Programma 14 november middag
Risicomanagement Modellen Strategisch risicomanagement Kaplan
1www.risicomanagementacademie.nl
Risicomanagement modellen
2www.risicomanagementacademie.nl
Verscheidenheid normen ISO 14000/EMAS OHSAS 18001/ VCA
ISO 9000/INK/EFQM
ISO 27001 information security
Risicomanagement
HACCP/ISO 22000
3www.risicomanagementacademie.nl
SA 8000/ISO 26000
COSO
PAS 28000 Supply chain security
Verschillende ERM normen COSO ISO31000 M_o_R
4www.risicomanagementacademie.nl
COSO I Begin jaren 90 (1992)
Gericht op interne controle Onderdelen – – – –
Risk-assessment (analyse) Controle activiteiten Informatie en communicatie Monitoring
5www.risicomanagementacademie.nl
COSO II
Enterprise Risk Management framework In verlengde Sarbox wetgeving USA Drie dimensies: – Doelstellingen – Organisatieniveau – Elementen risicomanagement
Veel toegepast door grote ondernemingen en in de financiële sector
6www.risicomanagementacademie.nl
COSO ERM
7www.risicomanagementacademie.nl
Nadelen COSO
Focus op rapporteren/verantwoorden over risico’s (compliance-niet op sturing) Geeft geen regels voor implementatie. Speelt niet in op cultuur/omgeving (noemt het wel) Laat geen “management” achter in de organisatie, geen visie op implementatie. Houdt geen rekening met niet kwantificeerbare risico’s (vooral financieel) Betreft intern management, gaat voorbij externe risico’s. Houdt onvoldoende rekening met kansen.
8www.risicomanagementacademie.nl
Voordelen COSO
Overzichtelijk kader (voor iedereen) Koppelt risico`s aan doelstellingen Gebruikt door veel bedrijven (voorbeeldmateriaal) Sterk in context Sterk in verantwoordelijkheden
9www.risicomanagementacademie.nl
ISO 31000
10www.risicomanagementacademie.nl
Drie samenhangende normen ISO Guide 73 “Risk management – Vocabulary” ISO 31000 “Risk management – Principles and guidelines” ISO/IEC 31010 “Risk management – Risk assessment techniques”
11www.risicomanagementacademie.nl
Risicomanagement als algemeen kader
ISO 31000?
Supply chain security
Safety of information OH&S security Food machinery environment Finance quality safety
12www.risicomanagementacademie.nl
Concept of
gebeurtenis
gevolg
+
onzekerheden
doelstellingen
Definitie van (ISO Guide 73) - Opmerkingen
1. Een effect is een afwijking ten opzichte van de verwachting – positief en/of negatief 2. Doelstellingen kunnen worden gekenmerkt door verschillende aspecten (bijvoorbeeld financiële, arbo- of milieudoelen) en kunnen betrekking hebben op verschillende niveaus (zoals strategisch, organisatiebreed, een project, product of proces) 3. Een risico wordt vaak gekarakteriseerd door verwijzing naar mogelijke gebeurtenissen en gevolgen, of een combinatie daarvan 4. Een risico wordt vaak uitgedrukt als een combinatie van de gevolgen van een gebeurtenis (met inbegrip van wijzigingen in omstandigheden) en de bijbehorende waarschijnlijkheid dat de gebeurtenis zich voordoet
14www.risicomanagementacademie.nl
ISO 31000 - structuur L
P D
A C Principes voor risicomanagement (Hfst 3)
15www.risicomanagementacademie.nl
Raamwerk voor risicomanagement (Hfst 4)
Risicomanagementproces(sen) (Hfst 5)
Samenhang ISO 31000 a) Voegt waarde toe Mandaat en commitment (4.2)
Vaststellen van de context (5.3)
c) Maakt deel uit van de besluitvorming
Risicobeoordeling (5.4)
Ontwerp van een kader voor het managen van risico’s (4.3)
d) Onzekerheden worden expliciet benoemd
Risico-identificatie (5.4.2)
f) Gebaseerd op de best beschikbare informatie g) Op maat gesneden
Continue verbetering van het kader (4.6)
Implementatie van risicomanagement (4.4)
h) Houdt rekening met menselijke en culturele factoren i) Transparant en sluit niemand uit j) Dynamisch, iteratief en reagerend op veranderingen
Monitoring en beoordeling van het kader (4.5)
Communicatie en overleg (5.2)
e) Systematisch, gestructureerd en tijdig
Risico-analyse (5.4.3)
Risico-evaluatie(5.4.4)
Risicobehandeling (5.5) k) Ondersteunt continue verbetering en de uitbouw van de organsiatie Principes (Hoofdstuk 3)
16www.risicomanagementacademie.nl
Kader (Hoofdstuk 4)
Proces (Hoofdstuk 5)
Monitoring en beoordeling (5.6)
b) Is geintegreerd in de processen van de organisatie
Principes van risicomanagement (1) Risk management: Voegt waarde toe en zorgt voor behoud van waarde Risicomanagement maakt integraal deel uit van alle processen van de organisatie Risicomanagement maakt deel uit van de besluitvorming Met risicomanagement wordt onzekerheid expliciet benoemd Risicomanagement is systematisch, gestructureerd en tijdig Risicomanagement is gebaseerd op de beste beschikbare informatie
17www.risicomanagementacademie.nl
Principes van risicomanagement (2) Risicomanagement: Risicomanagement is op maat gesneden Risicomanagement houdt rekening met menselijke en culturele factoren Risicomanagement is transparant en sluit niemand uit Risicomanagement is dynamisch en iteratief en reageert op verandering Risicomanagement ondersteunt continu verbetering van de organisatie
18www.risicomanagementacademie.nl
Raamwerk voor risicomanagement Mandaat en commitment (4.2)
Ontwerp van een kader voor het managen van risico’s (4.3) Inzicht verkrijgen in de organisatie en haar context (4.3.1) Vaststellen van risicomanagementbeleid (4.3.2) Toerekenbaarheid (4.3.3) Integratie in processen van de organisatie (4.3.4) Middelen (4.3.5) Vaststellen van mechanismen voor interne communicatie en rapportage (4.3.6) Vaststellen van mechanismen voor externe communicatie en rapportage (4.3.7) Continue verbetering van het kader (4.6)
Implementatie van risicomanagement (4.4) Implementatie van een kader voor het managen van risico’s (4.4.1) Implementatie van het risicomanagementproces (4.4.2)
Monitoring en beoordeling van het kader (4.5)
19www.risicomanagementacademie.nl
ISO 31010 Risk assessment techniques
Risk assessment concepts Risk assessment process Selection of risk assessment techniques – Applicability (risk identification, analysis and/or evaluation – Influencing factors Complexity Nature and degree of uncertainty Extent of resources needed Whether quantitative output can be provided
20www.risicomanagementacademie.nl
ISO 31010 Risk assessment techniques
31 assessment techniques are classified and briefly described, in following categories: – – – – – –
Look-up methods (e.g. check-lists) Supporting methods (e.g. Delphi) Scenario analysis (e.g. fault tree analysis) Function analysis (e.g. FMEA, HAZOP, HACCP) Controls assessment (e.g. bow tie analysis) Statistical methods (e.g. Monte-Carlo)
21www.risicomanagementacademie.nl
Voordelen/nadelen ISO Voordelen Begint bij cultuur Geeft ontwikkelproces voor implementatie Biedt generieke methode Houdt rekening met diverse vormen van risico Koppelt risico`s aan doelstellingen Nadelen Noodzakelijk: beschikbaar kader van doelstellingen dat meetbare output creëert (niet per definitie financieel) Balans tussen verwachtingen en realiteit Biedt (nog) geen inzicht in de rollen die actoren hebben (te generiek)
22www.risicomanagementacademie.nl
Risico omschrijving
Oorzaak
Gebeurtenis
Stroomuitval Fout software Menselijke fout Kans
24www.risicomanagementacademie.nl
Gevolg Dienstverlening
Uitval ICT
Verlies data Schadeclaims Doelstellingen
M_o_R (Management of Risk)
Ontwikkeld vanuit Britse overheid Relatie met Corporate Governance Gebaseerd op: – – – –
M_o_R principles M_o_R approach M_o_R process Embedding and reviewing M_o_R
Veel gebruikt in combinatie met projectmanagement (Prince 2)
25www.risicomanagementacademie.nl
Hoofdelementen M_o_R
Principes: Deze zijn essentieel voor een ontwikkeling van volwassen Risicomanagement. Zij zijn afgeleid van corporate governance principes met de erkenning dat Risicomanagement onderdeel is van de interne control van organisaties
Aanpak: Elke organisatie dient de principes aan te passen en accepteren. Deze afspraken worden vervolgens vastgelegd in beleid, een proceshandleiding en strategie documenten, en ondersteund door risico registers en incidenten registratie
Het Risicomanagementproces: Onderscheid 4 hoofdstappen om risico’s te identificeren, beoordelen en beheersen
Verankeren en reviewen: Als bovenstaande onderdelen zijn voldaan dient de organisatie ervoor te zorgen dat de hele organisatie zich houdt aan de afspraken en dat het verbeteringen doorvoert
26www.risicomanagementacademie.nl
M_o_R karakteristieken Gerelateerd aan behoorlijk Bestuur Public Domain en een Best Practice Branche onafhankelijk Generiek voor alle organisaties Betrekt alle medewerkers in een organisatie Vervangt niet maar voorziet in een structuur, kader en een communicatieomgeving 14-11-2013
27www.risicomanagementacademie.nl
27
Welke documenten?
Risicomanagementbeleid: communiceert hoe risicomanagement door een hele organisatie heen (of in een deel van een organisatie) wordt geïmplementeerd om het realiseren van haar strategische doelstellingen te ondersteunen
Handleiding risicomanagementprocessen: beschrijft de reeks stappen (van Identificeren tot en met Implementeren) en hun respectievelijke verbonden activiteiten, die noodzakelijk zijn voor de uitvoering van risicomanagement.
Risicomanagementstrategie; Beschrijft de risicomanagementactiviteiten die voor een bepaalde organisatieactiviteit worden ondernomen.
Risicoregister: legt vast en onderhoudt informatie over alle geïdentificeerde bedreigingen en kansen die gerelateerd zijn aan een specifieke organisatieactiviteit
Issuelogboek: legt informatie over alle geïdentificeerde issues die al hebben plaatsgevonden en actie vereisen, op een consistente en gestructureerde manier vast en onderhoudt deze. Tot deze issues kunnen risico’s behoren die werkelijkheid zijn geworden, en zijn veranderd van mogelijke gebeurtenissen in werkelijke gebeurtenissen.
28www.risicomanagementacademie.nl
Modellen
Voordeel is dat je aanhaakt bij best practices Je voldoet ergens aan Gemeenschappelijke taal Maak eigen keuzes: geen model is perfect
29www.risicomanagementacademie.nl
