MOBIRISK. Risicobeheer binnen de FOD Mobiliteit en Vervoer Minimale vereisten

Voorzitter van het Directiecomité

MOBIRISK Risicobeheer binnen de FOD Mobiliteit en Vervoer Minimale vereisten

14 mei 2008 (correcties december 2008 + CC Licentie 8 juni 2008)

Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer

Bladzijde 1 / 73 Auteurs: Ben Broeckx & Josiane Van Waesberghe

This work is licensed under a Creative Commons Attribution‐ShareAlike 2.0 License.


Licentiegever: Federale Overheidsdienst Mobiliteit en Vervoer Auteurs: Ben Broeckx & Josiane Van Waesberghe This work is licensed under a Creative Commons Attribution‐ShareAlike 2.0 License.





Document versie beheer Versie geschiedenis Versie

Auteur

Functie

Datum

0.0

Josiane Van Waesberghe

Adviseur-generaal Interne audit

24 april 2008

1.1 Verbeteringen



8 december 08



8 juni 2008

typ-en taalfouten 1.2 Creative commons licentie + vermelding auteurs basismethodologie

Dit document werd nagekeken door Naam

Functie

Datum

0.0

Dirk Van Linthout

Attaché Interne audit

30 april 2008

1.1 Nazicht Verbeteringen typ-en taalfouten 1.2 Creative commons licentie + vermelding auteurs basismethodologie

Dirk Van Linthout

Attaché Interne audit

8 december 08



8 juni 2008

Dit document werd goedgekeurd door Naam en functie 1.0

Michel Damar .

1.1 Verbeteringen typ- en taalfouten 1.2. Creative commons licentie + vermelding auteurs basismethodologie

Geen formele goedkeuring nodig

Voorzitter FOD Mobiliteit en Vervoer

Carole Coune en het volledige Directiecomité.


Functie

Datum 14 mei 2008 8 december 2008

Voorzitter FOD Mobiliteit en Vervoer en DG’s en Stafdirecteurs

8 juni 2008




Inhoudsopgave 1. Inleiding ........................................................................................................................................ 6 2. Over Mobirisk ............................................................................................................................... 6 3. Rol en verantwoordelijkheden ...................................................................................................... 7 3.1. Management............................................................................................................................... 7 3.2. De risicocoördinatoren ............................................................................................................... 8 3.3. De projectleider risicobeheer ..................................................................................................... 8 3.4. De dienst Interne audit ............................................................................................................... 9 4. Kritische succesfactoren voor een succesvolle implementatie van risicobeheer binnen de FOD 10 5. Toepassingsgebieden risicobeheer .............................................................................................. 11 5.1. Risicobeheer voor de interne werking van de FOD ................................................................. 11 5.2. Risicobeheer in de context van externe controle en inspectie.................................................. 12 6. Implementatie van Risicobeheer binnen de FOD Mobiliteit en Vervoer ............................... 12 6.1. Overzicht van de stappen in het risicobeheer........................................................................... 12 6.2. Statische Fase ........................................................................................................................... 14 Voorbereiding: Opstellen huidige en gewenste situatie risicobeheer ...................... 14 S1 Identificatie gebeurtenissen ...................................................................................... 15 S2 Evaluatie risico’s ......................................................................................................... 16 S3 Bepaling reactie op het risico ................................................................................... 18 S4 Bepaling Risicobeheermaatregelen......................................................................... 19 S5 Implementatie Risicobeheermaatregelen ............................................................... 20 6.3. Dynamische Fase ..................................................................................................................... 20 Bijwerken huidige en gewenste situatie risicobeheer ................................................. 21 D1 Identificatie veranderingen gebeurtenissen ........................................................... 22 D2 Evaluatie verandering risico’s................................................................................... 23 D3 Bepaling verandering reactie op het risico ............................................................. 24 D4 Bepaling verandering risicobeheermaatregelen.................................................... 24 D5 Implementatie verandering risicobeheermaatregelen .......................................... 25 Bijlagen ........................................................................................................................................... 26 Bijlage 1: Organisatorisch netwerk voor risicobeheer (netwerk MobiRisk) .................................. 26 Bijlage 2: Glossarium van basisdefinities rond risicobeheer in de FOD Mobiliteit en Vervoer 27 Bijlage 3: Rol en verantwoordelijkheden van de dienst Interne audit in het risicobeheer.......... 33 Bijlage 4: Functiebeschrijving van de risicocoördinator ................................................................ 34 Bijlage 5: MobiRisk RACI Matrix.................................................................................................. 37 Bijlage 6: Risicobeheer binnen de FOD - details............................................................................ 39 6.1. Overzicht van de stappen in het risicobeheer........................................................................... 39 6.2. Statische Fase ........................................................................................................................... 40 Voorbereiding: Opstellen huidige en gewenste situatie risicobeheer ...................... 40 S1 Identificatie gebeurtenissen ...................................................................................... 42 S2 Evaluatie van de risico’s............................................................................................ 46 S3 Bepaling reactie op het risico ................................................................................... 50 S4 Bepaling Risicobeheermaatregelen......................................................................... 52 S5 Implementatie Risicobeheermaatregelen ............................................................... 54 6.3. Dynamische Fase ..................................................................................................................... 55 Bijwerken huidige en gewenste situatie risicobeheer ................................................. 56 Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer




D1 Identificatie veranderingen gebeurtenissen ........................................................... 58 D2 Evaluatie verandering risico’s................................................................................... 60 D3 Bepaling verandering reactie op het risico ............................................................. 61 D4 Bepaling verandering risicobeheermaatregelen.................................................... 63 D5 Implementatie verandering risicobeheermaatregelen .......................................... 65 Bijlage 7: Bepaling risicoprofiel en berekening inherent risiconiveau ........................................... 67 Bijlage 8: COSO ERM ................................................................................................................... 71 Bijlage 9: Lijst van de figuren......................................................................................................... 73 Bijlage 10: Literatuur referentie lijst............................................................................................... 74





1. Inleiding Dit document is een beleidsnota rond MobiRisk. Dit is de benaming voor “risicobeheer binnen de FOD Mobiliteit en Vervoer”. Deze beleidsnota is bestemd voor alle diensten binnen de FOD en voor alle betrokken partijen die aan risicobeheer doen. Dit document licht de krachtlijnen van dit risicobeheer toe, en gaat dieper in op de verschillende implementatiefasen. Een overzicht van de meest gebruikte definities in het kader van risicobeheer bevindt zich in bijlage 2: “Glossarium van basisdefinities rond risicobeheer in de FOD Mobiliteit en Vervoer.” Dit document werd integraal door het Directiecomité goedgekeurd.

2. Over Mobirisk MobiRisk is de benaming voor “risicobeheer binnen de FOD Mobiliteit en Vervoer”. 1

Dit risicobeheermodel gebruikt COSO ERM als referentiekader . COSO ERM vervangt het COSO model voor interne controle niet maar werkt het verder uit en dit meer bepaald vanuit het standpunt van de managers, die voor zichzelf streefdoelen bepalen en die risico's moeten beheersen in een onzekere toestand. Het COSO referentiekader werd ontwikkeld door The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Dit comité, bestaande uit een aantal private organisaties, heeft in 1992 naar aanleiding van een aantal boekhoudschandalen en fraudegevallen aanbevelingen gedaan en richtlijnen aangegeven ten aanzien van interne controle en interne beheersing. In 1994 is daar nog een aanvulling opgekomen en werd dit samengevoegd in het COSO-rapport. Dit rapport is bedoeld om aan organisaties een uniform en gemeenschappelijk referentiekader voor interne controle aan te bieden en om het management te ondersteunen bij de verbetering van het interne controlesysteem. In 2004 werd het model geactualiseerd en werden er elementen aan toegevoegd en aangepast. Dit geactualiseerde model richt zich niet meer alleen op interne controle maar op het gehele interne beheersingssysteem en staat bekend als COSO II of Enterprise Risk Management Het COSO ERM model van risicobeheersing biedt als voordeel volledig overeen te stemmen (compatibel te zijn) met de COSO - benadering (intemal control – integrated framework), die het referentiekader voor de federale overheid is voor het interne controlesysteem2. Het interne controlesysteem is in COSO ERM ingebouwd in het risicobeheersysteem. Iedere vermelding van het risicobeheersysteem impliceert dus het interne controlesysteem. Ook INTOSAI 3, sluit zich aan bij het COSO en COSO ERM raamwerk (zie literatuur referentielijst bijlage 10).

1

Definitie van COSO ERM (COSO Enterprise Risk Management) – Ondernemingsrisicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt dit toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed zouden kunnen hebben op de onderneming te identificeren en om risico’s te managen zodat deze binnen de risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen. 2 KB betreffende het intern controlesysteem binnen sommige diensten van de federale uitvoerende macht – 17 augustus 2007 – BS 18.10 2007 Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer




De FOD Mobiliteit en Vervoer heeft gekozen voor een gecentraliseerde aanpak van het risicobeheer en de interne controle maar met de nodige delegatie rond uitvoering. Hiervoor is er een netwerk van risicocoördinatoren opgericht (netwerk MobiRisk). De risicobeheercyclus bestaat uit twee fasen: o

Statische fase: deze fase focust op de analyse en het beheer van de huidige situatie en wordt eenmalig uitgevoerd in een projectmatige aanpak.

o

Dynamische fase: deze fase focust op het beheer van de toekomstige situatie en wordt op continue basis uitgevoerd.

Deze fases worden verder besproken in Hoofdstuk 6 en gedetailleerd uitgelegd in Bijlage 6.

3. Rol en verantwoordelijkheden Bij de implementatie van Mobirisk zijn verschillende organisaties/personen betrokken: - Het management (directiecomité, directeurs-generaal, diensthoofden), de beheerscomités, of vergelijkbaar overlegplatform - De risicocoördinatoren - De projectleider risicobeheer - De dienst Interne audit

3.1. Management Het Directiecomité heeft de eindverantwoordelijkheid voor het goed beheer van de relevante risico’s zodat de doelstellingen van de FOD bereikt kunnen worden. Het is tevens eindverantwoordelijke voor goedkeuring van elke wijziging aan deze beleidsnota “minimale vereisten”. De Directeurs-generaal of Directeurs van de stafdiensten of de verantwoordelijken voor de steundiensten met hun respectieve diensthoofden zijn verantwoordelijk voor de correcte uitvoering van het risicobeheer conform deze minimale vereisten. Zij nemen binnen de respectievelijke Beheerscomités of vergelijkbaar overlegplatform alle beslissingen omtrent het risicobeheer die hen toekomen zoals bepalen van de rapporteringsstandaarden, de risicoschalen, de definities, de berekeningswijze, de voorstellingswijze enz. Zij zullen hiervoor bijgestaan worden door risicocoördinatoren, die aangesteld worden door het Directiecomité (zie verder 3.2). Ook de dienst Interne audit kan assistentie verlenen aan het management (zie verder 3.4.). De Directeur van de stafdienst Begroting en Beheerscontrole is in het kader van zijn of haar functie verantwoordelijk voor het interne controlesysteem ten aanzien van het budgettair en boekhoudkundig 4 beheer en van de hiermee gepaard gaande aspecten van beheerscontrole . Elk jaar stelt de Voorzitter van het Directiecomité een verslag op over de werking van het interne 5 controlesysteem en kondigt hij de verbeteringen aan die hij er in wil aanbrengen .

3

INTOSAI = International Organisation of Supreme Audit Institutions, de overkoepelende organisatie voor de externe audit van de regeringen (de rekenhoven), verwijzing opgenomen in het KB Interne controle van 2007. 4 KB betreffende het intern controlesysteem binnen sommige diensten van de federale uitvoerende macht – 17 augustus 2007 – BS 18.10 2007, art. 4 Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer




3.2. De risicocoördinatoren De risicocoördinatoren worden aangesteld door het Directiecomité. De risicocoördinatoren vervullen binnen ieder Directoraat-generaal en binnen iedere stafdienst en/of steundienst de rol van lokale adviseur voor risicobeheer (en interne controle). Deze risicocoördinatoren zijn betrokken in zowel de statische als dynamische fase in het systeem voor risicobeheer. De leidraad voor het risicobeheer is de tekst minimale vereisten voor het risicobeheer in de FOD, die verder toegelicht wordt in een opleiding. De risicocoördinatoren werken samen met de dienst Interne audit in een functioneel netwerk voor het risicobeheer, het MobiRisk netwerk (schema zie bijlage 1). Zij ondersteunen en begeleiden de projectleiders risicobeheer en de diensthoofden in de invoering van het risicobeheer en de interne controle. Door overleg met de projectleiders en de diensthoofden en/of andere experten zorgen zij ervoor dat het management degelijke adviezen krijgt rondom risicobeheer en interne controle. Deze risicocoördinatoren kunnen aanpassingen aan deze minimale vereisten voorstellen. De risicocoördinator van de stafdienst Begroting en Beheerscontrole (B&B) is ook betrokken bij de (transversale) aspecten van het risicobeheer van het budgettaire en boekhoudkundig beheer. De formele functiebeschrijving van een risicocoördinator vindt u in bijlage (Bijlage 4: “Functiebeschrijving van de risicocoördinator”).

3.3. De projectleider risicobeheer Deze persoon is een spilfiguur in het risicobeheer. De projectleider is de “lokale” verantwoordelijke voor het invoeren van de statische fase van het systeem voor risicobeheer. Hij of zij coördineert alle activiteiten met betrekking tot de toepassing van het risicobeheer waarvoor hij door zijn management aangesteld is (vb. binnen een bepaalde Directie). Hij of zij stelt het plan van aanpak van het project op en leidt het project. De leidraad voor het project is de tekst minimale vereisten voor het risicobeheer in de FOD, die verder toegelicht wordt in een opleiding. Hij of zij rapporteert over de voortgang van het project aan de betrokken risicocoördinatoren, die hem ondersteunen bij de uitvoering van het project en aan de dienst Interne audit en risicobeheer. De projectleider verzamelt de nodige experten om zijn project goed te kunnen uitvoeren, ondersteunt de betrokken medewerkers en evalueert hun voorstellen. De projectleider zorgt ervoor dat de procesbeschrijvingen tijdig aangevuld worden met de controlepunten en de resultaten van de risicoanalyse. Hij werkt samen met de betrokken risicocoördinatoren om een degelijk advies te geven aan het management over de te nemen maatregelen. De formele functiebeschrijving van projectleider, geldig voor de hele FOD, is ook op de projectleider risicobeheer van toepassing. 5

KB betreffende het intern controlesysteem binnen sommige diensten van de federale uitvoerende macht – 17 augustus 2007 – BS 18.10 2007, art. 7 §1 Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer




3.4. De dienst Interne audit De dienst Interne audit kan een beperkt aantal taken met betrekking tot het risicobeheer invullen. Deze worden opgenomen in het Interne auditcharter. Het Directiecomité zorgt ervoor dat de nodige middelen ter beschikking gesteld worden van de dienst Interne audit om de afgesproken taken met betrekking tot het risicobeheer uit te oefenen. De Dienst Interne audit neemt de nodige maatregelen om de IIA normen rondom de toegelaten taken met betrekking tot het risicobeheer toe te passen. Alle afspraken worden opgenomen in het charter van de Dienst Interne audit. Als basisprincipe geldt dat de dienst Interne audit nooit de eindverantwoordelijkheid opneemt of operationele beslissingen neemt in het risicobeheer en ook geen risicobeheermaatregelen implementeert. De dienst Interne audit is betrokken bij het functioneel netwerk van risicocoördinatoren, het MobiRisk netwerk. In uitvoering van de kerntaken van de dienst Interne audit in het risicobeheer kan de dienst Interne audit afwijkingen en onvolledigheden ten opzichte van de minimale vereisten vaststellen. De dienst Interne audit zal deze communiceren en bespreken met de projectleider (statische fase – zie 6.2 en bijlage 6) en/of het diensthoofd (dynamische fase – zie 6.3 en bijlage 6) en met de betrokken risicocoördinatoren en het Beheerscomité 6 of de vergelijkbare overlegplatforms en probeert tot een overeenstemming te komen. De resultaten van deze bespreking worden vervolgens aan het Directiecomité gerapporteerd. Het Directiecomité beslist over de aanvaarding van afwijkingen of onvolledigheden. De beslissingen van het Directiecomité dienen toegepast en opgevolgd te worden door iedere betrokken partij binnen een vastgesteld tijdsbestek bepaald door het Directiecomité. De dienst Interne audit behoudt steeds zijn onafhankelijkheid ten opzichte van de door het Directiecomité aanvaarde afwijkingen en kan hierover in voorkomend geval een rapportering voorzien aan het auditcomité7. Afwijkingen en onvolledigheden worden door de dienst Interne audit opgenomen in een rapportering rond de staat van het risicobeheer en de interne controle binnen de FOD8. De dienst Interne audit ontvangt / heeft toegang tot alle documentatie over het risicobeheer en de interne controle en gebruikt deze informatie als onderdeel van de auditplanning9. Een beschrijving van de verboden, verplichte en mogelijke verantwoordelijkheden van de dienst Interne audit vindt u in bijlage (Bijlage 3: “Rol en verantwoordelijkheden van de dienst Interne audit in het risicobeheer”).

6

Vergadering van de verschillende diensthoofden binnen ieder Directoraat -generaal en iedere staf- of steundienst Zie KB tot oprichting van het Auditcomité van de Federale Overheid (ACFO) van 17 augustus 2007 Zie KB betreffende het intern controlesysteem binnen sommige diensten van de federale uitvoerende macht van 17 augustus 2007 9 Zie KB betreffende de Interne Auditactiviteiten binnen sommige diensten van de federale uitvoerende macht van 17 augustus 2007 7 8





4. Kritische succesfactoren voor een succesvolle implementatie van risicobeheer binnen de FOD Om MobiRisk succesvol in te voeren binnen een dienst, een organisatieonderdeel of de FOD in zijn geheel, zijn de onderstaande zaken belangrijk: 1.

Expliciete goedkeuring van en betrokkenheid bij de MobiRisk aanpak door het Directiecomité van de FOD en door het betrokken Beheerscomité of het vergelijkbaar overlegplatform (zo nodig ook op niveau van een specifieke directie of dienst);

2.

Betrokkenheid van en risicobewustzijn doorheen de hele FOD;

3.

De activiteiten rond risicobeheer kunnen gemakkelijk geïntegreerd worden in de dagelijkse activiteiten van de FOD;

4.

Voldoende tijd en middelen worden ter beschikking gesteld voor risicobeheer;

5.

Gebruik maken van en integratie met de verschillende beheersinstrumenten en van de bestaande overlegstructuren binnen de FOD;

6.

Duidelijk gedefinieerde doelstellingen van de dienst, organisatieonderdeel of de FOD in zijn geheel dat MobiRisk wenst te implementeren;

7.

Beschikbare, bijgewerkte en gecommuniceerde beschrijvingen van minstens de sleutelprocessen van de dienst en/of het organisatieonderdeel van de FOD dat MobiRisk wenst te implementeren;

8.

Uniform risicobeheer raamwerk, glossarium en opleiding toegankelijk voor alle medewerkers;

9.

Duidelijke instructies met betrekking tot de rollen en verantwoordelijkheden van alle medewerkers inclusief de adequate scheiding van bevoegdheden;

10. Zich akkoord verklaren met het opzetten en gebruik maken van het MobiRisk opvolgingssysteem met de nodige zorg voor selectieve toegang tot de rapportering; 11. Degelijke kwaliteit van de aangereikte data door de verschillende diensten; 12. Documenteren van alle relevante activiteiten en beslissingen; 13. Transparante, heldere en tijdige communicatie tussen alle betrokken partijen.





5. Toepassingsgebieden risicobeheer MobiRisk heeft als toepassingsgebied de interne werking van de FOD en de planning van externe controles en inspecties, behoudens het domein “vervoer van gevaarlijke goederen”.

5.1. Risicobeheer voor de interne werking van de FOD Risicobeheer voor de interne werking van de FOD is een proces onder leiding van het Directiecomité van toepassing doorheen de volledige organisatie10. Dit proces11 is toegespitst op: o

Het herkennen van risico’s: dit zijn alle potentiële gebeurtenissen die, als ze voorkomen, een negatieve invloed hebben op de doelstellingen van een onderdeel van de FOD of de FOD in zijn geheel; -

Gebeurtenissen met een positieve invloed zijn opportuniteiten binnen het COSO ERM referentiekader. Deze vallen momenteel buiten het risicobeheer van de FOD zoals beschreven in deze tekst.

o

De risicobereidheid en het beheer van risico’s binnen de aanvaardbare normen;

o

Het geven van redelijke zekerheid over het bereiken van de doelstellingen van een onderdeel van de FOD of de FOD in zijn geheel;

o

Het toepassen van risicobeheer in het kader van de strategische doelstellingen van de FOD;

o

Het toepassen van risicobeheer in de FOD, op elk niveau en onderdeel, door mensen van alle niveaus;

o

Een portfoliovisie12 op risico’s over het geheel van de organisatie.

Risicobeheer voor de interne werking van de FOD is onderverdeeld in twee niveaus, met name: o

Strategisch risicobeheer op het niveau van het Directiecomité;

o

Operationeel risicobeheer op niveau Directoraat-generaal, stafdienst of steundienst.

Beiden worden verder in dit document toegelicht. Het strategische risicobeheer heeft een directe impact op de operationele risicobeheermaatregelen. Beiden gaan de activiteiten beïnvloeden en een weerslag hebben op de management- en operationele plannen en op de ondersteuningsplannen13.

10

Definitie van COSO ERM (Enterprise Risk Management) – Ondernemingsrisicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed zouden kunnen hebben op de onderneming te identificeren en om risico’s te managen zodat deze binnen de risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen. 11 Een opeenvolging van stappen die één of meerdere outputs genereert vanuit één of meerdere inputs. 12 ERM beschouwt de geïdentificeerde risico’s niet alleen op zichzelf, maar houdt ook expliciet rekening met hun mogelijke onderlinge afhankelijkheden / relaties. Op die manier wordt beter tegemoetgekomen aan de realiteit dat de manifestatie van een enkel risico soms een domino-effect kan hebben, dan wel dat bepaalde gebeurtenissen elkaar (deels) uitsluiten of compenseren, waardoor er juist een demping van effecten optreedt. Voor een correcte inschatting van risico’s moet terdege rekening gehouden worden met dergelijke ‘portfolio-effecten’. – Interne Audit en ERM : een integratie, scriptie UAMS expert Class Internal auditing Philip Bernaerts academiejaar 2004-2005. 13 Koninklijk besluit van 29 oktober 2001 betreffende de aanduiding en de uitoefening van de managementfuncties in de federale overheidsdiensten. en koninklijk besluit van 2 oktober 2002 betreffende de aanduiding en de uitoefening van de staffuncties in de federale overheidsdiensten, beiden met wijzigingen. Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer




5.2. Risicobeheer in de context van externe controle en inspectie De diensten belast met externe controles en inspecties op de verschillende transportmodi moeten een grote diversiteit aan controles uitvoeren in een brede omgeving (omgeving wordt gedefinieerd als alle actoren die gebruik maken van de transportmodi en onderworpen worden aan controles en inspecties). Een gestructureerde risicobeheeraanpak zorgt ervoor dat de voorrang wordt gegeven aan de juiste externe controles en inspecties, ongeacht hun uitvoerbaarheid en complexiteit, vertrekkend van het onderliggende risico in de transportmodi. De verantwoordelijkheden rond externe controleen inspectieactiviteiten die door de wetgever aan de FOD opgelegd zijn, worden volgens dezelfde generieke aanpak van MobiRisk voor risicobeheer behandeld, maar structureel los van het risicobeheer intern aan de FOD (zie punt 5.2). Voor de inspecties en controles van het vervoer van gevaarlijke goederen werd een afzonderlijke aanpak voor risicogebaseerd handhavingsbeleid uitgewerkt. Deze valt buiten de scope van deze nota.

6. Implementatie van Risicobeheer binnen de FOD Mobiliteit en Vervoer 6.1. Overzicht van de stappen in het risicobeheer De FOD Mobiliteit en Vervoer heeft gekozen voor een gecentraliseerde aanpak van het risicobeheer en de interne controle maar met de nodige delegatie rond uitvoering. Hiervoor is er een netwerk van risicocoördinatoren opgericht. Het schema van dit functioneel gecentraliseerd netwerk is toegevoegd onder Bijlage 1: “Organisatorisch netwerk voor risicobeheer”. De dienst Interne audit is betrokken bij dit netwerk. De risicobeheercyclus bestaat uit de volgende twee fasen zoals weergegeven in de onderstaande figuur: o

Statische fase: deze fase wordt eenmalig uitgevoerd in een projectmatige aanpak en bestaat uit vijf stappen;

o

Dynamische fase: deze fase wordt op continue basis uitgevoerd en bestaat uit vijf stappen.





Figuur 1: MobiRisk Schema

De gedetailleerde beschrijving van het risicobeheer is opgenomen in bijlage 6.





6.2. Statische Fase De Statische fase focust zich op de analyse en het beheer van de huidige situatie. Vooreerst wordt de huidige en gewenste situatie rond risicobeheer binnen FOD opgesteld. Vervolgens worden alle mogelijke gebeurtenissen met een negatieve invloed geïdentificeerd en herleid naar risico’s. (S1) De risico’s worden geëvalueerd (S2), een reactie wordt bepaald (S3), alsook de eventuele risicobeheersmaatregelen (S4). Tenslotte worden de nodige risicobeheersmaatregelen geïmplementeerd. (S5)

Figuur 2: MobiRisk Schema Statische Fase Voorbereiding: Opstellen huidige en gewenste situatie risicobeheer Tijdens de voorbereidingsfase wordt nagekeken of aan de voorwaarden voor de succesvolle invoering van Mobirisk voldaan wordt, en wordt de gewenste toekomstige situatie van het risicobeheer in kaart gebracht. Daarnaast wordt de algemene risicobereidheid van de FOD bepaald. Dit is het risiconiveau dat het Directiecomité al dan niet bereid is om te aanvaarden om de strategische doelstellingen van de FOD te bereiken. Deze analyse wordt tevens op niveau van het Beheerscomité of het voor de steundiensten overeenkomstig overlegplatform uitgevoerd (vertaling van de strategische risicobereidheid naar het operationele niveau), met validatie van de afwijkingen aan het globale kader van de FOD door het Directiecomité. In uitzonderlijke omstandigheden kunnen reeds in deze fase bepaalde risicobeheermaatregelen uitgevoerd worden.





Minimale vereisten • • •

•

• • •

Validatie van de 13 succesfactoren voor MobiRisk door het Directiecomité; Validatie van de 13 succesfactoren voor MobiRisk per Directoraat-generaal of stafdienst of voor de steundienst; Analyse door het Directiecomité op hoog niveau van een stand van zaken op de verschillende dimensies van het risicobeheermodel (ERM dimensies ) via een workshop gefaciliteerd door de Dienst Interne audit, met bepaling van het gewenste maturiteitsniveau; indien de Dienst Interne audit niet faciliteert, is zij aanwezig als observator; Analyse op hoog niveau per betrokken Beheerscomité (of overeenkomstig overlegplatform voor de steundienst) van een stand van zaken op de verschillende dimensies van het risicobeheermodel (ERM dimensies), via een workshop gefaciliteerd door de betrokken risicocoördinatoren, met bepaling van het gewenste maturiteitsniveau; de dienst Interne audit is aanwezig als observator. Bepaling van de globale risicobereidheid van de FOD; Bepaling van de risicobereidheid van een DG/Stafdienst indien deze afwijkt van de globale risicobereidheid van de FOD (gevalideerd door het Directiecomité); Bepaling van alle elementen van de rapporteringsstandaard.

Opleverbare resultaten • • • • • • • •

Lijst van de risicocoördinatoren van de FOD; Document met validatie van de 13 succesfactoren voor MobiRisk door het Directiecomité; Document met validatie van de 13 succesfactoren voor MobiRisk per Directoraat-generaal, stafdienst of steundienst; Document met de risicobeheer boordtabel van de FOD, dat tevens de risicobeheer visie weergeeft; Documenten met de risicobeheer boordtabel van de DG/stafdiensten/steundiensten, dat tevens de risicobeheer visie weergeeft; De globale risicobereidheid van de FOD visueel voorgesteld op de risico-controlematrix; Indien afwijkend aan het globale kader: de risicobereidheid binnen de DG/stafdienst/steundienst te kennen geven (gevalideerd door het Directiecomité); Alle elementen van de rapporteringsstandaard.

S1 Identificatie gebeurtenissen De reikwijdte van de toepassing van het risicobeheer wordt bepaald (vb. Directoraat-generaal, Directie, Dienst enz. en er wordt een project opgesteld om het risicobeheer te implementeren (projectleider, planning enz.°). Alle mogelijke gebeurtenissen met een negatieve invloed worden geïdentificeerd en herleid naar risico’s. Deze worden geklasseerd in de risicotypes, risicoklassen en risicocategorieën beschreven in een risico identificatie model van de FOD. Het risico identificatie model moet toelaten om alle mogelijke gebeurtenissen met een negatieve invloed op het behalen van de doelstellingen in te delen in een gestandaardiseerde structuur. Alle risico’s gelijkaardig van aard worden samengebracht onder een gemeenschappelijke noemer, het risicotype. De risicotypes behoren tot risicoklassen die op hun beurt behoren tot risicocategorieën. De risicocategorieën, risicoklassen en risicotypes zullen samen met alle relevante informatie worden bijgehouden in een risico referentie databank en zullen dienen als overzichtstabel (catalogus) voor alle betrokken partijen.





Het risico identificatie model richt zich niet alleen op de reeds gedetecteerde risico’s, maar ook op de 14 potentiële risico’s en dit via een holistische aanpak. Het voor de FOD opgestelde risico identificatie model is verplicht voor alle diensten, voor wat betreft het risicobeheer voor de interne werking, en is verkrijgbaar bij de dienst Interne audit en bij alle risicocoördinatoren. Voor externe controleen inspectiediensten kunnen specifieke Risico Identificatie Modellen opgesteld worden. Het risico identificatie model wordt geregeld herzien en indien nodig aangepast om relevant en actueel te blijven. Elementen voor deze aanpassing kunnen zowel op strategisch niveau (Directiecomité) als op operationeel niveau (op niveau van een betrokken Beheerscomité of vergelijkbaar overlegplatform) aangebracht worden. De volledigheid van het model blijft de verantwoordelijkheid van het management. Een risico identificatie model (soms ook risico inventaris of risicomodel of risicocatalogus genoemd) is dus een overkoepelend raamwerk dat de FOD toelaat om de risico’s te identificeren, te klasseren en te prioriteren, gebruik makend van dezelfde taal over heel de FOD. Minimale vereisten • • • • • •

Bepalen van de scope van de toepassing van het risicobeheer; Aanstellen van een projectleider voor de uitvoering van de statische fase en opzetten van het project; Gebruik van een risico identificatie model (RIM); Indien voor intern risicobeheer afwijkingen van het RIM: validatie door het Directiecomité; Oplijsten van gebeurtenissen met negatieve impact op de doelstellingen en klasseren in het RIM, met ondersteuning van de betrokken risicocoördinatoren; Ontwikkelen van een risico referentie databank waarin alle relevante informatie met betrekking tot risicocategorieën, risicoklassen en risicotypes opgeslagen wordt.

Opleverbare resultaten • • •

Projectplanning en projectstructuur (IMARS); Risico Identificatie Model met categorieën, klassen en types op maat van de FOD; Risico’s geklasseerd in een Risico Identificatie Model (RIM).

S2 Evaluatie risico’s In deze stap stellen we eerst een risicomatrix op door te analyseren welke risicotypes in het risico identificatie model het meest waarschijnlijk voorkomen binnen een bepaald tijdsinterval en de meest belangrijke invloed hebben op de doelstellingen van de FOD (impact en probabiliteit inschatten van het risicotype). Daarna wordt de risico-controle matrix opgesteld door het huidige risiconiveau (via het tot één dimensie herleide resultaat van de risicomatrix) en het niveau van het huidige risicobeheer te bepalen. Dit geeft een indicatie van de ondergecontroleerde en overgecontroleerde risico’s en is de basis van de bepaling van de sleutelrisico’s. Om éénduidigheid en consistentie van de auditplanning en de vergelijkbaarheid van het risicobeheer binnen de FOD te garanderen dienen alle bekomen waarden van (a) de waarschijnlijkheid van voorkomen 14

Een ‘holistische’ aanpak is een aanpak die een probleem van zoveel mogelijk kanten bekijkt. De term ‘holistisch’ refereert hier naar het geheel van visies op een probleem Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer




(Probabiliteit), (b) de invloed (Impact) en (c) het huidig niveau van risicobeheer op een uniforme wijze gerapporteerd te worden. Het Directiecomité zal samen met de dienst Interne audit een gemeenschappelijke rapporteringsstandaard bepalen voor de FOD. We stellen de risicomatrices gewoonlijk op in een of meerdere gefaciliteerde workshops. Het Directiecomité of het betrokken Beheerscomité (of overeenkomstig overlegplatform voor de steundienst) kan beslissen om welbepaalde risicotypes direct door te verwijzen naar S3 zonder formele evaluatie maar met de nodige documentatie, aanduiding van de risico-eigenaar en argumentatie. Voor elk geïdentificeerd risicotype en zo nodig ook voor specifieke risico’s zal in deze fase een risicoeigenaar aangeduid worden door het betrokken overlegorgaan. Voor risico’s die op meerdere diensten betrekking kunnen hebben, wordt de dienst die de coördinatie zal verzekeren voor het beheer, de documentatie en het opvolgen van het risico aangeduid als risicoeigenaar. Om de prioriteiten nog beter te kunnen bepalen, analyseren we de onderlinge verbanden tussen de risicotypes via een bronrisicoanalyse. Minimale vereisten •

Het Directiecomité of het betrokken Beheerscomité (of een overeenkomstig overlegplatform voor de steundienst) kan beslissen om welbepaalde risicotypes direct door te verwijzen naar S3 zonder formele evaluatie maar met de nodige documentatie, aanduiding risico-eigenaar en argumentatie;

•

Aanstelling binnen het betrokken overlegorgaan van een risico-eigenaar 15 per risicotype (en indien nodig per specifiek risico);

•

Indien nodig samenstellen van een risico-evaluatieteam met kennis en ervaring om de betrokken risico’s te onderzoeken en te assisteren in het nemen van de beslissingen. De risico-eigenaar wordt opgenomen in dit team;

•

Inventariseren van bestaande risicobeheermaatregelen per risicotype (zo nodig per specifiek risico) dat geselecteerd is voor de risicoanalyse;

•

Uitvoering van een risicoanalyse, met o evaluatie op waarschijnlijkheid van voorkomen (binnen een relevante tijdshorizon) van de risicotypes; o evaluatie op impact op de doelstellingen van de risicotypes; o evaluatie van de bestaande risicobeheermaatregelen.

•

Uitvoeren van een bronrisicoanalyse (verbanden zoeken tussen de risicotypes).

Opleverbare resultaten •

Lijst met risicotypes die direct doorverwezen worden naar S3, met de nodige documentatie, aanduiding risico-eigenaar en argumentatie;

•

Lijst van de risicobeheermaatregelen per risicotype (indien nodig per specifiek risico) dat geselecteerd is voor de risicoanalyse;

•

Risicomatrix;

•

Risico-controlematrix;

•

Resultaten bronrisicoanalyse;

15

Risico-eigenaar. Dit is of zijn de binnen een afdeling aangeduide projectleider/diensthoofd (dienst of personen) voor één of meer geïdentificeerde risico’s/risicotypes. Zij zijn verantwoordelijk voor de opvolging van de evolutie van deze risico’s en rapporteren hierover aan de hiervoor aangeduide verantwoordelijke. Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer




•

Lijst van geprioriteerde risicotypes;

•

Lijst van de risico-eigenaars.

S3 Bepaling reactie op het risico Voor elk gekozen risicotype wordt het aanvaardbare risiconiveau, door het bepalen van de risicotolerantie en de tolerantiegrenzen, gedefinieerd. Tevens wordt de gewenste reactie ten opzichte van de verschillende risicotypes bepaald. Er kan gekozen worden voor vier opties 1. Risico-vermijding door het elimineren of drastisch inkrimpen van de activiteiten of door het veranderen van de doelstellingen. 2. Risico-beperking door specifieke maatregelen te ondernemen om de impact en/of de waarschijnlijkheid van voorkomen van het risico te beperken door risicobeheermaatregelen te ontwikkelen – dit omvat ook alle controles in de processen. 3. Risico-deling waarbij een deel of de gehele verantwoordelijkheid of een bepaald type verantwoordelijkheid rond een risico naar een derde partij wordt getransfereerd. 4. Risico-aanvaarding waarbij het risico blijft bestaan zonder verdere ingrepen op impact of waarschijnlijkheid. Hier kan men al dan niet opteren voor het invoeren van een monitoring (kosten/baten aspect). Deze risiconiveaus - met tolerantie(grenzen) - worden bij voorkeur opgesteld tijdens een gefaciliteerde workshop. Indien welbepaalde risicotypes direct doorverwezen werden naar S3 zonder formele evaluatie maar met de nodige documentatie, aanduiding risico-eigenaar en argumentatie moet aangegeven worden of men al dan niet een monitoring van deze risicotypes wil voorzien (kosten/baten aspect). Minimale vereisten • •

Strategisch risicobeheer: beslissing aanvaardbaar risiconiveau en aanvaardbare reactie op het risico op het niveau van het Directiecomité; Operationeel risicobeheer: beslissing aanvaardbaar risiconiveau en aanvaardbare reactie op het risico op het niveau van het betrokken Beheerscomité of overeenkomstig overlegorgaan voor de steundienst.

Opmerking: alle afwijkingen op niveau van het betrokken Beheerscomité (of overeenkomstig overlegorgaan voor de steundienst) voor eenzelfde risicotype ten opzichte van beslissingen van het Directiecomité dienen steeds gevalideerd te worden door het Directiecomité en dit om de homogeniteit van het risico beslissingsproces te behouden. Opleverbare resultaten • •

Document met het aanvaardbaar risiconiveau per risicotype, zo nodig per specifiek risico; Document met een lijst van aanvaardbare reacties op het risico per risicotype (zowel op strategisch als op operationeel niveau) waarbij voor de optie “risico-aanvaarding” ook zal aangeduid worden of er monitoring vereist wordt of niet.





S4 Bepaling Risicobeheermaatregelen In deze stap bepalen we de manier waarop de gekozen reactie op het risico concreet uitgevoerd wordt. Een risicobeheermaatregel is immers een concrete, in detail beschreven aanpak van een bepaald risicotype (of risico). Dit omvat ook de controleactiviteiten in de processen. We maken een evaluatie van de bestaande risicobeheermaatregelen per geselecteerd risicotype uit het risico identificatie model.

Hierbij houden we rekening met de resultaten van S3 waarin we het niveau van de huidige maatregelen ingeschat hebben en tevens met de gekozen reactie op het risicotype en het aanvaardbare risiconiveau. Een maatregel moet immers passen binnen de gekozen reactie op het risicotype en moet toelaten om binnen het aanvaardbare risiconiveau te blijven. Indien nodig worden er nieuwe risicobeheermaatregelen gedefinieerd of worden de bestaande aangepast. Alle nieuwe maatregelen worden samen met hun kosten/baten analyses en een voorstel voor opvolging voorgelegd aan het Directiecomité of het betrokken Beheerscomité (of overeenkomstig overlegorgaan voor de steundienst) ter validatie en om de prioriteiten te bepalen. Minimale vereisten •

• •

•

•

Gedetailleerde beschrijving van de bestaande risicobeheermaatregelen per geselecteerd risicotype (en indien nodig per specifiek risico) uit het risico identificatie model (op basis van S1). Hier kan uiteraard, indien beschikbaar, verwezen worden naar bestaande documentatie zoals kwaliteitssystemen, enz.; o Strategische risicobeheermaatregelen: op het niveau van het Directiecomité; o Operationele risicobeheermaatregelen: op niveau Directoraat-generaal of betrokken Beheerscomité of overeenkomstig overlegorgaan voor de steundienst. Nagaan in welke mate de risico’s worden afgedekt door de bestaande risicobeheermaatregelen, en dit via de risico-controlematrix (op basis van S2); Evaluatie van bestaande risicobeheermaatregelen of de ontwikkeling van nieuwe risicobeheermaatregelen in overeenstemming met de gekozen reactie op de risico’s - vermijden, beperken, delen, aanvaarden (op basis van S3), met inbegrip van de controlemaatregelen in de processen; Kosten-baten analyse per nieuwe risicobeheermaatregel (implementatie en onderhoud) door medewerkers van de dienst of organisatieonderdeel in samenwerking met de risicocoördinatoren voor evaluatie door het Directiecomité of Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst; Voorstellen voor opvolging van het effect van de maatregelen (onder meer via indicatoren, met maximaal gebruik van de Balanced ScoreCard indicatoren).

Opleverbare resultaten • • • •

Beschrijving van de risicobeheermaatregelen per geselecteerd risicotype (en indien nodig per specifiek risico) uit het risico identificatie model (op basis van S1); Lijst met de evaluatie van de bestaande risicobeheermaatregelen rekening houdend met de risico evaluatie (op basis van S2), namelijk inschatting van de bestaande risicobeheermaatregelen; Voorstellen voor behoud van de bestaande risicobeheermaatregelen of voor aanpassing / ontwikkeling van risicobeheermaatregelen ( op basis van S3), met inbegrip van de opvolgingsmogelijkheden; Kosten-baten analyse per nieuwe risicobeheermaatregel met opvolgingsmogelijkheden voor de risicobeheermaatregelen en selectie door het Directiecomité of het betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst.





S5 Implementatie Risicobeheermaatregelen De goedgekeurde risicobeheermaatregelen worden geïmplementeerd door de risico eigenaren. De nodige documentatiestromen, informatiekanalen en indicatoren voor de bijwerking van het risicobeheersysteem worden opgezet. Minimale vereisten • • •

Implementeren van goedgekeurde risicobeheermaatregelen, met inbegrip van de controle-activiteiten in de processen; Implementeren van een opvolgingssysteem voor de goedgekeurde risicobeheermaatregelen; Invoeren van de aanvaarde reacties op het risico en van de risicobeheermaatregelen in de risico referentie databank (herzien op consistentie in alle activiteiten).

Opleverbare resultaten • •

Geïmplementeerde risicobeheermaatregelen databank; Bijgewerkte procesdocumentatie.

inclusief

opvolgingssysteem

en

risico

referentie

6.3. Dynamische Fase In de dynamische fase gaat het om het bewaken, evalueren en aanpassen van het risicobeheer. Deze fase wordt voorbereid door de risicocoördinatoren en de risico eigenaars. De dynamische fase kan gestart worden op twee manieren. • via een door het Directiecomité of het Beheerscomité (of het overeenkomstig overlegorgaan voor de steundienst) vastgelegde frequentie op basis van de snelheid van veranderingen in het risicobeheer • ad-hoc op basis van een specifieke gebeurtenis met een negatieve invloed op de doelstellingen van de FOD.





Figuur 3: MobiRisk Schema Dynamische Fase De dynamische fase wordt uitgevoerd via geregelde bespreking tijdens de vergaderingen van de Beheercomités of het overeenkomstig overlegorgaan voor de steundienst (afhankelijk van de scope van het risicobeheer). Het tijdsgebruik per vergadering – indien voorbereid en geregeld uitgevoerd – kan beperkt blijven. Tijdens deze fase worden vragen beantwoord in verband met: 9 De veranderingen, zijn deze gebeurd ? 9 De impact en de probabiliteit van de risico’s werden deze gewijzigd ? 9 Het niveau van risicobeheer is dit veranderd ? 9 De verantwoordelijkheden werden deze gewijzigd ? Een betrouwbaar systeem voor de rapportering van gebeurtenissen met mogelijke impact op het bereiken van de doelstellingen is nodig. In deze fase worden alle veranderingen geanalyseerd in de gebeurtenissen met een negatieve invloed op het bereiken van de doelstellingen van de FOD. Hierbij is het mogelijk dat er geen verdere aanpassingen noodzakelijk zijn na de uitvoering van D1, indien blijkt dat er geen nieuwe gebeurtenissen zijn met negatieve invloed. Hetzelfde geldt na D4, indien er wordt beslist om geen nieuwe risicobeheermaatregelen toe te passen.

Bijwerken huidige en gewenste situatie risicobeheer Er wordt geanalyseerd of de voorwaarden nog voldaan zijn om MobiRisk succesvol te laten verlopen en wat de nieuwe risico maturiteit is van de FOD. Verder worden hier tevens wijzigingen in de gewenste toekomstige situatie van risicobeheer bepaald. In deze voorbereiding wordt ook nagegaan of de algemene risicobereidheid van de FOD moet gewijzigd worden. Dit is het risiconiveau dat het Directiecomité al dan niet bereid is om te aanvaarden om de strategische doelstellingen van de FOD te bereiken. Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer




Deze analyse wordt ook op niveau van een Beheerscomité en het overeenkomstig overlegorgaan voor de steundienst gedaan, met validatie van de afwijkingen aan het globale kader van de FOD door het Directiecomité. In uitzonderlijke omstandigheden kan het Directiecomité of het Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst opnieuw reeds in deze fase beslissen om bepaalde risicobeheermaatregelen uit te voeren. Minimale vereisten • • • •

• •

Hernieuwde validatie van de 13 succesfactoren voor MobiRisk door het Directiecomité; Hernieuwde validatie van de 13 succesfactoren voor MobiRisk per Directoraat-generaal, stafdienst of steundienst; Analyse door het Directiecomité op hoog niveau van gewijzigde stand van zaken op de verschillende dimensies van het risicobeheermodel (ERM dimensies), via een workshop gefaciliteerd door de Dienst Interne audit; indien de Dienst Interne audit niet faciliteert, is zij aanwezig als observator. Analyse per betrokken Beheerscomité (of het overeenkomstig overlegorgaan voor de steundienst) op hoog niveau van de gewijzigde stand van zaken met betrekking tot de verschillende dimensies van het risicobeheermodel (ERM dimensies), via een workshop gefaciliteerd door de betrokken risicocoördinatoren. De dienst Interne audit is aanwezig als observator. Bepaling wijziging aan de globale risicobereidheid van de FOD; Bepaling wijziging aan de risicobereidheid van een DG/Stafdienst of steundienst indien deze afwijkt van de globale risicobereidheid van de FOD (gevalideerd door het Directiecomité).

Opleverbare resultaten • • • • • • •

Hernieuwde lijst van de risicocoördinatoren van de FOD; Document met hernieuwde validatie van de 13 succesfactoren voor MobiRisk door het Directiecomité; Document met hernieuwde validatie van de 13 succesfactoren voor MobiRisk per betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst; Document met de hernieuwde Risicobeheer boordtabel van de huidige situatie binnen de FOD en binnen ieder Directoraat-generaal en staf- of steundienst; Document met de hernieuwde Risicobeheer boordtabel van de gewenste situatie binnen de FOD en binnen ieder Directoraat-generaal en staf- of steundienst; Aangepaste globale risicobereidheid van de FOD visueel voorgesteld op de risico-controlematrix; Indien afwijkend aan het globale kader: aangepaste risicobereidheid binnen de DG/stafdienst/steundienst (gevalideerd door het Directiecomité).

D1 Identificatie veranderingen gebeurtenissen Er wordt geanalyseerd of er nieuwe of veranderende gebeurtenissen met een negatieve invloed op de doelstellingen van de FOD zijn. Deze laatste worden vervolgens herleid naar risico’s. Alle nieuwe of veranderde risico’s worden geklasseerd of opnieuw geklasseerd in risicotypes, risicoklassen en risicocategorieën beschreven in het risico identificatie model (MIR) van de FOD. Zo nodig wordt het RIM aangepast.





Minimale vereisten •

• • •

Nieuwe gebeurtenissen of veranderingen aan bestaande gebeurtenissen worden op FOD niveau door het Directiecomité geïdentificeerd en op betrokken Beheerscomité/dienst niveau (of het overeenkomstig overlegorgaan voor de steundienst) door de Risico eigenaar, met ondersteuning van de betrokken risicocoördinatoren; Gebruik van het risico identificatie model (RIM); Zo nodig aanpassing van het RIM; Bijwerken van de centrale risico referentie databank waarin alle relevante informatie met betrekking tot risicocategorieën, risicoklassen en risicotypes opgeslagen wordt.


Aangepast Risico Identificatie Model naar categorie, klasse en type op maat van de FOD; Aangepaste specifieke risico’s die geklasseerd zijn per risicotype in het RIM; Aangepaste risico referentie databank.

D2 Evaluatie verandering risico’s Hier gebeurt een actualisatie van de risicomatrix, de risico- controlematrix en de geprioriteerde lijst van de risico’s op basis van de wijzigingen vastgesteld in D1. Minimale vereisten • • • • •

Het Directiecomité, het betrokken Beheerscomité of vergelijkbaar overlegplatform kan beslissen om welbepaalde risicotypes direct door te verwijzen naar D3 zonder formele evaluatie maar met de nodige documentatie, aanduiding risico-eigenaar en argumentatie. Inventaris van de bestaande risicobeheermaatregelen die een nieuw of gewijzigd risicotype betreffen; Actualisatie van de risicomatrix, risico-controle matrix, de bronrisicoanalyse en de geprioriteerde lijst van risico’s, op FOD niveau door het Directiecomité en op niveau Directoraat-generaal en staf- of steundienst door de risico-eigenaar, met ondersteuning van de betrokken risicocoördinatoren; Aanstelling van een risico-eigenaar per nieuw risicotype dat weerhouden wordt voor verdere analyse; Aanvullen en bijwerken van de centrale risico referentie databank.


Lijst met nieuwe of veranderde risicotypes die direct doorverwezen worden naar D3, met de nodige documentatie, aanduiding risico-eigenaar en argumentatie; Aangepaste lijst met risicobeheermaatregelen per risicotype (indien nodig per specifiek risico); Aangepaste risicomatrix; Aangepaste risico-controle matrix; Aangepaste bronrisicoanalyse; Aangepaste lijst van geprioriteerde risico’s; Aanduiding van risico-eigenaars voor geselecteerde nieuwe risicotypes.





D3 Bepaling verandering reactie op het risico De gewenste reactie op het risico voor de verschillende nieuwe of veranderde risicotypes wordt bepaald. Overeenkomstig S3 kan dit Risico-vermijding, Risico-beperking, Risico-deling of Risico-aanvaarding zijn. Per gekozen nieuw of veranderd risicotype (of uitzonderlijk per nieuw of veranderd specifiek risico) wordt ook het aanvaardbare risiconiveau (risicotolerantie en tolerantiegrenzen) bepaald. Minimale vereisten •

•

Per nieuw of veranderd risicotype wordt de reactie op het risico en het aanvaardbaar risiconiveau bepaald. • Strategisch risicobeheer: beslissing over de reactie op het risico en over het aanvaardbaar risiconiveau op het niveau van het Directiecomité; • Operationeel risicobeheer: beslissing over de reactie op het risico en over het aanvaardbaar risiconiveau op niveau van het Beheerscomité of overeenkomstig overlegorgaan voor de steundienst; Aanvullen en bijwerken van de risico referentie databank door de risicocoördinator.


Lijst met de reactie op het risico per nieuw of veranderd risicotype (waarbij voor de optie risicoaanvaarding ook zal aangeduid worden of er opvolging vereist wordt of niet); Lijst van het aanvaardbaar risico niveau (risicotolerantie en tolerantiegrenzen) per nieuw of veranderd risicotype (en indien nodig per nieuw of veranderd specifiek risico).

D4 Bepaling verandering risicobeheermaatregelen Per nieuw of veranderd risicotype uit het risico identificatie model wordt een evaluatie gemaakt van de bestaande risicobeheermaatregelen. Indien nodig worden er nieuwe risicobeheermaatregelen gedefinieerd. Om tot een beter risicobeheer te komen kunnen we aanpassingen doen op 3 niveaus: aanpassing van de bestaande indicator, aanpassing van de bestaande risicobeheermaatregel of aanpassing van de gekozen reactie op het risico. Alle aanpassingen aan de risicobeheermaatregelen worden opnieuw samen met een kosten/batenanalyse ter validatie voorgelegd aan het Directiecomité of aan het betrokken Beheerscomité of overeenkomstig overlegorgaan voor de steundienst. Minimale vereisten •

• • •

Analyseren van de effectiviteit en toepasbaarheid van de huidige risicobeheermaatregelen en eventuele definiëring van nieuwe of aangepaste risicobeheermaatregelen, met inbegrip van eventuele aanpassingen aan de opvolging en aan de reactie op het risico; o Strategische risicobeheermaatregelen: op het niveau van het Directiecomité; o Operationele risicobeheermaatregelen: op niveau betrokken Beheerscomité of overeenkomstig overlegorgaan voor de steundienst. Aanpassen van de risico referentie databank; Beschrijving van de risicobeheermaatregelen per nieuw of veranderd geselecteerd risicotype uit het risico-identificatie model (op basis van D1); Nagaan in welke mate de nieuwe of veranderde risico’s (D2) worden afgedekt door de bestaande risicobeheermaatregelen via de risico-controlematrix;





• •

Evaluatie van bestaande risicobeheermaatregelen of de ontwikkeling van nieuwe risicobeheermaatregelen, rekening houdend met de gekozen reactie op de risico’s (op basis van D3), met inbegrip van de controleactiviteiten in de processen; Kosten-baten analyse per nieuwe of veranderde risicobeheermaatregel met opvolgingsmogelijkheden in samenwerking met de risicocoördinatoren voor validatie door het Directiecomité of het betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst.

. Opleverbare resultaten • • • •

Lijst van risicobeheermaatregelen per nieuw of veranderd geselecteerd risicotype (op basis van D1); Lijst van nieuwe of veranderde risicobeheermaatregelen, rekening houdend met de risico evaluatie (op basis van D2); Voorstellen voor behoud van de bestaande risicobeheermaatregelen en voor nieuwe of veranderde risicobeheermaatregelen (op basis van D3); Kosten-baten analyse per nieuwe of veranderde risicobeheermaatregel met opvolgingsmogelijkheden en selectie door het Directiecomité of het betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst.

D5 Implementatie verandering risicobeheermaatregelen De goedgekeurde nieuwe of gewijzigde risicobeheermaatregelen worden geïmplementeerd door de risico eigenaren. De nodige aanpassingen worden doorgevoerd aan documentatiestromen, informatiekanalen en indicatoren voor de bijwerking van het risicobeheersysteem. Minimale vereisten • • •

Implementeren van de goedgekeurde risicobeheermaatregelen met inbegrip van de controleactiviteiten in de processen; Actualisering van een opvolgingssysteem voor de opvolging van risicobeheermaatregelen en veranderingen in nieuwe of veranderde gebeurtenissen; Invoeren van de aanvaarde reacties op het risico en van de risicobeheermaatregelen in de risico referentie databank (herzien op consistentie in alle activiteiten).


Geïmplementeerde risicobeheermaatregelen; Geactualiseerd opvolgingssysteem; Geactualiseerde risico referentie databank; Bijgewerkte procesbeschrijvingen.







Figuur 4: Organisatorisch netwerk voor risicobeheer

Bijlage 1: Organisatorisch netwerk voor risicobeheer (netwerk MobiRisk)

Bijlagen



Bijlage 2: Glossarium van basisdefinities rond risicobeheer in de FOD Mobiliteit en Vervoer •

Aanvaardbaar risiconiveau is het risiconiveau dat het Directiecomité, het betrokken Beheerscomité of vergelijkbaar overlegplatform bereid is te aanvaarden in de nastreving van de operationele doelstellingen. Dit aanvaardbaar risiconiveau wordt gedefinieerd per risicotype (en indien nodig per specifiek risico) en wordt uitgedrukt in risicotolerantie en risicotolerantiegrenzen.

•

Behandelingsprioriteit : zie sleutelrisico

•

Bronrisico: Sommige risico’s kunnen andere/meerdere risico’s veroorzaken. We noemen deze bronrisico’s. Het aanpakken en trachten te beperken of vermijden van deze bronrisico’s zal ertoe leiden dat andere risico’s eveneens aangepakt of zelfs uitgeschakeld worden.

•

Bronrisicoanalyse is het proces van evalueren, toewijzen en meten van de mogelijke onderlinge afhankelijkheden en relaties tussen risicotypes van de dienst, het organisatieonderdeel of de FOD in zijn geheel.

•

COBIT (afkorting voor Control Objectives for Information Technology) is een internationaal raamkader voor goed bestuur van Informatie en Technologie binnen organisaties. Dit raamwerk wordt beheerd door ISACA (www.isaca.org/cobit) en is ontstaan vanuit IT audit. ISACA is een internationale vereniging van IT professionelen in het domein van audit, controle en informatiebeveiliging (Information systems audit and control association).

•

COSO: Het COSO referentiekader werd ontwikkeld door The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Dit comité, bestaande uit een aantal private organisaties, heeft in 1992 naar aanleiding van een aantal boekhoudschandalen en fraudegevallen aanbevelingen gedaan en richtlijnen aangegeven ten aanzien van interne controle en interne beheersing. In 1994 is daar nog een aanvulling opgekomen en werd dit samengevoegd in het COSO-rapport. Dit rapport is bedoeld om aan organisaties een uniform en gemeenschappelijk referentiekader voor interne controle aan te bieden en om het management te ondersteunen bij de verbetering van het interne controlesysteem.

•

Dekkingsgraad van het risico: de mate of graad waarin de genomen risicobeheermaatregelen het risico beheersen.

•

ERM of COSO ERM verwijst naar COSO Enterprise Risk Management. Dit is de aanvulling van COSO, een algemeen gebruikt referentiekader voor het interne controlesysteem, dat opgelegd wordt als referentiekader voor de federale overheid door het KB Interne controle. Binnen de FOD wordt ERM ook risicobeheer genoemd. Het risicobeheer voor de interne werking van de FOD (MobiRisk) gebruikt COSO ERM als raamwerk. Iedere verwijzing naar het risicobeheer voor de interne werking van de FOD impliceert dus het gebruik van dit referentiekader. Het COSO model werd geactualiseerd en er werden elementen toegevoegd en aangepast. Het geactualiseerde model richt zich niet meer alleen op interne controle maar op het gehele interne beheersingssysteem

•

Gebeurtenis is een voorval dat impact heeft op het bereiken van een doelstelling. Gebeurtenissen kunnen een positieve of negatieve impact hebben op de doelstellingen. Een gebeurtenis met een positieve impact is een opportuniteit. Een gebeurtenis met een negatieve impact is een risico.

•

Impact van een risico is de mate waarin een gebeurtenis met negatieve gevolgen, ondergebracht in een risicotype, indien ze voorvalt, de doelstellingen van een dienst, een organisatieonderdeel of de FOD in zijn geheel negatief beïnvloedt. De impact wordt uitgedrukt op een kwantitatieve (bvb. euro, aantal mensenlevens) of kwalitatieve (bvb. hoog - gemiddeld - laag) manier.





•

Inherent risicoprofiel : zie risiconiveau, risicoprofiel en risicomatrix.

•

INTOSAI : International Organisation of Supreme Audit Institutions, de overkoepelende organisatie voor de externe audit van de regeringen (de Rekenhoven),

•

Key Performance Indicator (KPI) is een prestatie-indicator gerelateerd aan één specifiek proces, dergelijke indicator meet het resultaat van een uitgevoerd proces m.b.t. de vooropgestelde doelstelling. Merk op dat een KPI ook los van een proces kan gezien worden meer in het bijzonder op strategisch vlak. Hier worden KPI’s verbonden met de strategische doelstellingen van de FOD en meet men het resultaat van een vooropgestelde strategische doelstelling.

•

Key Risk Indicator (KRI) is een indicator die het toekomstig effect meet van een risicobeheermaatregel ofwel de waarde van een factor die aanduidt wanneer een risico zich zal voordoen. Ze worden gedefinieerd in relatie tot één van de geïdentificeerde risico’s.

•

Mobirisk is de afkorting voor het risicobeheermodel intern ontwikkeld en gebruikt voor het risicobeheer van de FOD Mobiliteit en Vervoer.

•

Niveau van risicobeheer: is het resultaat van de evaluatie van de bestaande risicobeheermaatregelen voor een bepaald risicotype (of indien nodig voor een specifiek risico). Het is terug te vinden op de y-as van de risico-controlematrix. Bepalend hierbij is de inschatting van de relevantie en de volledigheid van het geheel van risicobeheermaatregelen.

•

Portfoliovisie op risico’s over het geheel van de organisatie Het portfolio beheer van risico’s is vervat in het geïntegreerd beheer van de risico’s binnen de FOD (MobiRisk), dat alle reeds in de FOD bestaande technieken voor risico-evaluatie en -beheer overkoepelt. MobiRisk streeft ernaar om een volledig zicht op de “risicoportefeuille” van de FOD te bieden door gebruik te maken van gemeenschappelijke terminologie, methoden en tools die van toepassing zijn voor alle afdelingen en functionele directies. De onderlinge relaties tussen de risico’s en het effect hiervan (domino-effect of demping van effecten) kan bekeken worden omdat er een FODoverkoepelend kader is. De MobiRisk aanpak voorziet expliciet het onderzoek van deze verbanden. De verschillende DG’s/stafdiensten zijn ervoor verantwoordelijk om het geïntegreerd risicobeheer op operationeel niveau in te voeren, aangepast aan hun specifieke activiteiten, maar rekening houdend met het risicobeheer op het overkoepelend niveau van de FOD (subsidiariteitsprincipe).

•

Projectleider risicobeheer is de persoon belast met de implementatie van het risicobeheer in de statische fase.

•

RACI matrix is een gestructureerd overzicht op twee assen tussen functies (verticale as) en taken (horizontale as). Een dergelijk gestructureerd overzicht dient enkel als leidraad voor de aanduiding van de belangrijkste rollen en verantwoordelijkheden per taak. De samenwerking wordt aangeduid op 4 niveaus: 9 Responsible (R): dit duidt de verantwoordelijkheid aan voornamelijk op uitvoeringsniveau van de persoon voor die specifieke taak. Belangrijke opmerking: er kunnen meerdere verantwoordelijken zijn voor dezelfde taak (meerdere R per horizontale lijn); 9 Accountable (A): dit duidt de ultieme eindverantwoordelijkheid aan van de persoon voor die specifieke taak. Belangrijke opmerking: er kan slechts één accountable zijn per taak (één A per horizontale lijn); 9 Consulted (C): dit wordt gebruikt om de functies aan te duiden die moeten gecontacteerd en geconsulteerd worden voor hun advies en opinie omtrent de taak. Specifiek voor de dienst Interne audit omvat dit ook de toegelaten ondersteunende taken in risicobeheer zoals facilitatie. 9 Informed (I): dit wordt gebruikt om de functies aan te duiden die geïnformeerd dienen te worden rondom de resultaten van de taak. Er bestaat een hiërarchie van belangrijkheid binnen dit gestructureerd overzicht, in het bijzonder in volgorde van zeer belangrijk naar minst belangrijk: A-R-C-I. Bovendien geldt het principe dat het meest





belangrijke niveau ook de rollen en verantwoordelijkheden van de onderliggende niveaus omvat bijvoorbeeld: een functie die responsible is zal ook meteen consulted en informed zijn. •

Reactie op het risico is de manier waarop we wensen om te gaan met het risico. Hiervoor kan gekozen worden uit vier opties: 9

9

9

9

Optie 1: Risico-vermijding (éviter - avoid) Deze optie is de meest restrictieve optie die in risicobeheer kan genomen worden. Ze komt neer op het vermijden van een risico geassocieerd met een activiteit door het elimineren of drastisch inkrimpen van de activiteiten of door het veranderen van de doelstellingen. Optie 2: Risico-beperking (réduire - reduce) Deze optie is de meest voorkomende aanpak van een risico. Bij risicobeperking worden specifieke maatregelen ondernomen om de impact en/of de waarschijnlijkheid van het voorkomen van het risico te beperken. Optie 3: Risico-deling (partager - share) Deze optie bestaat uit het transfereren van een deel of de gehele verantwoordelijkheid of een bepaald type verantwoordelijkheid rond een risico naar een derde partij. In deze optie worden maatregelen ondernomen om de impact en/of de waarschijnlijkheid van het voorkomen van het risico te beperken door deling. Optie 4: Risico-aanvaarding (accepter - accept) Deze optie laat het risico bestaan zonder verdere ingrepen op impact of waarschijnlijkheid. Deze optie wordt meestal genomen indien het risico niet beheersbaar is, indien de andere drie opties niet tot de mogelijkheid behoren of indien het Directiecomité / Directoraat-generaal expliciet het risico aanvaardt zoals het is.

•

Residueel risicoprofiel: zie risiconiveau, risicoprofiel en risico-controlematrix.

•

Risico is de mogelijkheid dat een gebeurtenis zich voordoet met een negatieve invloed op het bereiken van de doelstellingen van een dienst, een organisatieonderdeel of de organisatie in zijn geheel. Het is de uitdrukking van (a) de belangrijkheid van de mogelijke ongewenste of negatieve invloed van een gebeurtenis op de verwezenlijking van de strategische en/of operationele doelstellingen en (b) de waarschijnlijkheid van voorkomen van deze gebeurtenis binnen een bepaalde vooropgestelde tijdshorizon.

•

Risicoanalyse is een gestructureerd proces dat één van de processtappen van het risicobeheer is, waarbij de betrokkenen eerst bekijken welke risicotypes het meest waarschijnlijk voorkomen binnen een bepaald tijdsinterval en welke risicotypes de meeste impact hebben met betrekking tot de verantwoordelijkheid van de dienst, het organisatieonderdeel of de FOD in zijn geheel. Vervolgens evalueren de betrokkenen de bestaande risicobeheermaatregelen om tot een risicoanalyse te komen.

•

Risicobeheer is een proces onder leiding van het Directiecomité van toepassing doorheen de volledige organisatie toegespitst op de identificatie van risico’s, op het beheer van risico binnen de aanvaardbare normen en op het geven van redelijke zekerheid naar het bereiken van de doelstellingen van een dienst, een organisatieonderdeel of de organisatie in zijn geheel. Risicobeheer binnen de FOD Mobiliteit en Vervoer wordt ook MobiRisk genoemd.

•

Risicobeheer boordtabel is het resultaat van de stand van zaken op de verschillende dimensies van het risicobeheermodel (ERM dimensies). Deze boordtabel is een foto van de sterkten en zwakten van het risicobeheer binnen de FOD.

•

Risicobeheermaatregel is een concrete, in detail beschreven aanpak van een bepaald risicotype (of indien nodig specifiek risico) gekozen op basis van een door het Directiecomité, Beheerscomité of vergelijkbaar overlegplatform gekozen reactie op het risico. Risicobeheermaatregelen omvatten dus ook alle controles in de processen. Deze controles omvatten manuele en geautomatiseerde controles in combinatie met preventieve, detectieve en correctieve controles:





9

9

9

9

9 9

Manuele preventieve controle: zorgt ervoor dat een bepaalde procesdoorloop die niet conform gestelde vereisten verloopt, manueel gestopt wordt en dusdanig geen doorgang kan vinden. Een manuele preventieve controle kan gevolgd worden door een manuele detectieve en correctieve controle. Geautomatiseerde preventieve controle: zorgt ervoor dat een bepaalde procesdoorloop die niet conform gestelde vereisten verloopt, automatisch gestopt wordt en geen doorgang kan vinden. Deze controle kan gevolgd worden door een manuele en/of geautomatiseerde detectieve en correctieve controle. Manuele detectieve controle: zorgt ervoor dat een bepaalde procesdoorloop die niet conform gestelde vereisten verloopt, manueel gesignaleerd wordt. Het proces kan echter wel doorlopen. Een manuele detectieve controle kan gevolgd worden door een manuele correctieve controle. Geautomatiseerde detectieve controle: zorgt ervoor dat een bepaalde procesdoorloop die niet conform gestelde vereisten verloopt, automatisch gesignaleerd wordt. Het proces kan echter wel doorlopen. Een geautomatiseerde detectieve controle kan gevolgd worden door een manuele en/of geautomatiseerde correctieve controle. Manuele correctieve controle: zorgt ervoor dat een vastgesteld probleem op manuele wijze wordt opgevangen en gecorrigeerd. Geautomatiseerde correctieve controle: zorgt ervoor dat een vastgesteld probleem op een geautomatiseerde wijze wordt opgevangen en gecorrigeerd.

•

Risicobeheermodel verwijst naar het model MobiRisk, geïnspireerd op het COSO ERM model.

•

Risicobereidheid is het algemene risiconiveau voor de volledige FOD dat het Directiecomité al dan niet bereid is om te aanvaarden om de strategische doelstellingen van de FOD te bereiken. De risicobereidheid wordt visueel weergegeven op de risico-controle matrix. Ieder Beheerscomité of overeenkomstig overlegorgaan voor de steundienst kan indien nodig een specifieke afwijking van de globale risicobereidheid van de FOD ter validatie voorstellen aan het Directiecomité.

•

Risicocategorie verzamelt risicoklassen en bestaat binnen de FOD uit drie soorten: 9

9

9

Risicocategorie 1 omvat alle risicoklassen met betrekking tot de externe omgeving. Dit zijn risico’s die ontstaan in de omgeving van de FOD of één of meer organisatieonderdelen. Een organisatieonderdeel kan een dienst, een proces of een subproces zijn. Deze risico’s worden veroorzaakt door gebeurtenissen buiten de directe reikwijdte of het directe actieterrein van de FOD of het organisatieonderdeel zelf en waarop de FOD of het organisatieonderdeel weinig of geen invloed heeft. Risicocategorie 2 omvat alle klassen van operationele of procesrisico’s. Dit zijn risico’s die veroorzaakt worden door gebeurtenissen in de uitvoering van de activiteiten (de processen) van de FOD. Kenmerkend aan deze categorie is dat de FOD deze gebeurtenissen kan beïnvloeden. Risicocategorie 3 omvat alle risicoklassen met betrekking tot de besluitvorming. Deze risico’s worden veroorzaakt door gebeurtenissen naar aanleiding van besluitvorming op basis van de informatie uit de omgeving en de processen. Ook deze gebeurtenissen kan de FOD beïnvloeden.

•

Risico-controlematrix is de grafische voorstelling van een risicoanalyse waarbij het inherente risiconiveau (het resultaat van de risicomatrix) en niveau van risicobeheer op twee assen weergegeven wordt. Dit wordt ook het residuele risicoprofiel genoemd.

•

Risicocoördinatoren zijn door het Directiecomité aangestelde personen. De risicocoördinatoren vervullen binnen ieder Directoraat-generaal en binnen iedere stafdienst en/of steundienst de rol van lokale adviseur voor risicobeheer (en interne controle). Deze risicocoördinatoren zijn betrokken in zowel de statische als dynamische fase in het systeem voor risicobeheer. Er bestaat een formele functiebeschrijving voor deze rol.





•

Risico-eigenaars worden aangeduid op twee niveaus. Enerzijds op strategisch niveau en anderzijds op operationeel niveau. Op strategisch niveau zal de eindverantwoordelijkheid worden toegekend aan diegene die het risico beheert. Op operationeel niveau zal de eindverantwoordelijkheid worden toegekend aan diegene die het proces beheert. De ultieme eindverantwoordelijkheid voor het goed beheer van de relevante risico’s blijft steeds bij het Directiecomité van de FOD.

•

Risico-evaluatieteam is een ad hoc samengestelde groep van experten, belast met de evaluatie van een risicotype en/of een risico voor welk zij gezamenlijk de nodige expertise hebben.

•

Risico Identificatie Model (afgekort als RIM) is een gestructureerd overzicht met de definities van alle mogelijke risicotypes, zonder voorkeur of prioriteiten. Dergelijk model zorgt er voor dat iedereen binnen de FOD dezelfde definities hanteert. Een risico identificatie model (soms ook risico inventaris of risicomodel of nog risicocatalogus genoemd) is een overkoepelend raamwerk dat de FOD toelaat om de risico’s te identificeren, te klasseren en te prioriteren, gebruik makend van dezelfde taal rondom risico’s over heel de FOD.

•

Risicoklasse is een onderdeel van het Risico identificatiemodel waarin gelijkaardige risicotypes verzameld worden.

•

Risicomatrix is een grafische voorstelling van het resultaat van een risicoanalyse waarbij de impact en waarschijnlijkheid van voorkomen van een risicotype (of indien nodig van een specifiek risico) op twee assen weergegeven wordt. Dit wordt ook het inherent risicoprofiel genoemd.

•

Risicobeheer maturiteitsniveau is de beschrijving van het niveau van risicobeherend vermogen van de dienst, een organisatieonderdeel of van de FOD in zijn geheel. Dit niveau wordt weergegeven in een Risicobeheer boordtabel.

•

Risiconiveau (inherent en residueel) - zie ook risicoprofiel. In de risicoanalyse worden drie componenten van risico geanalyseerd: 1. Component impact: hoe groot is de impact van het risico op de organisatie, als het risico zich manifesteert, zonder rekening te houden met bestaande risicobeheermaatregelen? 2. Component waarschijnlijkheid van voorkomen: hoe waarschijnlijk achten we het optreden van het risico binnen een welbepaald tijdsinterval? 3. Component bestaand niveau van risicobeheer: hoe effectief is het bestaande niveau van risicobeheer (waaronder interne controles)? De componenten 1 en 2 vormen samen het inherente risiconiveau van een risico(type) en geven een indicatie van de blootstelling van de organisatie, los van de bestaande controles. Het inherente risiconiveau gecombineerd met het bestaand niveau van risicobeheer vormt het residuele risiconiveau van een risico(type), met andere woorden het risiconiveau na inachtneming van de reeds bestaande risicobeheermaatregelen.

•

Risicoprofiel (inherent en residueel) is een overzicht van de risiconiveaus (inherent en residueel) van de verschillende risicotypes die onderzocht werden in de risicoanalyse. Het wordt voorgesteld via de risico-matrix (het inherente risicoprofiel) en de risico-controle matrix (het residuele risicoprofiel).

•

Risico referentie databank geeft alle relevante informatie weer met betrekking tot risicocategorieën, risicotypes en de specifieke risico’s.

•

Risicotolerantie en risicotolerantiegrenzen zijn een uitdrukking van het niveau van variatie dat het Directiecomité of betrokken Beheerscomité (of overeenkomstig overlegorgaan voor de steundienst) tolereert tussen de bereikte resultaten en de vooropgestelde doelstellingen uitgedrukt per risicotype (en indien nodig per specifiek risico). Deze risicotolerantiegrenzen worden bepaald via KRI’s of KPI’s..





•

Risicotype: alle risico’s gelijkaardig van aard worden in het risico identificatie model samengebracht onder een gemeenschappelijke noemer, het risicotype. Vervolgens worden de risicotypes verder gegroepeerd naar aard in risicoklassen en risicocategorieën.

•

Sleutelrisico is elk risico met een hoge waarschijnlijkheid om de strategische doelstellingen van de FOD negatief te beïnvloeden. De lijst van sleutelrisico’s (inclusief de volgorde die de behandelingsprioriteit weergeeft) wordt echter ultiem vastgelegd door het Directiecomité van de FOD. Net zoals strategische doelstellingen dienen vertaald te worden in operationele doelstellingen zullen ook strategische sleutelrisico’s dienen vertaald te worden in operationele sleutelrisico’s.

•

Waarschijnlijkheid van voorkomen van een risico (probabiliteit) is de kans dat een gebeurtenis met negatieve gevolgen, ondergebracht in een risicotype, de doelstellingen van een dienst, een organisatieonderdeel of de FOD in zijn geheel gedurende een bepaald tijdsinterval zal voorvallen. De kans wordt uitgedrukt op een kwantitatieve schaal (%) of een kwalitatieve schaal (bvb. hoog, gemiddeld, laag).





Bijlage 3: Rol en verantwoordelijkheden van de dienst Interne audit in het risicobeheer Wanneer de Dienst Interne audit een rol op zich neemt in het risicobeheer en de interne controle moeten de IIA16 normen hieromtrent gerespecteerd worden.

Verboden taken voor de dienst Interne audit zijn: •

Risicobereidheid en het aanvaardbaar risiconiveau bepalen;

•

Risicobeheer en -processen opleggen (dit is een managementbeslissing);

•

Redelijke zekerheid verstrekken rond risico in naam van het management;

•

Beslissingen nemen met betrekking tot de reactie op de risico’s;

•

Risicobeheermaatregelen implementeren in naam van het management;

•

Eindverantwoordelijkheid opnemen voor het risicobeheer binnen de FOD.

Mogelijke taken voor de Dienst Interne audit (mits de nodige waakzaamheid over de onafhankelijkheid van Interne audit) zijn: •

Facilitatie bij het identificeren en evalueren van de risico’s;

•

Coachen van het management bij de keuze van de reactie op de risico’s;

•

Coördineren van “ERM” (Enterprise-wide risk management), in de FOD risicobeheeractiviteiten genoemd;

•

Consolidatie van risicorapportering;

•

Onderhouden en ontwikkelen van het ERM beheermodel, in de FOD MobiRisk beheermodel genoemd;

•

Voortrekker zijn van de implementatie van ERM, in de FOD risicobeheer in het algemeen genoemd;

•

Risicobeheer strategie ontwikkelen ter goedkeuring door het Directiecomité.

Verplichte taken van de Dienst Interne audit met betrekking tot het risicobeheer; •

Nakijken van het beheer van de sleutelrisico’s;

•

Evalueren van de rapportering over de sleutelrisico’s;

•

Evalueren van het risicobeheerproces;

•

Redelijke zekerheid geven dat de risico’s correct geëvalueerd zijn;*

•

Redelijke zekerheid geven over het risicobeheerproces;* * aan wie en hoe ?

De taken die de dienst Interne audit binnen de FOD op zich neemt in het risicobeheer en de modaliteiten zijn opgenomen in het auditcharter.17

16 17

IIA: Institute of Internal Auditors Nog in opmaak – goed te keuren in de loop van 2008





Bijlage 4: Functiebeschrijving van de risicocoördinator 1. Inleiding De rol van risicocoördinator is een bijkomende rol, die met de betrokkene wordt vastgelegd in het functieen/of planningsgesprek in het kader van de ontwikkelcirkels. Het takenpakket en de verantwoordelijkheden zijn een feitelijk doorlopen van de taken en verantwoordelijkheden die volgen uit het doorlopen van de PDCA-cyclus. Mogelijke taken • • • • •

het verspreiden van de methodologie van risicobeheer over de FOD heen; de continue aanpassing van de methodologie met de projectleider(s) en/of diensthoofd en het helpen invoeren en onderhouden van risicobeheersystemen en van interne controlesystemen; het begeleiden en ondersteunen van de werkzaamheden van de projectleider(s) en/of diensthoofd risicobeheer op het niveau van het betrokken Directoraat-generaal of de Staf- of Steundienst; meewerken aan het opstellen van de risicobeheer boordtabel voor hun Directoraat-generaal of de Staf- of Steundienst; in voorkomend geval deelnemen aan de strategische risicoanalyse workshop als observator.

Om echter het management toe te laten om geschikte competente risicocoördinatoren aan te duiden heeft de Stafdienst P&O in samenspraak met de dienst Interne audit een functieprofiel opgesteld dat de volgende doelstellingen heeft: -

-

het management een referentiekader geven om geschikte risicocoördinatoren aan te duiden (selectie), de verwachtingen te verduidelijken ten aanzien van de gekozen coördinator, de coördinator te coachen en te begeleiden, bijkomende vorming te voorzien en dit voor de aanvang van de opdracht, de waardering van de risicocoördinator, de evaluatie van de risicocoördinator, … de risicocoördinator een houvast geven, zowel m.b.t. zijn rol en opdrachten (wat wordt van mij verwacht ?), als wat betreft de vereiste competenties (hoe moet ik mijn functie uitoefenen ?)

2. Functieprofiel van risicocoördinator Doel van de functie Op autonome wijze coördineren, faciliteren, aanpassen aan de wijzigende omstandigheden, toepassen en helpen invoeren van risicobeheersystemen en interne controlesystemen in de diverse Directoratengeneraal en/of Staf- en Steundiensten teneinde het management toe te laten de risico’s van diverse beslissingen te kunnen meten, detecteren en constateren om aldus het beleid ten allen tijde bij te kunnen sturen en de juiste beslissingen en beheersmaatregelen te kunnen nemen. Permanente resultaatgebieden Als raadgever zijn management (Directeur-generaal of Stafdirecteur) adviseren over het integreren van het risicobeheer in het dagelijks beheer ten einde hen toe te laten hun beslissingen op basis van geïntegreerd risicobeheer te nemen.





Mogelijke taken • • • •

adviseren van het management over integratie in het dagelijks beheer; voorleggen van de risicobeheermaatregelen aan het Directiecomité, het Beheerscomité of vergelijkbaar overlegplatform; adviseren van de projectleiders en/of diensthoofd over het gebruik van de methodologie inzake risicobeheer; vertegenwoordigen van het Directoraat-generaal of de Staf- en Steundienst binnen het netwerk van risicocoördinatoren.

Als coördinator het verspreiden en toepassen van de methodologie van risicobeheer in het eigen Directoraat-generaal en/of Staf- en Steundienst en het verzamelen van de nodige informatie over de aanwezige risico’s teneinde het gebruik van risicobeheer algemene ingang te laten vinden binnen het eigen Directoraat-generaal en/of Staf- en Steundienst. Mogelijke taken • • • • • • •

het verzamelen van de nodige informatie over de risico’s en de veranderingen (inventaris van de risico’s), en deze presenteren onder de gepaste vorm (risicomatrix, risico-controlematrix, gebruik van het risico-identificatie model); het bijhouden van de risico referentie databank en van de documentatie van het interne controlesysteem; in samenspraak met de collega’s risicocoördinatoren opmaken van een communicatieaanpak voor het verspreiden van de methodologie inzake risicobeheer, de aanpassingen en het uitvoeren hiervan; het organiseren van informatievergaderingen en vormingen inzake risicobeheersysteem en de aanpassingen hieraan; het begeleiden van de projectleider risicobeheer en/of van het diensthoofd inzake risicobeheer; verslag uitbrengen over de vooruitgang van het risicobeheer hiervan; het bijsturen van de kennis over de methodologie inzake risicobeheer.

Als expert het in overleg met het MobiRisk netwerk Risicobeheer continu aanpassen en bijsturen van de methodologie inzake risicobeheer ten einde een betere toepassing mogelijk te maken. Mogelijke taken • • • • •

opvolgen van de actualiteit ( vakliteratuur, internet,…) en in overleg met de leidinggevende deelnemen aan seminaries en evenementen die betrekking hebben op risicobeheer, procesbeschrijvingen en veranderingsmanagement; uitwerken van voorstellen van aanpassingen aan de methodologie van risicobeheer in overleg met de dienst Interne audit; sporadisch presenteren van de voorstellen van aanpassingen aan de methodologie aan het netwerk, het Beheerscomité, het platform, het Directiecomité; implementeren en opvolgen van controle-instrumenten en opvolgingsdocumenten over de controleomgeving; in overleg met de projectleiders en de diensthoofden mee uitvoeren van de risicobeheermaatregelen, waaronder deze met betrekking tot de controleomgeving.

Als coach het begeleiden, ondersteunen en opvolgen van de werkzaamheden van de projectleider risicobeheer op het niveau van de betrokken Beheerscomité/Staf- en Steundienst teneinde ervoor te zorgen dat de aanwezige ervaring en competenties optimaal ingezet worden.





Mogelijke taken • • • •

bijstaan en begeleiden van de projectleiders risicobeheer en opnemen van complexe taken; opleiden van de projectleiders risicobeheer over de methodologie van risicobeheer; geven van feedback aan de diverse projectleiders risicobeheer om hun individuele ontwikkeling te bevorderen; aangeven van richtingen, informatiebronnen aan de projectleiders risicobeheer.

Als evaluator het evalueren van de controle omgeving, de risico’s en de veranderingen binnen hun betrokken Beheerscomité/Staf- en Steundienst en het opvolgen van de risicobeheermaatregelen ter verbetering van de controleomgeving ten einde deze effectiever te maken of effectief te houden. Mogelijke taken • • • • • • •

meten en evalueren van de verschillende dimensies van het risicobeheer (ERM dimensies), waaronder de controleomgeving; opstellen van opvolgingsdocumenten en publicaties voor het project; verzamelen van statistieken en vergelijken van informatie; feedback geven aan het management en de projectleiders; opmaken van risicobeheermaatregelen ter verbetering van de verschillende dimensies van het risicobeheer, waaronder de controleomgeving; evaluatie van de risico’s en evaluatie van het huidige niveau van risicobeheer, gebaseerd op de informatie van de projectleiders en de zelf ingezamelde informatie; analysenota's opmaken over de geïmplementeerde of de te implementeren risicobeheermaatregelen.

Technische expertise Kennis van procesbeschrijvingstechnieken. of men over deze competentie beschikt kan o.a. afgeleid worden uit volgende elementen: • interne opleiding hebben gevolgd • geslaagd zijn voor gecertificeerde opleiding procesbeschrijving • opleiding van OFO inzake procesbeschrijvingen gevolgd hebben • evenwaardige andere opleiding gevolgd hebben • relevante ervaring Kennis van risicobeheer of men over deze competentie beschikt kan o.a. afgeleid worden uit volgende elementen: • interne opleiding risicobeheer gevolgd hebben • evenwaardige andere opleiding gevolgd hebben Basiskennis van change management of men over deze competentie beschikt kan o.a. afgeleid worden uit volgende elementen: • opleiding change management van OFO gevolgd hebben • evenwaardige andere opleiding gevolgd hebben • relevante ervaring (één of meerdere change management processen succesvol hebben uitgevoerd)





Bijlage 5: MobiRisk RACI Matrix Een RACI matrix is een gestructureerd overzicht op twee assen tussen functies (verticale as) en taken (horizontale as). Dit gestructureerd overzicht dient enkel als leidraad voor de aanduiding van de belangrijkste rollen en verantwoordelijkheden per taak.

R R R R R R R R R R

C C

C C

Pro ject le

ider

Aud it* r ne Inte

r

C C C C C C C C C C C C

o-e valu

ena a o-e ig Ris ic

A /R A /R A A A A A /R A /R A A A A

Ris ic

M o b iR is k R A C I-m a trix S tra te g is c h V o o rb e re id in g : O p s te lle n h u id ig e e n g e w e n s te s itu a tie ris ic o b e h e e r S 1 : Id e n tific a tie G e b e u rte n is s e n S 2 : E v a lu a tie R is ic o 's S 3 : B e p a lin g R e a c tie o p h e t R is ic o S 4 : B e p a lin g R is ic o b e h e e rm a a tre g e le n S 5 : Im p le m e n ta tie R is ic o b e h e e rm a a tre g e le n B ijw e rk e n va n d e h u id ig e e n g e w e n s te s itu a tie ris ic o b e h e e r D 1 : Id e n tific a tie V e ra n d e rin g G e b e u rte n is s e n D 2 : E va lu a tie V e ra n d e rin g R is ic o 's D 3 : B e p a lin g V e ra n d e rin g re a c tie o p h e t R is ic o D 4 : B e p a lin g V e ra n d e rin g R is ic o b e h e e rm a a tre g e le n D 5 : Im p le m e n ta tie V e ra n d e rin g R is ic o b e h e e rm a a tre g e le n

atie

tea m

B e tro k k e n P a rtije n



C C C C C C

Figuur 5: MobiRisk RACI matrix Strategisch

ti ec Dire c

MobiRisk RACI-matrix Operationeel

om i té Be h eer s co m it é Ris ic oei g ena ar P ro je ct l ei d er In te rne A ud i t* Ri s i co co ö rd in a to r en Ris i coe va l ua ti et e am

Betrokken Partijen

Voorbereiding: Opstellen huidige en gewenste situatie risicobeheer S1: Identificatie Gebeurtenissen S2: Evaluatie Risico's S3: Bepaling Reactie op het Risico S4: Bepaling Risicobeheermaatregelen S5: Implementatie Risicobeheermaatregelen Bijwerken van de huidige en gewenste situatie risicobeheer D1: Identificatie Verandering Gebeurtenissen D2: Evaluatie Verandering Risico's D3: Bepaling Verandering reactie op het Risico D4: Bepaling Verandering Risicobeheermaatregelen D5: Implementatie Verandering Risicobeheermaatregelen

A I I I I I A I I I I I

R A/R A A A A R A/R A A A A

R R R R R R R R R R

C C C C C C

C C I I I I C C I I I I


C C

C C

Figuur 6: MobiRisk RACI matrix Operationeel * De Interne audit zal enkel de toegelaten taken waarnemen conform bijlage 3

Legende: 9 Responsible (R): dit duidt de persoon aan die, voornamelijk op uitvoeringsniveau, verantwoordelijk is voor die specifieke taak. Belangrijke opmerking: er kunnen meerdere verantwoordelijken zijn voor dezelfde taak (meerdere R per horizontale lijn);





9 Accountable (A): dit duidt de persoon aan die de ultieme eindverantwoordelijkheid heeft voor die specifieke taak. Belangrijke opmerking: er kan slechts één “accountable” zijn per taak (één A per horizontale lijn); 9 Consulted (C): dit wordt gebruikt om de functies aan te duiden die moeten gecontacteerd en geconsulteerd worden voor hun advies en opinie omtrent de taak. Specifiek voor de dienst Interne audit omvat dit ook de toegelaten ondersteunende taken in risicobeheer zoals onder meer facilitatie. 9 Informed (I): dit wordt gebruikt om de functies aan te duiden die geïnformeerd dienen te worden rondom de resultaten van de taak. 9

Zwart: aanduiding van de fasen waarbij van de betrokken partij nog niet gekend is of zijn taken reeds vervuld heeft; 9 Wit: aanduiding van de fasen waarbij van de partij geen interventie vereist is Er bestaat een hiërarchie van belangrijkheid binnen dit gestructureerd overzicht, in het bijzonder in volgorde van zeer belangrijk naar minst belangrijk: A-R-C-I. Bovendien geldt het principe dat het meest belangrijke niveau ook de rollen en verantwoordelijkheden van de onderliggende niveaus omvat. Bijvoorbeeld: een functie die responsible is, zal ook meteen consulted en informed zijn.





Bijlage 6: Risicobeheer binnen de FOD - details

6.1. Overzicht van de stappen in het risicobeheer De Federale Overheidsdienst Mobiliteit en Vervoer heeft een specifieke aanpak ontwikkeld en vastgelegd voor risicobeheer. Hierbij werd door de FOD gekozen voor een gecentraliseerde aanpak van het risicobeheer en de interne controle met de nodige delegatie rond uitvoering. Hieronder het schematisch overzicht van het risicobeheer.

Figuur 7: MobiRisk Schema De risicobeheercyclus bestaat uit de volgende twee grote fasen zoals weergegeven in de bovenstaande figuur: • Statische fase: deze fase wordt eenmalig uitgevoerd in een projectmatige aanpak en bestaat uit vijf stappen. Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer




•

Dynamische fase: deze fase wordt op continue basis uitgevoerd en bestaat uit vijf stappen.

Doorheen alle stappen van MobiRisk zal steeds de gepaste informatie en communicatie samen met opvolging (monitoring) toegepast worden om te zorgen voor een goede implementatie van het risicobeheer binnen de FOD.

6.2. Statische Fase Voorbereiding: Opstellen huidige en gewenste situatie risicobeheer

Figuur 8: MobiRisk Schema Statische Fase •

Opstellen “huidige” situatie risicobeheer

Het Directiecomité beschrijft op hoog niveau de huidige stand van zaken op de verschillende dimensies van het risicobeheermodel (deze dimensies worden in Bijlage 7: COSO ERM toegelicht). Het eindresultaat is het risicobeheer maturiteitsniveau. De interne omgeving of de controleomgeving vormt in het risicobeheermodel de basis van de andere dimensies en is bijgevolg van primair belang om een efficiënt en effectief risicobeheer te kunnen implementeren binnen de FOD. De dimensies van het risicobeheermodel zijn aan elkaar gekoppeld. Hierdoor zal het totale risico maturiteitsniveau zo hoog zijn als de maturiteit van de zwakste dimensie. De maturiteit zal worden weergegeven in de Risicobeheer boordtabel. Deze boordtabel is een “foto” van de sterktes en zwaktes van risicobeheer binnen de FOD. Deze foto is tevens het vertrekpunt voor de periodieke evaluaties die toelaten om de evolutie van het risicobeheer binnen de FOD te visualiseren. •

Bepaling gewenste situatie risicobeheer

Het Directiecomité definieert een nieuwe gewenste situatie omtrent het risicobeheer binnen de FOD. Deze gewenste situatie rond risicobeheer wordt vertaald in doelstellingen (die ingedeeld kunnen worden in vier basiscategorieën: Strategie, Operaties, Rapportering en Conformiteit) en de daarbij behorende risicobereidheid. Dit is het risiconiveau dat het Directiecomité al dan niet bereid is om te aanvaarden om de strategische doelstellingen van de FOD te bereiken. Dit strategisch risiconiveau wordt vertaald naar het operationele niveau door de Beheerscomités of vergelijkbaar overlegplatform.





De huidige en de gewenste situatie zal worden weergegeven in een Risicobeheer boordtabel. In uitzonderlijke omstandigheden kan het Directiecomité of een Beheerscomité (of een overeenkomstig overlegplatform voor een steundienst) reeds in deze fase bepaalde risicobeheermaatregelen uitvoeren. Uiteraard moeten deze duidelijk gemotiveerd en gedocumenteerd worden.

Figuur 9: Voorstelling risicobeheer maturiteitsniveau (illustratief) •

Aanpak voorbereiding

De FOD hanteert een gecentraliseerde risicobeheer aanpak. • De voorbereiding zal daarom uitgevoerd worden binnen het Directiecomité. Dit zal geschieden aan de hand van een risicobeheer vragenlijst die in een workshop wordt behandeld via een stemming en gefaciliteerd door de dienst Interne audit. Indien de Dienst Interne audit niet faciliteert, is zij aanwezig als observator. • Ook binnen ieder betrokken Beheerscomité (of overeenkomstig overlegplatform voor de steundienst) zal dit soort analyse uitgevoerd worden, ter voorbereiding van de operationele risicoanalyse. Deze workshop zal gefaciliteerd worden door de betrokken risicocoördinatoren en bijgewoond worden door de dienst Interne audit als observator. Minimale vereisten • • •

•

•

Validatie van de 13 succesfactoren voor MobiRisk door het Directiecomité; Validatie van de 13 succesfactoren voor MobiRisk per Directoraat-generaal of stafdienst of steundienst; Analyse door het Directiecomité op hoog niveau van een stand van zaken op de verschillende dimensies van het risicobeheermodel (ERM dimensies ) via een workshop gefaciliteerd door de Dienst Interne audit, met bepaling van het gewenste maturiteitsniveau; Indien de Dienst Interne audit niet faciliteert, is zij aanwezig als observator. Analyse op hoog niveau per betrokken Beheerscomité (of overeenkomstig overlegplatform voor de steundienst) van een stand van zaken op de verschillende dimensies van het risicobeheermodel (ERM dimensies), via een workshop gefaciliteerd door de betrokken risicocoördinatoren; met bepaling van het gewenste maturiteitsniveau; De Dienst Interne is aanwezig als observator. Bepaling globale risicobereidheid van de FOD;





• •

Bepaling risicobereidheid van een DG/Stafdienst/steundienst indien deze afwijkt van de globale risicobereidheid van de FOD (gevalideerd door het Directiecomité). Bepaling van alle elementen van de rapporteringsnorm.

Opleverbare resultaten • • • • • • • •

Lijst van de risicocoördinatoren van de FOD; Document met validatie van de 13 succesfactoren voor MobiRisk door het Directiecomité; Document met validatie van de 13 succesfactoren voor MobiRisk per Directoraat-generaal of stafdienst of steundienst; Document met de Risicobeheer boordtabel van de FOD, dat tevens de risicobeheer visie weergeeft; Documenten met de Risicobeheer boordtabel van de DG/stafdiensten/steundienst, dat tevens de risicobeheer visie weergeeft; De globale risicobereidheid van de FOD, visueel voorgesteld op de risico-controlematrix; Indien afwijkend aan het globale kader: de risicobereidheid binnen de DG/stafdienst/steundienst (gevalideerd door het Directiecomité). Alle elementen van de rapporteringsnorm.

S1 Identificatie gebeurtenissen

Figuur 10: MobiRisk schema: identificatie gebeurtenissen Een gebeurtenis kan zowel een positieve als negatieve impact hebben op het bereiken van de doelstellingen van een dienst, een organisatieonderdeel of de FOD in zijn geheel. Bij een gebeurtenis met een positieve invloed spreekt men van een opportuniteit. Bij een gebeurtenis met een negatieve invloed spreekt men van een risico. Het is deze laatste groep gebeurtenissen die wordt onderzocht in het risicobeheer.





Een risico is de uitdrukking van (a) de belangrijkheid van de gebeurtenis met een negatieve invloed op de verwezenlijking van de strategische en/of operationele doelstellingen en (b) de waarschijnlijkheid van voorkomen van deze gebeurtenis met een negatieve invloed binnen een bepaalde vooropgestelde tijdshorizon. In deze fase (S1) is het belangrijk om alle mogelijke gebeurtenissen met een negatieve invloed te identificeren. Daarna zullen alle geïdentificeerde gebeurtenissen herleid worden naar risico’s die op hun beurt in risicotypes, risicoklassen en risicocategorieën zullen beschreven worden in het risico identificatie model van de FOD. Deze identificatie van gebeurtenissen met een negatieve invloed op de doelstellingen - de risico’s - is een éénmalige stap, die een beeld geeft van de bestaande situatie. De analyses die in deze activiteit worden uitgevoerd, worden later op regelmatige basis geactualiseerd in de dynamische fase (D1 tot D3). Het doel van deze stap is het verkrijgen van een zo volledig mogelijk en objectief beeld van alle mogelijke risico’s - waarmee de dienst, het organisatieonderdeel of de FOD in zijn geheel geconfronteerd wordt. Hierbij wordt gebruik gemaakt van informatie uit diverse bronnen zoals - Basisinformatie die ter beschikking is: 9 Managementplannen, verslagen van vergaderingen, procesbeschrijvingen, evaluatie van de interne omgeving….. - Interviews met medewerkers die actief betrokken zijn in het proces/de activiteit: 9 Medewerkers weten het best wat er fout gaat of fout kan gaan - Workshops met medewerkers die actief betrokken zijn in het proces/de activiteit: In deze workshops wordt het proces centraal gesteld, we maken een balans op van de gebeurtenissen, de verbonden risico’s en de bestaande controles 9 Een goede procesbeschrijving is dus primordiaal ! - Andere informatie: 9 Krantenartikels, betrokken partijen andere dan de medewerkers van de FOD zelf , interne en externe evaluaties, verslagen van het Rekenhof of van de Inspectie van Financiën… •

Klassering van risico’s in het risico identificatie model of RIM.

Alle risico’s worden in kaart gebracht in het risico identificatie model of RIM. Traditioneel wordt dit model opgebouwd aan de hand van informatie van betrokken actoren over gebeurtenissen met een mogelijk negatieve invloed op de doelstellingen van de FOD en/of van het organisatieonderdeel. Het risico identificatie model richt zich niet alleen op de reeds gedetecteerde risico’s, maar ook op de potentiële risico’s en dit via een holistische18 aanpak. Het risico identificatie model moet toelaten om alle mogelijke gebeurtenissen met een negatieve invloed in te delen in een gestandaardiseerde structuur. Alle risico’s gelijkaardig van aard worden samengebracht onder een gemeenschappelijke noemer, het risicotype. Vervolgens worden de risicotypes verder gegroepeerd naar aard in risicoklassen en risicocategorieën. De risicocategorieën, risicoklassen en risicotypes zullen samen met alle relevante informatie worden bijgehouden in een risico referentie databank en zullen dienen als overzichtstabel (catalogus en scorecard) voor alle betrokken partijen. De uitvoering van een risico identificatie model is verplicht voor alle diensten van de FOD. Het RIM interne functionering is verkrijgbaar bij de dienst Interne audit en bij alle risicocoördinatoren.

18

Een ‘holistische’ aanpak is een aanpak die een probleem van zoveel mogelijk kanten bekijkt. De term ‘holistisch’ refereert hier naar het geheel van visies op een probleem Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer




Het risico identificatie model interne functionering wordt geregeld herzien en indien nodig aangepast om relevant en actueel te blijven. Aanpassingselementen hiervoor kunnen zowel op strategisch niveau (Directiecomité) als op operationeel niveau (op niveau van een betrokken Beheerscomité) aangebracht worden via de risicocoördinatoren. Indien een dienst of een organisatieonderdeel ervoor kiest om een eigen risico identificatie model op te stellen, specifiek voor de eigen activiteiten, dan is de juistheid en de volledigheid van dit eigen risico identificatie model steeds de verantwoordelijkheid van het management van de dienst of het organisatieonderdeel. Het management kan uiteraard ook altijd aanpassingen of toevoegingen voorstellen aan het risico identificatie model van de FOD via de risicocoördinator. Elk niet adequaat beheerd risico en de gevolgen die ontstaan door de onvolledigheid van het risico identificatie model vallen dus steeds onder de verantwoordelijkheid van het management van het organisatieonderdeel waarop het risico identificatie model betrekking heeft. Het Directiecomité valideert steeds iedere aanpassing aan het Risico identificatiemodel. Het betrokken Beheerscomité (of overeenkomstig overlegplatform voor een steundienst) en ultiem het Directiecomité is eindverantwoordelijke voor de kwaliteit van de Risico Identificatie Modellen. Het vertalen van de gebeurtenissen met negatieve invloed naar risico’s en het klasseren in het RIM gebeurt door ze te generaliseren en te groeperen, anoniem te maken en ze in het RIM te klasseren onder het gepaste risicotype. De bron van de vermelding dient steeds bewaard te blijven in de documentatie doch wordt niet medegedeeld in de rapportering. Voor externe controleen inspectiediensten. Voor externe controleen inspectiediensten kunnen specifieke Risico Identificatie Modellen opgesteld worden. Hierbij wordt minimaal de negatieve invloed op de door de wetgever opgelegde externe controleen inspectiedoelstellingen bekeken voor het opstellen van het risico identificatiemodel. De controles uitgevoerd door externe controleen inspectiediensten kunnen bijvoorbeeld gegroepeerd worden per domein (bvb. bedrijven) en per finaliteit (preventieve - detectieve - correctieve controles). Belangrijk is dat het risico identificatie model zodanig gestructureerd is zodat er vlot alle risico’s in ondergebracht kunnen worden. Minimale vereisten • • • • • •

Bepalen van de scope van de toepassing van het risicobeheer; Aanstellen van een projectleider voor de uitvoering van de statische fase en opzetten van het project; Gebruik van een risico identificatie model (RIM) waarop risicobeheer wordt toegepast; Indien voor intern risicobeheer afwijkingen van het bestaande RIM: validatie door het Directiecomité; Oplijsten van gebeurtenissen met negatieve impact op de doelstellingen en klasseren in het RIM, met ondersteuning van de betrokken risicocoördinatoren; Ontwikkelen van een risico referentie databank waarin alle relevante informatie met betrekking tot risicocategorieën, risicoklassen en risicotypes opgeslagen wordt.


Projectplanning en projectstructuur (IMARS); Risico Identificatie Model met categorieën, klassen en types op maat van de FOD; Risico’s geklasseerd in het Risico Identificatie Model (RIM).




2.2.1 Interne klantentevredenheid 2.2.2 Ontwikkeling van diensten voor interne klanten 2.2.3 …

Risicoklasse 2.6: Human Resources – Personeelsprofiel Risicotype 2.6.1 Beschikbaarheid 2.6.2 Competenties, kwalificaties en leren 2.6.3 …

Risicoklasse 2.10: Informatie- en communicatietechnologie Risicotype 2.10.1 ICT data integriteit 2.10.2 ICT toegang 2.10.3 …

Risicoklasse 2.5: Financiële activiteiten

2.5.1 Tijdige en correcte betaling aan derden 2.5.2 Beheer van begrotingsmiddelen 2.5.3 …

Risicoklasse 2.9: Informatie & Communicatie

2.9.1 Externe Informatie en Communicatie 2.9.2 Interne Informatie en Communicatie


3.2.1 Operationele planning 3.2.2 Operationele indicatoren 3.2.3 …

3.1.1 Strategische planning 3.1.2 Strategische indicatoren 3.1.3 …



Figuur 11: RIM model (illustratief)

3.3.1 Rapporteringsplanning 3.3.2 Administratieve en operationele rapportering 3.3.3 …

Risicocategorie 3: Risico’s met betrekking tot besluitvorming Risicoklasse 3.2: Proces / Operationeel Risicoklasse 3.3: Rapporteringen Risicotype Risicotype

2.11.1 Integriteit medewerkers 2.11.2 Integriteit derden 2.11.3 …

Risicotype

Risicoklasse 2.11: Integriteit

2.7.1 Preventie en bescherming 2.7.2 Werkdruk 2.7.3 …

Risicoklasse 2.7: Human Resources – arbeidsomstandigheden en motivatie Risicotype

2.3.1 Externe klantentevredenheid 2.3.2 Ontwikkeling van diensten voor externe klanten 2.3.3 …

Risicoklasse 3.1: Omgeving / Strategisch Risicotype

Risicotype

Risicotype

1.3.1 Maatschappelijke evoluties (inclusief evoluties op de arbeidsmarkt) 1.3.2 Technologische evoluties 1.3.3 …

Risicocategorie 2: Risico’s met betrekking tot de operationele activiteiten (processen) Risicoklasse 2.2: Operationele activiteiten – Risicoklasse 2.3: Operationele activiteiten – interne klanten externe klanten Risicotype Risicotype

1.2.1 Wettelijke en reglementaire wijzigingen – Belgisch, Europees en internationaal 1.2.2 Acties van andere overheids- of institutionele organen met verantwoordelijkheid over de materie 1.2.3 …

Risicocategorie 1: Risico’s met betrekking tot de omgeving Risicoklasse 1.2: Wettelijk en reglementair kader Risicoklasse 1.3: Extern kader (gebeurtenissen, veranderingen en vernieuwingen) Risicotype Risicotype

2.1.1 Organisatie 2.1.2 Formele definitie en documentatie 2.1.3 …

Risicotype

Risicoklasse 2.1: Operationele activiteiten – proces

1.1.1 Beschikbaarheid van begrotingsmiddelen 1.1.2 Beschikbaarheid van financiële middelen andere dan de begroting 1.1.3 …

Risicotype

Risicoklasse 1.1: Financieel kader

2.12.1 Beheer van fysieke infrastructuur 2.12.2 Beschikbaarheid fysieke infrastructuur 2.12.3 …

Risicoklasse 2.12: Fysieke infrastructuur

2.8.1 Normen en waarden 2.8.2 Verantwoordelijkheidsaflijning 2.8.3 …

Risicotype

Risicoklasse 2.8: Deugdelijk bestuur

2.4.1 Conformiteit met de bestaande wetgeving 2.4.2 Overheidsopdrachten en andere contractuele verplichtingen (inclusief opvolging) 2.4.3 …

Risicoklasse 2.4: Operationele activiteiten – regelgeving Risicotype



S2 Evaluatie van de risico’s

Figuur 12: MobiRisk schema: evaluatie van de risico's De evaluatie van de risico’s geeft een beeld van de bestaande situatie binnen de dienst, een organisatieonderdeel of van de FOD in zijn geheel. De analyses, die in deze activiteit worden uitgevoerd, worden later op regelmatige basis geactualiseerd in de dynamische fase (D2). Het is wenselijk om voor de analyse van de verschillende risicotypes een risico-evaluatieteam19 samen te stellen dat de nodige kennis en ervaring heeft om de risico’s te onderzoeken en te assisteren in het nemen van de beslissingen. Voor een gefundeerd oordeel kunnen onder meer verzamelde historische gegevens gebruikt worden of allerlei technieken, zoals bijvoorbeeld gebeurtenissenboomanalyse (event trees analysis), foutenboomanalyse (fault trees analysis), failure mode & effect analysis (FMEA), analogie of vergelijking van situaties. De verbanden tussen de risico’s worden onderzocht via een bronrisicoanalyse zodat er bijkomende informatie beschikbaar is om de prioriteiten te bepalen. Voorafgaand aan de eigenlijke risicoanalyse kan het betrokken management beslissen om bepaalde risicotypes direct door te verwijzen naar de activiteit S3, zonder formele evaluatie. Deze beslissing moet steeds duidelijk gedocumenteerd worden, met aanduiding van de risico-eigenaar en argumentatie. In de fase S2 wordt eerst bekeken welke risicotypes in het risico identificatie model meest waarschijnlijk voorkomen binnen een bepaald tijdsinterval en welke risicotypes de meest belangrijke invloed hebben op de doelstellingen van de dienst of het organisatieonderdeel of de FOD in zijn geheel. 19

Risico-evaluatieteam: ad hoc samengestelde groep van experten, belast met de evaluatie van een risicotype/risico voor dewelke zij gezamenlijk de nodige expertise hebben; dit risicotype/risico wordt na de evaluatie overgedragen aan de verantwoordellijke dienst (risico-eigenaar). Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer




Hieruit volgt de risicomatrix 20 als een grafische voorstelling van het resultaat van een risicoanalyse waarbij de huidige impact en waarschijnlijkheid van voorkomen van een risicotype (of indien nodig van een specifiek risico) op twee assen weergegeven wordt. Dit wordt ook het inherent risicoprofiel genoemd.

Figuur 13: Risicomatrix

Hoge risico’s Weinig maatregelen

Hoge risico’s Veel maatregelen

Ondergecontroleerd

Risico’s afgedekt

Lage risico’s Weinig maatregelen

Lage risico’s Veel maatregelen

Cumulatieve effecten

Overgecontroleerd

Laag

Risiconiveau

Hoog

Vervolgens wordt het risiconiveau (resultaat van vorige matrix) in relatie gebracht met de evaluatie van de reeds bestaande risicobeheermaatregelen (controles). Hiervoor brengen we de scores van Impact en Probabiliteit van het inherente risico terug tot één dimensie en combineren ze met de inschatting die we maken van het niveau van de bestaande risicobeheermaatregelen. We krijgen zo een risico-controlematrix

Laag

Hoog Niveau van risicobeheer (controle)

. Figuur 14: Risico-controle matrix

20

Risicomatrix: een grafische voorstelling van een resultaat van een risicoanalyse, waarbij de belangrijkheid en de waarschijnlijkheid van voorkomen van een risico(type) op twee assen weergegeven wordt.





De risico-controle matrix 21 is de grafische voorstelling van een risicoanalyse waarbij het inherente risiconiveau (het resultaat van de risicomatrix) en het niveau van risicobeheer (de evaluatie van de bestaande risicobeheermaatregelen) van de verschillende risicotypes op twee assen weergegeven wordt. Dit wordt ook het residuele risicoprofiel van de in de risicoanalyse onderzochte risicotypes genoemd en bevat een indicatie van de ondergecontroleerde (hoge risico’s en weinig maatregelen) en overgecontroleerde risico’s (lage risico’s en veel maatregelen).

De volledige risico-controle matrix is de basis voor de bepaling van de sleutelrisico’s door het Directiecomité of betrokken Beheerscomité (of het overeenkomstige overlegorgaan voor een steundienst). De score op de dimensies inherent risiconiveau en niveau van risicobeheer is een uitdrukking van de keuze van de deelnemers aan de risicoanalyse. We bepalen de risicomatrices gewoonlijk via één of meerdere gefaciliteerde workshops die grondig voorbereid zijn en waarvoor iedere deelnemer een uitgebreide documentatie krijgt. Om de prioriteiten nog beter te kunnen bepalen analyseren we de onderlinge verbanden tussen de risicotypes (of de specifieke risico’s) via een bronrisicoanalyse. Deze verbanden tussen de risicotypes (of de specifieke risico’s) worden opgesteld door medewerkers met kennis van de risicotypes (of de specifieke risico’s) en de processen en gevalideerd door het betrokken Beheerscomité, Directiecomité of vergelijkbaar overlegplatform (volgens de scope van het risicobeheer). •

Rapporteringsstandaard

Om éénduidigheid en consistentie van de auditplanning te garanderen evenals de vergelijkbaarheid binnen de FOD, dienen alle bekomen waarden van (a) de waarschijnlijkheid van voorkomen (Probabiliteit), (b) de invloed (Impact) en (c) het huidig niveau van risicobeheer op een uniforme wijze gerapporteerd te worden aan de dienst Interne audit. Het Directiecomité bepaalt samen met de dienst Interne audit een gemeenschappelijke rapporteringsstandaard voor de FOD, waaronder risicoschalen, definities, berekeningswijze, voorstelingswijze enz. •

Risico-eigenaar

Voor elk geïdentificeerd risicotype en zo nodig ook voor specifieke risico’s moet een risico-eigenaar aangeduid worden. Dit is een belangrijke verantwoordelijkheid. Op het strategisch niveau zal de eindverantwoordelijkheid liggen bij diegene die het risicotype beheert. Op het procesniveau zullen de medewerkers van de dienst, het organisatieonderdeel of de FOD als geheel de eindverantwoordelijkheid opnemen om de risicotypes (en indien nodig de specifieke risico’s) te beoordelen voor de processen waarvoor zij verantwoordelijk zijn. In de praktijk kunnen medewerkers binnen de verschillende afdelingen worden aangeduid per risicotype. De eindverantwoordelijkheid zal echter bij de proceseigenaars blijven. Voor risico’s die op meerdere diensten betrekking kunnen hebben wordt de dienst die de coördinatie zal verzekeren voor het beheer, de documentatie en het opvolgen van het risico aangeduid als risicoeigenaar.

21

Een risico-controlematrix is de grafische voorstelling van de perceptie van de deelnemers aan de risicoanalyse over het huidige niveau van risicobeheersing. Het is de grafiek van de combinatie van het risiconiveau en het niveau van de huidige risicobeheersing, gebaseerd op de evaluatie van de bestaande maatregelen voor risicobeheer. Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer





Het Directiecomité of het betrokken Beheerscomité (of het overeenkomstig overlegorgaan van de steundienst) kan beslissen om welbepaalde risicotypes direct door te verwijzen naar S3 zonder formele evaluatie maar met de nodige documentatie, aanduiding risico-eigenaar en argumentatie;

•

Aanstelling van een risico-eigenaar22 per risicotype (en indien nodig per specifiek risico) ;

•

Indien nodig, samenstellen van een risico-evaluatieteam met kennis en ervaring om het betrokken risico te onderzoeken en te assisteren in het nemen van de beslissingen. De risico-eigenaar wordt opgenomen in dit team;

•

Inventariseren van bestaande risicobeheermaatregelen per risicotype (zo nodig per specifiek risico) dat geselecteerd is voor de risicoanalyse;

•

Uitvoering van een risicoanalyse, met

•

o

evaluatie op waarschijnlijkheid van voorkomen (binnen een relevante tijdshorizon) van de risicotypes;

o

evaluatie van de impact op de doelstellingen van de risicotypes;

o

evaluatie van de bestaande risicobeheermaatregelen;

Uitvoeren van een bronrisicoanalyse (verbanden tussen de risicotypes).

Opleverbare resultaten •

Lijst met risicotypes die direct doorverwezen worden naar S3, met de nodige documentatie, aanduiding risico-eigenaar en argumentatie;

•

Lijst met de risicobeheermaatregelen per risicotype (indien nodig per specifiek risico) dat geselecteerd is voor de risicoanalyse;

•

Risicomatrix;

•

Risico-controlematrix;

•

Resultaten bronrisicoanalyse;

•

Lijst van geprioriteerde risicotypes;

•

Lijst van de risico-eigenaars.

22

Risico-eigenaar. Dit is of zijn de binnen een afdeling aangeduide projectleider/diensthoofd (dienst of personen) voor één of meer geïdentificeerde risico’s/risicotypes. Zij zijn verantwoordelijk voor de opvolging van de evolutie van deze risico’s en rapporteren hierover aan de hiervoor aangeduide verantwoordelijke. Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer




S3 Bepaling reactie op het risico

Figuur 15: MobiRisk schema: bepaling reactie op het risico De gebeurtenissen, die als risico geïdentificeerd zijn, werden in de eerste activiteit van de statische fase samengebracht per risicotype, risicoklasse en risicocategorie. In deze fase wordt het aanvaardbaar risiconiveau en de gewenste reactie voor de verschillende risicotypes bepaald. Ook dit doen we gewoonlijk via een gefaciliteerde workshop. Het aanvaardbaar risiconiveau is het risiconiveau dat het Directiecomité of betrokken Beheerscomité (of het overeenkomstig overlegorgaan voor de steundienst) bereid is te aanvaarden in de nastreving van de operationele doelstellingen. Dit aanvaardbaar risiconiveau wordt gedefinieerd per risicotype (en indien nodig per specifiek risico) en wordt uitgedrukt in risicotolerantie en risicotolerantiegrenzen. Risicotolerantie en risicotolerantiegrenzen zijn een uitdrukking van het niveau van variatie dat het Directiecomité, betrokken Beheerscomité of vergelijkbaar overlegplatform tolereert tussen de bereikte resultaten en de vooropgestelde doelstellingen uitgedrukt per risicotype (en indien nodig per specifiek risico). Deze risicotolerantiegrenzen worden bepaald via KRI’s of KPI’s. De aanvaardbaarheid van het risico(type) wordt bepaald door 9 Beschikbare budgetten : maar wordt het risico dan voldoende teruggedrongen? 9 De blootstelling die de FOD oploopt en de ermee verbonden risico’s: maar kunnen we de maatregelen die we zouden moeten nemen wel allemaal financieren? 9 Eventuele instructies van een hogere overheid. We moeten dus een afweging maken tussen de gewenste dekkingsgraad van de risico’s en de budgetten De risico’s boven het aanvaardbaar risiconiveau worden niet aanvaard en moeten gereduceerd worden.





We bepalen ook onze reactie op het risico. De fundamentele opties zijn: •

•

•

•

Optie 1: Risico-vermijding (éviter - avoid). Deze optie is de meest restrictieve optie die in risicobeheer kan genomen worden. Ze komt neer op het vermijden van een risico geassocieerd met een activiteit door het elimineren of drastisch inkrimpen van de activiteiten of door het veranderen van de doelstellingen. Optie 2: Risico-beperking (réduire - reduce). Deze optie is de meest voorkomende aanpak van een risico. Bij risicobeperking worden specifieke maatregelen ondernomen om de impact en/of de waarschijnlijkheid van het voorkomen van het risico te beperken. Optie 3: Risico-deling (partager - share). Deze optie bestaat uit het transfereren van een deel of de gehele verantwoordelijkheid of een bepaald type verantwoordelijkheid rond een risico naar een derde partij. In deze optie worden maatregelen ondernomen om de impact en/of de waarschijnlijkheid van het voorkomen van het risico te beperken door deling. Optie 4: Risico-aanvaarding (accepter - accept). Deze optie laat het risico bestaan zonder verdere ingrepen op impact of waarschijnlijkheid. Deze optie wordt meestal genomen indien het risico niet beheersbaar is, indien de andere drie opties niet tot de mogelijkheid behoren of indien het Directiecomité, Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst expliciet het risico aanvaardt zoals het is.

Per gekozen risicotype bepaalt het Directiecomité (voor strategisch risicobeheer) en het betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst (voor operationeel risicobeheer) ook het aanvaardbare risiconiveau (risico tolerantie en tolerantiegrenzen). Uitzonderlijk kan dit ook bepaald worden per specifiek risico. Indien gewenst kan het Directiecomité of het betrokken Beheerscomité (of het overeenkomstig overlegorgaan voor de steundienst) bijkomende instructies geven omtrent de toepassing van een bepaalde gekozen optie. Het is de eindverantwoordelijkheid van de risico-eigenaar om binnen de grenzen van het aanvaardbare risiconiveau te blijven. Alle afwijkingen op niveau van een Beheerscomité (of overeenkomstig overlegorgaan voor een steundienst) tegenover beslissingen van het Directiecomité dienen steeds gevalideerd te worden door het Directiecomité. Indien welbepaalde risicotypes direct doorverwezen werden naar S3 zonder formele evaluatie maar met de nodige documentatie, aanduiding risico-eigenaar en argumentatie moet aangegeven worden of men al dan niet een monitoring van deze risicotypes wil voorzien (kosten/baten aspect); Minimale vereisten • •

Strategisch risicobeheer: beslissing aanvaardbaar risiconiveau en aanvaardbare reactie op het risico op het niveau van het Directiecomité; Operationeel risicobeheer: beslissing aanvaardbaar risiconiveau en aanvaardbare reactie op het risico op het niveau van het betrokken Beheerscomité of overeenkomstig overlegorgaan voor een steundienst.

Opmerking: alle afwijkingen op niveau van het betrokken Beheerscomité (of overeenkomstig overlegorgaan voor een steundienst) voor eenzelfde risicotype ten opzichte van beslissingen van het Directiecomité dienen steeds gevalideerd te worden door het Directiecomité en dit om de homogeniteit van het risico beslissingsproces te behouden.






Document met het aanvaardbaar risiconiveau per risicotype, zo nodig per specifiek risico. Document met een lijst van aanvaardbare reacties per risicotype (zowel op strategisch als op operationeel niveau) waarbij voor de optie “risico-aanvaarding” ook zal aangeduid worden of er monitoring vereist wordt of niet;

S4 Bepaling Risicobeheermaatregelen

Figuur 16: MobiRisk schema: bepaling risicobeheermaatregelen

In antwoord op de vraag “hoe gaan we om met onze risico’s” wordt de inventaris van de bestaande risicobeheermaatregelen per geselecteerd risicotype uit het risico identificatie model (op basis van S1) opnieuw geëvalueerd en zo nodig meer gedetailleerd. We gaan na of de bestaande risicobeheermaatregelen in overeenstemming zijn met de gekozen reactie op het risico en of ze effectief wel het risico voldoende afdekken. Hiervoor gebruiken we de resultaten van de risico evaluatie (S2) en van de keuze van de reactie op het risico (S3), aangevuld met het aanvaardbare risiconiveau (S3). Een risicobeheermaatregel is een concrete, in detail beschreven aanpak van een bepaald risicotype (of indien nodig specifiek risico) gekozen op basis van een door het Directiecomité of Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst gekozen reactie op het risico. Risicobeheermaatregelen omvatten dus ook de controles in de processen. Een risico kan afgedekt worden door een reeds bestaande risicobeheermaatregel (bijvoorbeeld van een ander risicotype en/of van een andere dienst of betrokken Beheerscomité of platform) waardoor extra ontwikkelingen beperkt of geminimaliseerd kunnen worden. Een risico kan immers gedekt worden door Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer




meerdere risicobeheermaatregelen en een risicobeheermaatregel kan van toepassing zijn op meer dan één risico. Mogelijke veranderingen in de doeltreffendheid van de bestaande risicobeheermaatregelen worden later ook geanalyseerd. De databank met risicobeheermaatregelen, die raadpleegbaar is over de FOD heen, kan een belangrijke leidraad zijn om een aanpak te ontwikkelen, rekening houdend met bestaande risicobeheermaatregelen in andere diensten met vergelijkbare risico’s. De risico eigenaar dient de juiste medewerkers te betrekken bij het ontwikkelen en onderhouden van de risicobeheermaatregelen. Bedoeling is een dynamiek van voortdurende verbetering te bekomen door de medewerkers aan te sporen om hun vaststellingen en suggesties mee te delen. Het is belangrijk om niet enkel de implementatie van de risicobeheermaatregel in kaart te brengen, maar ook de manier van onderhouden. De risicobeheermaatregelen worden samen met een kosten/baten analyse voor de nieuwe maatregelen en een voorstel voor opvolging voorgelegd aan het Directiecomité of het betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst. Dit valideert de voorstellen of past ze aan en legt prioriteiten.

Voor externe controleen inspectiediensten Voor de externe controleen inspectiediensten dient de planning van controles en inspecties ontwikkeld te worden in functie van gemaakte keuzes omtrent de prioritaire risico’s in de risicoanalyse, rekening houdend met de beschikbaarheden en de competenties en expertise van de beschikbare medewerkers en van de beschikbare materiële middelen. De planning dient zo nauw mogelijk aan te sluiten bij de veranderde situatie om de nodige garanties te geven dat de risico’s adequaat behandeld worden.


• •

•

•

Gedetailleerde beschrijving van de bestaande risicobeheermaatregelen per geselecteerd risicotype (en indien nodig per specifiek risico) uit het risico identificatie model (op basis van S1). Hier kan uiteraard, indien beschikbaar, verwezen worden naar bestaande documentatie zoals kwaliteitssystemen, enz.; o Strategische risicobeheermaatregelen: op het niveau van het Directiecomité; o Operationele risicobeheermaatregelen: op niveau Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst. Nagaan in welke mate de risico’s worden afgedekt door de bestaande risicobeheermaatregelen, en dit via de risico-controlematrix (op basis van S2); Evaluatie van bestaande risicobeheermaatregelen of de ontwikkeling van nieuwe risicobeheermaatregelen in overeenstemming met de gekozen reactie op de risico’s - vermijden, beperken, delen, aanvaarden (op basis van S3), met inbegrip van de controlemaatregelen in de processen; Kosten-baten analyse per nieuwe risicobeheermaatregel (implementatie en onderhoud) door medewerkers van de dienst of organisatieonderdeel in samenwerking met de risicocoördinatoren voor evaluatie door het Directiecomité of Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst; Voorstellen voor opvolging van het effect van de maatregelen (onder meer via indicatoren, met maximaal gebruik van de BSC indicatoren).






Beschrijving van de risicobeheermaatregelen per geselecteerd risicotype (en indien nodig per specifiek risico) uit het risico identificatie model (op basis van S1); Lijst met de evaluatie van de bestaande risicobeheermaatregelen rekening houdend met de risico evaluatie (op basis van S2), namelijk de inschatting van de bestaande risicobeheermaatregelen; Voorstellen voor behoud van de bestaande risicobeheermaatregelen of voor aanpassing / ontwikkeling van risicobeheermaatregelen ( op basis van S3) met inbegrip van de opvolgingsmogelijkheden; Kosten-baten analyse per nieuwe risicobeheermaatregel met opvolgingsmogelijkheden voor de risicobeheermaatregelen en selectie door het Directiecomité of het betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst.

S5 Implementatie Risicobeheermaatregelen



D1 Identificatie verandering van gebeurtenissen Imp D5 lem risic entatie obe hee verand rma atre ering gele n

Opstellen huidige en gewenste situatie risicobeheer Bijwerken huidige en gewenste situatie risicobeheer

Statische fase


B ris ijwe ico rk b e e n D4 h e ve e rm ran aa de tre rin ge g len

Analyse en beheer van de huidige situatie

S2 Evaluatie risico’s

g rin de o D3 ran isic r e n v het rke op we ie Bij eact r

Dynamische fase

S1 Identificatie gebeurtenissen

D2 ndering ra e ve luati sico’s Eva ri

Analyse en beheer van de veranderde situatie

MOBIRISK

Figuur 17: MobiRisk schema: implementatie risicobeheermaatregelen De risicobeheermaatregelen die goedgekeurd werden door het Directiecomité, het betrokken Beheerscomité of plaform zullen geïmplementeerd worden door de respectievelijke risico eigenaren zoals afgesproken in de voorgaande fase (S4). Het overeengekomen opvolgingssysteem voor risicobeheermaatregelen en hun wijzigingen wordt eveneens opgezet tijdens de implementatie conform de beslissingen in S4. Projecten worden opgevolgd conform de methodologie die binnen de FOD gebruikt wordt (genoemd IMARS). Vanaf deze fase volgen we reeds de resultaten op van de ontwikkelde risicobeheermaatregelen. In de praktijk komt dit neer op een meting van het effect en van de resultaten van de ingevoerde risicobeheermaatregel. Aan het einde van deze statische fase zullen alle overeengekomen risicobeheermaatregelen geïmplementeerd zijn, aangepast aan de unieke situatie van de FOD. Tevens zullen de nodige





documentatiestromen, informatiekanalen en indicatoren voor de bijwerking van het risicobeheersysteem aanwezig zijn. Voor externe controleen inspectiediensten Voor de activiteiten van de extern gerichte controleen inspectiediensten is het eveneens aangewezen om een systeem van opvolging via relevante metingen uit te bouwen. Minimale vereisten • • • •

De procesbeschrijvingen bijwerken; Implementeren van goedgekeurde risicobeheermaatregelen, met inbegrip van de controleactiviteiten in de processen; Implementeren van een opvolgingssysteem voor de goedgekeurde risicobeheermaatregelen; Invoeren van de aanvaarde reacties op het risico en de risicobeheermaatregelen in de risico referentie databank (herzien op consistentie in alle activiteiten).


Geïmplementeerde risicobeheermaatregelen databank; Bijgewerkte procesbeschrijvingen.

inclusief

opvolgingssysteem

en

risico

referentie

6.3. Dynamische Fase

Figuur 18: MobiRisk Schema Dynamische Fase Elke organisatie dient rekening te houden met een veranderende realiteit, nieuwe en veranderende gebeurtenissen en dus ook met veranderende risico’s. De gekozen aanpak van FOD laat toe de tijdsinvestering in de actualisatie minimaal te houden. Deze fase wordt opgestart via 2 manieren: • Vastgelegde frequentie bepaald door het Directiecomité of Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst (bvb. Per kwartaal, per semester, jaarlijks) op basis van de snelheid van veranderingen in het risicobeheer; • Ad hoc bepaald door de risico-eigenaar op basis van een specifieke gebeurtenis met een negatieve invloed op de doelstellingen van de dienst, het organisatieonderdeel of de FOD in zijn geheel. Het geheel van de dynamische fase analyseert alle veranderingen in gebeurtenissen met een negatieve invloed op de doelstellingen van de FOD. Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer




Hierbij is het mogelijk dat er geen verdere aanpassingen noodzakelijk zijn na de uitvoering van: • activiteit D1, indien blijkt dat er geen nieuwe gebeurtenissen zijn met negatieve invloed; • activiteit D4, indien er wordt beslist om geen nieuwe risicobeheermaatregelen toe te passen. In de Dynamische fase gaat het om het bewaken, evalueren en aanpassen van het risicobeheer. Deze fase wordt voorbereid door de risicocoördinatoren en de risico eigenaars. De stappen D1 tot D5 van de dynamische fase worden best uitgevoerd via een bespreking tijdens de vergaderingen van de Beheerscomités of het overeenkomstig overlegorgaan (afhankelijk van de scope van het risicobeheer). We beantwoorden vragen in verband met: 9 De veranderingen 9 De impact en de probabiliteit 9 Het niveau van risicobeheer 9 De verantwoordelijkheden Een betrouwbaar systeem voor de rapportering van gebeurtenissen met mogelijke impact op de doelstellingen is nodig.

Bijwerken huidige en gewenste situatie risicobeheer

Figuur 19: MobiRisk schema: bijwerken huidige en gewenste situatie risicobeheer •

Bijwerken wijzigingen in de huidige situatie van het risicobeheer.

Het Directiecomité en/of het betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst beschrijft op hoog niveau de wijzigingen in de huidige stand van zaken op de verschillende





dimensies van het risicobeheermodel. Het eindresultaat is het nieuwe risico maturiteitsniveau. maturiteit zal worden weergegeven in de gewijzigde Risicobeheer boordtabel. •

De

Bijwerken wijzigingen in de gewenste situatie van het risicobeheer.

Het Directiecomité en/of het betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst definieert de wijzigingen in de gewenste situatie omtrent het risicobeheer binnen de FOD en/of risicobereidheid, vertrekkende van het gewijzigde risico maturiteitsniveau . Deze gewenste situatie zal ook worden weergegeven in de Risicobeheer boordtabel. In uitzonderlijke omstandigheden kan het Directiecomité en het betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst opnieuw reeds in deze fase bepaalde risicobeheermaatregelen uitvoeren. Uiteraard moeten deze gemotiveerd en gedocumenteerd worden. •

Aanpak bijwerken wijzigingen

De FOD hanteert een gecentraliseerde risicobeheer aanpak. De bijwerking zal daarom ook uitgevoerd worden binnen het Directiecomité. Dit zal geschieden aan de hand van een risicobeheer vragenlijst die in een workshop wordt behandeld via een stemming en gefaciliteerd door de dienst Interne audit. Ook binnen ieder betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst zal dit soort analyse opnieuw uitgevoerd worden. Deze workshop zal gefaciliteerd worden door de betrokken risicocoördinatoren en bijgewoond worden door de dienst Interne audit als observator. Minimale vereisten • • • • • •

Hernieuwde validatie van de 13 succesfactoren voor MobiRisk door het Directiecomité; Hernieuwde validatie van de 13 succesfactoren voor MobiRisk per Directoraat-generaal of stafdienst; Analyse door het Directiecomité op hoog niveau van gewijzigde stand van zaken op de verschillende dimensies van het risicobeheermodel (ERM dimensies), via een workshop gefaciliteerd door de Dienst Interne audit; Analyse per betrokken Beheerscomité op hoog niveau van de gewijzigde stand van zaken op de verschillende dimensies van het risicobeheermodel (ERM dimensies), via een workshop gefaciliteerd door de betrokken risicocoördinatoren; Bepaling wijziging aangebracht aan de globale risicobereidheid van de FOD; Bepaling wijziging aangebracht aan de risicobereidheid van een DG/Stafdienst/Steundienst indien deze afwijkt van de globale risicobereidheid van de FOD (gevalideerd door het Directiecomité).


Hernieuwde lijst van de risicocoördinatoren van de FOD; Document met hernieuwde validatie van de 13 succesfactoren voor MobiRisk door het Directiecomité; Document met hernieuwde validatie van de 13 succesfactoren voor MobiRisk per betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst; Document met de hernieuwde Risicobeheer boordtabel van de huidige situatie binnen de FOD en binnen ieder Directoraat-generaal en staf- of steundienst; Document met de hernieuwde Risicobeheer boordtabel van de gewenste situatie binnen de FOD en binnen ieder Directoraat-generaal en staf- of steundienst; Aangepaste globale risicobereidheid van de FOD visueel voorgesteld op de risico-controlematrix; Indien afwijkend aan het globale kader: aangepaste risicobereidheid binnen de DG/stafdienst/steundienst (gevalideerd door het Directiecomité).





D1 Identificatie veranderingen gebeurtenissen MOBIRISK S1 Identificatie gebeurtenissen





D1 Identificatie verandering van gebeurtenissen

g rin de o D3 ran isic ve t r en he erk ie op Bijweact r

B ris ijwe ico rk be en D4 he ve e r ra m aa nde tre rin ge g len

Figuur 20: MobiRisk schema: identificatie veranderingen gebeurtenissen Deze stap bestaat uit twee mogelijkheden: • ofwel identificeren we geen nieuwe of veranderde gebeurtenis • ofwel identificeren we wel een nieuwe of veranderde gebeurtenis. Bij de identificatie van nieuwe of gewijzigde gebeurtenissen gaat men verder met de tweede activiteit van de dynamische fase. De technieken gebruikt bij de initiële risicoanalyse (activiteit 1 van de statische fase) blijven geldig. In deze fase (D1) is het belangrijk om de nieuwe of veranderde gebeurtenissen met een negatieve invloed te identificeren. Later zullen deze nieuwe of veranderde gebeurtenissen herleid worden naar een risico. Deze identificatie van nieuwe of veranderde gebeurtenissen met een negatieve invloed op de doelstellingen geeft een geactualiseerd beeld van de bestaande situatie. Het doel van deze stap is het verkrijgen van een zo volledig mogelijk en objectief geactualiseerd beeld van alle nieuwe of veranderde risico’s waarmee de dienst, het organisatieonderdeel of de FOD in zijn geheel geconfronteerd wordt. Bij deze analyse wordt gebruik gemaakt van de kennis, ervaring en expertise van interne en/of externe experten.





•

Klassering van nieuwe of veranderde risico’s

Alle nieuwe of veranderde risico’s worden in kaart gebracht in het risico identificatie model. Het risico identificatie model moet toelaten om alle nieuwe of veranderde gebeurtenissen met een negatieve invloed in te delen in een gestandaardiseerde structuur. Het vertalen van de gebeurtenissen met negatieve invloed naar risico’s en het klasseren in het RIM gebeurt opnieuw door ze te generaliseren en te groeperen, anoniem te maken en ze in het RIM te klasseren onder het gepaste risicotype. De bron van de vermelding dient steeds bewaard te blijven in de documentatie docht wordt niet medegedeeld in de rapportering. De risicocategorieën, risicoklassen en risicotypes zullen samen met alle relevante informatie worden bijgehouden in een geactualiseerde risico referentie databank. Het risico identificatie model wordt indien nodig aangepast om relevant en actueel te blijven. Wijzigingen moeten gevalideerd worden door het Directiecomité. Ook deze oefening gebeurt zowel op strategisch niveau (Directiecomité) als op operationeel niveau (op niveau van het betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst). Minimale vereisten •

• • •

Nieuwe gebeurtenissen of veranderingen aan bestaande gebeurtenissen worden op FOD niveau door het Directiecomité geïdentificeerd en op niveau van het betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst door de Risico eigenaar, met ondersteuning van de betrokken risicocoördinatoren; Gebruik van het risico identificatie model (RIM); Zo nodig aanpassing van het RIM; Bijwerken van de centrale risico referentie databank waarin alle relevante informatie met betrekking tot risicocategorieën, risicoklassen en risicotypes opgeslagen wordt.


Aangepast Risico Identificatie Model naar categorie, klasse en type op maat van de FOD; Aangepaste specifieke risico’s die geklasseerd zijn per risicotype in het RIM; Aangepaste risico referentie databank.





D2 Evaluatie verandering risico’s

Figuur 21: MobiRisk schema: evaluatie verandering risico's Activiteit D2 van de dynamische fase richt zich op het actualiseren van de risicomatrix, de risicocontrolematrix en de geprioriteerde lijst van de risico’s. Voor een gefundeerd oordeel kunnen onder meer geactualiseerde historische gegevens gebruikt worden of allerlei technieken. In deze fase (D2) wordt bekeken welke wijzigingen er zijn in de risicotypes en welke wijzigingen aan de invloed op de doelstellingen kunnen voorkomen. Hieruit volgt de geactualiseerde risicomatrix (een grafische voorstelling de huidige impact en waarschijnlijkheid van voorkomen van een risicotype op twee assen). Vervolgens wordt voor het nieuwe of veranderde risico(type) een evaluatie van de bestaande risicobeheermaatregelen gedaan. Hieruit volgt dan de geactualiseerde risico-controle matrix (de grafische voorstelling het geactualiseerde risiconiveau en niveau van risicobeheer op twee assen). De score op de dimensies risiconiveau en niveau van de bestaande risicobeheermaatregelen is een geactualiseerde uitdrukking van de mening van de deelnemers aan de risicoanalyse. Voor elk nieuw geïdentificeerd risico zal een risico-eigenaar aangeduid worden. Dit is een belangrijke verantwoordelijkheid. Indien nodig wordt de bronrisicoanalyse aangepast (verbanden tussen de risicotypes).





Minimale vereisten • Het Directiecomité of het betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst kan beslissen om welbepaalde risicotypes direct door te verwijzen naar D3 zonder formele evaluatie maar met de nodige documentatie, aanduiding risico-eigenaar en argumentatie; • Inventaris van de bestaande risicobeheermaatregelen die een nieuw of gewijzigd risicotype betreffen; • Actualisatie van de risicomatrix, risico-controle matrix , de bronrisicoanalyse en de geprioriteerde lijst van risico’s, op FOD niveau door het Directiecomité en op niveau Directoraat-generaal en staf- of steundienst door de risico eigenaar, met ondersteuning van de betrokken risicocoördinatoren; • Aanstelling van een risico-eigenaar per nieuw risicotype dat weerhouden wordt voor verdere analyse; • Aanvullen en bijwerken van de centrale risico referentie databank. Opleverbare resultaten • • • • • • •

Lijst met nieuwe of veranderde risicotypes die direct doorverwezen worden naar D3, met de nodige documentatie, aanduiding risico-eigenaar en argumentatie; Aangepaste lijst met risicobeheermaatregelen per risicotype (indien nodig per specifiek risico); Aangepaste risicomatrix; Aangepaste risico-controle matrix; Aangepaste bronrisicoanalyse; Aangepaste lijst van geprioriteerde risico’s; Aanduiding van risico-eigenaars voor geselecteerde nieuwe risicotypes.

D3 Bepaling verandering reactie op het risico MOBIRISK S1 Identificatie gebeurtenissen







B ris ijwe ico rk be en D4 h ee ver rm an aa de tre rin ge g len

Figuur 22: MobiRisk schema: bepaling verandering reactie op het risico De gebeurtenissen, die als nieuw of veranderd risico geïdentificeerd zijn, werden in de eerste activiteit van de dynamische fase samengebracht per risicotype, risicoklasse en risicocategorie. In deze fase wordt de gewenste reactie op het risico gekozen voor de verschillende nieuwe of veranderde risicotypes.





De fundamentele opties zijn: • Optie 1: Risico-vermijding (éviter - avoid). • Optie 2: Risico-beperking (réduire - reduce). • Optie 3: Risico-deling (partager - share). • Optie 4: Risico-aanvaarding (accepter - accept). Per gekozen nieuw of veranderd risicotype bepaalt het Directiecomité (voor strategisch risicobeheer) en het betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst (voor operationeel risicobeheer) ook het aanvaardbare risiconiveau (risicotolerantie en tolerantiegrenzen). Uitzonderlijk kan dit ook bepaald worden per nieuw of veranderd specifiek risico. Het is de eindverantwoordelijkheid van de risico-eigenaar om binnen de grenzen van het aanvaardbare risiconiveau te blijven. Minimale vereisten •

•

Per nieuw of veranderd risicotype wordt de reactie op het risico en het aanvaardbaar risiconiveau bepaald: • Strategisch risicobeheer: beslissing over de reactie op het risico en over het aanvaardbaar risiconiveau op het niveau van het Directiecomité; • Operationeel risicobeheer: beslissing over de reactie op het risico en over het aanvaardbaar risiconiveau op niveau van het Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst. Aanvullen en bijwerken van de risico referentie databank door de risicocoördinator.


Lijst met de reactie op het risico per nieuw of veranderd risicotype (waarbij voor de optie risicoaanvaarding ook zal aangeduid worden of er opvolging vereist wordt of niet); Lijst van aanvaardbaar risiconiveau (risicotolerantie en tolerantiegrenzen) per nieuw of veranderd risicotype (en indien nodig per nieuw of veranderd specifiek risico).





D4 Bepaling verandering risicobeheermaatregelen

Figuur 23: MobiRisk schema: bepaling verandering risicobeheermaatregelen

In antwoord op de vraag “hoe gaan we om met onze nieuwe en/of veranderde risico’s” wordt de inventaris van de bestaande risicobeheermaatregelen per nieuw of veranderd geselecteerd risicotype (op basis van S1) opnieuw geëvalueerd en zo nodig meer gedetailleerd. We gaan na of de bestaande risicobeheermaatregelen in overeenstemming zijn met de gekozen reactie op het risico en of ze effectief wel het risico voldoende afdekken. Hiervoor gebruiken we de resultaten van de risico evaluatie (D2) en van de keuze van de reactie op het risico (D3), aangevuld met het aanvaardbare risiconiveau (D3). Een nieuw of veranderd risico kan afgedekt worden door een reeds bestaande risicobeheermaatregel waardoor extra ontwikkelingen beperkt of geminimaliseerd kunnen worden. Indien nodig worden aanpassingen aan de opvolging van de risicobeheermaatregel, risicobeheermaatregelen zelf of zelfs aan de gekozen reactie op het risico gedaan.

aan

Indien geen wijzigingen worden ingevoerd vervalt de volgende activiteit D5.





Om tot een beter risicobeheer te komen, kunnen we aanpassingen doen op 3 niveaus: • Niveau 1: aanpassing van de opvolging van de risicobeheermaatregelen, via de indicator. Hiervoor gaan we eerst na of de informatie over de effectiviteit van de risicobeheermaatregel juist is. Indien deze informatie niet juist of volledig is, dan moet een aanpassing gemaakt worden om tot een betrouwbare beslissing te komen. De kans bestaat dat de bestaande indicator niet relevant is voor de evolutie van het te meten risicotype of specifieke risico. Er dient dan een andere indicator gezocht en ingevoerd te worden die wel relevante informatie geeft. • Niveau 2: aanpassing van de bestaande risicobeheermaatregel. De kans bestaat dat de bestaande risicobeheermaatregel zijn doel niet bereikt. Deze dient dan aangepast te worden conform de reactie op het risico dat reeds bepaald is. • Niveau 3: aanpassing van de gekozen reactie op het risico. De kans bestaat dat de gekozen optie niet langer relevant is. Indien dit het geval is, dient deze samen met de ermee verbonden risicobeheermaatregelen aangepast te worden. Het is zelfs mogelijk dat er een andere reactie op het risico gekozen wordt. Uiteraard zullen alle aanpassingen opnieuw samen met een kosten/batenanalyse ter validatie voorgelegd worden aan het Directiecomité of aan het betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst. Minimale vereisten •

• • • • •

Analyseren van de effectiviteit en toepasbaarheid van huidige risicobeheermaatregelen en eventuele definiëring van nieuwe of aangepaste risicobeheermaatregelen, met inbegrip van eventuele aanpassingen aan de opvolging en aan de reactie op het risico; o Strategische risicobeheermaatregelen: op het niveau van het Directiecomité; o Operationele risicobeheermaatregelen: op niveau Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst. Aanpassen van de risico referentie databank; Beschrijving van de risicobeheermaatregelen per nieuw of veranderd geselecteerd risicotype uit het risico identificatie model (op basis van D1); Nagaan in welke mate de nieuwe of veranderde risico’s (D2) worden afgedekt door de bestaande risicobeheermaatregelen en dit via de risico-controlematrix; Evaluatie van bestaande risicobeheermaatregelen of de ontwikkeling van nieuwe risicobeheermaatregelen in overeenstemming met de gekozen reactie op de risico’s (op basis van D3), met inbegrip van de controleactiviteiten in de processen; Kosten-baten analyse per nieuwe risicobeheermaatregel met opvolgingsmogelijkheden in samenwerking met de risicocoördinatoren voor validatie door het Directiecomité of het betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst.


Lijst van risicobeheermaatregelen per nieuw of veranderd geselecteerd risicotype (op basis van D1); Lijst van nieuwe of veranderde risicobeheermaatregelen, rekening houdend met de risico evaluatie (op basis van D2); Voorstellen voor behoud van de bestaande risicobeheermaatregelen en voor nieuwe of veranderde risicobeheermaatregelen (op basis van D3); Kosten baten analyse per nieuwe of veranderde risicobeheermaatregel met opvolgingsmogelijkheden en selectie door het Directiecomité of het betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst.





D5 Implementatie verandering risicobeheermaatregelen MOBIRISK S1 Identificatie gebeurtenissen







B ris ijw ico erk be en D4 h v e er era m nd aa e tre rin ge g len

Figuur 24: MobiRisk schema: implementatie verandering risicobeheermaatregelen De nieuwe of gewijzigde risicobeheermaatregelen die goedgekeurd werden door het Directiecomité of het betrokken Beheerscomité of het overeenkomstig overlegorgaan voor de steundienst zullen geïmplementeerd worden door de respectievelijke risico eigenaren zoals gedefinieerd in de voorgaande fase (D4). Het opvolgingssysteem voor de implementatie van risicobeheermaatregelen wordt opgezet en dit conform de beslissingen in D4. De projecten worden opgevolgd met de methodologie die binnen de FOD gebruikt wordt (genoemd IMARS). Iedere aanpassing moet degelijk gedocumenteerd worden door de risicocoördinator in de risico referentie databank. Aan het einde van deze dynamische fase is een risicobeheersysteem uitgewerkt dat aangepast is aan de eigen unieke maar veranderde situatie van de FOD. Tevens zijn de documentatiestromen, informatiekanalen en indicatoren bijgewerkt.





Minimale vereisten • • •

Implementeren van de goedgekeurde risicobeheermaatregelen, met inbegrip van de controleactiviteiten in de processen; Actualisering van een opvolgingssysteem voor de opvolging van risicobeheermaatregelen en veranderingen in nieuwe of veranderde gebeurtenissen; Invoeren van de aanvaarde reacties op het risico en van de risicobeheermaatregelen in de risico referentie databank (herzien op consistentie in alle activiteiten).


Geïmplementeerde risicobeheermaatregelen; Geactualiseerd opvolgingssysteem; Geactualiseerde risico referentie databank; Bijgewerkte procesbeschrijvingen.





Bijlage 7: Bepaling risicoprofiel en berekening inherent risiconiveau Voor de berekeningen heeft de FOD gekozen voor een somformule (I+P) en niet voor de meer gebruikelijke productformule (I*P). Afkortingen. IR = inherent risiconiveau I = impact P = waarschijnlijkheid van voorkomen of probabiliteit X = wegingsfactor Traditioneel risicobeheer met productformules maakt geen verschil tussen gebeurtenissen met hoge impact-lage probabiliteit en lage impact-hoge probabiliteit. Weinig situaties met een hoge impact en lage waarschijnlijkheid van voorkomen (probabilteit) zijn vergelijkbaar met situaties met een lage impact en een hoge waarschijnlijkheid van voorkomen (probabiliteit). Zo zal een vlieg die op uw wagen terecht komt uw rijstijl niet in belangrijke mate beïnvloeden (impact). Maar indien een groot dier zoals een hert op uw wagen belandt, zal uw rijgedrag wel degelijk veranderen. Een somformule laat gemakkelijk een eventuele weging van de parameters I en P toe, waardoor de FOD ervoor kan kiezen om hetzij de impact hetzij de probabiliteit van de risico’s meer belang te geven. Dit laat de FOD toe om nauwkeuriger in te spelen op bepaalde (strategische) gevoeligheden. Productformules kunnen niet gebruikt worden om dit verschil te maken omdat A*(B*C) = (A*B)*C, terwijl met een somformule (A*B)+C verschillend is van A * (B+C) In termen van de gebruikte elementen in de risicoberekeningen wil dit zeggen dat: • Productformule: (X*I)*P) = X*(I*P) • Somformule: (X*I)+ P is verschillend van X*(I+P) Weging van een productformule kan door de toepassing van exponenten, maar de toepassing van exponenten maakt dat het relatief gewicht van het niet gewogen aspect kwadratisch vermindert en dus al zeer snel geen rol meer zal spelen. Als de zijde van een vierkant verdubbelt, zal de omtrek verdubbelen (“som” van de zijden) maar zal de oppervlakte 4x zo groot worden (“product” van de zijden). Men ziet dus dat bij producten een snellere toename (of afname) optreedt. Voorbeeld Twee gebeurtenissen waarvan impact en probabiliteit tegenovergesteld zijn in belangrijkheid, maar waarvan de in eerste instantie in de berekeningen zichtbare resultaten identiek aan elkaar kunnen zijn (maar echter niet de mogelijke gevolgen). 1. Een collusie (samenspanning) tussen een verantwoordelijke ambtenaar en een klant om de organisatie op te lichten, met mogelijk zeer grote gevolgen 2. Coderingsfouten in de administratieve registratie van een aanvraag voor informatie vanwege een derde partij. We scoren impact en probabiliteit op een schaal van 1 tot 5. We berekenen de scores zowel voor een omgeving waarin impact als belangrijker beschouwd wordt dan probabiliteit (met een wegingcoëfficiënt van 2) als voor een omgeving waarin impact en probabiliteit hetzelfde belang krijgen (geen wegingcoëfficiënt). Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer




•

Gebeurtenis 1 (collusie) hoge impact-lage probabiliteit Impact = 5; Probabiliteit = 1. Gewogen produktformule: 2I * P = (2*5)*1 =10 Niet gewogen produktformule: I*P = 5*1 = 5 Gewogen somformule: 2I + P = (2*5) + 1 = 11 Niet gewogen somformule: I+P = 5+1= 6

•

Gebeurtenis 2 (coderingsfouten) is lage impact-hoge probabiliteit Impact = 1; Probabiliteit= 5. Gewogen productformule : 2I * P = (2*1)*5 =10 Niet gewogen productformule : I*P = 1*5 = 5 Gewogen somformule: 2I + P = (2*1) + 5 = 7 Niet gewogen somformule: I+P = 1+5= 6

Dit zijn dus twee gebeurtenissen waarvan de mogelijke uitkomst gelijkaardig kan zijn, afhankelijk van de berekeningswijze die gebruikt wordt. Het zijn echter fundamenteel verschillende problemen die op een andere manier moeten worden aangepakt. Indien geen weging gebruikt wordt gaat men er van uit dat beide gebeurtenissen hetzelfde belang hebben in onze omgeving. Normalisering Alle risicoscores moeten herleid worden tot de gebruikte schaal (1 tot 5). Voor de productformule gebeurt de normalisatie door toepassing van exponenten, in dit geval een vierkantswortel. • Gewogen productformule : 2I * P = (2*5)*1 =10, normalisatie √10 = 3,16 • Niet gewogen produktformule I*P = 5*1 = 5, normalisatie √5= 2,2. • Gewogen productformule : 2I * P = (2*1)*5 =10, normalisatie √10 = 3,16 Exponentiële calculaties zijn moeilijk toe te lichten en redelijk moeilijk te normaliseren (terug te brengen naar een éénduidige as). Zoals reeds eerder vermeld kan men ook de factoren van een product “wegen” door toepassing van exponenten. Men verkrijgt dan formules in de aard van I² * P, waarbij in dit voorbeeld impact een dubbel exponentieel gewicht krijgt. De betekenis van deze formule is I*I*P en het is duidelijk dat de factor I hier de belangrijkste invloed heeft op de uiteindelijke grootte van het resultaat. Om te normaliseren moet men in dit (eenvoudige) geval de derdemachtswortel trekken uit het resultaat Voor de somformule gebeurt de normalisatie via een deling • Gewogen somformule: 2I + P = (2*5) + 1 = 11, normalisatie 11/3 = 3,6. • Niet gewogen somformule I+P = 5+1= 6, normalisatie 6/2 = 3 • Gewogen somformule: 2I + P = (2*1) + 5 = 7; normalisatie 7/3 = 2,3 Bij gebruik van een gewogen somformule bekomt men genormaliseerd een verschillend resultaat voor de twee gevallen waarin impact en probabiliteit tegenovergesteld zijn in belangrijkheid. De waarden die bekomen worden met een productformule zijn gelijk in beide gevallen. Met een niet gewogen somformule is het resultaat ook gelijk voor beide gevallen.





Weging van de parameters - types profielen voor de berekening van het inherente risiconiveau en berekening residueel risico De weging van de parameters en de keuze van de wegingcoëfficiënt voor Impact (I) en Probabiliteit (P) bij de berekening van het inherente risiconiveau is een beslissing die tot de exclusieve bevoegdheid van het Directiecomité van FOD behoort. De gekozen formule en de argumentatie moeten gedocumenteerd worden. In functie van de gekozen weging kan gekozen worden uit diverse types formules. Deze formules zullen automatisch worden toegepast tijdens de stemming over de risicoscores. Hieronder wordt een niet-exhaustief overzicht gegeven van de mogelijke keuzes. 1. Impact georiënteerd profiel Hierbij concentreren we ons op die risico’s met een grote impact op FOD, met minder aandacht voor de waarschijnlijkheid van voorkomen. Dit wordt bereikt door de impact een aantal keer meer invloed in de weging te geven dan de waarschijnlijkheid van voorkomen. Op deze manier wordt prioritair gewerkt op die risico’s die een grote invloed hebben op de doelstellingen van FOD, maar zijn we minder ingedekt tegen veel voorkomende risico’s met een lagere impact. De risico’s die een grotere impact hebben wegen dan meer door dan deze met een hoge probabiliteit. De onderliggende berekeningsformule kan als volgt worden voorgesteld: • IR = ((X*I) + P)/(X+1) • X = wegingsfactor 2. Probabiliteit georiënteerd profiel Hierbij concentreren we ons op die risico’s die een grote waarschijnlijkheid van voorkomen hebben binnen FOD, met minder aandacht voor de impact. De waarschijnlijkheid van voorkomen krijgt een aantal keer het gewicht van de impact. Op deze manier wordt eerst de veel voorkomende risico’s afgedekt, maar zijn we minder ingedekt tegen weinig voorkomende risico’s met een hogere impact. De onderliggende berekeningsformule kan als volgt worden voorgesteld: • •

IR = (I + (X*P))/(X+1) X = wegingsfactor

3. Neutraal of indifferent profiel Wanneer we een neutraal profiel hanteren, ligt het accent, in tegenstelling tot de twee vorige profielen, niet op één van de twee risicodimensies. De waarschijnlijkheid van voorkomen wordt gelijkgesteld aan de impact als wegingsfactor; dit is een neutraal profiel. Hierbij wordt waarschijnlijkheid en de impact bij elkaar opgeteld. De onderliggende berekeningsformule kan als volgt worden voorgesteld: •

IR = (I+P)/2

Herleiden van het inherente risiconiveau tot één dimensie bij een somformule. Het reduceren van de twee risico dimensies, impact en waarschijnlijkheid van voorkomen, naar de éne dimensie “inherent risiconiveau” die gebruikt wordt in de risico-controlematrix gebeurt bij gebruik van een somformule door toepassing van de bovenstaande formules, voor ieder type profiel. De deling door de noemer gebeurt om de schaal “(inherent) risiconiveau” te normaliseren. Dit is noodzakelijk om de resultaten van de risicoanalyse onderling vergelijkbaar te maken, zelfs in geval van een wijziging van berekening van risiconiveau. Versie 1.2 Licentiegever: FOD Mobiliteit en Vervoer




Een voorbeeld van het effect van de weging op de resultaten van de scoring volgt hierna. Wegingsfactor = 2

Risicotype ICT infrastructuur Management- en personeelscompetenties Evenwichtige samenstelling personeel Kenniskapitaal en leren Documentatie processen en controles Uitbestedings- of samenwerkingsovereenkomsten Organisatie van de processen Integriteit ICT Informatie Interne Communicatie

Impact georiënteerd (2I + P)/3 Score Plaats 4,90 1

Risicoscore I P 4,9 4,9

Neutraal of indifferent (I+P)/2 Score Plaats 4,90 1

Probab. Geöriëntieerd (I + 2P)/3 Score Plaats 4,90 1

4,5

4,6

4,53

3

4,55

2

4,57

2

4,1

4,5

4,23

6

4,30

4

4,37

3

4,8

4,1

4,57

2

4,45

3

4,33

4

4,4

4,1

4,30

4

4,25

5

4,20

5

4,4

3,9

4,23

6

4,15

6

4,07

6

4,5 4,1 4,1

3,8 3,6 3,5

4,27 3,93 3,90

5 8 9

4,15 3,85 3,80

6 8 9

4,03 3,77 3,70

7 8 9

4,1

3,4

3,87

10

3,75

10

3,63

10

De formule voor de herleiding van het inherente risiconiveau op één as is, zoals beslist door het Directiecomité, volgens een impact georiënteerd profiel, met wegingscoëfficiënt 2 voor de impact op de doelstellingen, hetzij (2*Impact + Waarschijnlijkheid)/3.

Residueel risico Het residueel risico is het resultaat van het inherent risico (risico zonder de bestaande controles) en (minus) het bestaand niveau van risicobeheer. Voor de indicatie van de behandelingsprioriteit wordt het huidige niveau van risicobeheer (perceptie van de controle met de bestaande maatregelen van de FOD), afgetrokken van 5 (de maximale score tussen 1 en 5) en opgeteld bij het inherente risiconiveau. Deze som wordt vervolgens gedeeld door twee. De risicotypes worden geklasseerd volgens deze indicatie van behandelingsprioriteit, in dalende volgorde. De scores kunnen in een risicocontrolematrix voorgesteld worden. Dit is de grafische voorstelling van een risicoanalyse waarbij het inherent risiconiveau en het niveau van risicobeheer op twee assen weergegeven wordt. Dit wordt het residueel risicoprofiel genoemd.





Bijlage 8: COSO ERM 23 Het COSO ERM model bestaat uit 3 verschillende kubus-assen: • Categorieën van doelstellingen (strategisch, operationeel, rapportering en gelijkvormigheid); • Dimensies van organisatie risicobeheer; • Organisatiestructuur en niveaus. Dit is ook weergegeven in de onderstaande figuur:

Figuur 25: COSO ERM Model Er bestaat een directe relatie tussen de doelstellingen die een organisatie tracht te behalen en de dimensies van organisatie risicobeheer, die aangeven wat nodig is om deze doelen te realiseren.

1. Categorieën van doelstellingen De volgende doelstellingen bestaan: • • • •

Strategisch: betreft globale doelen en is afgestemd op de missie Operationeel: betreft effectief en efficiënt gebruik van de middelen Rapportering: betreft betrouwbaarheid van verslaggeving Toezicht: betreft naleving van weten regelgeving

23

COSO ERM Risico management van de onderneming Enterprise Risk Management Integrated Framework (ERM) Management samenvatting – september 2004 http://www.coso.org/Publications/erm/COSO_ERM_ExecSummary_Dutch-rev-juni06.pdf





2. Dimensies van ondernemingsrisicobeheer

Interne omgeving De interne omgeving omvat de toon van een organisatie en stelt de basis voor hoe risico’s worden beschouwd en aangepakt door de mensen van een organisatie, inclusief risicobeheer en risicoacceptatiegraad, integriteit, ethische normen en waarden en de omgeving waarin zij opereren.

Formuleren van doelstellingen Doelstellingen moeten bestaan vooraleer het management potentiële gebeurtenissen die invloed hebben op het behalen van deze doelen kan erkennen. Risicomanagement bewerkstelligt dat het management een proces heeft dat doelstellingen vastlegt, dat gekozen doelstellingen afgestemd zijn op de missie en de missie ondersteunen en ook consistent zijn met de risico-acceptatiegraad. Identificeren van gebeurtenissen Interne en externe gebeurtenissen die invloed hebben op het behalen van de doelstellingen van de organisaties moeten worden geïdentificeerd, daarbij onderscheid makend tussen risico: COSO ERM Model en kansen. Kansen worden teruggekoppeld naar het strategie- en/of doelstellingenformuleringsproces. Risicobeoordeling Risico’s worden geanalyseerd, rekening houdend met hun waarschijnlijkheid en impact, als basis voor het vaststellen hoe deze zouden moeten worden beheerst. De inherente en rest-risico’s worden geschat. Reactie op risico Het management selecteert de gewenste reacties op de risico’s: vermijden, accepteren, verminderen of delen van risico, waarbij een geheel van maatregelen wordt ontwikkeld om risico’s af te stemmen op de risicotolerantie en risico acceptatiegraad. Beheersingsactiviteiten Richtlijnen en procedures worden geformuleerd en geïmplementeerd om te waarborgen dat de reacties op risico effectief worden uitgevoerd. Informatie en Communicatie Relevante informatie wordt geïdentificeerd, verzameld en gecommuniceerd in een vorm en tijdsbestek die mensen in staat stellen hun verantwoordelijkheden uit te voeren. Effectieve communicatie vindt ook in ruimere zin plaats, horizontaal, verticaal en bilateraal binnen een organisatie. Bewaking De totaliteit van risicomanagement wordt bewaakt en wijzigingen worden waar nodig aangebracht. Bewaking wordt mogelijk gemaakt door voortdurende managementactiviteiten, afzonderlijke evaluaties of beide.





Bijlage 9: Lijst van de figuren Figuur 1: MobiRisk Schema....................................................................................................................... 13 Figuur 2: MobiRisk Schema Statische Fase .............................................................................................. 14 Figuur 3: MobiRisk Schema Dynamische Fase ......................................................................................... 21 Figuur 4: Organisatorisch netwerk voor risicobeheer ................................................................................. 26 Figuur 5: MobiRisk RACI matrix Strategisch .............................................................................................. 37 Figuur 6: MobiRisk RACI matrix Operationeel....................................................................................... 37 Figuur 7: MobiRisk Schema....................................................................................................................... 39 Figuur 8: MobiRisk Schema Statische Fase .............................................................................................. 40 Figuur 9: Voorstelling risicobeheer maturiteitsniveau (illustratief) .............................................................. 41 Figuur 10: MobiRisk schema: identificatie gebeurtenissen ........................................................................ 42 Figuur 11: RIM model (illustratief) .............................................................................................................. 45 Figuur 12: MobiRisk schema: evaluatie van de risico's .............................................................................. 46 Figuur 13: Risicomatrix .............................................................................................................................. 47 Figuur 14: Risico-controle matrix ............................................................................................................... 47 Figuur 15: MobiRisk schema: bepaling reactie op het risico ...................................................................... 50 Figuur 16: MobiRisk schema: bepaling risicobeheermaatregelen .............................................................. 52 Figuur 17: MobiRisk schema: implementatie risicobeheermaatregelen ..................................................... 54 Figuur 18: MobiRisk Schema Dynamische Fase ....................................................................................... 55 Figuur 19: MobiRisk schema: bijwerken huidige en gewenste situatie risicobeheer .................................. 56 Figuur 20: MobiRisk schema: identificatie veranderingen gebeurtenissen................................................. 58 Figuur 21: MobiRisk schema: evaluatie verandering risico's...................................................................... 60 Figuur 22: MobiRisk schema: bepaling verandering reactie op het risico................................................... 61 Figuur 23: MobiRisk schema: bepaling verandering risicobeheermaatregelen .......................................... 63 Figuur 24: MobiRisk schema: implementatie verandering risicobeheermaatregelen.................................. 65 Figuur 25: COSO ERM Model ................................................................................................................... 71





Bijlage 10: Literatuur referentie lijst Australian New Zealand Standard© for risk management: • Risk Management • Risk Management Guidelines COSO - Enterprise Risk Management – Integrated Framework – september 2004: • Executive Summary Framework • Framework • Application Techniques http://www.coso.org/publications.htm Coso II Report - Le management de risques de l’entreprise : Cadre de référence. Techniques d’application – Philippe Christelle et Serge Villepelet – 2005 Intosai (International Organisation of Supreme audit Institutions - Organisation Internationale des Institutions Supérieures de Contrôle des Finances Publiques ) • Lignes directrices sur les normes de contrôle interne à promouvoir dans le secteur public • Informations complémentaires sur la gestion des risques des entités • Guidelines for Internal Control Standards for the Public Sector • Further Information on Entity Risk Management http://www.intosai.org/ Ferma (Federation of European risk management Associations) • A risk management standard – p16 • Cadre de référence de la gestion des risques – p 16 • De risk management norm – p 16 http://www.ferma-asso.org/ James Lam, Emerging Best Practices in Developing Key Risk Indicators and ERM Reporting, USA, 2006 James Lam, Enterprise Risk Management: From Incentives to Controls, USA, 2003 J Davidson Frame, Managing risk in organisations : A guide for managers– 2003 K.H. Spencer Pickett, Enterprise Risk Management: A manager’s journey, USA, 2006 Paul J. Sobel, Auditor’s Risk Management Guide: integrating auditing and ERM, USA, 2007 P.F. Claes, Risicomanagement, Nederland, 2004 Protiviti, Guide to Enterprise Risk Management: frequently asked questions, USA, 2006 Robert Moeller, COSO Enterprise Risk Management: understanding the new integrated ERM framework, USA, 2007 Thomas Barton, William Shenkir, Paul Walker, Making Enterprise Risk Management Pay Off, USA, 2002 Yacov Y. Haimes -Risk Modelling, Assessment and Management (2 edition) – 2005




MOBIRISK. Risicobeheer binnen de FOD Mobiliteit en Vervoer Minimale vereisten

Recommend Documents