Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see

Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net

Risicomanagement op basis van M_o_R® en NEN/ISO 31000 – Management Guide


Andere uitgaven bij Van Haren Publishing Van Haren Publishing (VHP) is gespecialiseerd in uitgaven over Best Practices, methodes en standaarden op het gebied van de volgende domeinen: - IT-management, - Enterprise-architectuur - Projectmanagement en - Businessmanagement. Deze uitgaven zijn beschikbaar in meerdere talen en maken deel uit van toonaangevende series, zoals Best Practice, The Open Group series, Project management en PM series. Op de website van Van Haren Publishing is in de Knowledge Base een groot aanbod te vinden van whitepapers, templates, gratis e-books, docentenmateriaal etc. Ga naar www.vanharen.net. Van Haren Publishing is tevens de uitgever voor toonaangevende instellingen en bedrijven, onder andere: ASL BiSL Foundation, CA, Centre Henri Tudor, Gaming Works, Getronics, IACCM, IAOP, IPMA-NL, ITSqc, NAF, Ngi, PMI-NL, PON, Quint, The Open Group, The Sox Institute, TMForum. Onderwerpen per domein zijn:

IT (Service) Management / IT Governance

Architecture (Enterprise en IT)

Project-, Programmaen Riskmanagement

ABC of ICTTM ASL BiSL CATS CM® CMMI COBIT Frameworx ISO/IEC 27001/27002 ISO/IEC 20000 ISPL IT Service CMM ITIL® MOF MSF SABSA

Archimate® TOGAF® GEA®

A4-Projectmanagement ICB / NCB MINCE® M_o_R® MSPTM P3O® PMBOK ® Guide PRINCE2®

Business Management EFQM eSCM ISA-95 ISO 9000 OPBOK SixSigma SOX SqEME®

Voor een compleet overzicht van alle uitgaven, ga naar onze website: www.vanharen.net


Risicomanagement op basis van M_o_R® en NEN/ISO 31000 Management Guide

Douwe Brolsma en Mark Kouwenhoven


Colofon Titel:

Risicomanagement op basis van M_o_R® en NEN/ISO 31000 – Management Guide

Auteurs:

Douwe Brolsma Mark Kouwenhoven

Reviewer:

Hans M. Schneider (voorzitter Best Practice User Group NL)

Tekstredactie:

Timon Meynen (Meynen Tekstadvies)

Illustraties:

Ramon Verberne (nThen! BV)

Uitgever:

Van Haren Publishing, Zaltbommel, www.vanharen.net

ISBN:

978 90 8753 656 5

Druk:

Eerste druk, eerste oplage, januari 2012

DTP-productie: CO2 Premedia, Amersfoort – NL Copyright:

© Van Haren Publishing, 2012

Voor verdere informatie over Van Haren Publishing, e-mail naar: [email protected]

M_o_R®, PRINCE2®, MSP ®, MoP ™, MoV ™, ITIL ® en P3O® zijn Registered Trade Marks en Registered Community Trade Marks van het Cabinet Office, en zijn geregistreerd bij het U.S. Patent and Trademark Office.

Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm, of op welke wijze ook, zonder voorafgaande schriftelijke toestemming van de uitgever.

No part of this publication may be reproduced in any form by print, photo print, microfilm or any other means without written permission by the publisher.

Hoewel deze uitgave met veel zorg is samengesteld, aanvaarden auteur(s) noch uitgever enige aansprakelijkheid voor schade ontstaan door eventuele fouten en/of onvolkomenheden in deze uitgave.


Voorwoord ‘Wie een Risicoloos bestaan wil leiden, komt tot niets’

(oud-minister Johan Remkes, 27 augustus 2010, interview Radio 1) Zo gewoon als de termen ‘Risico’s’ en ‘Risicomanagement’ ons in de oren klinken, zo onbekend, complex en vaak onbegrepen is de wereld die erachter schuilgaat. Net voor de eeuwwisseling vond er een verandering in het denken over risico’s plaats. Waar daarvoor Risico’s altijd refereerde aan negatieve gebeurtenissen die je succes dwarsbomen, ging men rond die tijd risico’s meer zien als onbekende gebeurtenissen die invloed hebben op je succes, en dat kunnen dan ook positieve gebeurtenissen zijn - oftewel 'mogelijkheden' of 'Kansen'. Jammer genoeg blijven veel mensen bij de term ‘Risicomanagement’ alleen denken aan negatieve zaken. Een organisatie die zijn Risicomanagement volwassen heeft ingericht, blinkt uit in het besef dat Risico’s niet uitgesloten kunnen worden. In iedere beslissing schuilt een mate van onzekerheid hoe deze zal uitpakken. De medewerkers in een organisatie met een Risicobewuste cultuur zijn zich hiervan bewust en wegen Bedreigingen af tegen Kansen voordat beslissingen genomen worden. Ze accepteren dat het soms ook mis kan gaan, proberen hier wat van te leren en gaan door zonder elkaar te veroordelen. Er is een aantal zogenaamde frameworks of richtlijnen voor ERM (Enterprise Risk Management) die integraal toepasbaar zijn en organisatiebreed werken: de NEN/ISO 31000-norm voor Risicomanagement, COSO – integrated framework en M_o_R® (Management of Risk). In dit boek komen deze alle drie aan de orde, maar de meeste aandacht gaat uit naar M_o_R omdat deze methode de meest praktische handvatten geeft en in lijn is met NEN/ISO 31000. Het boek is bedoeld om mensen en organisaties te helpen succesvoller te zijn door het nemen van betere besluiten als gevolg van het toepassen van Risicomanagement. Daarbij wordt alles bekeken in de Nederlandse context, die vaak een internationaal tintje heeft. We hopen dat dit een aanzet kan zijn tot Risicobewuster en proactievere samenwerking in organisaties. December 2011, de auteurs


VI


Inhoudsopgave Voorwoord...................................................................................................................... V Leeswijzer......................................................................................................................IX 1 1.1 1.2 1.3 1.4 1.5 1.6

Inleiding en achtergrond ...................................................................................1 Doel van de richtlijn Management of Risk ......................................................3 Wat is een Risico? ................................................................................................6 Wat is Risicomanagement? ................................................................................7 Waarom is Risicomanagement belangrijk?......................................................8 Waar in de organisatie wordt Risicomanagement toegepast? .....................12 De relatie met interne controle en Corporate Governance.........................15

2 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9

De principes van Risicomanagement ............................................................17 Inleiding ..............................................................................................................17 Principe 1: Sluit aan bij doelstellingen............................................................19 Principe 2: Past in de context ...........................................................................21 Principe 3: Betrekt Stakeholders .................................................................... 25 Principe 4: Geeft heldere richtlijnen .............................................................. 27 Principe 5: Levert informatie voor besluitvorming ......................................32 Principe 6: Maakt voortdurende verbetering mogelijk ................................35 Principe 7: Zorgt voor een ondersteunende cultuur .....................................38 Principe 8: Creëert meetbare waarde .............................................................41

3 3.1 3.2 3.3 3.4

De Risicomanagementdocumenten .............................................................. 45 De M_o_R-aanpak............................................................................................47 Plannen ...............................................................................................................58 Registers .............................................................................................................62 Risicovoortgangsrapport ..................................................................................70

4

Het procesmodel van Risicomanagement ................................................... 73 Inleiding ..............................................................................................................73 Weerstand tegen verandering op grond van Risicomanagement................75 De processtappen ..............................................................................................76 Communicatie ....................................................................................................76 De context bepalen ...........................................................................................79 De Risico’s identificeren...................................................................................81 Beoordelen: Schatten ....................................................................................... 84

4.1 4.2 4.3 4.4 4.5 4.6


4.7 4.8 4.9

Beoordelen: Evalueren .................................................................................... 86 Plannen .............................................................................................................. 88 Invoeren ............................................................................................................. 90

5 5.1 5.2 5.3 5.4 5.5

Verankeren en reviewen ................................................................................. 93 De veranderaanpak .......................................................................................... 93 Referentiekaders ................................................................................................95 Attitude, Behavior en Culture (ABC)........................................................... 96 Aanpakken van weerstand tegen Risicomanagement................................. 97 Meten van de waarde ......................................................................................103

Bijlage A Technieken ............................................................................................... 107 De context bepalen..........................................................................................109 De Risico’s identificeren.................................................................................113 Beoordelen: Schatten ......................................................................................116 Beoordelen: Evalueren ...................................................................................118 Plannen ............................................................................................................ 120 Invoeren ........................................................................................................... 122 Bijlage B Gezondheidscheck en volwassenheidsmodel ..................................... 123 Bijlage C De Risicospecialismen ........................................................................... 129 Bedrijfscontinuïteitsmanagement ................................................................ 129 Incident- (crisis)management ........................................................................ 130 Gezondheid en Veiligheid ..............................................................................131 Beveiliging ........................................................................................................131 Financieel Risicomanagement .......................................................................132 Milieurisicomanagement ................................................................................132 Reputatierisicomanagement ..........................................................................133 Contractrisicomanagement ............................................................................133 Bijlage D Andere Risicogerelateerde richtlijnen ............................................... 135 D.1 NEN/ISO 31000:2009, Risicomanagement - Principes en richtlijnen......135 D.2 COSO II Enterprise Risk Management - Integrated Framework ........... 138 D.3 BASEL I/II/III (IFRS) ..................................................................................142 D.4 Commissie-Peters en code-Tabaksblat .........................................................144 D.5 RISNET en de RISMAN methode ..............................................................146 Index..............................................................................................................................149 Over de auteurs ...........................................................................................................153 Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net

Leeswijzer Dit boek gaat over het beheersen van Risico’s in organisaties en projecten. Daarbij wordt veel aandacht besteed aan de belangrijkste richtlijnen op het gebied van Risicomanagement. Omdat de methode M_o_R de meest praktische aanpak biedt, hanteren we deze als uitgangspunt in de hoofdstukken 2 t/m 5. Dit boek sluit aan op M_o_R 2010 Edition, zoals beschreven in Management of Risk: Guidance for Practitioners - 2010 Edition. Daarnaast wordt regelmatig verwezen naar de NEN/ISO 31000 Risicomanagement - principes en richtlijnen (NEN/ISO 31000:2009, IDT), aangezien M_o_R hier nauw bij aansluit. Tevens wordt in bijlage D aandacht besteed aan ‘COSO - integrated framework’, BASEL I, II, III, de code-Tabaksblat en de Nederlandse standaard voor Risicomanagement in de bouw - RISMAN. Hoofdstuk 1 introduceert de belangrijkste Risicomanagementtermen en legt uit wat Risicomanagement is, waarom het belangrijk is voor organisaties, en waar en door wie het wordt toegepast. Bijlage D over de belangrijkste (inter)nationale richtlijnen op het gebied van Risicomanagement kan hierbij als extra informatie gelezen worden. Hoofdstuk 2 geeft uitleg over het M_o_R-framework: de principes van Governance en de toepassing van de principes op vier perspectieven: het strategisch, programma-, projecten operationeel perspectief. Hoofdstuk 3 gaat dieper in op de Risicomanagementaanpak en de bijbehorende documenten. Hoofdstuk 4 geeft een overzicht van de processtappen van M_o_R, wanneer het proces wordt toegepast en de communicatie en de technieken die eventueel gebruikt kunnen worden om de verschillende stappen in het Risicomanagementproces te ondersteunen. Hoofdstuk 5 behandelt het verankeren en reviewen van Risicomanagement in de organisatie, implementatie van Risicomanagement, omgang met weerstand en wat daarbij komt kijken. Bijlage A geeft concrete voorbeelden en extra informatie over de verschillende technieken die de processtappen beschreven in hoofdstuk 4 ondersteunen. Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net

X

risicomanagement – management guide

Bijlage B - Gezondheidscheck en Volwassenheidsmodel voor Risicomanagement kan samen met hoofdstuk 5 bestudeerd worden. Bijlage C - De Risicospecialismen geven extra informatie over 8 specialisaties op het gebied van Risicomanagement. Bijlage D - Andere Risicogerelateerde richtlijnen geef een korte beschrijving van andere richtlijnen in de wereld en hoe ze zich verhouden tot M_o_R. Het kan gelezen worden als extra informatie bij hoofdstuk 1. In ieder hoofdstuk zijn kaders opgenomen met praktijkvoorbeelden en tips over de toepassing van Risicomanagement. Het M_o_R Foundation exam - Deze Management Guide kan ook worden gebruikt ter voorbereiding op het M_o_R Foundation-examen van APMG. Alle benodigde kennis voor het examen is in dit boek te vinden. De voorbeelden maken geen deel uit van de stof die getoetst wordt in het M_o_R Foundation-examen. Ook de vergelijking van M_o_R met andere richtlijnen, zoals COSO, BASEL, NEN/ ISO 31000 en code-Tabaksblat, is geen onderdeel van de eindtermen voor het M_o_R-examen van APMG. Dit boek biedt een brede kijk op Risicomanagement, beschouwd in relatie tot een Nederlandse context, met achtergrondinformatie, praktijkvoorbeelden en tips voor succesvolle toepassing. De typische Risicomanagementtermen zijn met hoofdletters geschreven om ze extra te benadrukken.


HOOFDSTUK 1

Inleiding en achtergrond In het licht van de recente wereldwijde ontwikkelingen op het gebied van economische en financiële regelgeving is er duidelijk een groeiende belangstelling voor richtlijnen die organisaties helpen op een volwassen manier met Risico’s om te gaan. Het nadeel van de meeste methoden is dat ze voortkomen uit de financiële wereld en vooral gericht zijn op beheersing van (financiële) Risico’s, gezien vanuit het strategisch perspectief. Hoewel organisaties ook op operationeel niveau actief Risico’s managen wordt dit werk vaak niet als zodanig herkend of in een breder kader aangepakt. Zo hebben veel organisaties processen en procedures die erop toezien dat de bedrijfscontinuïteit wordt gewaarborgd bij kritieke incidenten en worden alle organisaties geacht te voldoen aan wet- en regelgeving omtrent Gezondheid en Veiligheid. Drijfveren daarbij zijn kwaliteit, service, continuïteit en klantgerichtheid. Kortom we doen al veel meer aan Risicomanagement dan we beseffen. Het M_o_R-framework (Management of Risk framework - zie figuur 1.2) is ontwikkeld op basis van best practices om te dienen als beheersingsinstrument (control) voor behoorlijk bestuur (Corporate Governance). Naast Risicomanagement bestaat Corporate Governance uit financieel management, operationeel management en naleving (compliance)). Risicomanagement staat aan de basis van verantwoorde besluitvorming in organisaties en is daarbij ook volledig geïntegreerd in de overige best-practicemethoden van het Cabinet Office (zie in figuur 1.1 hoe de methoden zich tot elkaar verhouden).


2


M_o_R is integraal toepasbaar en specifiek uitgewerkt voor vier perspectieven in een organisatie, namelijk: – het strategisch perspectief, waarin het over beslissingen over de langetermijndoelen van een organisatie gaat; zie ook MoP ™ Management of Portfolio’s; – het programmaen het projectperspectief, waarin het gaat over middellangetermijndoelen en de besluitvorming daaromtrent; zie ook MSP® - Managing Successful Programmes en PRINCE2 ® voor projectmanagement; – het operationele perspectief, waarin het gaat over de kortetermijndoelen, de dagelijkse gang van zaken (Business as Usual) en de besluitvorming omtrent bedrijfscontinuïteit; zie ook ITIL ® voor de operationele werkzaamheden van IT-servicemanagement. Uiteraard is het van belang dat beslissingen op operationeel niveau de besluitvorming op de andere niveaus ondersteunen (en omgekeerd misschien soms ook wel). M_o_R®

ITIL® ISO/IEC 20000 ™

PRINCE2 ® MoV™

change the business

MSP ®

MoP™

uw veranderbedrijf

organizational energy

Lean / Six Sigma

run the business

®

EFQM / INK

P3O ®

financiering

uw realisatiebedrijf

Figuur 1.1 Cabinet Office best-practicemethoden in perspectief

Centraal staat de ‘energie’ van de organisatie: door het mobiliseren van energie is een organisatie in staat om het dagelijks werk in het bedrijf (run the business) te combineren met de voorbereiding op de toekomst door het veranderen van het Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net


3

bedrijf (change the business). Dit wordt methodisch ondersteund door een familie van onderling verbonden best-practicemethoden die elk met een eigen nadruk een aanvulling vormen op het gezond verstand, zie fig. 1.1: – M_o_R® (Management of Risk) voor Risicomanagement. – PRINCE2 ® voor projectmanagement. – MSP™ - Managing Successful Programmes voor programmamanagement. – MoP™ Management of Portfolio’s voor portfoliomanagement voor het strategisch niveau. – P3O® - Portfolio, Program en Project Offices voor het inrichten van ondersteuning in de organisatie. – MoV™ - Management of Value voor het bepalen en managen van waarden in organisaties. – ITIL ® en ISO/IEC 20000™ voor de werkzaamheden in het kader van IT-servicemanagement.

1.1

Doel van de richtlijn Management of Risk

Management of Risk, afgekort als M_o_R, beoogt een hulpmiddel te zijn voor personen en organisaties om succesvoller te zijn. Het bewuster en explicieter omgaan met Risico’s verbetert en versnelt besluitvorming op de weg naar het bereiken van je doel(en). M_o_R biedt een generieke richtlijn die geschikt is voor het identificeren, wegen en beheersen van Risico’s in alle soorten organisaties. Deze methode heeft niet alleen aandacht voor het strategisch niveau, maar ook voor de operationele bedrijfsvoering (BAU, Business As Usual) en de veranderorganisatie. Hierbij worden een aantal rollen benoemd die organisaties helpen beter te communiceren ter ondersteuning van het managen en nemen van Risico’s. Het M_o_R-framework is gebaseerd op vier kernconcepten, zie fig. 1.2. 1. De M_o_R-principes. Deze principes zijn afgeleid van de principes van Corporate Governance. In het kader van Corporate Governance wordt Risicomanagement genoemd als een van de interne beheersinstrumenten (controls) van iedere organisatie, naast financiële en operationele beheersinstrumenten en naleving.


4


M_o_R-aanpak Beleid Processen Strategie

an Risicomanage es v p i en en revie men inc ranker we t r n p ve proces invoeren

plannen

Communicatieplan Maatregelplan

de context bepalen

communiceren

beoordelen: evalueren

plannen Verbeteringsplan

de Risico’s identificeren

beoordelen: schatten

registers rapporten

Risicoregister Issueregister

Voortgangsrapport

Figuur 1.2 Het M_o_R-framework, gebaseerd op M_o_R 2010

Hoofdstuk 2 gaat nader in op de principes van Risicomanagement en hierin wordt ook een voorbeeld gegeven hoe de principes inhoud krijgen op strategisch, programma-, projecten operationeel niveau. 2. De M_o_R-aanpak. De principes moeten voor de specifieke organisatie worden aangepast en door de gehele organisatie worden toegepast. Hiervoor is een aantal managementdocumenten ontworpen, namelijk: a. Een algemene beleidslijn. b. Een procesbeschrijving van de Risicomanagementactiviteiten. c. Een strategisch document waarin het beleid is uitgewerkt voor een specifieke activiteit. d. Plannen voor het bewaken van de invoering van Risicomanagement in de organisatie en voor de uitvoering en bewaking van Risicobeheersmaatregelen. Daarnaast wordt ook het Risicocommunicatieplan (Risk Communication Plan) nog apart genoemd.



5

e. Registers, zoals het Risico- en Issueregister moeten ervoor zorgen dat Risico’s en Issues worden geïdentificeerd en vastgelegd. f. Risicorapportages die de stand van zaken van Risicomanagement rond een activiteit weergeven. Hoofdstuk 3 zal nader ingaan op deze Risicomanagementdocumenten. 3. De M_o_R-processen. Alle activiteiten rondom het managen van Risico’s zijn samen te vatten in een procesbeschrijving. M_o_R gaat uit van een model met vier hoofdstappen. De eerste twee stappen bestaan ieder ook weer uit twee substappen, in totaal worden er 6 stappen benoemd. 1. Identificeren: De context bepalen. 2. Identificeren: De Risico’s identificeren. 3. Beoordelen: Schatten. 4. Beoordelen: Evalueren. 5. Plannen. 6. Invoeren (van beheersmaatregelen). Bij al deze stappen is communicatie van cruciaal belang, aangezien Risico’s nooit statisch zijn en alle betrokken partijen goed op de hoogte gehouden moeten worden om aan hun verantwoordelijkheden te kunnen voldoen. In hoofdstuk 4 worden de stappen behandeld, inclusief de meest gebruikte technieken die het werk kunnen ondersteunen en de resultaten die de processtappen opleveren. 4. M_o_R verankeren en reviewen. Uitgangspunt van een volwassen organisatie is dat Risicomanagement consistent wordt toegepast en voortdurend wordt verbeterd. Het is van belang dat de organisatie periodiek haar Risicomanagementpraktijken tegen het licht houdt om te zorgen dat ze efficiënt en effectief blijven. Op deze manier is er sprake van continue verbetering en een stijging van het Volwassenheidsniveau van een organisatie. Hoofdstuk 5 is gewijd aan dit deel van het framework.


6


1.2 Wat is een Risico? Uit spreekwoorden blijkt hoezeer we al gewend zijn aan het managen van Risico’s. Bijvoorbeeld: ‘Een gewaarschuwd mens telt voor twee’. Maar ook bekende uitspraken laten zien hoezeer onzekerheid een deel van het leven is. Bijvoorbeeld de wet van Murphey: ‘Als er iets mis kan gaan, dan gaat het mis’.

M_o_R geeft voor ‘Risico’ de volgende definitie: Definitie ‘Een Risico is een onzekere gebeurtenis of reeks gebeurtenissen die, als die zou plaatsvinden, Gevolg zou hebben op het bereiken van doelstellingen.’ Een Risico bestaat uit een combinatie van de Waarschijnlijkheid (probability) dat een Bedreiging of Kans1 plaatsvindt en de gevolgen (Gevolg) ervan, ook wel Impact genoemd, op de doelstellingen. Dit Gevolg kan zowel positief als negatief van aard zijn. Een onzekere gebeurtenis die een negatieve Impact zou kunnen hebben op doelstellingen of Benefits wordt een ‘Bedreiging’ (threat) genoemd, en een onzekere gebeurtenis die een gunstige Impact zou kunnen hebben op doelstellingen of Benefits een ‘Kans’ of ‘mogelijkheid’ (opportunity). NEN/ISO 31000 noemt een Risico het Effect (positief en negatief) van onzekerheid op het behalen van doelstellingen, waarbij er een verwijzing is naar mogelijke gebeurtenissen en gevolgen en de bijbehorende Waarschijnlijkheid dat de gebeurtenis zich voordoet. COSO beschrijft een Risico als een mogelijke gebeurtenis met een mogelijke negatieve Impact op een doelstelling. Gebeurtenissen met een positieve Impact zijn mogelijkheden. De beoordeling vindt plaats aan de hand van Waarschijnlijkheid en Impact.

1 Het woord ‘Kans’ kan zowel Waarschijnlijkheid van optreden als mogelijkheid betekenen. Om verwarring en misinterpretatie te voorkomen gebruiken we in dit boek zo consequent mogelijk het woord ‘Waarschijnlijkheid’ als uiting van onzekerheid (onzekere verwachting) en reserveren we de woorden ‘Kans’ en ‘mogelijkheid’ voor de uiting van een positief Gevolg (verwachting van een gunstig Gevolg). Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net


7

Kernbegrippen van alle benaderingen van Risicomanagement zijn onzekerheid, Gevolg/Impact, gerichtheid op een doelstelling, en een negatieve en positieve kant.

1.3 Wat is Risicomanagement? Kort gezegd is Risicomanagement het managen van Risico’s. Dit betekent dat Risico’s moeten worden geïdentificeerd en beoordeeld én dat er maatregelen worden gepland en ingevoerd (inclusief het monitoren van de effectiviteit daarvan). Identificeren. Dit houdt in dat allereerst de context van de geplande activiteit moet worden vastgesteld, en tevens de scope, de doelstellingen en de betrokkenen. Vervolgens moet er worden nagedacht over Risico’s die invloed kunnen hebben op het bereiken van die doelstellingen. Daarna moeten de Risico’s zo eenduidig worden beschreven dat iedere betrokkene de Risico’s begrijpt. Beoordelen. Dit betekent het inschatten van de Impact en urgentie en het hiermee ordenen van alle Risico’s. Zo krijg je zicht op het totale Risiconiveau dat is verbonden met de onderzochte activiteit. Plannen. Dit omvat het bepalen van passende maatregelen voor Risico’s, en het toewijzen van de Risico’s en de acties die nodig zijn aan een eigenaar. Invoeren. Dit betreft vervolgens het uitvoeren en bewaken van de effectiviteit van de getroffen maatregelen. Elke organisatie beheerst Risico’s, maar niet altijd op een manier die zichtbaar, herhaalbaar of consistent is. De taak van Risicomanagement is ook waarborgen dat een organisatie op een rendabele wijze een Risicomanagementproces doorloopt. Het doel van Risicomanagement is succesvoller te zijn door het ondersteunen van een betere besluitvorming middels goed inzicht in de aard van de Risico’s en hun waarschijnlijke Impact. In M_o_R wordt daarom voor de term ‘Risicomanagement’ de volgende definitie gegeven: ‘De systematische toepassing van principes, aanpak en processen op de taken van het identificeren en beoordelen van Risico’s, en vervolgens het plannen en implementeren van maatregelen. Dit om systematische besluitvorming in de organisatie Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net

8


te ondersteunen en daarmee actief bij te dragen aan het succes van de organisatie en alle activiteiten daarin.’ ISO noemt Risicomanagement de gecoördineerde activiteiten om een organisatie te sturen en te beheersen met betrekking tot Risico’s. ISO identificeert daarbij principes, een kader en een proces. Het kader voor Risicomanagement is: Het geheel van componenten die de basis (beleid, doelstellingen en mandaat) en organisatorische maatregelen bieden voor ontwerp, implementatie, monitoring, beoordeling en continue verbetering van Risicomanagement in alle lagen van de organisatie. COSO definieert Risicomanagement als een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om Risico’s te beheren zodat deze binnen de Risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen. Kernbegrippen van alle benaderingen van Risicomanagement zijn procesmatige beheersing, identificatie van Risico’s tot en met invoering van maatregelen, monitoren van effectiviteit, en gerichtheid op het succesvol behalen van doelstellingen. Daarbij is er met M_o_R’s verankeren en reviewen en met ISO’s kader voor Risicomanagement aandacht voor de implementatie en onderhoud van Risicomanagement in de organisatie.

1.4 Waarom is Risicomanagement belangrijk? Het nemen van Risico’s is onvermijdelijk. Organisaties die minder volwassen zijn in hun Risicomanagement zijn onder andere te herkennen aan het feit dat men het idee heeft dat Risico’s, mits goed gemanaged, allemaal uitgesloten kunnen worden. Vaak heerst er in dit soort organisaties een cultuur waarin men, als zaken niet volgens verwachting verlopen, vooral probeert schuldigen aan te wijzen.



9

Een bedrijfstak die bekend staat om zijn lage Risicobereidheid is de luchtvaartindustrie, waar kwaliteitsmanagement een belangrijk deel van de operationele werkzaamheden beheerst en waar actief een lerende cultuur omarmd wordt. Van elk incident wordt standaard een evaluatie uitgevoerd om van te leren en soortgelijke gebeurtenissen in de toekomst te voorkomen.

Organisaties (en mensen) zijn in te delen op een continuüm tussen twee uitersten: van Risicomijdend tot Risicozoekend. De metaforen voor dit Risicogedrag zijn de overdreven voorzichtige twijfelaar en de onbezonnen waaghals. Daar tussenin zit het Risicobewust afwegen van opties. Organisaties (en mensen) die Risicobewuster zijn, beseffen dat het actief beheren van Bedreigingen en Kansen hun (concurrentie)voordeel oplevert. Zij gaan ervan uit dat het nemen en managen van Risico’s de essentie is van het voortbestaan en de groei van een bedrijf. Afhankelijk van het type bedrijf kan de Risicobereidheid (risk appetite) er dan een van zoekend of vermijdend zijn. Met de komst van Virgin Air werd de luchtvaartindustrie opgeschrikt door een ondernemer die meer bereidheid toonde Risico’s te nemen in de bedrijfsvoering. In juni 2011 waren de vliegtuigen van Virgin in Australië een aantal keer de enige ‘kisten’ die door bleven vliegen toen de aswolken van de Puyehue-vulkaan in Chili over Australië heen dreven. De directie van het bedrijf beoordeelde per dag en locatie of ze het verantwoord vond om toch te vliegen. In de overweging gaf de directie aan ook in het belang van de passagiers te handelen: ‘Klanten willen niet onnodig op vliegvelden vastzitten. Als het veilig genoeg is moet er gevlogen kunnen worden.’

Goed Risicomanagement kan helpen bij het succesvol realiseren van doelstellingen door een organisatie omdat het: – organisaties bewuster maakt van Risico’s, en dat leidt onder andere tot: • betere besluitvorming en effectiever management; • het vormen van een betere basisstrategie; • innovatie en een concurrentievoordeel; • een efficiënter gebruik van resources; • minder verspilling en fraude; • een beter beheer van onderhoudsactiviteiten; – organisaties beter voorbereidt op Risico’s, en dat leidt onder andere tot: • betere en gerichtere dienstverlening aan klanten; • minder verrassingen en ‘brandjes’ om te blussen; • de juiste dingen, goed doen; Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net

10


• pro-actiever handelen; • meer succes bij het realiseren van veranderingsinitiatieven. Deze voordelen zijn sectoronafhankelijk en gelden zowel in het private als het publieke domein, waarbij de belangen van de Stakeholders zo goed mogelijk worden gediend. Beide domeinen kunnen hun voordeel doen met goed Risicomanagement. Op de vraag waarom men Risicomanagement zou moeten omarmen is het kortste antwoord: ‘om succesvoller te zijn in wat je doet.’ Vaak blijkt dat dit niet het antwoord is dat men verwachtte. Risicomanagement wordt in de praktijk nog steeds vaak gezien als het bezig zijn met zaken die fout kunnen gaan. Dit geeft het werkgebied een negatief karakter en verklaart wellicht waarom het niet veel breder gezien wordt als een must. Management van Succes zou een toepasselijker titel zijn.

Risicobereidheid en -capaciteit

Hoeveel Risico’s een organisatie bereid is te accepteren, speelt een cruciale rol bij het ondersteunen van de doelstellingen van een organisatie en het bepalen van Risicomanagementactiviteiten. Risicobereidheid is de houding tegenover het nemen van Risico’s, die vervolgens bepaalt welke mate van Risico een organisatie als aanvaardbaar beschouwt. Deze bereidheid is afhankelijk van de capaciteit van de organisatie om Risico’s te dragen en die mag niet overschreden worden anders gaat de organisatie eraan onderdoor. Risicobereidheid en -capaciteit zijn een wezenlijk element van Corporategovernance en interne controle. In bepaalde bedrijfstakken zoals de bancaire sector moeten bepaalde hoeveelheden kapitaal aangehouden worden om voorgeschreven vermogenseisen na te leven - lees Risicocapaciteit. Ook zijn er voor alle bedrijven in Nederland richtlijnen ten aanzien van Gezondheid, Beveiliging, Veiligheid en Milieu waaraan gehoor moet worden gegeven; denk aan Bedrijfshulpverlening (BHV) en Milieueffectrapportages (MER) voor grote projecten. De Risicobereidheid van sommige beurshandelaren is groter dan de capaciteit van hun organisatie. Nick Leeson was het einde van Barings Bank, Bernard Madoff raakte met zijn investeringsfonds 50 miljard kwijt. De bereidheid van deze twee ging zo ver dat zelfs crimineel handelen als geoorloofd werd beschouwd.



11

Het bestuur en senior management is verantwoordelijk voor het bepalen van de Risicobereidheid van hun organisatie. Dit als integraal onderdeel van de bedrijfsplanning, nadat de capaciteit voor het dragen van Risico’s is vastgesteld. Het bepalen van de Risicobereidheid geeft medewerkers inzicht in het relatieve belang van de Risico’s die de organisatie loopt. Voordelen voor organisaties die hun Risicobereidheid effectief verwoorden, zijn dat zij: – de koers van het bedrijf kunnen veranderen als wordt ingeschat dat je een Risico niet binnen acceptabele grenzen zou kunnen brengen of houden; – Risicomanagementacties kunnen prioriteren en beheersingsmaatregelen richten op de Risico’s die de meeste schade kunnen aanrichten; – een efficiëntere toewijzing van kapitaal in de organisatie kunnen realiseren door meer nadruk op Risicobeheersinstrumenten en verlagen van de post onvoorziene kosten; – zichzelf beter afschermen tegen een daling van toekomstige verdiensten; – ruimte maken voor creativiteit binnen acceptabele grenzen; – de mogelijkheid reduceren van blootstelling aan capaciteitsoverschrijding als gevolg van onoplettendheid; – een eigen gedragslijn hanteren voor het afwegen en goedkeuren van de hoeveelheid Risico’s. Risicotolerantiedrempels In de wereld van projectmanagement is men gewend omte sturen op tijd, geld, bereik (scope) en kwaliteit. PRINCE2 identificeert tolerantiegrenzen op deze vier criteria en voor Risico’s en Benefits. Door deze grenzen vast te stellen is men in staat om ‘management by exception’ toe te passen. Het stelt het management in staat om taken te delegeren en toch de controle te houden. Blijft de opdrachtnemer binnen de grenzen, dan blijft de opdrachtgever op afstand. Dreigen de grenzen overschreden te worden, dan escaleert de opdrachtnemer het Issue in lijn met de gestelde bevoegdheden.

Het vertalen van Risicobereidheid naar een praktische instrument is het creëren van Risicotolerantiedrempels. Deze drempels bepalen niveaus van blootstelling die met de passende goedkeuring kunnen worden overschreden, maar die dan een (re)actie vereisen (bijv. het rapporteren van de situatie aan het senior management om actie te ondernemen).


12


Voor het vaststellen van de Risicobereidheid is nodig: – overeenstemming in het senior management over de mate van Risicobereidheid om zo tot acceptabele tolerantiedrempels te komen; – review van het bedrijf door het management om de tolerantiedrempels vast te stellen; – ontwikkeling van bewakings- en uitzonderingsrapportages, drempels en waarschuwingsindicatoren (early warning indicators). Uit het vaststellen van de drempels vloeien kosten voort in termen van tijd of daadwerkelijke kosten. Het bestuur en management moet overleggen over drempels die de vastgestelde Risicobereidheid ondersteunen. Medewerkers van de afdeling moeten helpen bij Risicomanagementactiviteiten en geschikte tools inrichten. Het centrale Risicomanagementteam doet voorstellen voor tolerantiedrempels, stelt die in, en zorgt voor vastlegging, beoordeling en bewaken. En ten slotte moeten interne auditors of externe consultants worden ingeschakeld voor beoordelingen, technische ondersteuning, assistentie en borging bij het vaststellen en opnieuw vaststellen van Risicobereidheid. Escalatieprocedure

Op elk niveau binnen een organisatie en voor elke activiteit die zij ontplooit moet een Risico-escalatieprocedure worden vastgesteld, die het betreffende managementteam adviseert over de tolerantiedrempels waar het zich aan dient te houden. In de procedure moet worden beschreven wat er moet gebeuren als een of meer Risico’s de afgesproken drempelwaarde overschrijden. Met name moet van tevoren glashelder zijn wanneer en hoe Risico’s moeten worden geëscaleerd naar een senior manager. Het is in principe de senior manager die verantwoordelijk is voor het kiezen voor een bepaalde gedragslijn of voor het escaleren van de informatie naar een hoger niveau. De tolerantiedrempels worden gewoonlijk uitgedrukt in financiële termen, maar kunnen evengoed worden bepaald in termen van tijdsduur, operationele eisen of naleving van regels.

1.5 Waar in de organisatie wordt Risicomanagement toegepast? Risicomanagement ondersteunt besluitvorming in organisaties door inzicht te geven in de bij een activiteit betrokken partijen (Stakeholders) en hun belangen. Door vast te stellen wat de context en het doel van de geplande activiteit zijn (en hoe deze zich verhouden tot de Stakeholders) en door met respect (rekenschap) Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net


13

voor de verschillende standpunten tot een beslissing te komen. Vanuit het perspectief van Corporate Governance is men door het toepassen van deze principes in staat te motiveren welke overwegingen zijn meegenomen om tot de beslissing te komen. Het belangrijkste succescriterium voor gedragen, navolgbare besluiten is de mate waarin de belangen van de stakeholders integer tegen elkaar zijn afgewogen. Of dit proces van belangenafweging inderdaad integer is verlopen, kunnen alleen de Stakeholders zelf bepalen.

Op alle niveaus worden door allerlei Stakeholders beslissingen genomen. Het effect van deze beslissingen op de organisatieactiviteit kan op allerlei niveaus van groot en van klein belang zijn. Inzicht krijgen in de beslissingen die ertoe doen en grip krijgen op de besluitvormingsprocessen is de kern van organisatiebreed Risicomanagement (Enterprise Risk Management - ERM). De vier perspectieven

Zoals in de inleiding reeds is beschreven, maakt M_o_R een onderscheid tussen vier perspectieven, die allemaal nauw met elkaar in verband staan. Er bestaat een doorlopende lijn tussen operationele en strategische bedrijfsvoering en een nauwe relatie van deze perspectieven met de veranderorganisatie: de Programma’s en Projecten. COSO onderscheidt de niveaus: ondernemingsbreed, divisie, bedrijfseenheid en dochteronderneming. In deze indeling zie je duidelijk de achtergrond van financiele rapportage terug van waaruit COSO is ontwikkeld. Strategische besluiten hebben vooral te maken met langetermijndoelen, de vitaliteit van de organisatie en de levensvatbaarheid. De Risico’s die verbonden zijn met strategische beslissingen worden misschien pas in de verre toekomst duidelijk. Het Cabinet Office heeft voor dit niveau de richtlijn Management of Portfolios (MoP) ontwikkeld, waar Risicomanagement deel van uitmaakt. Middellangetermijndoelen worden meestal aangepakt met Programma’s en Projecten om een bepaalde verandering te bewerkstelligen. Voor Programma’s heeft het Cabinet Office de best practice richtlijn Managing Successful Programmes (MSP) ontwikkeld en voor Projecten PRINCE2. Alle standaarden van het Cabinet Office hanteren de M_o_R-richtlijn voor het thema Risicomanagement.


14


Programma’s zijn gericht op het veranderen van een organisatie in lijn met de strategische doelen en de bijbehorende manieren van werken. M_o_R gebruikt de MSP-definitie voor een Programma: ‘Een tijdelijke, flexibele organisatiestructuur, gevormd voor het coördineren van, besturen van en toezicht houden op de implementatie van een reeks gerelateerde Projecten en activiteiten om effecten en Benefits op te leveren die betrekking hebben op de strategische doelstellingen van de organisatie. Een Programma heeft meestal een levenscyclus van verscheidene jaren.’ Projecten leveren resultaten en Output die de organisatie in staat stellen te veranderen en verbeteren (capability/vermogen). Dit is altijd een afweging van een bepaald bereik (scope) en kwaliteit, binnen een vastgesteld budget en een afgesproken tijdsduur. M_o_R gebruikt de PRINCE2-definitie voor een Project: ‘Een tijdelijke organisatie die is opgezet met het doel om een of meer zakelijke Producten te leveren volgens een gespecificeerde Business Case.’ Op operationeel niveau ligt de nadruk op kortetermijndoelen om de continuïteit van de bedrijfsdiensten te waarborgen; beslissingen over Risico’s op dit niveau moeten echter ook het bereiken van lange- en middellangetermijndoelen ondersteunen. Voor dit operationele niveau zijn de best practices rondom Service Management ontwikkeld (ITIL) die ook het Risicomanagement hebben gebaseerd op M_o_R. Alleen al het toepassen van van Risicomanagement op MoP, MSP en PRINCE2 kan leiden tot meer succes. ERM richt zich echter ook op de relaties tussen deze vier perspectieven. Dan kan worden bepaald hoe en wanneer Risico’s tussen de niveaus worden overgedragen en wordt de interactie tussen de niveaus op waarde geschat. Zo kunnen grote Risico’s voor Projecten op programmaniveau lager worden ingeschat, totdat blijkt dat dit Risico zich bij meerdere Projecten voordoet en het collectieve Risico dan toch een maatregel op het programmaniveau rechtvaardigt. Dit kan een efficiencyvoordeel opleveren voor de verschillende Projecten. Denk aan leveranciersrisico’s die op een hoger niveau in de organisatie veel effectiever kunnen worden aangepast door een corporate inkoopafdeling (volumekortingen, onderhandelingen over leveringsvoorwaarden).



15

Veel organisaties worden in deze tijd (2011) geconfronteerd met bezuinigingen. De vraag die vervolgens voorligt, is wat de consequenties zijn van de keus voor het ene of het andere project, of de ene investering of die andere, die ene activiteit of de andere? Door de geïntegreerde aanpak van Risicomanagement krijgt het management informatie aangereikt die het mogelijk maakt de voor- en nadelen van de verschillende opties tegen elkaar af te wegen en zodoende tot een gemotiveerde beslissing te komen. Hierdoor wordt het gemakkelijker de soms pijnlijke boodschap toe te lichten en is de weerstand tegen de verandering vaak al minder.

In hoofdstuk 5 wordt nog nader ingegaan op de inrichting en inbedding van (Enterprise) Risk Management in de organisatie.

1.6 De relatie met interne controle en Corporate Governance Wat in het bovenstaande meermalen naar voren komt is de relatie die Risicomanagement heeft met Corporate Governance. Dit betreft dan met name de verantwoording die bestuurders kunnen afleggen over de manier waarop ze tot beslissingen gekomen zijn. Welke belangen zijn meegewogen in de beslissingen en op basis van welke criteria? De wereldwijde aandacht voor Corporate Governance en de bijbehorende controls (financieel, operationeel, naleving en Risicomanagement) om verantwoording inzichtelijk en controleerbaar te maken komt voort uit de schandalen rond Enron, Barings Bank en het faillissement van Lehman Brothers. Corporate Governance is gericht op het beschermen van de assets, de rentabiliteit en de reputatie van een organisatie. M_o_R definieert Corporate Governance als: ‘De doorlopende activiteit van het in stand houden van een deugdelijk systeem van interne controle, waarmee de leidinggevenden en stafleden van een organisatie waarborgen dat effectieve beheerssystemen, waaronder financiële bewakings- en controlesystemen, zijn ingesteld om de bedrijfsmiddelen, verdiencapaciteit en reputatie van de organisatie te beschermen.’


16


Zowel in Engeland als in Nederland stellen de Corporate Governance codes dat bestuurders rekening dienen te houden met: – de mate waarin de organisatie bloot staat aan Risico’s, en de soorten Risico’s; – het type en de hoogte van de Risico’s die de organisatie bereid is te accepteren (dragen); – de Waarschijnlijkheid dat deze Risico’s zich kunnen voordoen; – de mogelijkheden van de organisatie om de Impact van de Risico’s die zich toch voordoen adequaat te beheersen; – de eis dat de inspanning die het Risicomanagement vraagt, in verhouding staat tot wat het oplevert. In de Amerikaanse Sarbanes-Oxley-wetgeving worden de Chief Executive Officer (CEO) en de Chief Financial Officer (CFO) hier zelfs persoonlijk voor aansprakelijk gesteld. In Engeland wordt hiervoor de Combined Code of Corporate Governance gebruikt. In Nederland is de code-Tabaksblat een gedragscode voor beursgenoteerde bedrijven met als doel een grotere transparantie in de jaarrekening, betere verantwoording aan de Raad van Commissarissen en een versterking van de zeggenschap en bescherming van aandeelhouders. Voor de overheid is er een code Goed Openbaar Bestuur. De code bevat zeven beginselen (Bron: Wikipedia - Code Goed Openbaar Bestuur NL): 1. Openheid en integriteit: Het bestuur is open en integer en maakt duidelijk wat het daaronder verstaat. Het bestuur geeft in zijn gedrag het goede voorbeeld, zowel binnen de organisatie als daarbuiten. 2. Participatie: Het bestuur weet wat er leeft in de maatschappij en laat zien wat het daarmee doet. 3. Behoorlijke contacten met burgers: Het bestuur zorgt ervoor dat hijzelf en de organisatie zich behoorlijk gedragen in contacten met burgers. 4. Doelgerichtheid en doelmatigheid: Het bestuur maakt de doelen van de organisatie bekend en neemt de beslissingen en maatregelen die nodig zijn om de gestelde doelen te behalen. 5. Legitimiteit: Het bestuur neemt de beslissingen en maatregelen die het mag nemen en die in overeenstemming zijn met geldende wet- en regelgeving. De beslissingen zijn te rechtvaardigen. 6. Lerend en zelfreinigend vermogen: Het bestuur verbetert zijn prestaties en die van de organisatie, en richt de organisatie hier op in. 7. Verantwoording: Het bestuur is bereid zich regelmatig en ruimhartig jegens de omgeving te verantwoorden.


HOOFDSTUK 2

De principes van Risicomanagement 2.1

Inleiding

De principes of ‘grondbeginselen’ zijn bedoeld als universeel toepasbare richtlijnen voor het ondersteunen en beïnvloeden van Risicomanagementpraktijken. Ze moeten eenvoudig te begrijpen zijn en gemakkelijk toe te passen. Ze zijn allemaal ontleend aan bewezen principes van Corporate Governance en zijn een onderdeel van de interne controls. De principes van M_o_R zijn ontleend aan het Anglo–Amerikaanse model voor Corporate Governance en de Internationale norm voor Risicomanagement NEN/ ISO 31000:2009 Risicomanagement, Principes en Richtlijnen. De principes schrijven niet voor hoe Risicomanagement uitgevoerd dient te worden. Iedere organisatie moet ze naar eigen inzicht toepassen op de eigen situatie. De principes vormen handvatten om eigen beleid, processen, strategieën en plannen te ontwikkelen, om te voorzien in hun eigen specifieke behoeften. De eerste zeven principes van M_o_R maken goed Risicomanagement mogelijk, de achtste is het resultaat van een goede invoering van Risicomanagement in de organisatie: 1. Sluit aan bij doelstellingen (Aligns with objectives). 2. Past in de context (Fits the context). 3. Betrekt Stakeholders (Engages Stakeholders). 4. Geeft heldere richtlijnen (Provides clear guidance). 5. Levert informatie voor besluitvorming (Informs decision-making). Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net

18


6. Maakt voortdurende verbetering mogelijk (Facilitates continual improvement). 7. Zorgt voor een ondersteunende cultuur (Creates a supportive culture). 8. Creëert meetbare waarde (Achieves measurable value). In tabel 2.1 is weergegeven hoe de principes van NEN/ISO 31000 zich verhouden tot die van M_o_R. Tabel 2.1 De principes van Risicomanagement volgens M_o_R 2010 en NEN/ISO 31000: 2009 Principes van M_o_R 2010 1. Sluit aan bij doelstellingen 2. Past in de context 3. Betrekt Stakeholders 4. Geeft heldere richtlijnen: • Risicomanagementbeleid • Risicomanagementstrategie • Handleiding Risicomanagementprocessen • Risicomanagementregisters, -plannen en -rapportages 5. Levert informatie voor besluitvorming 6. Maakt voortdurende verbetering mogelijk 7. Zorgt voor een ondersteunende cultuur 8. Creëert meetbare waarde

Principes van NEN/ISO 31000:2009 1 1. Dynamisch, iteratief en reagerend op veranderingen 2. Op maat gesneden 3. Transparant en sluit niemand uit 4. Is geïntegreerd in de processen van de organisatie 5. Gebaseerd op de best beschikbare informatie 6. Onzekerheden worden expliciet benoemd 7. Systematisch, gestructureerd en tijdig

8. Maakt deel uit van de besluitvorming 9. Ondersteunt continue verbetering en de uitbouw van de organisatie 10.Houdt rekening met menselijke en culturele factoren 11. Voegt waarde toe

2

Organisaties moeten zich vernieuwen en aanpassen om concurrerend te blijven. De principes helpen bij het inrichten en verbeteren van de Risicomanagementpraktijken. De kunst is om Risicomanagement zodanig in te richten dat het de besluitvorming in de organisatie ondersteunt én dat het een afspiegeling is van de grootte van de organisatie en de omvang van de activiteiten en diensten. Zo zal het voor kleine organisaties minder noodzakelijk zijn om beleid vast te leggen en een uitgebreid communicatieplan samen te stellen, aangezien de organisatie klein genoeg is om dit informeel af te handelen en pragmatisch bij te sturen. De communicatielijnen zijn immers kort en de integratie van de verschillende functies hoog. Ook zal de noodzaak voor zware Risicomanagementcontroles in kleine Projecten

2 Nederlandse norm NEN/ISO 31000 Risicomanagement - Principes en richtlijnen (ISO 31000:2009,IDT). Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net


19

met weinig Risico minder groot zijn. Zodoende leveren de principes een fundament voor effectief Risicomanagement zonder een last te zijn voor de dagelijkse bedrijfsvoering, en daarmee een bijdrage aan de verbetering van de prestaties en succes van de organisatie.

2.2 Principe 1: Sluit aan bij doelstellingen Op alle niveau’s in een organsatie wordt succes afgemeten aan de mate waarin men erin slaagt de gestelde doelen te bereiken. Daarnaast is het ook belangrijk of die op een bevredigende en verantwoorde manier worden bereikt. Pas als doelstellingen zijn geformuleerd, kan begonnen worden met het identificeren van Risico’s. Kort gezegd moeten Risico’s worden geïdentificeerd ten opzichte van doelstellingen van de geplande activiteit.

Risicomanagement richt zich voortdurend op de organisatiedoelstellingen. Resultaat van dit principe is: Dat er relevante Risico’s worden geïdentificeerd en dat de juiste prioriteit wordt gegeven aan de individuele Risico’s en het totale Risico van de betreffende activiteit.

In verband met voortschrijdend inzicht en veranderende omstandigheden is het natuurlijk belangrijk dat regelmatig wordt geëvalueerd of de doelstellingen nog steeds dezelfde zijn en de blootstelling aan Risico’s niet is veranderd. ISO stelt dat Risicomanagement dynamisch en iteratief is en reageert op veranderingen. Het is zaak om de status van Risico’s nauwlettend in de gaten te houden en te letten op Risico’s die verdwijnen of verschijnen. Alice: Kunt u mij misschien vertellen welke weg ik moet nemen? De Kat: Dat hangt ervan vanaf waar je heen wilt gaan Alice: Dat maakt me niet zo veel uit. De Kat: Dan maakt het ook niet uit welke weg je neemt. Alice: … als ik maar ergens kom. De Kat: O, je komt zeker ergens, als je lang genoeg doorgaat. (Uit: Alice in Wonderland)


20


Door goed zicht te hebben op de Risicocapaciteit van de organisatie en de Risicobereidheid is het management beter instaat te bepalen welke Risico’s er kunnen worden genomen en welke moeten worden aangepakt. Het helpt bij het prioriteren van de activiteiten om voldoende verzekerd van succes te zijn. ‘Sluit aan bij doelstellingen’ voor het strategisch perspectief

Het strategisch perspectief is gericht op de langetermijndoelstellingen en het functioneren van de organisatie. Organisaties zijn over het algemeen druk bezig met allerlei activiteiten en het is aan het bestuur van organisaties de continuïteit daarvan te waarborgen. Doelen die op dit niveau gesteld worden zijn bijvoorbeeld: – financiële: zoals de rendementsverwachtingen van Stakeholders of aandeelhouders; – kerndienstverlening: deze hebben meestal betrekking op het vergroten van de efficiëntie, kwaliteit van diensten of Output; – reputatie bij Stakeholder of consument en de mate waarin de dienstverlening sterk en voorspelbaar blijft; – organisatievermogen: zorgen dat de organisatie (ook op de langere termijn) van belang blijft; denk bijvoorbeeld ook aan Research & Development (R&D) en het inrichten van een veranderorganisatie om naast het drijven van de zaak (‘Run the Business’) ook het veranderen van het bedrijf (‘Change the Business’) toe te staan; – resources: dat personeel en leveranciers de vaardigheden en goederen leveren die de organisatie nodig heeft. ‘Sluit aan bij doelstellingen’ voor het programmaen projectperspectief

Programma’s die (bijvoorbeeld) gerund worden met de methode MSP zijn vooral gericht op het creëren van ‘capabilities’, met andere woorden waar een organisatie toe in staat is, en daarnaast het realiseren en vergroten van Benefits voor de organisatie. Benefits zijn meetbare verbeteringen voor Stakeholders. Deze doelstellingen kunnen waar mogelijk gekoppeld worden aan kritieke prestatie-indicatoren (KPI’s) op strategisch niveau. Benefits kunnen tastbaar of niet-tastbaar zijn en kunnen worden uitgedrukt in financiële of niet-financiële termen, afhankelijk van de aard van de Benefits. Projecten leveren resultaten (deliverables) op die organisaties nieuwe of verbeterde capabilities of assets (vermogensbestanddelen) verschaffen. Een Project kan zelfs tot doel hebben een bedrijfsonderdeel af te stoten als dat bijdraagt Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net


21

aan de strategische doelen van een organisatie. Denk aan Philips die zijn televisieschermproductie afstoot. Vermogensdoelstellingen zullen van invloed zijn op de operationele prestaties van de organisatie. De doelstellingen van projecten omvatten vaak onder andere: – tijd (d.w.z. oplevering van Producten op een bepaalde datum); – geld/kosten (d.w.z. oplevering binnen het budget of oplevering zonder boetes van contractpartijen); – kwaliteit; – scope (bereik). ‘Sluit aan bij doelstellingen’ voor het operationele perspectief

Operationele doelen zijn over het algemeen gerelateerd aan het specifieke niveau van dienstverlening en verbeteringen van de prestaties van de organisatie. Denk daarbij aan: – reputatie (met name op de werkvloer bij het contact met klanten en andere Stakeholders wordt de reputatie van een organisatie op de proef gesteld; – omzet en productievolumes; – productiekosten en overhead; – kwaliteit van Producten of van het bedrijfsproces; – interne controle (bijv. gezondheid, veiligheid of wetgevingseisen); – inkomsten (door bijvoorbeeld sales en marketing); – personeel (bijv. medewerkertevredenheid); – klant (bijv. klantverlies, klanttevredenheid, cross selling en retentie).

2.3 Principe 2: Past in de context Een belangrijke stap na het identificeren van de context is het identificeren van de Risico’s (zie hoofdstuk 4 voor de processtappen). Effectieve identificatie van Kansen en Bedreigingen is afhankelijk van begrip van de context van de organisatie of de onderzochte activiteit. De context omvat vaak de politieke, economische, sociale, technologische, wettelijke en milieuachtergrond, maar

Risicomanagement is aangepast aan de huidige context. Resultaat van dit principe is: Dat er geen geld wordt verspild aan een managementwaterhoofd of dat de Risicobereidheid en capaciteit niet goed beheersbaar zijn.


22


gewoonlijk ook de bedrijfstak, markten, locaties, technologieën en het regime van regelgeving waarbinnen de organisatie opereert. Door aandacht te hebben voor deze gebieden worden ‘blinde vlekken’ voorkomen en is de Kans groter dat alle Risico’s worden geïdentificeerd. Alle Risico’s identificeren is natuurlijk onmogelijk. De gedachte achter deze intentie is dat de Kans kleiner wordt dat je een Risico ‘mist’ als je je best doet om zo volledig mogelijk te zijn. Er zullen altijd ‘onbekende onbekenden’ blijven. Voor Defensie betekent dit dat nagedacht wordt of hun troepen in staat zijn adequaat te handelen in volkomen onvoorspelbare situaties. Zo zijn er protocollen ontwikkeld om eenheden bevoegdheden te geven bij het wegvallen van de bestaande formele structuren.

Zoals ISO ook stelt moet Risicomanagement op maat worden gemaakt. Daarmee wordt niet alleen bedoeld dat het aangepast is aan de externe en interne omgeving, maar ook dat het aansluit op het Risicoprofiel van de organisatie. Hoe complexer de context, hoe groter de blootstelling aan Risico’s. Een voorbeeld is Diginotar, de commerciële certificaatautoriteit van onder andere de Nederlandse overheid, die vanuit de aard van het bedrijf veilig en betrouwbaar moest zijn en als internetbedrijf de wereld als zijn werkgebied heeft. Dit bedrijf liep zodanig imagoschade op door de inbreuk in de bedrijfsgegevens dat de organisatie niet kon blijven bestaan. Uit tests van journalisten bleek dat de bedrijfsprocessen zo onvolwassen waren ingericht dat het mogelijk was dat dit gebeurde. Een dergelijke situatie zou niet mogen voorkomen bij een bedrijf van deze aard.

‘Past in de context’ voor het strategisch perspectief

Het strategisch perspectief gaat over besluitvorming aan de top, op bestuursniveau, ten aanzien van de externe omgeving en andere organisaties die de organisatie tegenwerken of met haar samenwerken. Voor de besluitvorming en de aard van de Risico’s maakt het een verschil of het gaat om een non-profitorganisatie, een multinational of een overheidsinstantie. Een organisatie als het Kadaster, die als monopolist verantwoordelijk is voor het beheren van alle Nederlandse kadastrale gegevens, kan het zich niet veroorloven onvolwassen en onprofessioneel over te komen. Het is vanzelfsprekend dat een dergelijke organisatie zijn Risicomanagement op een veel volwassener niveau zal hebben ingericht dan een startende onderneming die het veel meer moet hebben van: ‘Die niet waagt, die niet wint.’ Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net


23

Strategische Risico’s zijn die Risico’s die te maken hebben met het waarborgen van het totale succes, de vitaliteit en de levensvatbaarheid van de onderneming. Als strategische Risico’s zich voordoen, is dat merkbaar voor eigenaren, investeerders of financiers, en heeft dat invloed op de reputatie van de organisatie. Denk bijvoorbeeld aan reorganisaties, fusies of bedrijfsovernames. Gebeurtenissen die een grote Impact hebben op de organisatie. ‘Past in de context’ voor het programmaperspectief

Programma’s zorgen voor grote veranderingen in organisaties die meestal meerdere jaren duren. Het gaat vaak om het veranderen van gedrag en houding (attitude) van medewerkers in de organisatie om zodoende een bijdrage te kunnen leveren aan het behalen van strategische doelen en het realiseren van Benefits. De capabilities die gecreëerd moeten worden in het Programma worden over het algemeen projectmatig aangepakt. Een lastige afweging op programmaniveau is dan de juiste inzet van resources op de verschillende projecten, om een balans te vinden tussen de capabilities die ontwikkeld worden en de bijdrage die deze leveren aan het realiseren van Benefits. Het programmamanagementteam is primair verantwoordelijk voor het identificeren en beschrijven van oplossingen voor conflicten die verbonden zijn met de uitvoering van het programmaplan en voor het managen van specifieke projectcrises die impact hebben op het programma. ‘Past in de context’ voor het projectperspectief

Projecten leveren gedefinieerde Outputs op, met een passend kwaliteitsniveau, binnen overeengekomen beperkingen in tijd, kosten en scope. Het type Project bepaalt in hoge mate de aard en hoeveelheid Risico’s die zich kunnen voordoen. Zoals hierboven beschreven kan een Project deel uitmaken van een Programma. In dat geval zijn er verschillende projectoverschrijdende Risico’s, die betrekking hebben op andere gerelateerde Projecten of op het programmaniveau. Projecten die zich afspelen binnen een afdeling zullen waarschijnlijk aanzienlijk minder complex en Risicovol zijn.

Good practice: Een voorbeeld van een veelgebruikt Risicoprotocol in de projectmanagementwereld: het acroniem van Risicocategorieën COPAFITJMBH (Commercie, Organisatiestructuur, Personeel, Administratie, Financieel, ICT, Technologie, Juridisch, Milieu, Beveiliging, Huisvesting). Dit is een hulpmiddel om de brainstorm te voeden tijdens een workshop Risico’s identificeren en geeft een breed perspectief op de context.


24


Typische onzekerheden in Projecten zijn de beschikbaarheid van mensen en middelen, het helder krijgen van de klantverwachtingen en productspecificaties, de kwaliteit van de beheersings- en wijzigingsmechanismen in het Project en de hoeveelheid aandacht voor beheer en onderhoud gedurende het Project. TMap is een bekende testmethodiek in de wereld van applicatieontwikkeling. Basis van de methode is dat gesproken wordt over productrisico’s. Dit houdt in dat niet ieder Product dat een Project oplevert even belangrijk is voor het functioneren van het eindresultaat. Aangezien testen geld kost, wordt aan de hand van de Risico’s bepaald welke Producten ongetest (of minder getest) mogen blijven. De methode verlangt dat deze Risico’s zo vroeg mogelijk in het planningsproces in kaart worden gebracht. De methode laat het aan de Projectmanager over om de andere type Risico’s voor het Project te identificeren en beheren.

‘Past in de context’ voor het operationele perspectief

Het operationele perspectief gaat over het ‘runnen’ van een organisatie (‘Run the Business’). Het gaat om de dagelijkse operaties en het leveren van diensten en/of Producten aan interne of externe klanten. Het is aan het operationele perspectief om ervoor te zorgen dat het bedrijf blijft draaien en de kernactiviteiten geborgd zijn. De beste vraag die je jezelf kunt stellen als het over de kern van de activiteiten gaat is: ‘wat moet er als eerste weer draaien als er brand is geweest?’ Denk aan de betrokken mensen, de benodigde processen en de technologieën. Bedrijfscontinuïteit (business continuity) wordt door M_o_R geïdentificeerd als een specialisatie op het gebied van Risicomanagement. Dat geldt ook voor Incidenten Crisismanagement. Binnen ITIL wordt Bedrijfscontinuïteitsmanagement en calamiteitenbeheersing verder uitgewerkt. Deze specialismen richten zich op de Risico’s die zich zullen voordoen op het operationele niveau. Op strategisch niveau wordt erop toegezien (via audits en rapportage) dat de processen goed ingevoerd zijn en daarmee de gerelateerde strategische Risico’s adequaat gemanaged zijn. Het Risicoprofiel in een organisatie wordt onder andere bepaald door het gebruik van (of gebrek aan) een gestandaardiseerde aanpak, managementsteun, werknemersbewustzijn van Risico’s en de opleiding van personeel in Risicomanagement. Dit resulteert in een pro-actieve houding van medewerkers ten aanzien van Risico’s, die de Risicobereidheid en de cultuur van de organisatie weergeeft.


Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see

Recommend Documents