Presentatie Uitwisselingsbijeenkomst 22 november 2011

Risicobeheersing met Risicobeheersing met Control & Risk Self Control & Risk Self Assessment (CRSA)Assessment (CRSA)

Risicoanalyse in12 stappenRisicoanalyse in12 stappen

Provinciehuis Assen

Frits Engel EMIA RO CCSA

Operational auditorAccountantsdienst UWV

Even voorstellen ………Even voorstellen ………

Frits Engel 51 jaar

Woonplaats Rotterdam

30 jaar sociale zekerheid

‘Roots’ in productie (loketten WW GAK)

15 jaar HQ via, functioneel beheer, procesontwikkeling, servicemanagement, projectmanagement, nu al weer10 jaar operational auditing

Executive master Internal Auditing (EMIA)

Geregistreerd Operational auditor (RO)

Door IIA gecertificeerd in het faciliteren van CSA (CCSA)

Publicatie ‘Risocoanalyse in 12 stappen’ / Finance & Control - dec ‘10

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

33Frits Engel - Risicobeheersing met Control & Risk Self Assessment


Kwantitatief risicomanagement (wiskunde)

R(O) = ∑ (i) P (i) [O,B (i)] W (i) x D (i)

Kwalitatief risicomanagement (strategisch, tactisch en operationeel)

K x S = P

55

Risicomanagement in 2 soorten


Risico's identificeren

Vaststellen risicoprofiel

Risico's analyseren

Kans en gevolg

Risico's beoordelen

Kans x gevolg

Ontwikkelenbeheersmaatregelen

Organisatorisch,technisch financieel

Implementerenmaatregelen

Taken enverantwoordelijkheden

Rapporteren enevalueren

Effecten

Stap1.

Stap2.

Stap3.

Stap4.

Stap5.

Stap6.

De 6 stappen van hetrisicomanagementproces

66


Vaak wordt vergeten dat risicobeheersing niet alleen gaat om het wegnemen van gevaren maar ook om het realiseren van kansen. Maar juist om kansen te realiseren moet je in kaart brengen wat er mis kan gaan.

Beperk je daarbij niet tot je eigen omgeving en organisatie maar analyseer ook de afhankelijkheden van de omgeving.

Ondernemingen (business units, divisies, afdelingen, projecten)opereren immers niet ‘stand alone’ en de mooiste kansen realiseer je door samen te werken.

7

Zonder risico’s geen kansen!!


Het probleem is dat iedereen zo langzamerhand wel weet dat het ‘doen’ aan risicomanagement voordelen geeft. Maar waar zit nu de winst?

◦ Betere strategische en business planning; ◦ Slimmere inzet van middelen (effectiviteit)◦ Verbeteren wordt makkelijker; ◦ Minder ´rampen´ en verrassingen; ◦ Betere kijk op kansen; ◦ Verbetering van de communicatie; ◦ Meer zekerheid voor de stakeholders dat

doelstellingen worden gehaald; ◦ Vermindering van de auditbelasting;

8

Voordelen van risicomanagement


Weer een bureaucratisch gebeuren (risico van window dressing door risk- & issuelogs);

Onduidelijke rolverdeling (wie doet nu wat); Niet iedereen wil weten welke risico´s er

zijn (want dan moet er actie ondernomen worden – duiken in plaats van handelen);

Het is makkelijker om de gevolgen te bestrijden (levert mogelijk nog meer op ook);

Samenwerken is moeilijk (risico’s delen dus ook)

De politiek doet het zelf ook niet dus …..

9

Waarom slaat het niet aan?


Citaat Citaat ‘‘IBO controle-torenIBO controle-toren’’

“... de inzet van beheersingsmaatregelen en audits is nog onvoldoende gebaseerd op een daadwerkelijke risicoafweging, met als gevolg dat processen met een laag risico op dezelfde manier worden beheerst en gecontroleerd als processen met een hoog risico.

De minder belangrijke zaken krijgen zo ten onrechte te veel aandacht. De echt belangrijke zaken blijven hierdoor onderbelicht....”



Ontwikkeling Risico ManagementOntwikkeling Risico Management

Risico management is een aandachtspunt in alle publieke en private governance codes: “het moet”, helaas zonder nadere invulling…….Veel risico management is ad hoc, goed risico management structureel.

12

Publiek PrivaatComptabel bestel …… …Government Governance COSOCommissie Meurs Cie. PeetersVBTB SOXDualisering Tabaksblatt

tijd accent

Control

Risk mgmt.

Ontwikkelingslijn Governance:– Beheersing aantoonbaar via verantwoording: “tell me…”– Control: “show me …”– Transparantie: “show me all …”– Risk management: “assure me…”


Essentie van RisicomanagementEssentie van RisicomanagementRisicomanagement is momenteel hét tool

voor ‘mindfullness’

1. Focus op onzekerheid rond intern beheer: ◦ Betekenis van afwijkingen t.o.v. het beheerskader;

in welke onzekerheid belanden we, nu we onze regels en afspraken niet helemaal nakomen? Hoe erg is dit?;

◦ Betekenis van onvolkomenheid van het beheerskader

in welke onzekerheid belanden we, nu we zien dat we onze beheersing niet op alle noodzakelijke gebieden volwaardig hebben ingericht? Hoe erg is dit?

2. Focus op onzekerheid in de omgeving

◦ aan welke voorvallen, incidenten, bewegingen, bedreigingen etc. staan wij óók nog bloot, en op welke manier kunnen wij daar last van hebben? Hoe erg is deze onzekerheid en moeten wij ons erop toerusten?


Begrippen risicomanagementBegrippen risicomanagement

Controls: het geheel van maatregelen (formeel en informeel) die genomen zijn om de doelstellingen van de organisatie te kunnen (en zullen) bereiken.

Het formuleren van controls (beheersmaatregelen) vraagt om het in kaart brengen van:◦ oorzaken van het event of de gebeurtenis;◦ het schadevormingsproces van event tot schade, en

de factoren die dit beïnvloeden.

In control zijn: er is redelijke zekerheid dat de risico’s (met de toegepaste controls) worden beheerst.


High reliability organisations (Weick)High reliability organisations (Weick)

Weick: management van het onverwachte is de essentie waar het in de steeds complexer wereld meer en meer om draait

High reliability organisations: kennen een hoge staat van opmerkzaamheid jegens het onverwachte (mindfullness)

HRO’s hebben:◦ Een hoog bewustzijn voor ‘zwakke’ signalen, ◦ vermogen om afwijkingen van het verwachte

(onzekerheid) te signaleren,◦ vermogen om (weef)fouten te ontdekken en te

corrigeren die anders tot een crisis zouden kunnen leiden.


Het begrip Het begrip ‘event’ of gebeurtenis‘event’ of gebeurtenis Onzekerheden: mogelijke incidenten en voorvallen waarover qua

kans niets te zeggen is en qua mogelijke effecten wellicht een idee bestaat, maar niet beredeneerbaar

Een event is een onzekere gebeurtenis, een kwetsbaarheid die van invloed kan zijn op een doelstelling van een risico-object. ◦ een gemiste kans;◦ een ongewenst voorval;◦ een acute dreiging.

Een risico-object is het object dat last heeft van de event, omdat daar verantwoordelijkheid voor de doelstelling is belegd: een persoon, groep mensen, organisatie(onderdeel), een project.

Een event kan goed een combinatie van gebeurtenissen zijn, de zogenaamde ongelukkige samenloop van omstandigheden…..


Met risico wordt de ‘fatale’ combinatie bedoeld tussen event en hierdoor veroorzaakte specifieke schade aan een doelstelling.

Een risico wordt dus verwoord in een zin die een event met een schade voor een doelstelling verbindt.

Een “goed” risico bevat in de omschrijving altijd de doelstelling, de aard van de schade en het event.

Het risico-niveau wordt dan ook ‘berekend’ door de vermenigvuldiging van:

Kans, dat de event zich voordoetX Schade (impact) die de event op de doelstelling

heeft = …….

Het begrip RisicoHet begrip Risico


Governance en Interne Beheersing


Corporate Governance (RvB – Minister)◦ Gericht op externe verantwoording◦ Certificering (wetgeving)

Internal Governance (RvB – Directeuren)◦ Bedrijfsvoering (planning en control)◦ Gericht op realisatie

IT Governance (RvB & Directeuren – CIO)◦ ‘alignment’ tussen IT doelen en Business

doelen

Soorten ‘Governance’Soorten ‘Governance’


Ontwikkeling “Good Governance” Ontwikkeling “Good Governance” (jaren 70 – heden)(jaren 70 – heden)

1970: De opdrachtgever krijgt vertrouwen door resultaat-verantwoording;

◦ De managementkwaliteit is:inrichten en doen naleven

1990: De opdrachtgever wil zekerheid;◦ De managementkwaliteit is: effectief managen van

interne en externe onzekerheden

Nu: De opdrachtgever wil dat men ‘in control’ is: ◦ De managementkwaliteit is: aantoonbaar doelmatig

intern beheer;◦ En: Effectief omgaan met cq. aanpassen op

veranderlijke omgeving;


22

COSO2 of ERM kubusEnterprise Risk Management



Keten-Samen-Werking

Gebaseerd op het werk van Prof. Grijpink


Ketens worden steeds belangrijker door:◦ voortschrijdende specialisatie;◦ toenemende onderlinge afhankelijkheden;◦ hogere maatschappelijke eisen;◦ Toenemende interactie en samenwerking;

Een keten is een moeilijk terrein door:◦ geen overkoepelend gezag;◦ gemeenschappelijk belangen vaak beperkt en

onduidelijk;◦ irrationaliteit en onvoorspelbaarheid proef;◦ het dominant ketenprobleem is de ‘baas’ in de

keten.

Belang van Belang van ketendenkenketendenken


Maatschappelijk relevant;Veel onafhankelijke partijen;Wil of druk om iets samen te doen;Een dominant probleem waarop

men alleen geen vat heeft;Tegengestelde belangen;Proces met schakels na of naast

elkaar, lussen of knopen;Afhankelijkheden in het proces;Bestuurlijke en administratieve

complexiteit.

Kenmerken van een Kenmerken van een ketenketen


NIET (in het algemeen)

Efficiency;Kosten;Baten;Doelmatigheid;Informatie-

voorziening;Wet- en

regelgeving.

Criteria voor dominante Criteria voor dominante ketenproblemenketenproblemen

2727

WELLevensgevaar;Incidenten met

ernstige gevolgen;Risico op herhaling;Risico op escalatie;Publieke

verontwaardiging;Schade voor het imago

van de keten;(inter)nationale druk.


Werken met een ketenvisie gebaseerd op hiërarchie, rationaliteit en voorspelbaarheid;

Interne belangen stellen boven externe afhankelijkheden;

Overschatten van de gemeenschappelijkheid van belangen in een keten;

Overschatten van mogelijkheden voor ontwikkeling van een gemeenschappelijke informatie-infrastructuur;

Niet delen van (interne) risico’s.

Valkuilen keteninformatiseringValkuilen keteninformatisering


Voor een grote oplossing is ieder draagvlak te klein; geleidelijkheid is uitgangspunt;

Niet bemoeien met interne aangelegenheden van andere partijen;

Het probleem is de baas in de keten;

Crisis creëert verandering.

Enkele ketenwettenEnkele ketenwetten


De gefaciliteerde workshop

Control Risk Self Assessment (CRSA)


Een gestructureerd proces;

1. Waarmee de effectiviteit van de interne beheersmaatregelen;

2. Ten aanzien van een of meer bedrijfsprocessen (of projecten) wordt beoordeeld;

3. Door medewerkers die bij de uitvoering en beheersing van het proces (project) betrokken zijn;

4. Met als doel een bijdrage te leveren aan de zekerheid dat de organisatie- of projectdoelen worden gehaald.

CRSA is een managementinstrument en (nog) geen audittool

31

De CRSA definitie


Het ontbreken van zekerheid;

Het ontbreken van een gedragen referentiekader;

De behoefte aan een gemeenschappelijke werkelijkheid;

De dynamiek c.q. snelheid van de veranderingen.

32

Waarom is er vraag?


Het moet ‘passen’ in de cultuur; Nut en noodzaak moet duidelijk zijn; Er moet een sfeer zijn waar openheid,

integriteit en eerlijkheid worden beloond Het (top) management moet de

invoering steunen Er moet aandacht zijn voor de marketing

van het product CRSA Kaderstelling CRSA moet aansluiten op

het gebruikte controlframework

33

Randvoorwaarden bij de uitvoering



Wilom te

veranderen

Gezamenlijkvertrekpunt,doel en route

Concretestappen

Middelen

Werken vanuitgemeenschappelijk model

Eigen beoordelingPraten met vakgenoten

Bepalen huidig niveauBepalen gewenst niveau

Onderkennen zwakke puntenBenoemen knelpunten

Definiërenacties

beleggenacties

De assessmenttrechter

De veranderpyramide

Doen

35

De wil om te veranderen


Audit – van buiten af CRSA – van binnen uit

Objectieve meting Subjectief oordeel

Door (externe) auditor Door interne medewerkers

Mogelijkheid tot benchmarking

Onderkennen verbeter-punten en acties

Vooral voor het management Vooral voor de deelnemers zelf

Gevoel van veroordeling ipv. beoordeling

Draagt bij aan betrokkenheid

Geeft diepgaand beeld over één of meer onderwerpen

Geeft in zeer korte tijd een globaal (betrouwbaar) beeld

Duurt al snel enkele weken Duurt één a twee dagen

Single-loop learning Double-loop learning

36

Audit v/s CRSA


Voordelen CRSA Nadelen CRSA

Het is gericht op doel-realisatie

Het impliceert verandering

Het vergroot het risicobe-wustzijn van de deelnemers

De kennis en kunde moeten worden ontwikkeld

Het bevordert de communica-tie met de business

De (on)betrouwbaarheid van de uitkomsten

Benutten van de kennis van de experts

Het kan de auditfunctie bedreigen

Een groot draagvlak voor de resultaten

Geen ‘veilige’ omgeving

37

Voordelen en nadelen


Stap 1: Zorg voor een breede groep aan deelnemers (betrokkenen +

eindgebruikers + specialisten)

Stap 2: Zoek met de groep naar de alignment met de hogere doelstellingen op

organisatieniveau (visie, missie, doelen, strategie)

Stap 3: Zorg dat de groep de projectdoelen van het project op het netvlies heeft (SMARTI maken). Wat gaan we doen en hoe draagt die

bij aan de realisatie van de doelen van de organisatie

Stap 4: Voer een stakeholdersanalyse uit. Wie ‘profiteren’ van het projectresultaat? Wie zijn de grootste sponsoren? Van wie hebben we

(mogelijk) last

Stap 5: Benoem de invalshoeken van waaruit je naar de risico's gaat kijken. Gebruik control

modellen zoals COSO, COBIT, INK, I SO, of handige rijtjes zoals COPAFI J TH en PEST.

Stap 6: I dentificeer vanuit de invalshoeken de risico's of bedreigingen (we gaan de

doelstelling niet halen omdat ..?)

Stap 7: Analyseer de geidentificeerde risico's.; Haal de overlap eruit, bepaal de eigenaar, bepaal de strategie en het soort

maatregel.

Stap 8: Geef de eerste (bruto) score. Doe dit met cijfers en alleen op gevoel. Vergeet bij het geven van de score de organisatie en al

z'n interne beheersing. Gebruik cijfers!

Stap 9: Op op zoek naar de beheersmaatregelen (bestaande en nieuwe)

die we rond het mogelijke het risico georganiseerd hebben.

Stap 10: Geef op basis van de aanwezige beheersing een nieuwe (netto) score. Let wel dat je iets moet weten over opzet, bestaan en

werking van de beheersmaatregel.

Stap 11: Bepaal op basis van de netto-scores je top 10. Deze risico's gaan we management.

Waarom 10? Meer kan je er toch niet aan.

Stap 12: Manage de toprisico's (rapportage, voortgang, monitoring). Pas op voor

spreadsheet fetisjisme en waak voor de bureaucratie. Maak afspraken over

monitoring op de gemaakte afspraken

12 stappenplan voor het uitvoeren van risicoanalyses


‘2 x wegen’ Kans * Schade = Prioriteit

Bruto Risico 9 * 8 = 72

-/- Maatregelen◦ Organisatorisch 5◦ Verzekering 6

Netto Risico 4 * 2 = 8

De regel: bruto risico minus de beheersmaatregelen = netto risico. Scores met cijfers (1 = laag / 9 = hoog) ipv een vage gradatie Hoog – Midden - Laag


41

9

8

7

6

5

4

3

2

1

2 3 4 5 6 7 8 9

1.1.

1.3.

Spreidingsdiagram totaal

1.5.

3.6.

1.6.

11.7.

11.11.

5.1.

3.8.

1.1. Doelstellingen en (stuur) informatie

1.2. Afboeken, integriteit, taakverdeling

1.4. Voorkomen van terugvorderingen

1.5. Werkvoorraden (stuwmeer)

1.6.Imago, externe verantwoording

3.6. Audittrail

3.8 Inzicht betaalproces

5.1. Retour gekomen betalingen

11.7. Foutieve adressen

11.11. Juistheid betaalgegevens

Schade

Waarschijnlijkheid

1.4.


Als je alles wilt beheersen sta je stil!




Praktijkcase

UWVDivisie Uitkeren

Operationeel Risicomanagement

‘Risicobeheersing met inzet van CRSA’

Risicoanalyse in 12 stappen


--------------------------------------------------------------------------------------------------------De

praktijkCASE

Governance Environment UWVGovernance Environment UWV

46

Generiek ontwerpInterne organisatie

Minister

UWV

sturen

Richten en organiseren: ‘zeker’ stellen vereiste uitvoering

Generiekdeel

mensen

kwaliteiten technologie

processen

onzekerheden

Specifiekdeel

Aanvullende specifieke organiseermaatregelen

Generiek

opdrachten

mensen

technologie

processenkwaliteiten

Klantverwachtingen

onzekerhedenUWV

Operationeleomgeving

Beheerskader


47

Operationeel risicomanagementOperationeel risicomanagement

Aandacht voor risicomanagement geeft vorm aan een nieuw soort dialoog binnen UWV, een dialoog waar iedereen aan mee kan doen, en die gaat over risico’s en kansen in relatie met de gestelde doelen.

Deze nieuwe dialoog zorgt dat management en medewerkers zich bezig houden met die dingen die er echt toe doen, met als gevolg een gezamenlijk en gedragen beeld van de operationele werkelijkheid.

Bron: Presentatie Uitkeren d.d. 21 januari 2010


Een verandertraject van 3 Jaar

Jaar 1 : Risicomanagement met CRSA ‘durven jullie dat?’2010 Spelen en verleiden door workshops voor management en

medewerkers. Introductie van het 12 stappenproces

Go/no go beslissing 1 : GO

Jaar 2 : Oefenen met CRSA. Voordoen, samen doen, zelf doen.2011

Go/no go beslissing 2 : GO

Jaar 3 : Formeel incorporeren CRSA in de jaarplan- of planning en 2012 controlcyclus + het trainen van de CRSA Facilitators

UitgangspuntenWe doen het met ‘eigen’ mensen;

Niets moet, iedereen mag meedoen;Sponsoship van de top;

CRSA introductie op alle niveau’s (hoofdkantoor, productie, projecten)


DE CRSA Facilitator“ … maakt het gemakkelijk ….”

Organiseert het CRSA en helpt de deelnemers ‘door’ het CRSA protocol van de 12 stappen.

Een CRSA Facilitator:-Moet VOOR de groep durven STAAN-Heeft dus goede communicatieve eigenschappen nodig-Weet hoe hij/zij met groepen om moet gaan-Is resultaatgericht -Moet ‘dubbele agenda’s onderkennen-Moet durven doorvragen-Moet (enig) verstand hebben van interne beheersing-Moet verstand hebben van de ‘business’-Een ‘rechte rug’ hebben / doet niet aan politiek

Een CRSA Facilitator is geen adviseur op het gebied van Risicomanagement. Na de oplevering van de eindrapportage (decharge) Is het werk klaar.


Het verhaal van de Rode Aap

Stap 1: Zorg voor een breede groep aan deelnemers (betrokkenen +

eindgebruikers + specialisten)

Stap 2: Zoek met de groep naar de alignment met de hogere doelstellingen op

organisatieniveau (visie, missie, doelen, strategie)

Stap 3: Zorg dat de groep de projectdoelen van het project op het netvlies heeft (SMARTI maken). Wat gaan we doen en hoe draagt die

bij aan de realisatie van de doelen van de organisatie

Stap 4: Voer een stakeholdersanalyse uit. Wie ‘profiteren’ van het projectresultaat? Wie zijn de grootste sponsoren? Van wie hebben we

(mogelijk) last

Stap 5: Benoem de invalshoeken van waaruit je naar de risico's gaat kijken. Gebruik control

modellen zoals COSO, COBIT, INK, I SO, of handige rijtjes zoals COPAFI J TH en PEST.

Stap 6: I dentificeer vanuit de invalshoeken de risico's of bedreigingen (we gaan de

doelstelling niet halen omdat ..?)

Stap 7: Analyseer de geidentificeerde risico's.; Haal de overlap eruit, bepaal de eigenaar, bepaal de strategie en het soort

maatregel.

Stap 8: Geef de eerste (bruto) score. Doe dit met cijfers en alleen op gevoel. Vergeet bij het geven van de score de organisatie en al

z'n interne beheersing. Gebruik cijfers!

Stap 9: Op op zoek naar de beheersmaatregelen (bestaande en nieuwe)

die we rond het mogelijke het risico georganiseerd hebben.

Stap 10: Geef op basis van de aanwezige beheersing een nieuwe (netto) score. Let wel dat je iets moet weten over opzet, bestaan en

werking van de beheersmaatregel.

Stap 11: Bepaal op basis van de netto-scores je top 10. Deze risico's gaan we management.

Waarom 10? Meer kan je er toch niet aan.

Stap 12: Manage de toprisico's (rapportage, voortgang, monitoring). Pas op voor

spreadsheet fetisjisme en waak voor de bureaucratie. Maak afspraken over

monitoring op de gemaakte afspraken

12 stappenplan voor het uitvoeren van risicoanalyses

