&
FINANCE
CONTROL
Risicomanagement
Fa c ilite re n van r i s ic oa n a lys e s: ta a k voor d e c ont roll e r?
In 12 stappen naar een risico top 10 Het vak Risicomanagement staat nog in de kinderschoenen en is omgeven met een zweem van mystiek en complexiteit. De auteurs willen laten zien dat operationeel risicomanagement geen hogere wiskunde hoeft te zijn. Gebaseerd op praktijkervaringen bij het faciliteren van CRSA-workshops (control & risk selfassessment) en de ontwikkelingen binnen het vakgebied auditing en interne beheersing, ontwikkelden zij een 12stappenplan, waarmee zij het projectmanagement helpen een goede start met risicomanagement te maken. DOOR ADR I AAN BO U W DE W I J N EN F R I TS EN G E l
A
ls operational auditors bij een interne accountantsdienst (not for profit) voeren we regelmatig (audit)gesprekken met (project)managers over de manier waarop zij aan risicomanagement doen. Over het algemeen blijkt dat men het belang ervan inziet, maar dat er van een gestructureerde aanpak geen sprake is. Zie ook kadertekst ‘Risicomanagement, daar doen we de hele dag aan’. Door deze gesprekken zijn we er wel van overtuigd geraakt dat managers heel goed in de gaten hebben dat risicomanagement of risicobeheersing kan helpen om meer grip te krijgen op het Risicomanagement, daar doen we de hele dag aan Wij: Hoe heeft u het proces van risicomanagement bij uw programma/project ingericht? Zij : Risicomanagement, daar doen we de hele dag aan! Wij: Zo, dat lijkt ons erg vermoeiend, laten we wat specifieker worden. Hoe bent u tot de risico top 5 in uw projectplan gekomen? Zij : Die hebben we als projectteam in een speciale risicosessie benoemd. Wij: Mooi, dan heeft u voor ons vast de resultaten van die sessie. We zijn erg benieuwd wie er aan tafel hebben gezeten, vanuit welke invalshoeken u naar risico’s heeft gekeken en hoe u de prioriteitstelling of weging hebt gedaan? Heeft u misschien ook nog
programma of project waarvoor ze verantwoordelijk zijn (betere planning, slimmere inzet van middelen, minder rampen en verstoringen, zicht op kansen, betere besluitvorming e.d.). Ze slagen er echter om allerlei redenen niet in om een goede start te maken. Hoe doe je dat dan precies, het identificeren van risico’s? Wat bedoelt u met het wegen van risico’s? Hoezo, een risicostrategie bepalen? Wat voor opties heb ik dan? Invalshoeken? Welke invalshoeken zijn er, en wat levert me dat dan op? Om het (project)management op weg te helpen hebben wij, gebaseerd op onze ervaringen met het faciliteren van riskbased CRSA-workshops en onze kennis van auditing en interne beheersing, een 12-stappenplan ontwikkeld (zie figuur 1). In dit 12-stappenplan gaat een vooraf geselecteerde groep medewerkers onder begeleiding van een objectieve en liefst interne facilitator op zoek naar de belangrijkste risico’s en of bedreigingen. Het proces risicoanalyse start met een intakegesprek met het management. Wat willen ze met het CRSA bereiken, welke doelstelling staat er in de groepssessie centraal, hoeveel tijd is er beschikbaar, wie gaan er meedoen en wat hebben we nodig? Ook bespreken we de methodiek en geven we toelichting op het groepsproces. Het groepsproces verloopt volgens het vaste protocol van het 12-stappenmodel en zal in de praktijk veelal uit meerdere sessies bestaan.
kansen onderkend waar het project en misschien wel de organisa-
Stap 1 Samenstellen van de groep De eerste stap is het selecteren van de deelnemers aan de risicoanalyse. Wij starten een sessie altijd met de vraag: zijn jullie
tie z’n voordeel mee kan doen? Zij : Nou, euh … ???
22
FC332 Engel 22
|
december 2010
11/30/2010 7:08:39 PM
&
FINANCE
Het uitvoeren van een risicoanalyse in 12 stappen
CONTROL
Stap 1: Zorg voor de juiste deelnemers (directbetrokkenen + inhouddeskundigen + eindgebruikers + specialisten + management + kwaliteit + controle + ...).
Met de inzet van control & risk self assessment (CRSA).
Stap 12: Manage de grootste risico’s (rapportage, voortgang, monitoring). Pas op voor spreadsheetfetisjisme en waak voor de bureaucratie (niet elke week op de agenda). Maak afspraken over monitoring op de gemaakt afspraken.
Stap 2: Besteed aandacht aan de doelstellingen van de organisatie. De groep moet weten waar de organisatie naartoe wil (doelstellingen op organisatieniveau + visie + missie + strategie).
Stap 11: Bepaal op basis van de nettoscores de top 10 (liever nog een top 3) met de belangrijkste risico’s. Deze risico’s gaan we managen. Waarom tien? Meer kunt u er toch niet aan. Als u alle risico’s wilt beheersen, staat u stil.
Stap 3: Zorg dat de groep de proces-, project- of afdelingsdoelen op het netvlies heeft (SMART maken). Wat gaan we doen en hoe draagt wat we gaan doen bij aan de realisatie van de (strategische) doelen van de organisatie?
Stap 10: Geef op basis van de aanwezige beheersing een nieuwe nettoscore. Let wel dat je iets moet weten over opzet, bestaan en werking van de beheersmaatregel.
Stap 4: Voer een stakeholdersanalyse uit. Wie ‘profiteren’ van ons resultaat? Wie zijn de grootste sponsoren? Van wie hebben we (mogelijk) last? Moeten we actie ondernemen?
Stap. 9: Ga op zoek naar de beheersmaatregelen (bestaande en nieuwe/harde en zachte) die we al rond het mogelijke risico georganiseerd hebben.
Stap 5: Benoem de invalshoeken van waaruit je naar de risico’s gaat kijken. Gebruik controlmodellen zoals COSO, COBIT, INK, ISO of handige rijtjes als COPAIJH en PEST.
Stap 8: Geeft de eerste (bruto)score. Doe dit geheel op gevoel. Vergeet bij het geven van de score de organisatie en al haar interne beheersing. Gebruik cijfers.
Stap 6: Identificeer vanuit de invalshoeken de risico’s of bedreigingen. ‘We gaan de doelstelling [X] vanuit de invalshoek [Y] niet halen, omdat...?’
Stap 7: Analyseer de geïdentificeerde risico’s. Haal de ‘ overlap’ eruit, voeg risico’s met eenzelfde strekking samen. Bepaal de eigenaar, bepaal de strategie en het soort maatregel. Figuur 1 12-stappenplan
de goede groep voor het uitvoeren van deze risicoanalyse? We helpen de groep met vragen als: wat is de dominantie? Moet er veranderd worden? Gaat het om de realisatie van een nieuw systeem? Als dat het geval is, heb je architecten en informatieanalisten nodig. Is er sprake van nieuwe wetgeving of interne regels, dan zijn de juristen handig. Kortom, zorg voor een breed georiënteerde groep medewerkers en experts (juristen, kwaliteits- en beleidsmedewerkers, controllers, eindgebruikers, management, e.d.). Stap 2 Relatie met de organisatiedoelen De deelnemers aan de risicosessie moeten, voordat we risico’s gaan identificeren, de organisatiedoelstellingen duidelijk hebben. Wat is de missie, visie van de organisatie? Wat zijn de doelstellingen en welke strategie is er gekozen om die te realiseren? Als er, zoals steeds vaker het geval is, in ketens wordt gewerkt, dan moet er aandacht zijn voor de ketendoelstellingen. Een belangrijk onderdeel, want in de volgende stap staan de programma- en projectdoelstellingen centraal en die moeDefinitie van control & risk self assessment (CRSA) Een gestructureerd proces, waarmee de effectiviteit van de interne beheersmaatregelen ten aanzien van één of meerdere bedrijfsprocessen wordt beoordeeld, door medewerkers die bij de uitvoering en beheersing van het proces betrokken zijn, met als doel een bijdrage te leveren aan de zekerheid of de organisatiedoelen worden gehaald.
december 2010
FC332 Engel 23
ten toch in het verlengde liggen van waar de organisatie naartoe wil. In managementtaal: benoemen, focus aanbrengen en zorgen voor alignment. Stap 3 De programma- of projectdoelstelling De deelnemers moeten weten waar het bij het project om gaat. Wat is de opdracht, wat zijn de projectdoelstellingen? Welke mijlpalen hebben we afgesproken? Welke producten gaan we maken? Als we later op zoek gaan naar de risico’s moet de groep wel weten wat er van het project verwacht wordt. Moeten de producten aan speciale kwaliteitseisen voldoen? Zijn er acceptatiecriteria benoemd? Past het wel in de IT-architectuur? Wanneer moet het af? Kan het eigenlijk wel? Wat is de toegevoegde waarde voor de klant? Wat zijn de baten? Hoe meer doelstellingen er geformuleerd zijn, des te meer tijd deze stap vergt. Stap 4 Stakeholdersanalyse Wie profiteert van het projectresultaat? Welke partijen (stakeholders) kan de groep benoemen? We maken onderscheid tussen interne en externe stakeholders. Probeer het specifiek te maken. De klant aanwijzen als stakeholder is niet genoeg; er zijn vast meer specifieke doelgroepen te vinden. Vergeet ook de staf- en steundiensten niet, die de resultaten straks in beheer moeten gaan nemen. Denk ook aan de externe leveranciers waarmee afspraken zijn gemaakt over bijvoorbeeld licentiebeheer of de oplevering van het (nieuwe) systeem. Wie moeten er over het resultaat geïnformeerd worden, zijn er speciale sponsors of juist |
23
www . fi n a n c e - c o n t r o l . n l
11/30/2010 7:08:39 PM www . k l uw e r fi n a n c i e e l m a n a g e m e n t . n l
&
FINANCE
concurrenten te vinden? Kortom, alle partijen in de breedste zin van het woord, moeten door de groep beschreven worden.
hoeken aan bod zijn geweest en de deelnemers geen (mogelijke) risico’s of bedreigende gebeurtenissen meer weten te benoemen.
Stap 5 Invalshoeken bepalen Het is verstandig om voorafgaand aan het identificeren van de risico’s die de realisatie van de projectdoelstellingen kunnen bedreigen, een aantal invalshoeken te benoemen. Het is beter om vooraf een indeling te maken, dan om achteraf tientallen ongestructureerde risico’s te categoriseren. De lol is er dan al snel vanaf. Wij gebruiken de volgende controlmodellen en handige rijtjes voor het bepalen van de invalshoeken: COSO/ ERM, ISO, COBIT, INK, TQM, BSC, PEST, COPAFIJTH. Zorg ervoor dat je invalshoeken kiest die passen bij het project. Het projectmanagement neemt de uiteindelijke beslissing, maar zorg ervoor dat het aantal invalshoeken beperkt blijft. Hoe meer invalshoeken, des te langer het proces duurt. Zorg ervoor dat er aandacht is voor integriteit (interne fraude, machtsmisbruik en andere integriteitschendingen rond projecten). Dat is misschien niet leuk, maar je weet maar nooit.
Stap 7 Analyseer de (mogelijke) risico’s De door de groep genoemde risico’s moeten aan een nadere analyse worden onderworpen. Waarschijnlijk kunnen er risico’s van gelijke strekking samengevoegd worden en zijn er overlappingen te vinden. Als we de risico’s als containers zien, dan is het nu tijd om eens goed te kijken naar de inhoud van de container. Bepaal met de groep, of later in een wat kleiner groepsverband, per risico de eigenaar. Een belangrijke stap, want als u het risico niet kunt beïnvloeden, dan bent u zeer waarschijnlijk geen eigenaar en bent u na een overdracht aan de eigenaar klaar met dit risico. De facilitator moet de groep laten zien dat er keuzes gemaakt moeten worden. Als u alles wilt beheersen, staat u stil! Vergeet niet, we zijn op weg naar een top 10 en er moeten dus risico’s afvallen. Voor de risico’s die overblijven moeten we nadenken over de te volgen strategie rondom het risico. Als het risico zich daadwerkelijk voordoet, wat voor last hebben we er dan van? Welke keuzen heeft u? Gaat u het risico accepteren, delen, overdragen, negeren of verminderen? En als u de strategie hebt bepaald, wat voor soort maatregelen gaat u dan inzetten, mocht het risico zich voordoen? Bij het analyseren van de risico’s moet er ook aandacht zijn voor eventuele kansen. Draai het risico eens om. Het gaat wel lukken omdat ...? Het gaat om kansen voor het programma of project, maar ook voor de organisatie als geheel. Een waarderende insteek bij het faciliteren van een risicoanalyse kan heel verfrissend zijn. Wat ging er goed bij het vorige project waaraan de deelnemers hebben meegewerkt? Welke randvoorwaarden waren oorzaak van dit succes en wat kunnen we daar voor dit project van leren? Vaak komt de groep tot verrassend goede invallen en ideeën. Let daar bij het analyseren goed op!
Stap 6 Identificeren van (mogelijke) risico’s De groep is nu gefocust, weet waar de organisatie heen wil en hoe het project daar een bijdrage aan kan leveren. Het proces van het identificeren van de risico’s gaat als volgt. De facilitator vraagt of de voorliggende doelstelling voor iedereen duidelijk is en stelt dan de volgende vraag: we gaan de doelstelling xxx, vanuit de invalshoek yyy gezien, niet realiseren omdat … ? Vervolgens krijgt elke deelnemer de gelegenheid om vanuit zijn eigen ervaring of specialisatie een mogelijk risico te benoemen. Deelnemers mogen hun beurt voorbij laten gaan, maar niet te vaak. Het identificeren van risico’s is immers een groepsproces. De facilitator stuurt op het specifiek maken van de risico’s en op interactie in de groep. Als het risico zich daadwerkelijk voordoet, wat is dan de schade? Hoe zien de andere deelnemers dit risico? Er bestaat bij het identificeren geen definitie of voorwaarde waaraan een risico moet voldoen. Elke inbreng is goed. Consensus van de groep is bij deze stap niet nodig, elke deelnemer heeft een eigen inbreng. Maar pas op: een enthousiaste en creatieve groep kan al snel tientallen risico’s verzinnen. Heeft de groep moeite met het benoemen van risico’s? Vraag de groepsleden dan om verhalen te vertellen over activiteiten of projecten die in het verleden zijn misgegaan, of juist heel goed zijn verlopen (story telling). U zult zien dat het identificeren dan ‘als vanzelf’ op gang komt. Een belangrijk punt in het groepsproces is: er mag gelachen worden. Als de groep experts doorkrijgt hoeveel kennis en ervaring er aan tafel zit en hoe de deelnemers elkaar kunnen helpen bij het bereiken van de doelstelling, dan kunnen er mooie dingen gebeuren. De stap identificeren risico’s stopt als alle invals24
FC332 Engel 24
CONTROL
|
Waarom een facilitator? De facilitator moet zorgen voor een veilige maar dynamische omgeving, waarin iedereen vrijuit kan praten. Er zijn altijd dubbele agenda’s en daarom is het handig als de facilitator geen direct belang bij het risico-object, het project heeft. Iemand moet, namens de groep, de vervelende vragen durven stellen. Een (interne) facilitator met verstand van interne beheersing, zoals de controller of de internal auditor, is een belangrijke kandidaat voor deze rol. Zij kunnen als geen ander de relatie met het systeem van interne beheersing van de organisatie maken en weten waar de grenzen liggen. Wat mag/kan je als facilitator wel, wat moet je met de opdrachtgever afspreken en wat mag/kan je als facilitator absoluut niet doen? Het eindresultaat, de risico-top 10, moet immers het resultaat zijn van het groepsproces en niet de persoonlijke top 10 van de facilitator.
december 2010
11/30/2010 7:08:39 PM
&
FINANCE
Stap 8 Prioriteren op ‘gevoel’ (brutoscore) De risico’s die na de analyse zijn overgebleven moeten door de deelnemers van een eerste prioritering worden voorzien. De formule voor het prioriteren van de risico’s is de volgende: K x S = P (kans x schade = prioriteit). Deze eerste prioritering noemen wij de brutoscore. Dit is een score waarbij we de deelnemers vragen alle interne beheersing die al binnen de organisatie of het project aanwezig is te vergeten. Het moet een individuele score op ‘gevoel’ zijn, waarbij niet te lang nagedacht moet worden. De brutoscore gebruiken we voornamelijk om risico’s te schrappen. Durft de groep bijvoorbeeld alle risico’s met een score van 30 te schrappen? Als het proces hier stopt, (hoera, we hebben een lijstje met risico’s!), is de kans zeer groot dat het resultaat niet de belangrijkste risico’s bevat. We hebben immers nog helemaal geen aandacht gegeven aan wat de organisatie of het projectmanagement ‘al doet’ aan interne beheersing. Gebruik voor het toekennen van de brutoscore overigens altijd cijfers. Vergeet de vaak gebruikte indicaties hoog, midden en laag. Deze indicatoren laten zich maar moeilijk vermenigvuldigen. Wat is de uitkomst van H x M? Wij zouden het niet kunnen zeggen. De door de deelnemers gegeven brutoscores per (mogelijk) risico moeten verwerkt worden. Enige nuancering is hier op z’n plaats. Hoe verwerk je de scores? Waar moet je op letten? De scores zijn niet anoniem, maar wel vertrouwelijk; alleen de facilitator kent ze. Waarom niet anoniem? Voordat we de gemiddelden gaan uitrekenen, analyseren we de gegeven scores per risico op afwijkingen. Wij noemen dit proces: de ruis eruit halen. We kijken goed of er deelnemers zijn die een duidelijk afwijkende (hogere of lagere) score hebben gegeven. Als we die vinden, dan vragen we de deelnemer om een toelichting. Is de toelichting waarschijnlijk, dan laten we de score meewegen bij het bepalen van het gemiddelde. Is de toelichting niet waarschijnlijk, dan vragen we een nieuwe score of halen we de score van de lijst. Speciale aandacht hebben wij voor de toegekende hoogste waarden. Risico’s waarbij de kans laag is beoordeeld, maar waarbij de schade hoog of risico’s met een hoge kans maar de schade laag (vele kleine verstoringen veroorzaken ook een grote schade), nemen we nog eens goed onder de loep, om extra zekerheid te krijgen dat we een goede eerste prioritering hebben uitgevoerd. Het eindresultaat is een overzicht van de geprioriteerde risico’s, die we in de volgende stappen zullen verfijnen. Stap 9 Op zoek naar beheersing Met de resultaten van de eerste prioriteringsronde gaan we op zoek naar de interne beheersing die we al op het (mogelijke) risico hebben georganiseerd. Hierbij stellen we ons de vraag of die maatregelen ook daadwerkelijk aanwezig zijn en werken en of het de juiste maatregelen zijn. In audittaal noemen we dat: ‘opzet, bestaan en werking’. Gevoel alleen is niet voldoende. Welke activiteiten heeft het projectmanagement al uitgevoerd december 2010
FC332 Engel 25
CONTROL
Risicodiagram programma XXXXX Risico’s op programmaniveau
9
Kans 8
1 8
7
9
6
6
3
5
7
4
2
5
4 3 2 1
2
3
4
5
Top 9 risico’s 1. (concept)wetsvoorstel niet op tijd klaar 2. Betrouwbaarheid van de uitgevoerde U-toets(en) 3. Integratie-issues (samenwerking lukt niet) 4. Capaciteit staf- en steundiensten
6
7
8
Schade
9
5. Politieke issues (schuiven van prioritering) 6. Starheid releaseteams systeem complexen 7. Big bang-scenario als strategie 8. Variatie in (werk) processen 9. Budgettering en financiering
Figuur 2 Spreidingsdiagram
om de kans te verkleinen dat het geïdentificeerde risico zich daadwerkelijk voordoet? En, als het risico zich daadwerkelijk voordoet, hoe houdt u dan de schade beperkt? Er zijn vaak al meer maatregelen voor risicobeheersing aanwezig dan vooraf wordt aangenomen. Denk hierbij aan (harde) maatregelen als systemen, structuren, processen, procedures, functiebeschrijvingen, handboeken, methodes en technieken (allemaal beheersing), maar ook aan (zachte) maatregelen als managementstijlen, integriteit, cultuur, mens en vertrouwen. Vergeet de centrale of corporate richtlijnen en kaderstellingen in de organisatie, zoals de HRM- en inkoopafspraken, niet. Heeft de groep problemen met het definiëren van de al aanwezige beheersing, vraag de groepsleden dan om scenario’s te bedenken. Wat gebeurt er als het risico zich voordoet, wat kan de oorzaak van de verstoring zijn? Waarom hebben we het niet zien aankomen? Wat zouden we nu anders doen? De verbetervoorstellen komen dan als vanzelf. Vergeet niet dat het niet alleen om de bestaande beheersmaatregelen gaat. Het gaat er ook om of het de juiste maatregelen zijn en om de vraag of het voldoende is. Stap 10 Prioriteren met kennis van beheersing (nettoscore) Nu we zicht hebben op de mate van beheersing, is het tijd voor het uitvoeren van een tweede en definitieve prioriteringsronde. |
25
www . fi n a n c e - c o n t r o l . n l
11/30/2010 7:08:39 PM www . k l uw e r fi n a n c i e e l m a n a g e m e n t . n l
&
FINANCE
We zijn op weg naar de top 10 met de belangrijkste risico’s, en die hebben we nog niet vastgesteld. We gaan met de groep opnieuw een prioritering uitvoeren, alleen houden we nu bij het geven van de score rekening met wat er al rond het risico aan beheersing is georganiseerd. Het definitieve resultaat is een overzicht met wat wij de nettorisico’s noemen. De definitieve of nettoscore is – kort geformuleerd – de brutoscore, minus de gevonden mate van interne beheersing op het risico. Als deze belangrijke tweede scoringsronde achter de rug is, beschikt het projectmanagement over een spreidingsdiagram (figuur 2) met een definitieve prioritering van (alle) overgebleven risico’s. Zijn we in stap 7 met het vullen van de risicocontainers gestart, dan ronden we dit proces nu af. De containers kunnen dicht. We weten hoeveel we er hebben, van wie ze zijn en wat erin zit. Stap 11 Het bepalen van de top 10 (spreidingsdiagram) Op basis van het spreidingsdiagram is het vrij eenvoudig om een top 10 samen te stellen. Waarom een top 10 en geen top 20? Over het algemeen kan een projectmanager er gewoonweg niet meer dan tien aan. Er moeten nu eenmaal keuzes gemaakt worden. Dit is het moment om als projectmanagement stil te staan bij de risicobereidheid. Wat durven we aan? Welke acties gaan we uitzetten? Heb vertrouwen in de resultaten van het groepsproces. Wij zien elke keer opnieuw hoe groepen medewerkers echt de goede risico’s in kaart krijgen. Management wordt wel wat onzeker: wat doen we met de risico’s die de top 10 niet gehaald hebben? Moeten we daar geen verdere aandacht aan geven? En, wat moeten we met de kansen? Projecten worden vaak fasegewijs georganiseerd. Een faseovergang is een mooi moment om stil te staan bij risico’s die de top 10 niet gehaald hebben. De keuze om lagere risico’s of (juist) de kansen door individuele projectmedewerkers te laten managen is wellicht ook een optie. Een mooi gebaar van vertrouwen, toch? Stap 12 Het managen van de top 10 Nu we een top 10 hebben benoemd, is het tijd om afspraken te maken over hoe de top 10 gemanaged gaat worden. We willen hierbij waarschuwen voor een drietal valkuilen. Ten eerste: het management is bang dat risicomanagement te veel beslag legt op kostbare tijd. ‘Maak er geen circus van’, is een opmerking die wij regelmatig horen. Pas dus op voor onnodige bureaucratie en ga niet elke week over de top 10 praten. Vertrouw op de gemaakte afspraken. De tweede valkuil is wat wij ‘spreadsheetfetisjisme’ noemen. Het spreadsheet met daarin tientallen risico’s plus tien kolommen met aanvullende informatie ziet er prachtig uit, maar ondertussen is risicomanagement verworden tot ‘vakken vullen’ en weet niemand precies wat de stand van zaken is. Durf dus te kiezen. De derde en laatste valkuil is de structuur. Voor u het weet zijn 26
FC332 Engel 26
|
CONTROL
er risicomanagers benoemd die het dan maar even moeten gaan doen. Wij werken in de non-profitsector en daar heb je, anders dan bij financiële instanties en multinationals, echt geen risicomanagers nodig. Het (top)management is over het algemeen integraal verantwoordelijk en dus per definitie verantwoordelijk voor het proces operationeel risicomanagement. Ideale programma (wat kost het?) Het uitvoeren van een risicoanalyse is maatwerk. Ons ideale traject is als volgt. Als we genoeg tijd beschikbaar hebben, starten we het risicoanalysetraject met een workshop risicomanagement. Met het management en de geselecteerde medewerkers gaan we in een paar uurtjes door de theorie van risicomanagement, waarbij we aandacht besteden aan de belangrijkste begrippen en ontwikkelingen in het vakgebied, aangevuld met onderwerpen zoals ketensamenwerking en zelfbeoordeling (CRSA). We sluiten de workshop af met een introductie van het 12-stappenplan, waarbij we de tijd nemen om de stappen met een leuke en veilige doelstelling te oefenen. Een groot voordeel van het starten met de workshop is dat de deelnemers elkaar voorafgaand aan de risicoanalyse leren kennen. Iets waar we als facilitators later veel voordeel van kunnen ondervinden. Ter indicatie voor het verdere groepsproces adviseren wij het projectmanagement twee dagen te reserveren voor de risicoanalyse en afhankelijk van wat er mogelijk is, nog één dag voor de afsluiting en evaluatie. Het tijdsbeslag voor de facilitator is ongeveer het dubbele. Als er niet gebruikgemaakt wordt van technische hulpmiddelen zoals stemkastjes, gekoppelde pc’s of versnellingskamers, dan heeft u naast de capaciteit (deelnemers en ondersteuning) niet veel middelen nodig. Een goede locatie helpt en verder zijn een whiteboard en flip-overs, veel viltstiften en een fototoestel om alles vast te leggen voldoende. Afsluiting Stel, u maakt gebruik van de 12 stappen voor het inrichten van risicomanagement binnen uw project. Als de auditor later – je weet het maar nooit – langskomt met de vraag hoe u het risicomanagement in uw project heeft ingericht, dan heeft u de antwoorden klaar. Kijk, dit is onze top 10, het resultaat van onze risicosessie. Het zijn overigens onze nettorisico’s. Wilt u de documentatie zien, waaruit blijkt hoe we tot de top 10 gekomen zijn en hoe we dat gedaan hebben? O ja, de eerstvolgende risicosessie staat gepland net voor de start van onze volgende projectfase. Adriaan Bouwdewijn MBA (
[email protected]) is bedrijfskundige. Frits Engel RO CCSA (
[email protected]) is operational auditor. Beiden werken als senior auditor bij de Accountantsdienst van UWV.
december 2010
11/30/2010 7:08:39 PM
