Risk Management Protocol

 

10 Verankerpunten voor een goed Risk Management Protocol

 

¨     Beleidsplan.

Het beleidsplan geeft een korte schets waarin de aanpak van de implementatie van Risk Management wordt toegelicht. Daarin aandacht voor o.a. de volgende thema’s:

¨        Achtergrond en/of directe aanleiding

¨        Plan van aanpak

¨        Doelstellingen en kritische succesfactoren van dit plan

¨        Bemensing

¨        Tijdspad

¨        Financiering

¨        Evaluatie

¨     Strategisch kader.

Risk Management moet aansluiten op de strategie van de organisatie of van het project, indien het strategisch kader een project betreft. De waardering van risico’s is mede van het strategisch kader afhankelijk.

In het Strategisch kader komen o.a. de volgende onderwerpen aan bod:

¨        Doelstellingen van de organisatie of project

¨        Kritische succesfactoren van de organisatie of project

¨        Stakeholders

¨     Verantwoordelijken.

Voor een goed werkende Risk Managementstructuur is het noodzakelijk dat de taken, verantwoordelijkheden en bevoegdheden worden vastgesteld. Voorts moet worden aangegeven op wat voor wijze verantwoordelijkheden wordt afgelegd.

Dit betreffen o.a:

¨        Raad van Bestuur / Directie

¨        Lijnmanagers

¨        Risk (Audit) Committee

¨        Riskmanagers en andere specifieke risicofunctionarissen als ARBO-, milieu of veiligheidscoördinatoren

¨        Andere risico-eigenaren

¨        Auditors en controllers

¨     Betrokkenheid van de mensen.

Betrokkenheid van mensen bij de implementatie van Risk Management is van essentieel belang. Dat wordt bereikt door de versterking van de risk-awareness en door de ontwikkeling van vaardigheden die nodig zijn om de implementatie te kunnen ondersteunen. Aandacht dus voor:

¨        Ontwikkeling van Risk- awareness

¨        Versterking van betrokkenheid van zoveel mogelijk mensen bij de implementatie

¨        Ontwikkeling van specifieke vaardigheden door training / coaching

¨        Communicatie en publiciteit over voortgang en resultaten van de implementatie van Risk Management

¨     Risico-acceptatie.

Een organisatie dient zich bewust te zijn van de normen die zij hanteert voor het accepteren van risico’s. Dat geldt voor de bovenkant, de onacceptabele risico’s, als de onderkant, de risico’s die voor eigen rekening. Geen gemakkelijk onderwerp, doch van groot belang voor belanghebbenden binnen als buiten de organisatie. De vraag: ‘wel of niet verzekeren’ vormt een onderdeel van die acceptatienormen. Derhalve is aandacht gewenst voor:

¨        Risico-acceptatienormen

¨        Risicofinanciering

¨     Risicoanalyse.

De wijze waarop de risicoanalyse wordt uitgevoerd draagt in belangrijke mate bij tot het succes van de implementatie van Risk Management. Volledigheid en uniformiteit spelen een rol, ook de wijze waarop risico’s worden beoordeeld en geprioriteerd.

Aan de volgende aspecten dient aandacht te worden besteed:

¨        Wijze van risicoanalyse (interviews, workshops, risk selfassessmentprogramma’s, vragenformulieren)

¨        Uitgangspunten van de risicoanalyse (thema’s, processen, producten, functies, lokaties)

¨        Door wie en wanneer worden op nader aan te geven terreinen risicoanalyses uitgevoerd

¨        Wegingsfactoren, wijze van wegen (subjectief / objectief) en prioriteren van risico’s

¨        Wijze van objectiveren / meten van risico’s

¨        Vastleggen risico-indicatoren

¨        Ontwikkelen gemeenschappelijke risicotaal, risicodefinities

¨        Hoe de kwaliteit van de risicoanalyse wordt veiliggesteld

¨        De frequentie van te houden risicoanalyses

¨     Maatregelen.

De maatregelen bepalen de mate van risicobeheersing. Welke nieuwe maatregelen moeten worden genomen en waarom? Effectiviteit van de bestaande beheersingmaatregelen moet steeds worden gevolgd. Daarom aandacht voor:

¨        Inzicht in effectiviteit van huidige beheersingsmaatregelen

¨        Uitgangspunten voor nieuwe maatregelen (wie beslist)

¨        Wijze van uitvoer nieuwe maatregelen, al of niet in de vorm van een projectstructuur

¨        Wijze van monitoring voortgang en effectiviteit van de maatregelen

¨        (Bijna) -incidenten en klachtenregistratie

¨        Onderzoek (bijna) -incidenten en klachten / oorzak en gevolgenanalyse

¨     Audits

Toetsen moet. Er kan geen sprake zijn van een effectieve Risk Managementstructuur als niet bij regelmaat het Risk Managementproces en de maatregelen op effectiviteit worden getoetst. Auditors spelen daarbij een belangrijke rol. Duidelijkheid is dus van belang over:

¨        De wijze waarop, wat, wanneer en door wie wordt getoetst

¨        De communicatie over resultaten audits

¨        Rol en bevoegdheden auditors

¨     Rapportagestructuren

Rapportage geeft inzicht in de stand van zaken. Belanghebbenden in- en buiten de organisatie hebben daar recht op. De interne rapportage legt de basis voor de Risicoparagrafen in jaarverslagen. Vandaar dat het van belang is dat naast de kwaliteit van de rapportage ook aandacht wordt besteed aan de communicatie naar aanleiding van die rapportage. Dus aandacht voor:

 

¨        Wijze en frequentie van rapporteren (aangeven rapportagemodellen, eventueel aansluitend op de planning en controlcyclus)

¨        Door wie en wat wordt gerapporteerd

¨        Wie voor interne en externe communicatie, al of niet via intra- of internet, samenvattingen en risicoparagrafen zorgt

¨        Wat naar binnen en naar buiten toe over die rapportages wordt gecommuniceerd

¨     Randvoorwaarden

Het voldoen aan bepaalde randvoorwaarden kunnen mede het succes bepalen. Te denken valt aan de beschikbaarheid van:

¨        Systemen en tools / softwareprogramma’s

¨        Externe ondersteuning

 

Het geheel kan worden vastgelegd in een Handboek Risk Management Protocol, aangevuld met toelichtingen en relevante bijlagen.

 

 

 

 

Risk Management Protocol

(toelichting)

 

Waar staan we nu met de beheersing van risico’s?

 

Men is nog steeds niet hersteld van de schok die het Ahold- schandaal teweeg heeft gebracht. Verbazing is alom nog op de gezichten te lezen. Hoe kan het zijn dat bij zo een in het algemeen zeer gerespecteerd bedrijf de risico’s zo slecht onder controle waren?

Laten we eerlijk zijn. Het was niet alleen bij Ahold. Veel andere bedrijven hebben zich in de afgelopen jaren in hun drang naar expansie vergrepen aan veel te dure acquisities en likken nu hun wonden. En het gaat ook niet alleen om de zogenaamde strategische risico’s waar het gebrek aan beheersing van risico’s zichtbaar is. Operationeel gaat er ook veel mis. Geen organisatie ontkomt daaraan, profit of non-profit. De gemeentes Enschede, Volendam en Tiel zullen in dit verband niet snel worden vergeten.

 

Om uzelf een beeld te kunnen vormen van de stappen die gezet moeten worden om tot een betere beheersing van risico’s te komen, is het noodzakelijk enige notie te hebben van de achtergronden waarom effectieve risicomanagement zo moeilijk van de grond komt.

Ik noem u er enkele.

·         Een belangrijke drijfveer bij het handelen van organisaties is het zogenaamde ‘hogere doel’. Veel is daaraan ondergeschikt Dat ‘hogere doel’ kan geld (omzet/winst) zijn, macht (omvang), een of ander maatschappelijk belang, de lieve vrede of gewoon het ego van de hoogste baas. Op operationeel nivo zie je als ‘hoger doel’ bijvoorbeeld dat men iets af wil hebben, dat men iets wil leveren of gewoon haast, geen tijd. Veelal niet helder uitgesproken motieven, maar onbewust toch dominante drijfveren.

 

·         Een tweede belangrijke element is de idee dat risicobeheersingmaatregelen lastig zijn en meer geld kosten dat ze opleveren. Ze werken vertragend, zaken moeten anders dan op de meest eenvoudige manier worden uitgevoerd en zijn soms bedreigend. Controle van werk kan nodig zijn. En daar zit men niet op te wachten.

 

·         Als derde element wil ik noemen ‘de gewenning’. Risico’s horen er nu eenmaal in ons leven bij. Risico’s overkomen je als acts of God, dus weinig aan te doen of zijn all in the game. Als je met zaken bezig bent, dan gaan zaken nu eenmaal kapot of verkeerd of lopen vertraging op. Geld raakt verloren, jammer dan. Een nogal nihilistische attitude, maar helaas veel voorkomend.

 

·         Ten vierde is te noemen ‘de verdringing’. Het niet weten of het niet willen weten welke risico’s er gelopen worden. Dat is geruststellend. Wat niet weet, wat niet deert. Dan hoef je ook geen maatregelen te nemen. Dat komt goed uit.

Allemaal factoren, die ertoe leiden dat risicobeheersing in organisaties van welke aard dan ook niet de aandacht krijgt die het verdient, die de achtergrond zijn van de vaak gehoorde uitspraak: Risk Management, geen prioriteit.

 

Het spreekt voor zich. Indien men risicobeheersing een stap vooruit wilt brengen, dan moet je mensen bewust laten worden van hun houding, van hun beweegredenen om dingen op een bepaalde manier te doen. Daarnaast moet men deze personen inzicht geven in de nadelige effecten van hun houding en in de positieve effecten van een andere wijze van werken.

Dat vraagt tijd en enige inspanning, maar mijns inziens meer dan de moeite waard.

Kortom, inzicht in gedrag en in feiten is een basisvoorwaarde voor vooruitgang.

 

Ongetwijfeld zullen er de dag van vandaag mensen zijn die, al of niet vanwege een bepaalde functie, tegen verantwoordelijken de vinger opheffen en zeggen: let daar op, kijk er nog eens naar of moet dat nu want het kan wel eens anders uitpakken. Soms zijn deze waarschuwingen gebaseerd op een voorgevoel, soms ook op harde feiten.

Dat deze softe aanpak in algemene zin onvoldoende effect heeft op het beheersen van risico’s wordt natuurlijk al veel langer onderkend.

Op allerlei terreinen heeft de overheid organisaties verplichtingen opgelegd waaraan organisaties zich moeten houden om risico’s te vermijden. Dat zijn verplichtingen die liggen in het kader van gezondheid, veiligheid en milieu. Ook in het kader van financiële en maatschappelijke verantwoordelijkheid worden organisaties aan allerlei regels gebonden.

Daarnaast zie je dat organisaties zichzelf regels opleggen om aan de buitenwacht te kunnen laten zien dat men met een verantwoordelijke partij te maken heeft. Te denken valt in dit verband aan de, overigens zeer zwakke regelgeving van de commissie Peters ter zake Corporate Governance of de ISO regulering.

 

Toch blijkt nu dat die harde of zachte regelgeving nog onvoldoende effect sorteert ter zake de noodzakelijke beheersing van risico’s. Deels moet de oorzaak daarvan gezocht worden in de kwaliteit van die regelgeving en het gebrek aan handhaving daarvan. Maar vooral moet toch geconstateerd worden dat de tegenkrachten, de eerder genoemd achtergronden waarom Risk Management onvoldoende van de grond komt, toch sterker zijn dan de goede bedoelingen die in de regelgeving opgesloten licht en dan wellicht het gezond verstand.

 

Kortom, na alle debacles van de afgelopen periode is het algemene gevoelen dat er meer moet gebeuren. Alleen maar vertrouwen op de goede intenties van een ieder is ontoereikend. Dat laat de harde praktijk zien.

 

Overheden realiseren zich dat nu terdege. Regels zijn er om te worden nageleefd, is nu het devies, dus moet er gehandhaafd worden. Gedogen is uit.

Ook in de wereld van de grote ondernemingen wordt dit gerealiseerd. Er is een nieuwe Commissie Corporate Governance in het leven geroepen om het huidige rapport van Commissie Peters te herzien. Ongetwijfeld zal de nieuwe Commissie aandacht aan het fenomeen risicobeheersing besteden.

 

Is dit voldoende: nee! Hoe nuttig de druk ook is die van buiten door regelgeving op organisaties wordt opgelegd, toch blijken deze externe invloeden onvoldoende tegenwicht te kunnen bieden tegen al datgene wat van binnen de organisaties uit door eigen gedrag aan risico’s wordt opgeroepen. Er moet dus meer gebeuren. Risk Management moet een plek krijgen in een organisatie. Niet iets van by the way, dat moet ook nog even, maar serieus, waarvan een ieder in de organisatie voelt dat het belangrijk is.

De basis daarvan ligt in de ontwikkeling van een risicoattitude. Bij alles wat er gedaan wordt is van belang dat constant met de effecten van het gedrag rekening wordt gehouden. Dat valt niet mee, we weten immers dat het vlees zwak is. Dus dient er een structuur te zijn die de risicoattitude ondersteunt: de z.g. Risk Managementstructuur.

Veel is al gezegd en geschreven hoe die structuur er uit zou moeten zien. Bij deze wil ik het mijn visie daaraan toevoegen.

 

De grondwet van die Risk Managementstructuur zal een Risk Management Protocol moeten zijn. Daarin wordt de basis vastgelegd hoe formeel en informeel de organisatie met risico’s wenst om te gaan. Een dergelijk Protocol dwingt een organisatie na te denken, te expliciteren, hoe de organisatie met de eigen doelstellingen als uitgangspunt met risico’s wenst om te gaan. Dan komen de wijze van risicoanalyse en risicobeheer in beeld, de aanpak van bijzondere projecten, - te denken valt aan Risico Effect Rapportages van de overheid- de risicoacceptatienormen, het vastleggen van Risk Indicators, de versterking van de risk-awareness, de verantwoordelijken, de wijze van rapportage en de wijze waarop en door wie controles worden uitgevoerd. Het Risk Managementbeleid krijgt daarmee een gezicht, ja zelfs één gezicht. Allerlei personen die met risico’s iets specifieks van doen hebben zoals ARBO-, veiligheids- of milieucoördinatoren, auditors, controllers en risk managers, zij allen zullen in hun handelen geleid worden door dat ene Risk Management Protocol. Er ontstaat eenheid en integraliteit in aanpak, de effectiviteit neemt daardoor alleen maar toe.

 

Dat werkt door naar buiten en naar binnen de organisatie. Stakeholders kunnen nu gaan zien hoe serieus organisaties met risico’s omgaan. In Jaarverslagen of Risicoparagrafen bij overheden zullen passages voorkomen, die voortkomen uit de in het Protocol vastgelegde rapportagestructuren. Vrijblijvendheid en open deuren moeten daarmee tot het verleden behoren.

Commissarissen kunnen nu, met het Risk Management Protocol in de hand, al of niet zitting hebbend in een Risk of Auditing Committee, inzage krijgen in al die informatie die de Risicorapportage oproept. Daarmee neemt de afhankelijkheid van informatie die alleen afkomstig is van de Raad van Bestuur af. De rol van Commissaris als toezichthouder wordt daarmee versterkt.

Het ligt dus voor de hand dat een dergelijk Risk Management Protocol onderdeel gaat uitmaken van de vernieuwde versie van het rapport van Commissie Peters.

 

Alhoewel sommigen misschien als reactie, terug te voeren op de eerder genoemde tegenkrachten, zullen aangeven dat een dergelijk Protocol remmend op de dynamiek van een organisatie zal werken, dan wil ik in dit verband wijzen op de ISO regelgeving, algemeen gerespecteerd uitgangspunt voor kwaliteitsbeleid, op de nieuwe richtlijnen van de Basel Committee on Banking Supervision (de z.g Bazel II regelgeving m.b.t. ‘operational risks’) die de bankwereld een gestructureerde aanpak van Risk Management opleggen en tot slot naar de Risk Management Standards van Australië en Nieuw Zeeland of die van de Association of Insurance and Riskmanagers (AIRMIC).

De ontwikkeling van een Risk Management Protocol sluit uitstekend aan bij de sfeer die door voorgenoemde regelgeving wordt opgeroepen.

 

Bij nogal wat profit en non-profit organisaties die ik spreek proef je een behoefte aan een meer gestructureerde aanpak van risicobeheersing. De samenleving wordt complexer, maar ook onze samenleving laat steeds meer van zich horen als iets niet goed gaat. Toezichthouders worden op hun verantwoordelijkheden aangesproken. Met mooie praatjes en vingerwijzend naar anderen, daar komen verantwoordelijken nu niet meer mee weg. Kortom, mensen binnen als buiten organisaties willen meer grip hebben op datgene wat er binnen organisaties gebeurt. Geleerd hebbend van de harde waarheid van alle dag neemt men geen genoegen met vage verhalen van managers die aangeven dat zij zaken onder controle hebben. Men wil zekerheid, men wil aangetoond zien dat organisaties daadwerkelijk op een verantwoorde manier met risico's omgaan. Door het Risk Management beleid vast te leggen, door het een gezicht te geven, mede door de opzet van een Risk Management Protocol wordt een houvast gecreëerd waar men van binnen als van buiten de organisatie op kan terugvallen.

Een dergelijk Protocol kan een belangrijke bijdrage zijn indien men Risk Management, organisatiebreed, ongeacht de omvang, op een hoger plan wil tillen.

 

In de bijlage treft u de ‘10 Verankerpunten voor een goed Risk Management Protocol’.

 

 

VRIMS Integraal Risk Management Services

Mr R.A.Vroom

www.riskmanagement.nl

24 juli 2003