Regelmatige training en ondersteuning op het moment dat medewerkers er echt mee aan de slag gaan zijn hierin belangrijke succesfactoren. Na een bepaalde periode dient het gebruik van Excel dan ook verboden te worden.

GRC software

GRC software onderzoek

Nieuwe ISO31000 ERM 2018

ISO31000 is vernieuwd en is hier te bestellen. Een tijdje terug zag de nieuwe COSO ERM 2017 het levenslicht, maar nu is dus ook een nieuwe ISO31000. 

Het eerste wat opvalt is het aantal pagina’s. ISO31000 was al 5/6 keer dunner dan het zeer uitgebreide COSO ERM 2017, maar nu is ook het aantal pagina’s teruggebracht van 24 tot 20. Veel overbodige tekst is geschrapt wat de leesbaarheid ten goede komt. Dat had voor mij bij COSO 2017 ook wel mogen gebeuren!

De teksten zijn meer generiek toepasbaar gemaakt voor verschillende organisatietypen. Het maakt risicomanagement niet nodeloos ingewikkeld en daardoor makkelijker intern uit te leggen. Ook zijn de graphics aangepast, waardoor de bouwstenen principes (cultuur), framework en proces duidelijker worden gepositioneerd. 

Nieuwe ISO31000 standaard

Eerste indruk inhoudelijke wijzigingen

De principes zijn nu korter en kernachtiger omschreven. Ook het doel van risicomanagement “waarde-creatie en bescherming” staat nu centraal. Wel dien je, in mijn ogen, de principes nog steeds op maat te maken voor je eigen organisatie willen ze echt waarde toevoegen.  

In het framework valt mij op dat het thema  ‘leiderschap en commitment” nu centraal staat en meer structuur heeft. In plaats van een lijst met acties is er nu een verdeling gemaakt tussen de rol van het topmanagement en de rol van toezichtsorganen.

Bijzonder is dat hier risk appetite niet wordt genoemd, maar er wel melding wordt gemaakt van ” het vaststellen van de hoeveelheid en soorten risico’s die wel en niet acceptabel zijn, als leidraad voor de ontwikkeling van risico criteria, en zich ervan verzekeren dat deze gecommuniceert worden naar de organisatie en haar stakeholders”. Dit lijkt op een risk appetite statement, echter de verantwoordelijkheid lijkt minder expliciet bij het top management te liggen. Een gemiste kans in mijn ogen. 

nieuwe iso31000

Hoogtepunten volgens Naris

 

 

Nieuwe COSO ERM 2017 koppelt risicomanagement aan strategie en prestatiemanagement

No risk no fun

De door COSO nieuw uitgegeven standaard Enterprise Risk Management -Integrating with Strategy and Performance – heeft veel te bieden. De standaard geeft managers, controllers, risicomanagers en internal auditors nieuwe handvatten voor de inrichting van risicomanagement.

En het was nodig! Er is immers veel veranderd in risicomanagementland sinds het oorspronkelijke COSO ERM-kader in 2004 werd ingevoerd. De wereld is sinds die tijd sterk getransformeerd; de technologische vooruitgang bracht geweldige nieuwe kansen maar ook risico’s als cybercriminaliteit met zich mee. Daarnaast nam de informatiesnelheid in razend tempo toe. Ketens van dienstverlening werden complexer, er ontstond versplinterde compliance en ga zo maar door.

Maar ook kreeg de COSO-kubus zelf kritiek te verduren, want ondanks deze standaard en miljarden aan adviesuren bleken vele risico’s niet zo geweldig gemanaged. Zo schreef powel een artikel “risk management is the management of nothing” Tot slot ontstond er ook concurrentie door andere normen als ISO31000 en ISO9001.

Koppeling strategie

Binnen deze kritiek werd de bal nadrukkelijk bij het C-level gelegd. In deze tijd van disruptie dient het C-level namelijk te beseffen dat risico’s de strategie, maar ook de prestaties van organisaties beïnvloeden en dat dit onderwerp serieus genomen moet worden.

Zij zouden moeten erkennen dat het hier om meer gaat dan een checklist of afdeling (die makkelijk zijn te delegeren), maar om een cultuur die aansluit bij de waarde en strategie van de organisaties. Grappig dat ook de governance code van Van Maanen de nadruk op de  risicocultuur legt.

Schermafbeelding 2017-09-07 om 13.52.38

5 thema’s

Het nieuwe COSO- raamwerk legt de nadruk op de wisselwerking tussen risico, prestatie, strategie en waarde. Ze is opgebouwd uit vijf onderling verbonden thema’s (uitgewerkt in principes) die essentieel zijn voor modern ERM:

  • Governance en cultuur: heldere taken en verantwoordelijkheden en aandacht voor cultuur, integriteit en risicobewustzijn. Hierbij reeds een uitwerking van de eerste 5 principes.
  • Strategie en doelstelling: risico’s meewegen in de strategische keuzes en het vaststellen van risk appetite. Doelstellingen dienen als basis voor het identificeren, beoordelen en reageren op risico’s. Hier een uitwerking van de principes.
  • Prestatiemanagement: Risico’s die invloed kunnen hebben op het behalen van strategie en doelstellingen moeten worden geïdentificeerd en beoordeeld. Aan risico’s wordt prioriteit gegeven afhankelijk van de ernst in de context van risicobereidheid. De organisatie selecteert dan risicogerechten en neemt een portefeuilleweergave van het risico dat zij heeft aangenomen. De resultaten van dit proces worden gerapporteerd aan belangrijke risicogroepen.
  • Review en herziening: goed kijken en herzien of het werkt; zijn er inderdaad betere prestaties en worden risico’s efficiënt gemanaged?
  • Informatie, communicatie en rapportage: het delen van kennis intern en extern vanuit de organisatie. Dit geldt zowel top down als bottum up.

Auteur

Mijn naam is Robert ’t Hart, docent aan  de VU en universiteit van Twente en trotse eigenaar van Naris (GRC software en training) . Daarnaast auteur van No Risk No Fun, (net niet managementboek van 2018 ..)

Samen met Marinus de Pooter organiseer ik een tweedaagse training over deze nieuwe norm. Aan de hand van praktische voorbeelden krijg je inzicht in hoe je omgaat met besluitvorming en cultuurverandering. Je krijgt niet alleen de veranderingen  in het nieuwe coso framework maar vooral advies op maat welke stappen je kunt zetten voor je eigen organisatie. 

Schermafbeelding 2017-09-07 om 13.53.10

Nieuwe vragen voor bestuur inzake Governance & Cultuur

Met veel risico heeft de commissie Van Manen, het bestuur en de raad van commissarissenSchermafbeelding 2016-03-16 om 21.15.15 een gezamenlijke verantwoordelijkheid gegeven voor het implementeren en waarborgen van een cultuur die gericht is op de lange termijn waardecreatie.

Dit zal  geen eenvoudige opgave zijn, cultuur maak je niet zo maar, het is er. Toch sluit het wel aan bij mijn beeld dat het bestuur  zeer belangrijk is voor de cultuur.

Maar hoe maken we het begrip cultuur en de rol van het bestuur concreter? Mijn inziens door de juiste vragen te stellen.

Stimuleren openheid en aanspreekbaarheid

  • Wat zijn voor het bestuur de grenzen aan transparantie?
  • Wanneer is het bestuur voor het laatst tegen gesproken en door wie?
  • Wanneer heeft het bestuur voor het laatst haar mening bijgesteld?
  • Hoe hoog is het verloop onder de criticasters in de organisatie?

Signalen en vermoedens van misstanden

  • Hoeveel incidenten vinden er plaats in de organisatie?
  • Welke incidenten zijn wel/niet acceptabel?
  • Zijn er targets qua aantal incidenten?
  • Hoe doorbreekt het bestuur de hiërarchie en daarmee samenhangende filtering van incidenten?

Verantwoordelijkheid bestuur voor cultuur

Helaas is deze paragraaf wat minder concreet; het bestuur is verantwoordelijk voor inbedding van de cultuur. Dit moet zij doen door gemeenschappelijke waarden, tone at the top, voorbeeldgedrag. Maar op welke vragen dient de directie dan een antwoord te geven? Wellicht geven onderstaande vragen vanuit FRC meer duidelijkheid:

  • Op welke wijze heeft het bestuur ingestemd met de risicobereidheid? Met wie is dit afgestemd?
  • Hoe beoordeelt het bestuur de cultuur in de organisatie? Hoe verzekert het bestuur zich ervan dat de organisatie een speak-up cultuur heeft en systematisch leert van fouten uit het verleden?
  • Hoe ondersteunen de cultuur, gedragsregels, personeelsbeleid en (prestatie) beloningssysteem het bereiken van de organisatiedoelen en risicomanagement?
  • Hoe beoordeelt het bestuur of het management de gewenste cultuur voldoende stimuleert en communiceert en het benodigde commitment laat zien aan risicomanagement?
  • Hoe wordt omgegaan met ongewenst gedrag? Zorgt dit mogelijk voor afbreukrisico’s?
  • Hoe zorgt het bestuur ervoor dat er voldoende tijd is om risico’s af te wegen en hoe is dit geïntegreerd met activiteiten waar het bestuur voor verantwoordelijk is?

Risico management en interne controle systemen

  • In hoeverre ondersteunt risicomanagement het business model van de organisatie en heeft dit hier een relatie mee?
  • Hoe zijn bevoegdheid, verantwoordelijkheid en aanspreekbaarheid voor risicomanagement vastgesteld, gecoördineerd en vastgelegd? Hoe beoordeelt het bestuur of dit duidelijk, relevant en effectief is?
  • Hoe goed is de organisatie in staat individuele risico’s en combinaties daarvan op te vangen wanneer deze zich voordoen? Hoe effectief is de benadering van lage kans-zeer hoge impact risico’s door het bestuur?
  • Hoe beoordeelt het bestuur of medewerkers over de benodigde kennis, vaardigheden en instrumenten beschikken om risico’s effectief te beheersen?
  • Wat zijn de communicatiekanalen die het voor individuen, waaronder medewerkers van derde partijen, mogelijk maken zorgen, vermoedde schendingen van wet- en regelgeving, andere onregelmatigheden of uitdagende toekomstverwachtingen te melden?
  • Hoe verzekert het bestuur zich ervan dat de informatie die zij ontvangt tijdig, kwalitatief goed, divers en relevant is?
  • Wat zijn de verantwoordelijkheden van het bestuur en het topmanagement in crisismanagement? Op welke wijze wordt het systeem van crisismanagement getest?
  • In hoeverre zijn risico’s van samenwerkingsverbanden, derde partijen en de wijze waarop de organisatie ingericht is geïdentificeerd? Hoe wordt met deze risico’s omgegaan?
  • Hoe zorgt de organisatie ervoor dat nieuwe en opkomende risico’s en mogelijkheden in beeld komen?
  • Hoe en op welk moment weegt het bestuur risico’s mee in discussies over wijzigingen in de strategie, het goedkeuren van transacties, projecten of producten of het aangaan van andere grote verplichtingen?
  • In hoeverre heeft de boord de kosten en baten van verschillende opties voor control afgewogen?
  • Hoe zorgt het bestuur ervoor dat zij de blootstelling aan de belangrijkste risico’s begrijpt, welke beheersmaatregelen hiervoor zijn en of deze werken zoals verwacht?

Monitoring en evaluatie

  • Wat is het proces op basis waarvan het management de effectieve toepassing van risicomanagement beoordeelt?
  • Hoe wordt het vermogen om risico’s bij te stellen en maatregelen effectief aan te passen als gevolg van veranderingen in doelstellingen, activiteiten of de omgeving beoordeeld?
  • Hoe worden processen of controls aangepast aan incidenten of veranderende risico’s? In hoeverre is het bestuur betrokken bij het actief zoeken naar opkomende risico’s?

Rapportage

  • Hoe vergewist het bestuur zich ervan dat de informatie over risicomanagement eerlijk, transparant en begrijpelijk is en ervoor zorgt dat stakeholders de informatie hierover krijgen die zij nodig hebben?
  • Hoe vergewist het bestuur zich ervan dat rapportages een eerlijk, transparant en begrijpelijk beeld geeft van de positie van de organisatie en haar toekomstperspectief?

Schermafbeelding 2016-03-16 om 21.03.10