RAAMWERK OF KOOI? Geschiktheid van ISO als instrument voor risicomanagement bij de Provinciale overheid

Maat: px
Weergave met pagina beginnen:

Download "RAAMWERK OF KOOI? Geschiktheid van ISO-31000 als instrument voor risicomanagement bij de Provinciale overheid"

Transcriptie

1 RAAMWERK OF KOOI? Geschiktheid van ISO als instrument voor risicomanagement bij de Provinciale overheid Drs. R.F.D. BOSMAN Maastricht, 9 december 2009 MBA-Controlling Business School Nederland Begeleider: drs. J. van den Brink

2

3 RAAMWERK OF KOOI? Geschiktheid van ISO als instrument voor risicomanagement bij de Provinciale overheid

4

5 SAMENVATTING Organisaties worden steeds meer geconfronteerd met risico s, die adequaat dienen te worden gemanaged, omdat hun stakeholders dat van ze verwacht. Dit geldt ook zeker voor de overheid. De overheid wordt in deze tijd sterk op haar functioneren aangesproken en er bestaat een groeiende onvrede over de prestaties van de overheid. Veranderend beleid, gewijzigde regelgeving, prestatiecontracten, decentralisatiediscussies, marktwerking etc. Op alle niveaus en in alle bestuurslagen wordt gezocht naar een nieuwe, betere invulling van het functioneren van de overheid. Het onderzoek richt zich op het inzichtelijk maken en beoordelen van kritische succesfactoren van risicomanagement bij de Provinciale overheid in Nederland. Verschillende ontwikkelingen zorgen ervoor dat voor de Provincies de aandacht voor het voeren van een gestructureerde, organisatiebrede aanpak van risicomanagement meer dan ooit gewenst is. De vraag dringt zich op hoe Provincies zich op een zo gestructureerd mogelijke manier risicomanagement eigen kunnen maken. Centraal daarbij staat niet alleen het ontwikkelen van risicomanagementbeleid, maar met name het beschikken over een geschikt instrument om haar processen, activiteiten en de hieraan verbonden risico s te managen, zodat deze aansluiten bij de vastgestelde doelstellingen. Er zijn talloze modellen ontwikkeld om bedrijven en organisaties te helpen om risico s te managen, een wildgroei aan verschillende systemen en risicoraamwerken is ontstaan. De tot dusver ontwikkelde modellen hebben met name betrekking op private organisaties. Voor Provincies verschilt de (politiek-bestuurlijke) context echter wezenlijk van dat van private organisaties. Er is nauwelijks onderzoek gedaan naar de toepassing van risicomanagement bij de Provinciale overheid in Nederland, met specifieke aandacht voor de invloed van de politiek-bestuurlijke context op het managen van risico s. De doelstelling van dit onderzoek luidt: Inzicht krijgen in de geschiktheid van ISO als instrument voor risicomanagement bij de Provinciale overheid. De kritische succesfactoren zijn gebaseerd op de uitgangspunten van de eind 2009 te publiceren richtlijn voor Risicomanagement; ISO ISO is een managementsysteem dat beschrijft wat een organisatie moet doen om de (risico)aspecten van haar processen en activiteiten te managen zodat de resultaten en uitkomsten aansluiten bij de vastgestelde doelstellingen.

6 Achtereenvolgens is literatuurstudie en veldonderzoek uitgevoerd. Hierbij zijn onder meer experts op het gebied van risicomanagement geïnterviewd. Op basis van dit vooronderzoek blijkt dat met name cultuur- en structuuraspecten belangrijk zijn als kritische succesfactor voor een succesvolle toepassing van risicomanagement. Als kritische succesfactor voor risicomanagement bij Provincies dienen: 1. Verantwoordelijkheden met betrekking tot risicomanagement zijn belegd op strategisch, tactisch en operationeel niveau; 2. Er is sprake van een organisatiebreed risicobewustzijn, op zowel strategisch, tactisch en operationeel niveau; 3. Risicomanagement maakt onderdeel uit van (besluitvorming)processen; 4. Risicomanagement sluit aan bij de doelstellingen van de Provinciale organisatie. Deze criteria zijn vervolgens getoetst door middel van enquêtes en interviews bij de Provincies. Op basis van het uitgevoerde onderzoek zijn de volgende algemene conclusies te trekken: 1. Risicomanagement wordt bij Provincies in toenemende mate aangestuurd vanuit een strategische visie en beleid op de functie van risicomanagement voor de organisatie, zonder dat er een gestructureerde organisatiebrede aanpak voorhanden is; 2. Risicomanagementprocessen zijn nog onvoldoende ingebed in de managementstructuur en besluitvormingsprocessen van Provincies; 3. Risicomanagement wordt bij Provincies nog sterk traditioneel ingestoken vanuit een verplichte externe verantwoordingsbehoefte in de paragraaf Weerstandsvermogen; 4. Hoewel bij het merendeel van de Provincies de behoefte bestaat aan structurering van de versnipperde aanpak van risicomanagement, worden risico s nog steeds gemanaged binnen afzonderlijke functionele gebieden; 5. Er ligt met name nadruk op de risico-inventarisatie en risicoanalyse en minder op de beheersing van de bijbehorende maatregelen. Samenvattend kan worden gesteld dat ISO-31000, met een expliciete koppeling van de uitgangspunten, raamwerk en proces van risicomanagement, in beginsel een geschikt instrument is voor een Provinciale toepassing van risicomanagement. De generieke opzet van ISO maakt het een geschikt instrument dat recht doet aan de verschillende fasen waarin Provincies op het gebied van risicomanagement staan. De complexe besluitvormingsprocessen van de Provinciale overheid en de sterk veranderende externe context waarin de Provincies zich bevinden, maken een organisatiebrede aanpak van risicomanagement noodzakelijk. Daarbij dient te worden voldaan aan de genoemde beoordelingscriteria.

7 VOORWOORD Verdieping en ontwikkeling in bedrijfskunde. Dat waren voor mij de belangrijkste drijfveren om 3 jaar geleden te starten met een Master of Business Administrationopleiding. De specialisatie Controlling was een logische; in mijn loopbaan staat met name het aandachtsgebied control centraal. De keuze voor het onderwerp van het afstudeeronderzoek, risicomanagement, bleek een actuele. De afgelopen jaren is het vakgebied risicomanagement immers volop in het nieuws. Ook het (mis)managen van risico s bij de Provinciale overheid staat nogal eens ter discussie. De belangstelling voor de resultaten van het onderzoek, bevestigen het beeld dat in toenemende mate behoefte bestaat aan een doordachte toepassing van risicomanagement binnen Provincies. Ik hoop dat mijn onderzoek bijdraagt aan de discussie hierover. Inmiddels ben ik 3 jaar, 8 modules, 32 studieboeken, 5 risicomanagementseminars en 4 presentaties verder. En kan ik constateren dat de opleiding bij mij nu al een verdieping heeft opgeleverd op het gebied van bedrijfskunde. Graag wil ik mijn dank uitspreken aan een ieder die mij heeft geholpen danwel gemotiveerd bij het uitvoeren van dit onderzoek en het schrijven van deze rapportage en een aantal mensen in het bijzonder. Allereerst mijn begeleiders. Ik wil Robert t Hart danken voor zijn kritische reflectie en aanstekelijke enthousiasme. Veelvuldig en intensief was het contact; het heeft ervoor gezorgd dat er een prima match was tussen mijn kennis en ervaring bij de Provinciale overheid en zijn grote expertise op het vakgebied van risicomanagement. Daarnaast wil ik Joke van den Brink van het opleidingsinstituut bedanken voor de goede inhoudelijke en procesmatige begeleiding van het onderzoek. Dick Hortensius dank ik, als vertegenwoordiger van de normcommissie ISO-31000, voor het frequent informeren over ontwikkelingen op het gebied van de ISO-norm. Het was een lang en intensief traject. Naast een full-time baan was deze (zater)dagopleiding dan ook een balans zoeken tussen opleiding en privé. Het was derhalve ook een belasting voor het thuisfront. De laatste woorden van het voorwoord zijn dan ook voor Rian, Thieme en Benthe. René Bosman Roermond, 29 september 2009

8

9 INHOUDSOPGAVE VOORWOORD SAMENVATTING 1 INLEIDING Aanleiding Leeswijzer OPDRACHT EN ONDERZOEK Probleem- en doelstelling Probleemstelling Doelstelling Onderzoeksopzet Onderzoeksmodel Onderzoekstype Centrale vraagstelling LITERATUURONDERZOEK Inleiding Risico Risicomanagement Risicoraamwerk ISO Risicoagenda bij Provincies Economische crisis Afroming van Rijksuitkeringen Decentralisatiediscussies Veranderde wetgeving Nederlandse code voor goed openbaar bestuur Risicomanagement bij Provincies Operationaliseren van begrippen...32

10 4 METHODOLOGIE Vooronderzoek Te raadplegen bestaande bronnen Te raadplegen expert Operationalisatie van begrippen Dataverzameling Dataverwerking Kwaliteit van dataverzamelingmethoden RESULTATEN Inleiding Uitgangspunten risicomanagement Raamwerk risicomanagement Risicomanagement proces CONCLUSIES BRONNEN Literatuur Methodische literatuur Documenten...61 BIJLAGEN BIJLAGE 1. BEGELEIDENDE BRIEF...65 BIJLAGE 2. GEHANTEERDE VRAGENLIJST...66 BIJLAGE 3. NEDERLANDSE NORMCOMMISSIE RISICOMANAGEMENT...73 BIJLAGE 4. ARTIKEL RISICOMANAGEMENT RUKT OP...75

11 1 INLEIDING Dit hoofdstuk heeft tot doel om de context te schetsen waarbinnen voorliggend onderzoeksverslag tot stand is gekomen (1.1). Daarna wordt in een leeswijzer de opbouw van de rapportage beschreven (1.2). 1.1 Aanleiding De overheid wordt in deze tijd sterk op haar functioneren aangesproken en er bestaat een groeiende onvrede over de prestaties van de overheid. Veranderend beleid, gewijzigde regelgeving, prestatiecontracten, marktwerking etc. Op alle niveaus en in alle bestuurslagen wordt gezocht naar een nieuwe, betere invulling van het functioneren van de overheid. Specifiek voor de Provincie als middenbestuur geldt dat de meerwaarde regelmatig ter discussie wordt gesteld. Dit vraagt om een duidelijk zichtbare en presterende Provincie, die een herkenbare toegevoegde waarde levert aan maatschappelijke vraagstukken in een steeds complexere en risicovolle context. De externe omgeving van de Provincie is complex en turbulent. De toekomst van de Provincie als bestuurslaag staat daarnaast ook nog ter discussie. Anticiperend op die onzekerheid, zal vooral aandacht voor een effectieve strategische aanpak van de maatschappelijke vraagstukken, zoals ze door de provinciale partners en klanten naar voren worden gebracht, het bewijs voor de toegevoegde waarde van de Provincie moeten leveren. Resultaat en rekenschap over de prestatie van de Provincie is daarbij van groot belang. Risicomanagement als instrument om te prioriteren en als sturingsmiddel om mensen en processen te richten op het bereiken van de (coalitie)doelstellingen wordt daarmee steeds belangrijker. Het niet adequaat managen van risico s heeft in een recent verleden grote gevolgen gehad voor politiekgevoelige dossiers bij Provincies. Zo speelde bijvoorbeeld in de Provincie Zuid- Holland de Ceteco-affaire, waarbij is gebleken dat de Provincie op grote schaal in geld handelde, zonder dat Provinciale Staten hier van af wisten. In de Provincie Gelderland was sprake van een affaire rond het evenementenbeleid, waarbij geld is toegekend voor activiteiten, die in strijd met de regels- niet waren goedgekeurd door Provinciale Staten. Ook de kredietcrisis toont aan dat niet alleen in de financiële wereld sprake is van een toenemende behoefte aan een adequaat functionerend risicomanagement. In de loop van 2008 bleek dat gemeentelijke en provinciale overheden vele miljoenen euro's hebben uitstaan bij IJslandse banken. Een onderzoek 1 naar het financiële beleid van de Provincie 1 Triple R, regels, Rendement en Risico, provinciale onderzoekscommissie Noord-Holland, 29 mei

12 Noord-Holland, concludeerde dat de Provincie ten onrechte geen actief risicomanagement voerde. De uitkomsten van dit onderzoek leidden tot het aftreden van het voltallige College van Gedeputeerde Staten in juni Verschillende ontwikkelingen zorgen ervoor dat voor de Provincies de aandacht voor het voeren van een gestructureerde, integrale aanpak van risicomanagement meer dan ooit gewenst is. Daarbij is een onderscheid te maken tussen recente externe ontwikkelingen (decentralisatiediscussies, kredietcrisis) en ontwikkelingen vanuit wet- en regelgeving. Als gevolg van genoemde veranderingen staat de legitimiteit van de Provincie als middenbestuur onder druk. Er is verwarring over de vraag wie verantwoordelijk is voor fouten en wat de gevolgen van een dergelijke verantwoordelijkheid moeten zijn [Noordergraaf, 2008]. De druk vanuit de samenleving op overheidsbestuur om te ordenen en te regelen, bijvoorbeeld om risico s in te dammen, neemt toe. De Provincies hebben vanuit het Besluit Begroting en Verantwoording [BBV, 2003] weliswaar de verplichting om beleid te voeren op het gebied van risicomanagement, de praktijk vraagt echter een bredere benadering met integratie van risicomanagement in de dagelijkse praktijk. Er is dan ook in toenemende mate behoefte aan een organisatiebrede aanpak van risicomanagement en een gemeenschappelijk kader [Hortensius, 2008]. Het managen van risico s kan niet louter als een technische kwestie worden voorgesteld, waarbij de stappen van risico-identificatie, -analyse, monitoring en bijsturing wordt doorlopen. Het managen van risico s is bij uitstek een politiek vraagstuk [Noordergraaf, 2008]. Er zijn talloze raamwerken ontwikkeld om bedrijven en organisaties te helpen om risico s te managen. Het risicoraamwerk is het kader dat ervoor moet zorgen dat risicomanagementprocessen zijn ingebed in de managementstructuur en besluitvormingsprocessen van de organisatie en dat ze worden aangestuurd vanuit een duidelijke visie en beleid op de functie van risicomanagement voor de organisatie. De grote hoeveelheid aan publicaties suggereren dat een risicoraamwerk een makkelijk te ontwikkelen instrument is, waar je na implementatie, als organisatie snel beter van wordt. Het tegendeel blijkt waar. Draagvlak, houding en gedrag zijn een belangrijke succes- en faalfactor voor het adequaat managen van risico s. Zonder draagvlak van het management kan nooit sprake zijn van succesvol integraal risicomanagement [ t Hart, 2009]. De tot dusver ontwikkelde raamwerken hebben met name betrekking op private organisaties. Voor Provincies verschilt de (politiek-bestuurlijke) context echter wezenlijk 2

13 van dat van private organisaties. Het is voor Provincies van belang om risico s te kunnen koppelen aan de doelstellingen, zoals deze zijn opgenomen in het coalitieakkoord en doorvertaald in de programmabegroting. Daarmee kan worden bereikt dat risicomanagement bijdraagt aan de minst risicovolle manier van doelbereik [ t Hart, 2008]. In 2005 is besloten een internationale generieke richtlijn voor risicomanagement te ontwikkelen, die eind 2009 zal worden gepubliceerd. Deze richtlijn: ISO-31000, beoogt een gemeenschappelijk begrippenkader en generiek raamwerk te bieden voor het managen van allerlei typen risico s. In dit onderzoek wordt, op basis van de uitgangspunten van ISO-31000, inzicht verschaft in de kritische succesfactoren van een instrument, geschikt voor toepassing van risicomanagement bij Provincies. 1.2 Leeswijzer Dit rapport en het beschreven onderzoek zijn opgebouwd volgens de methoden van Verschuren en Dodewaard [2007]. Hoofdstuk 1 Inleiding Hoofdstuk 3 Literatuuronderzoek Hoofdstuk 5 Onderzoeksresultaten Hoofdstuk 2 Opdracht en onderzoek Hoofdstuk 4 Methodologie Hoofdstuk 6 Conclusies In het eerste hoofdstuk wordt de achtergrond van het onderzoek beschreven. In hoofdstuk twee wordt ingegaan op de onderzoeksopdracht. Vervolgens geeft hoofdstuk drie inzicht in de onderzoeksoptiek aan de hand van literatuuronderzoek. De onderzoeksopzet is uitgewerkt in het vierde hoofdstuk. De onderzoeksresultaten zijn beschreven in hoofdstuk 5, waarna tenslotte in hoofdstuk 6 de conclusies benoemd zijn. 3

14 4

15 2 OPDRACHT EN ONDERZOEK In dit hoofdstuk wordt afgebakend wat de opdracht is en welk onderzoek daarbij wordt uitgevoerd. Er wordt ingegaan op de probleem- en doelstelling van het onderzoek (2.1), de onderzoeksaanpak en de onderzoeksvragen (2.2). In paragraaf 2.3 wordt tenslotte de aanpak toegelicht. Hoofdstuk 1 Inleiding Hoofdstuk 2 Opdracht en onderzoek Hoofdstuk 3 Literatuuronderzoek Hoofdstuk 4 Methodologie Hoofdstuk 5 Onderzoeksresultaten Hoofdstuk 6 Conclusies 2.1 Probleem- en doelstelling Probleemstelling Naar aanleiding van de in de inleiding genoemde ontwikkelingen, dringt de vraag zich op hoe Provincies zich op een zo gestructureerd mogelijke manier risicomanagement eigen kunnen maken. Centraal daarbij staat niet alleen het ontwikkelen van risicomanagementbeleid, maar met name het beschikken over raamwerk om haar processen, activiteiten te managen, zodat deze aansluiten bij de vastgestelde doelstellingen. De tot dusver ontwikkelde raamwerken hebben met name betrekking op private organisaties. Voor Provincies verschilt de (politiek-bestuurlijke) context echter wezenlijk van dat van private organisaties. Een sectorspecifiek instrument van risicomanagement voor provincies ontbreekt. De probleemstelling luidt dan ook: Voor de toepassing van risicomanagement bij Provincies is geen geschikt raamwerk voorhanden. Het risicoraamwerk is het kader dat ervoor moet zorgen dat risicomanagementprocessen zijn ingebed in de managementstructuur en besluitvormingsprocessen van de organisatie en dat ze worden aangestuurd vanuit een duidelijke visie en beleid op de functie van risicomanagement voor de organisatie. Met de toepassing worden bedoeld alle benodigde activiteiten, om de routinematige toepassing van risicomanagement binnen een organisatie te waarborgen Doelstelling Met de doelstelling van het afstudeeronderzoek wordt bedoeld het doel dat beoogd is met het bereiken van de resultaten van het onderzoek. De doelstelling van het afstudeeronderzoek is: Inzicht krijgen in de geschiktheid van ISO als instrument voor de toepassing van risicomanagement bij de Provinciale overheid. 5

16 2.2 Onderzoeksopzet Het onderzoek is erop gericht om inzicht te krijgen in kritische succesfactoren voor een raamwerk, geschikt voor toepassing van risicomanagement bij de Provincies. Dit proces wordt hieronder uitgewerkt in een onderzoeksmodel, waarna vervolgens het model wordt gesplitst in onderzoeksvragen. Een uitgebreide opzet en verantwoording van het methodisch onderzoek is opgenomen in hoofdstuk 4 van deze rapportage Onderzoeksmodel Om vanuit bovengeschetst kader uiteindelijk de onderzoeksvragen te kunnen beantwoorden, wordt in onderstaand onderzoeksmodel, volgens methode van Verschuren en Dodewaard [2007], verband gelegd tussen de verschillende onderzoeksstappen. Theorie openbaar bestuur Literatuur risicomanagement Criteria risicoframework op basis ISO Criteria middels Interviews Onderzoeks resultaten Gesprekken deskundigen Literatuur Public Governance Toetsing criteria experts Criteria middels enquête Conclusies Documentonderzoek Provincies Wet- en regelgeving Provincies Legenda: praktijkonderzoek literatuuronderzoek analyse (A) (B) (C) (D) (E) (A) De bestudering van verschillende theorieën (openbaar bestuur, risicomanagement, risicomanagementinstrumenten, management control, e.a.), onderzoeken, strategische beleidsdocumenten (o.a. programmabegroting, paragraaf weerstandsvermogen), bestudering van het Besluit Begroting en Verantwoording van Provincies en Gemeenten (BBV) en gesprekken met deskundigen (vooronderzoek) levert uiteindelijk (B) een uitdieping op van bestaande risicomanagement-raamwerken en meer specifiek ISO Het levert vervolgens op basis van de ISO richtlijn, beoordelingscriteria op (C) waarmee de toepassing van risicomanagement bij Provincies kan worden getoetst (D). Beoordeling van deze criteria bij Provincies (interviews en vragenlijsten) levert onderzoeksresultaten en conclusies op voor de geschiktheid van ISO als instrument voor risicomanagement bij Provincies (E). 6

17 2.2.2 Onderzoekstype Het type onderzoek laat zich het beste beschrijven als een praktijkgericht onderzoek. Met het onderzoek wordt immers beoogd een bijdrage te leveren aan een toepassing van een instrument voor risicomanagement bij Provincies. De uiteindelijke beantwoording van de (deel)vragen gebeurt op basis van een probleemanalytisch onderzoek. Vanwege de politiek-bestuurlijke belangen en context van de provinciale organisatie is bewust gekozen voor een probleemverkennende analyse en niet voor een ontwerp- en/of interventiegericht onderzoek Centrale vraagstelling In deze paragraaf wordt de doelstelling vertaald in een drietal centrale onderzoeksvragen, met behulp van een splitsing van het onderzoeksmodel. Hierbij worden de centrale onderzoeksvragen gekoppeld aan een gesplitst onderzoeksmodel en onderverdeeld in deelvragen. De eerste centrale vraag heeft betrekking op onderzoeksstap (A) en (B), zoals benoemd in paragraaf en betreft de bronnen van de beoordelingscriteria, waarmee de toepassing van het bestaand risicomanagement kan worden beoordeeld. 1. Welke kritische factoren over toepassing van risicomanagement zijn te onderkennen na bestudering van de literatuur hierover? 1.1. Wat is een risico? 1.2. Wat is risicomanagement? 1.3. Welke uitgangspunten hanteert ISO als instrument voor risicomanagement? De tweede centrale vraag is gebaseerd op onderzoeksstap (C). 2. Welke criteria dienen te worden gehanteerd voor een succesvolle toepassing van risicomanagement bij de Provinciale overheid? 2.1. Welke invloed heeft de Provinciale politiek/bestuurlijke context op risicomanagement? 2.2. Wat is de risicoagenda van Provincies? 2.3. Welke criteria voor risicomanagement sluiten het beste aan bij de Provinciale overheid? De derde en laatste centrale vraag is gebaseerd op onderzoeksstap (D) en (E). Waarbij de criteria voor toepassing van risicomanagement worden beoordeeld bij provincies. 3. Is ISO geschikt als instrument voor de toepassing van risicomanagement bij Provincies? 7

18 3.1. Welke conclusies kunnen worden getrokken op basis van de beoordeling van de criteria aan bestaand risicomanagement bij Provincies? In onderstaande tabel staat vermeld in welke hoofdstukken de centrale vragen worden beantwoord: Tabel 1. beantwoording van centrale vragen: Centrale vraag Beantwoord in hoofdstuk 1 Kritische succesfactoren risicomanagement 3 Literatuuronderzoek 2 Criteria risicomanagement Provincies 5 Resultaten van onderzoek 3 Conclusies 6 Conclusies 8

19 3 Literatuuronderzoek De opzet van dit hoofdstuk is drieledig. Enerzijds worden de in dit onderzoek te hanteren begrippen afgebakend en gedefinieerd (3.1 t/m 3.3). Vervolgens wordt literatuuronderzoek verricht naar raamwerken, die worden Hoofdstuk 1 Inleiding Hoofdstuk 2 Opdracht en onderzoek Hoofdstuk 3 Literatuuronderzoek Hoofdstuk 4 Methodologie Hoofdstuk 5 Onderzoeksresultaten Hoofdstuk 6 Conclusies gehanteerd voor het managen van risico s (3.4 en 3.5). Het derde deel tenslotte bestaat uit de studie naar de (invloeden van de) risicoagenda bij Provincies (3.6 en 3.7). In paragraaf 3.8 tenslotte worden de begrippen geoperationaliseerd. 3.1 Inleiding Het vakgebied van risicomanagement staat de afgelopen decennia volop in de belangstelling, de aandacht voor risico s is explosief toegenomen [Wetenschappelijke Raad voor Regeringsbeleid, 2008]. Meest recent is er aandacht voor risicomanagement vanwege de economische crisis. Onderzoek onder bedrijven van financiële dienstverlening toont aan dat zeventig procent van executives in de financiële dienstverlening vindt dat de verliezen die zijn gemaakt in de kredietcrisis voornamelijk te wijten zijn aan onvoldoende aandacht voor verschillende factoren rond risicomanagement. In hetzelfde onderzoek geeft 60 procent van de respondenten aan dat de kredietcrisis aanleiding is om de activiteiten op het gebied van risicomanagement kritisch te bekijken [Economist Intelligence Unit, 2008]. Risicomanagement is niet een nieuw fenomeen. In iedere organisatie zijn immers al procedures, maatregelen, (ISO) richtlijnen en controles aanwezig die tot doel hebben om risico s te managen en te beheersen. Bekende beheerssystemen zijn onder meer de administratieve organisatie, interne controles, milieu- en kwaliteitsmanagement (ISO en ISO-9001). Er kan worden gesteld dat iedere organisatie reeds aan risicomanagement doet [Paape, 2005]. 3.2 Risico Om vast te stellen wat onder risicomanagement moet worden verstaan is het van belang eerst vast te stellen wat een risico is. Risico is geen eenduidig begrip. Er zijn meer definities van het begrip risico gangbaar. Vier van deze definities zijn [International risk governance council, 2005] een overzicht van de meest gehanteerde terminologieën: 1. risico is de kans op een ongewenste gebeurtenis bij een proces of object; 2. risico is kans x gevolg; 3. risico is de onzekerheid (kans) dat een gebeurtenis zich voordoet waarbij zowel positieve als negatieve effecten kunnen optreden; 4. risico is de kans op een gebeurtenis, die de doelstelling kan beïnvloeden. 9

20 De eerste definitie is voor het algemene geval niet goed bruikbaar. De risico s die betrekking hebben op kleine kansen met zeer grote gevolgen of grote kansen met kleine gevolgen, zullen bij gebruik van de eerste definitie niet goed tot uitdrukking komen. De tweede definitie geeft een betere basis voor vergelijking van risico s. het betreft de meest gangbare definitie, waarbij de kans op een bepaalde gebeurtenis wordt gecombineerd met de gevolgen daarvan in de veelgebruikte formule risico = kans x gevolg. In feite wordt een verwachtingswaarde van het gevolg van een proces bepaald. In sommige gevallen komt dit overeen met het verlies dat mogelijk op de lange termijn optreedt. De kans op een ongewenste gebeurtenis en het gevolg van deze gebeurtenis spelen een even belangrijke rol in deze definitie. De derde definitie zet risico neer als een neutraal begrip (kansen en bedreigingen). In feite zijn de eerste twee definities bijzondere vormen van de derde. Het biedt de mogelijkheid om aan het gevolg van een ongewenste gebeurtenis een gewicht toe te kennen, dat afhankelijk is van de ernst van het gevolg. Deze effecten kunnen beleidsmatig-, organisatorisch, politiek/bestuurlijk en/of financieel van aard zijn. De vierde definitie tenslotte is de meest algemene van de vier genoemde, waarbij aansluiting wordt gezocht bij het omgaan van onzekerheden die zowel positieve als negatieve effecten kunnen hebben op de resultaten en daarmee doelstellingen van een organisatie. Voor een organisatie zijn risico s alle potentiële gebeurtenissen die het behalen van de doelstellingen van de organisatie kunnen bevorderen dan wel kunnen belemmeren. Deze definitie sluit het meest aan bij de definitie van risico, volgens ISO 31000: Het effect van onzekerheid op doelstellingen. De in dit onderzoek gehanteerde definitie voor risico is dan ook als volgt gedefinieerd: Risico is de onzekerheid dat een gebeurtenis zich voordoet waarbij zowel positieve als negatieve effecten kunnen optreden, die van invloed zijn op het doelbereik. 3.3 Risicomanagement Over het begrip risicomanagement circuleren in de wetenschappelijke literatuur talrijke definities. Het International Risk Governance Council geeft in haar publicatie [2005] een overzicht van de meest gehanteerde terminologieën. De meest gangbare definities van risicomanagement kunnen als volgt worden onderverdeeld: 1. Risicomanagement is het geheel van activiteiten en maatregelen gericht op het omgaan met en beheersen van risico s. 10

21 2. Risicomanagement omvat de gecoördineerde activiteiten om een organisatie te kunnen sturen en controleren met betrekking tot risico s. 3. Risicomanagement is het vormgeven van een gestructureerd proces van identificeren, analyseren, managen en rapporteren van risico s op alle niveaus in de organisatie. 4. Risicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om risico s te beheren zodat deze binnen de risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen. 5. Risicomanagement omvat de cultuur, processen en structuren, gekoppeld aan een het realiseren van kansen en het effectief management van de effecten daarvan. De eerste drie definities richten zich in min of meer dezelfde terminologie op de te doorlopen basisstappen van het risicomanagementproces. In de traditionele risicobenadering worden twee fasen onderscheiden: het identificeren en beoordelen van risico s (risicoassesment) en het nemen van maatregelen die niet acceptabel geachte risico s beperken of beheersbaar maken (risicomanagement) [Wetenschappelijke Raad voor het Regeringsbeleid, 2008]. Ongeacht de exacte uitwerking en invulling van de verschillende stappen komt overal hetzelfde grondpatroon van vier stappen naar voren. De eerste stap is het identificeren van risico s, waarbij het zaak is een zo volledig mogelijk beeld te krijgen van de verschillende risico s binnen een organisatie. Wanneer de risico s bekend zijn, is het zaak deze te beoordelen. Dit schept duidelijkheid over de vraag welke risico s de grootste bedreiging vormen en waarvoor het eerst beheersmaatregelen genomen moeten worden. Vervolgens ontwerpt men tijdens de volgende fase, aan de hand van de prioriteiten, beheersmaatregelen. Ook de implementatie van beheersmaatregelen behoort tot deze fase. De laatste stap is het rapporteren over de risico s en beheersmaatregelen en de evaluatie van de laatste. Om de risico s zo klein mogelijk te houden of de gevolgen zo goed mogelijk op te kunnen vangen, is continue aandacht voor alle vier de stappen noodzakelijk. Hierbij is het van belang om zowel naar het te verwachten gevolg van een risico te kijken als naar de kans dat het zich voordoet, alsmede naar de kosten (in tijd, geld en middelen) van het nemen van beheersmaatregelen. De vierde definitie omvat een expliciete koppeling naar het doelbereik en is afkomstig van het COSO. Het is echter een zeer uitgebreide definitie. Why not adopt a definition that is 11

22 brief and easily remembered? [Knight, 2008]. Volgens Knight staat niet zozeer het gebruik van een juiste definitie centraal. Succesvol risicomanagement is alleen dan mogelijk, wanneer dit is gekoppeld aan het bereiken en managen van doelstellingen. De vijfde definitie (Australian/New Zealand Risk Standard 4360) toont aan dat niet alleen de te doorlopen stappen van belang zijn, maar dat de (aanwezigheid) van cultuur- en structuuraspecten van groot belang is, voor een succesvol risicomanagement binnen een organisatie. Daarnaast maakt de definitie duidelijk dat risicomanagement pas effectief werken als het een integraal onderdeel is van processen in een organisatie. De definitie voor risicomanagement, zoals gehanteerd in dit onderzoek is ontleend aan de definitie voor kwaliteitsmanagement uit ISO-9000 [Bergenhenegouwen, 2003] en aangevuld met de koppeling naar doelbereik. Risicomanagement omvat de gecoördineerde activiteiten, gekoppeld aan een effectief management van gebeurtenissen en de effecten daarvan op de doelstellingen van de organisatie. 3.4 Risicoraamwerk Met de inwerkingtreding van de Foreign Corrupt Practices Act in 1997 in de Verenigde Staten, is de ontwikkeling van interne beheersing in een stroomversnelling geraakt [Santen, 2006]. Deze wet bepaalt dat het illegaal is om een inadequaat intern beheersingsysteem te voeren. De vele financiële (boekhoud- en rapporterings-) schandalen die volgden, zorgden voor de verdere ontwikkeling van risicomanagement. Het heeft geleid tot de corporate governancestructuren, zoals de Sarbanes Oxley wetgeving uit de Verenigde Staten. Ook Europa en ons eigen land zijn niet vrij van de nodige missers en schandalen (Worldonline, Ahold, Qwest, ESF/Arbeidsvoorziening, de bouwfraude, de Hogescholen fraude enzovoort). Mede daarom zijn in Europa en in Nederland diverse wetgevende initiatieven ontplooid [Herwaarden, 2003]: de International Financial Reporting Standards (IFRS) die vanaf 2005 verplicht moeten worden toegepast in de geconsolideerde jaarrekeningen van beursgenoteerde vennootschappen in Europa; aanbevelingen van de commissie-peters inzake corporate governance, goed ondernemingsbestuur en -toezicht (1997) met het bijbehorende evaluatierapport (2002) over vijf jaar corporate governance in Nederland inzake de status van de aanbevelingen van de commissie-peters; 12

23 corporate governance code voor Nederland, opgesteld door de commissie onder leiding van Morris Tabaksblat [Code Tabaksblat, 2003]. In de code Tabaksblat zijn de belangrijkste uitgangspunten van een goede corporate governace uitgewerkt met betrekking tot het bestuur, de raad van commissarissen, de aandeelhouder en de accountant. De code gaat wat betreft reikwijdte verder dan Sarbanes-Oxley (PwC 2005). In de code wordt gesteld dat als onderdeel van het interne beheersings- en controlesysteem, een vennootschap onder meer risicoanalyses uit dient te voeren van de operationele en financieel doelstellingen. De code geeft echter geen nadere richtlijnen ten aanzien van de inrichting van de interne beheersings- en controlesystemen. Daarnaast worden de ondernemingen vrij gelaten in de wijze van rapporteren over de gehanteerde risicobeheersings- en controlesystemen (PwC, 2005). De code is overigens alleen van toepassing op statutair in Nederland gevestigde en aan de Euronext genoteerde ondernemingen, dat wil zeggen op circa 0,2 % van de in Nederland gevestigde ondernemingen van toepassing [Santen e.a.; 2006]. De vraag lijkt gerechtvaardigd of wettelijke verankering van eisen ten aanzien van risicomanagement de oplossing is [PwC, 2005]. Het gevaar schuilt erin dat risicomanagement wordt ervaren als een verplichte managementtool, met als uiteindelijke doel: het hebben voldaan aan wet- en regelgeving. In de loop der jaren zijn er voor het managen van risico s verschillende modellen gebruikt. In seeking help, you ll find an abundance of risk management frameworks, (..) developed by consulting organizations, national standards (..).[Rasmussen, 2007]. In 1992 werd er in de Verenigde Staten een framework gepresenteerd voor interne beheersing. Dit framework: Committee of Sponsoring Organizations of the Treadway Commission (COSO) richt zich in eerste instantie op de interne beheersing van de financiële processen van een onderneming. Kanttekening bij dit model is dat er weinig aandacht is gegeven voor gedragsverandering [Santen e.a., 2006; Faber, 2006], dat het niet voorziet in een eenduidig normenkader (Faber, 2006) en dat een eenduidige stappenplan ontbreekt voor de implementatie van risicomanagement binnen een organisatie [Faber, 2006]. Eind 2004 is er een nieuwe versie van het COSO raamwerk gepubliceerd [COSO, 2004], te weten Enterprise Risk Management-Integrated Framework (COSO-ERM) waarbij de nadruk meer is komen te liggen bij risicomanagement ten opzichte van de eerste versie van het COSO raamwerk en de explicietere koppeling naar strategie voor de inrichting van risicomanagement en interne beheersingsystemen. 13

24 Feyter [2006] plaatst als kanttekening bij het herziene COSO-model dat de principes niet rechtstreeks aansluiten op de reguliere planning & control -cyclus waaraan de interne beheersing in het Nederlandse ondernemingen doorgaans wordt opgehangen. Juist deze verankering van interne beheersing en risicomanagement aan deze cyclus maakt dat risicobeheersing blijvend onder de aandacht wordt gehouden en dat het een natuurlijk, onderhoudbaar en herkenbaar proces wordt. Een ander nadeel dat in de literatuur wordt genoemd [Feyter, 2006], is dat COSO toch nog vooral lijkt uit te gaan van centraal geleide, topdown gestuurde organisaties. Dat is enigszins begrijpelijk omdat het een Amerikaanse publicatie is. Maar voor Nederlandse organisaties is dit gegeven wel iets om rekening mee te houden wanneer zij de principes naar hun eigen organisatie vertalen, zeker als deze niet, zoals veel Amerikaanse bedrijven, topdown wordt aangestuurd. De strategie, organisatiecultuur en de keuze van besturingsprincipes bepalen immers in grote mate de wijze waarop de interne beheersing wordt ingericht. Het typeren van de strategie en de besturingsprincipes wordt regelmatig vergeten of onderbelicht bij het vastleggen, begrijpen en beoordelen van de interne beheersing. COSO erkent de invloed van organisatiecultuur op de effectiviteit van het raamwerk en daarmee van risicomanagement. Als belangrijkste kanttekening benoemt de organisatie de menselijke oordeelsvorming bij het nemen van onvolledige of onjuiste beslissingen. Een andere beperking is het kunnen omzeilen van beheersmaatregelen door samenspanning van twee of meer mensen, waardoor het management de mogelijkheid heeft om beslissingen, genomen in het kader van risicomanagement, terzijde te schuiven (Coso 2004). De aanleiding voor organisaties om risicomanagement vorm te geven verschilt sterk en is bepalend voor de effectiviteit ervan. Volgens Knight houdt COSO hier onvoldoende rekening mee: COSO slips into the fatal fallacy of trying to tell us how to do it rather than why [Knight, 2008]. In de praktijk blijkt het vaak moeilijk om organisaties duurzaam enthousiast te maken voor het onderwerp risicomanagement en interne beheersing als zodanig, laat staan om daarbij expliciet het COSO-raamwerk te hanteren [Faber, 2006]. Dit gebrek aan enthousiasme wordt vaak veroorzaakt door het hardnekkige misverstand dat risicomanagement en interne beheersingssystemen het goed functioneren en het aanpassingsvermogen van organisaties eerder belemmeren dan bevorderen. 14

25 Volgens Ali Samad-Khan [2005] geeft COSO een gesimplificeerd beeld van de werkelijkheid, dat kan leiden tot een logge controlstructuur, met een grote kans dat gebieden worden ontzien, waar juist de grootste risico s zich kunnen voordoen. Hij is stellig ten aanzien van de tekortkomingen van COSO: Coso not only fails to help a firm asses its risks, it actually obfuscates the risk management process. Ondanks genoemde kanttekeningen, wordt COSO internationaal nog steeds gezien als hét raamwerk voor interne beheersing. Ook Tabaksblat [2003] noemt in de code het COSO raamwerk voor interne beheersing, als voorbeeld voor een te gebruiken normenkader om te voldoen aan de eis dat het bestuur verklaart dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn. Voor de integrale benadering van risicomanagement dreigt een wildgroei aan verschillende systemen en richtlijnen [Hortensius, 2007]. Naast COSO zijn er ook nog andere risicoraamwerken ontwikkeld, waarvan de standaard vaak haar oorsprong heeft binnen een bepaalde branche of bepaald land (Paape, 2005). Zo is er de Australian/New Zealand Risk Management Standard 4360 waarvan reeds in 1995 de eerste versie werd uitgegeven door de Council of Standards van beide landen. In 1999 en in 2004 verscheen een geactualiseerde versie van deze standaard. Voorbeelden van branchespecifieke risicomanagement-standaarden zijn Bazel IT voor het bankwezen en Solvency II voor de verzekeringsbranche. 3.5 ISO Ook de Internationale Organisatie voor Standaardisatie (ISO) heeft van zich laten horen op het terrein van risicomanagement: in 2002 verscheen een richtlijn voor het gebruik van risicomanagementtermen in standaarden [ISO/TEC Guide 73]. ISO is een nongouvernementeel netwerk van nationale standaardisatieorganisaties, waar instituten uit 157 landen (onder wie ook het Nederlands Normalisatie-instituut NEN) bij zijn aangesloten. ISO is opgericht in 1947, met als doel om normen vast te stellen en om organisaties voordeel te laten halen uit het toepassen van internationale normen en uit de implementatie van kwaliteitsmanagement-systemen [Schoutrop, 2006]. ISO heeft inmiddels standaarden ontwikkeld, ieder jaar worden 1100 nieuwe gepubliceerd [ISO.org, november 2008]. De standaarden kunnen worden toegepast voor elke organisatie. 15

26 Het publiceren van een ISO-richtlijn voor het gebruik van risicomanagementtermen in standaarden kent zijn oorsprong in In dat jaar confronteerde de aardbeving Japan met het belang van het inschatten van risico s en het treffen van maatregelen om effecten van onverwachte gebeurtenissen te minimaliseren. Daarom pleitten de Japanse autoriteiten tien jaar geleden voor een universele norm voor risicomanagement, te ontwikkelen door ISO. Uit angst bij het bedrijfsleven voor een nieuwe golf van certificering, werd gekozen voor een veilige oplossing, namelijk de ontwikkeling van een Guide met termen en definities op het gebied van risicomanagement. Dat werd uiteindelijk ISO/IEC Guide 73, Riskmanagement Vocabulary Guidelines for use in standards`, die in 2002 werd gepubliceerd. De titel geeft al aan dat de Guide vooral bedoeld was om harmonisatie te bevorderen binnen het bouwwerk van ISO-normen. Een uniform taalgebruik helpt dan al om vanuit die specifieke normen en richtlijnen een meer integrale kijk op risico s te ontwikkelen. In 2005 slaagde Japan er met de hulp van Australië toch in de geesten rijp te maken voor een algemene richtlijn voor risicomanagement. Door ISO is in 2005 besloten een internationale generieke ISO-richtlijn voor Risicomanagement te ontwikkelen: ISO Risk management - Guidelines for principles and implementation of risk management. ISO beoogt een gemeenschappelijk begrippenkader en generiek raamwerk te bieden voor het managen van allerlei typen risico s. Naderhand is ook de herziening van ISO Guide 73 Risk Management Vocabulary aan de ISO-werkgroep toevertrouwd. Via NEN, het Nederlandse lid van ISO, wordt door Nederlandse belanghebbende partijen deelgenomen aan dit ISO-project. Hiertoe is in 2006 de normcommissie Risicomanagement opgericht. De doelstelling van de normcommissie is tweeledig (NEN, 2008). Enerzijds verzorgt en bepaalt de normcommissie de Nederlandse inbreng bij de internationale normalisatie op het gebied van Risicomanagement (Risk Management), zoals die plaatsvindt in de internationale werkgroep ISO/TMB/WG/RM. Anderzijds faciliteren de normcommissie de implementatie en toepassing van de generieke ISOrichtlijn op nationaal en bedrijfstakniveau, zo nodig door het ontwikkelen van specifieke richtlijnen die een nadere invulling geven van het generieke ISO-kader voor risicomanagement [NEN, 2008]. Zie voor een toelichting op de Nederlandse Normcommissie Nederland ook bijlage 3. Een ISO-richtlijn als overkoepelend raamwerk voor risicomanagement lijkt voor de hand te liggen. De verschillende afzonderlijke ISO-normen voor managementsystemen, zoals ISO 9001 en ISO 14001, beschrijven immers al systemen voor het beheersen van maatregelen 16

27 en risico s, waarbij de eerder genoemde stappen uit de risicomanagementcyclus (risicoidentificatie, risico-analyse, monitoring risico s en bijsturen) moeten worden doorlopen. Het managementsysteem zoals beschreven in de verschillende normen zijn in de kern risicomanagementsystemen voor specifieke risico s, zoals kwaliteits- en milieurisico s. Deze normen voor managementsystemen beschrijven wat een organisatie moet doen om de (risicoaspecten van) haar processen en activiteiten te managen zodat de resultaten en uitkomsten aansluiten bij de vastgestelde doelstellingen. Goede managementsystemen zijn gebaseerd op twee principes: de procesbenadering en de Demingcirkel (Hortensius, 2003). De procesbenadering houdt in dat de bedrijfsprocessen uitgangspunt zijn voor de inrichting van het managementsysteem. De Demingcirkel [Deming, 1987] betreft de opeenvolgende fasen van een proces (Plan, Do, Check, Act) dat is gericht op het realiseren van doelen op een steeds effectievere en efficiëntere manier. Door de Demingcirkel steeds opnieuw te doorlopen, en de daarmee behaalde resultaten, kunnen managementsystemen worden verbeterd. Als managementsysteem is ISO dan ook op de Demingcirkel en op een procesbenadering gestoeld. ISO bestaat uit drie hoofdonderdelen [NEN, 2008]: (1) de uitgangspunten voor risicomanagement, (2) het raamwerk voor risicomanagement en (3) het risicomanagementproces. Figuur 1. Onderlinge samenhang van de onderdelen van ISO a) Het voegt waarde toe en dr aagt bij aan organ isatieverbetering b) Integraal onderdeel van (besluitvormings)processen Mandaat en commitment Ontwerp het raamwerk v oor risicomanagement c) Het is m aat wer k, p assend bij de organisatiecontext d) Een system atisch en op feiten gebaseerd proces e) Het is open en tran sparant en houdt rekening met menselij ke en culturele factoren Continue verbeteren van het raamwerk Monitoren en analyserenv an het raamwerk Implementeren van risicomanagement Uitgangspunten Raamwerk Proces Bron: Hortensius,

28 Om als effectief instrument te kunnen dienen, gelden met betrekking tot ISO onder meer de volgende principes voor risicomanagement: 1. Het voegt waarde toe en draagt bij aan organisatieverbetering 2. Het is een integraal onderdeel van (besluitvormings)processen 3. Het is maatwerk, passend bij de organisatiecontext 4. Een systematisch en op feiten gebaseerd proces 5. Het is open en transparant en houdt rekening met menselijke en culturele factoren De eerst drie kenmerken vormen de basis voor het raamwerk van risicomanagement, de laatste twee zijn vooral terug te vinden in het risicomanagementproces. In het hart van het proces, zitten de bekende stappen van het identificeren, analyseren en evalueren van risico s, zoals deze verbonden zijn aan het proces, product, project of organisatie als geheel. Die stappen vormen samen de risicobeoordeling. Ook het Nederlands Instituut voor Registeraccountants (NIVRA) geeft in haar publicatie Via interne beheersing naar Corporate Governance [2002] aan dat voor een effectieve risicobeoordeling, de organisatiedoelstellingen voor processen en activiteiten moeten worden vastgesteld en in onderlinge samenhang beoordeeld. Die beoordeling kan alleen worden uitgevoerd, als de context en scope goed zijn bepaald. Die context wordt gedeeltelijk ontleend aan het risicomanagement-raamwerk, maar voor de risicobeoordeling van een specifieke situatie kan en moet die context gedetailleerder worden bekeken. Aan een dergelijke contextbepaling worden bijvoorbeeld specifieke criteria ontleend om de risico s te beoordelen. Vanuit de contextbepaling wordt ook duidelijk welke personen/afdelingen/programma s/projecten moeten worden geconsulteerd of betrokken bij de risicobeoordeling. Op basis van de beoordeling wordt vervolgens besloten of en hoe het risico wordt behandeld. Het raamwerk dient daarbij als een kader om ervoor te zorgen dat risicomanagementprocessen ingebed worden en aansluiten bij de algemene besluitvormingsprocessen van de organisatie. 18

29 Figuur 2. Risicomanagementproces volgens ISO Bepaal de context 6.4 Risico beoordeling Risico identificatie 6.2 Com m unicatie advies en Risico analyse 6.6 M o n ito re n en evaluatie Risico evaluatie 6.5 Risicobeheersing bron: Hortensius, ISO tracht een complete beschrijving te geven van de verschillende zaken die relevant zijn voor risicomanagement. Daarbij wordt niet alleen ingezoomd op het risicomanagementproces, maar ook op de context ervan, waarin mandaten worden afgegeven door opdrachtgevers en waarbij stakeholders nadrukkelijk worden betrokken bij het proces. Door het benoemen van zowel de context als het proces zelf, ontstaan twee nauw met elkaar verweven processen: (1) het opstellen, uitvoeren, monitoren en bijsturen van het risicomanagement raamwerk, als een kader om ervoor te zorgen dat risicomanagementprocessen ingebed worden en aansluiten bij de algemene (besluitvormings)processen van de organisatie. (2)het opstellen, uitvoeren, monitoren en communiceren van het risicomanagementproces. Tevens worden principes van risicomanagement betrokken bij deze twee processen, die in grove lijnen dienen als sturende elementen achter de voorgaande twee processen. Belangrijke uitgangspunt is overigens dat ISO geen eisenstellende (certificeerbare) norm wordt voor een risicomanagementsysteem. Iedere organisatie of sector kan het beste zelf bepalen welke risicomanagementaanpak het beste past bij haar doelen, (markt)situatie, klanten e.d. For this reason, the ISO is designed not to be certifiable but to focus on general principles and guidelines. [Shortreed, 2007]. Certificering heeft bovendien voor de meeste organisaties vooral een externe functie: het onafhankelijke bewijs richting klanten of andere belanghebbenden, dat er sprake is van een managementsysteem dat aan de norm voldoet [Hortensius, 2003]. Daarvoor bestaat 19

30 vooralsnog geen draagvlak onder de leden van ISO en dat was ook het standpunt van de door NEN in Nederland geconsulteerde belanghebbende partijen toen in 2005 een stem moest worden uitgebracht op het ISO-voorstel [Hortensius, 2008]. In een vergelijking van COSO en ISO schetst Awad Loubani de belangrijkste verschillen tussen de 2 modellen. Concluderend kan worden gesteld dat ISO meer de ruimte biedt om een maatwerkoplossing voor risicomanagement te zijn dan COSO. [Loubani, 2008]. 3.6 Risicoagenda bij Provincies De strategische context van de provinciale organisatie is van groot belang om de toepasbaarheid van risicomanagement te kunnen duiden. De strategische invulling van de Provincie verschilt op een aantal onderdelen namelijk wezenlijk van die van private organisaties. Daaruit kan worden afgeleid dat strategievorming in de publieke sector extra complex is. De eigen kenmerken van strategievorming bij de overheid [Ter Braak en Van T Spijker, 1993; Valens, 1993] zijn als volgt: 1. Multi-organisatiestrategie. Een overheid met een breed takenpakket en veel organisatieonderdelen zal vaak geen strategie formuleren in termen van een missie voor één organisatie maar een multi-organisatiestrategie, dus voor meerdere onderdelen die elk eigen taken vervullen, zoals een sociale dienst, of openbare werken. 2. Minder concurrentie. Door de eigenstandigheid van overheden en de beperkte mogelijkheden tot concurrentie is een strategieformuleringsproces minder op scherpe profilering gericht: het generieke krijgt 'veel plaats toegemeten', het specifieke veel minder. Overheden kunnen niet zomaar zeggen dat ze bepaalde taken niet uitvoeren en zich profileren op een bepaalde taak. 3. Functie en soorten produkten en diensten zijn anders. Een ander verschil is dat een bedrijf handelt in een overigens meestal veel beperkter aantal produkten en diensten, maar een overheid heeft eveneens een functie bij de ontwikkeling van maatschappelijke normen en waarden en de handhaving daarvan ten aanzien van de gedragingen van burgers. 4. Meer doelstellingen. Een private organisatie kan zich richten op een beperkt aantal doelstellingen en bij een overheid is dat meestal niet het geval. Een overheidsorganisatie heeft vele taken te vervullen. Bij een private organisatie is de initiële doelstelling vaak nog herkenbaar, bij een overheid ligt dit anders. 5. Vage doelstellingen. In een private organisatie zijn tamelijk precieze doelstellingen te formuleren. Bij een overheid zijn doelstellingen meestal veel vager. Dit laatste wordt ten eerste veroorzaakt door de complexiteit van bepaalde problemen die een overheid 20

31 onmogelijk zelf alleen kan oplossen; denk bijvoorbeeld aan gezondheidszorgvraagstukken. Een tweede oorzaak is de organisatie van de politieke democratie; politieke vertegenwoordigers van verschillende statenfracties dienen vooral compromissen te sluiten om tot een meerderheidsbesluit te komen. Een derde oorzaak is gelegen in de organisatie van het openbaar bestuur zelf, waarbij wetgeving van uitvoering gescheiden is. 6. Openbaarheid. De besluitvorming in een private organisatie voltrekt zich doorgaans niet in de openbaarheid (hoewel er veelal jaarcijfers gepubliceerd worden) terwijl dat bij een overheid doorgaans wel het geval is. 7. Pluriforme samenleving. In private organisaties is minder dan in de overheidssfeer sprake van de noodzaak om rekening te houden met pluriformiteit in de samenleving, zowel qua (doel)groepen van burgers als qua organisaties, die op de een of andere wijze bij beleid betrokken zijn. Ze hebben voorkeuren en kunnen mee- en tegenwerken. In het openbaar bestuur is bovendien sprake van een enorme variëteit aan doelgroepen, belangengroepen en andere betrokkenen. Ook dit compliceert de strategievorming bij de overheid. 8. Politieke cyclus. Een laatste argument is dat in de overheidssfeer sprake is van een politieke cyclus, de periode tussen verkiezingen, van vier jaar of korter. Daardoor bestaat er druk om voorrang te geven aan beleid dat al op korte termijn zichtbaar is of vruchten afwerpt, boven het ontwikkelen van een lange termijnvisie en het 'oogsten' later dan na vier jaar. Bij private organisaties is die cyclus afwezig. Scholes en Johnson [2004] spreken van emergent strategieën, die ontstaan vanuit dagelijkse routines, activiteiten en processen in een organisatie. De auteurs zetten dit af tegen intended strategieën, een uiting van een gewenste strategische koers, nadrukkelijk geformuleerd en uitgedragen door het management van een organisatie. Bij Provincies is sprake van emergent strategievorming, omdat sprake is van veelal decentraal verlopende processen. Vanuit de verschillende beleidsvelden (bv. Ruimtelijke Ordening of Economie) wordt veelal specifieke strategie ontwikkeld, zodat ruimte is voor het inspelen op kansen die zich voordoen. Herman (2004) benoemt dat, ondanks dat risicomanagement voor non-profitorganisaties veelal intuïtief plaats vindt, de noodzaak voor een gestructureerde aanpak wenselijk is. De externe omgeving van de Provincie is complex en turbulent. De toekomst van de Provincie als bestuurslaag staat daarnaast ook nog ter discussie. Anticiperend op die onzekerheid, zal vooral aandacht voor een effectieve strategische aanpak van de maatschappelijke vraagstukken, zoals ze door de provinciale partners en klanten naar voren worden gebracht, het bewijs voor de toegevoegde waarde van de Provincie moeten 21

32 leveren. Resultaat en rekenschap over de prestatie van de Provincie is daarbij van groot belang. Risicomanagement als instrument om te prioriteren en als sturingsmiddel om mensen en processen te richten op het bereiken van de (coalitie)doelstellingen wordt daarmee steeds belangrijker. De opkomst van de risicoagenda bij Provincies wordt ingegeven door vijf ontwikkelingen; 1. Economische crisis De actualiteit van de economische crisis toont de kwetsbaarheid aan van (regionale) overheden. De kredietcrisis heeft drie Provincies getroffen; Noord-Holland, Groningen en Zeeland en toont aan dat niet alleen in de financiële wereld sprake is van een toenemende behoefte aan een adequaat functionerend risicomanagement. In de loop van 2008 bleek dat gemeentelijke en provinciale overheden vele miljoenen euro's hebben uitstaan bij IJslandse banken. Bron: (17/10/8) De Provincie Noord-Holland had 98 miljoen staan op noodlijdende banken (Landsbanki in IJsland en het Duitse Lehman Bankhaus). Een provinciale onderzoekscommissie heeft onderzoek gedaan naar het door Gedeputeerde Staten vanaf 1 april 2007 gevoerde bestuur aangaande het uitzetten van tijdelijk beschikbare financiële middelen. In haar rapport Triple R; Regels, rendement en Risico 2 kwam de commissie onder meer tot de conclusie dat de Provincie ten onrechte geen actief risicomanagement voerde. Als gevolg van de uitkomsten van dit onderzoek is het voltallige college van gedeputeerde staten in Noord-Holland in juni 2009 afgetreden. Hoewel de kredietcrisis kan worden beschouwd als een uitzonderlijke ontwikkeling (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, 2008), zijn als gevolg hiervan 2 Triple R, regels, Rendement en Risico, provinciale onderzoekscommissie Noord-Holland, 29 mei

ISO 31000: nieuw referentiekader voor risicomanagement

ISO 31000: nieuw referentiekader voor risicomanagement ISO 31000: nieuw referentiekader voor risicomanagement Door ISO en IEC zijn eind 2009 twee nieuwe normen voor het onderwerp Risicomanagement gepubliceerd. Het gaat om twee generieke normen met termen en

Nadere informatie

Advies inzake Risicobenadering

Advies inzake Risicobenadering dvies inzake Risicobenadering Het afstemmen van modellen op uitdagingen PRIMO heeft binnen haar organisatie een divisie opgericht die zich geheel richt op het effectief gebruik van risicomanagementmodellen.

Nadere informatie

Hoezo dé nieuwe ISO-normen?

Hoezo dé nieuwe ISO-normen? De nieuwe ISO-normen Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Hoezo dé nieuwe ISO-normen? 2 1 De cijfers voor Nederland (eind 2013) Norm Aantal

Nadere informatie

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM De tijd dat MVO was voorbehouden aan idealisten ligt achter ons. Inmiddels wordt erkend dat MVO geen hype is, maar van strategisch belang voor ieder

Nadere informatie

Aan de raad van de gemeente Lingewaard

Aan de raad van de gemeente Lingewaard 6 Aan de raad van de gemeente Lingewaard *14RDS00194* 14RDS00194 Onderwerp Nota Risicomanagement & Weerstandsvermogen 2014-2017 1 Samenvatting In deze nieuwe Nota Risicomanagement & Weerstandsvermogen

Nadere informatie

Risicomanagement en NARIS gemeente Amsterdam

Risicomanagement en NARIS gemeente Amsterdam Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten

Nadere informatie

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.

Nadere informatie

Actualiteitendag Platform Deelnemersraden Risicomanagement

Actualiteitendag Platform Deelnemersraden Risicomanagement Actualiteitendag Platform Deelnemersraden Risicomanagement Benne van Popta (voorzitter Detailhandel) Steffanie Spoorenberg (adviseur Atos Consulting) Agenda 1. Risicomanagement 2. Risicomanagement vanuit

Nadere informatie

Programma 14 november middag. Risicomanagement Modellen. Strategisch risicomanagement

Programma 14 november middag. Risicomanagement Modellen. Strategisch risicomanagement Programma 14 november middag Risicomanagement Modellen Strategisch risicomanagement Kaplan 1www.risicomanagementacademie.nl 2www.risicomanagementacademie.nl Risicomanagement modellen Verscheidenheid normen

Nadere informatie

Hoofdlijnen Corporate Governance Structuur

Hoofdlijnen Corporate Governance Structuur Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een

Nadere informatie

RISICOMANAGEMENT. Wat voegt risicomanagement toe?

RISICOMANAGEMENT. Wat voegt risicomanagement toe? RISICOMANAGEMENT Risicomanagement ondersteunt op een gestructureerde manier het behalen van doelstellingen en het opleveren van projectresultaten. Dit kan door risico s expliciet te maken, beheersmaatregelen

Nadere informatie

Beoordelingscriteria scriptie CBC: instructie en uitwerking

Beoordelingscriteria scriptie CBC: instructie en uitwerking Nederlandse Associatie voor Examinering 1 Beoordelingscriteria scriptie CBC: instructie en uitwerking Met de scriptie voor Compensation & Benefits Consultant (CBC) toont de kandidaat een onderbouwd advies

Nadere informatie

Wel of niet certificatie? K. de Jongh

Wel of niet certificatie? K. de Jongh K. de Jongh Tijdsduur: 30 minuten Certificatie; ondermeer status 2015 versies De nieuwe norm; HLS en 2015 versies Voorbeelden uit de praktijk HLS en 2015 versies in de praktijk Conclusies? 9-3-2015 2 Certificatie:

Nadere informatie

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. Balanced Scorecard Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DE

Nadere informatie

RISICOMANAGEMENT BIJ WONINGCORPORATIES

RISICOMANAGEMENT BIJ WONINGCORPORATIES Together you make the difference RISICOMANAGEMENT BIJ WONINGCORPORATIES Deel 1 van een drieluik over het belang van goed risicomanagement in de corporatiesector Auteur Drs. Frank van Egeraat RC. Frank

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

Business Continuity Management conform ISO 22301

Business Continuity Management conform ISO 22301 Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,

Nadere informatie

SEMINAR PRAKTISCH RISICOMANAGEMENT d.d. 1 juni 2010 in De Meern

SEMINAR PRAKTISCH RISICOMANAGEMENT d.d. 1 juni 2010 in De Meern SEMINAR PRAKTISCH RISICOMANAGEMENT d.d. 1 juni 2010 in De Meern Programma 13.30 uur Opening 13.40 uur Risicomanagement in het onderwijs door Marien Rozendaal RA 14.30 uur Pauze 15.00 uur Risicomanagement

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Energiemanagementprogramma HEVO B.V.

Energiemanagementprogramma HEVO B.V. Energiemanagementprogramma HEVO B.V. Opdrachtgever HEVO B.V. Project CO2 prestatieladder Datum 7 december 2010 Referentie 1000110-0154.3.0 Auteur mevrouw ir. C.D. Koolen Niets uit deze uitgave mag zonder

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

ISO9001:2015, in vogelvlucht. Door Tjarko Vrugt

ISO9001:2015, in vogelvlucht. Door Tjarko Vrugt ISO9001:2015, in vogelvlucht Door Tjarko Vrugt 18-11-2015 - Qemc - Tjarko Vrugt Bron: NEN - Delft 2 DE NIEUWE NEN EN ISO 9001 : 2015 Deze presentatie beperkt zich tot de essentie Sktb besteed in 2016

Nadere informatie

Missie We zijn een maatschappelijke vastgoedonderneming, die met en voor bewoners samenwerkt aan krachtige wijken met toekomstwaarde.

Missie We zijn een maatschappelijke vastgoedonderneming, die met en voor bewoners samenwerkt aan krachtige wijken met toekomstwaarde. Governance handboek Besturingsmodel Havensteder Inleiding Het besturingsmodel van woningcorporatie Havensteder maakt de verbanden zichtbaar tussen missie, visie en strategie. En de daarvan afgeleide doelstellingen,

Nadere informatie

Praktijkplein Titel: Toepassing: Koppeling met het Operational Excellence Framework: Implementatiemethodieken: ontwerpen en ontwikkelen.

Praktijkplein Titel: Toepassing: Koppeling met het Operational Excellence Framework: Implementatiemethodieken: ontwerpen en ontwikkelen. Praktijkplein Titel: Implementatiemethodieken: ontwerpen en ontwikkelen. Toepassing: Beknopte samenvatting van twee implementatiemethodieken en hun toepassing bij het implementeren van een operational

Nadere informatie

Inleiding 11 DEEL 1 BESCHRIJVING VAN DE RISICO S 23

Inleiding 11 DEEL 1 BESCHRIJVING VAN DE RISICO S 23 Inhoud Inleiding 11 Risicomanagement, een selectie van toepassingen in ondernemingsbestuur 13 Theorie? 15 Bekende toepassingen 17 Risicomanagement in de financiële sector 18 Risico s in verband met ondernemingsbestuur

Nadere informatie

Prestatiebeloning werkt nauwelijks, maar prestatieafstemming

Prestatiebeloning werkt nauwelijks, maar prestatieafstemming Prestatiebeloning werkt nauwelijks, maar prestatieafstemming werkt wel André de Waal Prestatiebeloning wordt steeds populairder bij organisaties. Echter, deze soort van beloning werkt in veel gevallen

Nadere informatie

Uitgangspunten procescriteria: waar dienen ze wel en waar dienen ze niet toe? Methode: hoe zijn de criteria opgebouwd en hoe zijn we daartoe gekomen?

Uitgangspunten procescriteria: waar dienen ze wel en waar dienen ze niet toe? Methode: hoe zijn de criteria opgebouwd en hoe zijn we daartoe gekomen? 5 Procescriteria In dit hoofdstuk komen achtereenvolgens aan de orde: Uitgangspunten procescriteria: waar dienen ze wel en waar dienen ze niet toe? Methode: hoe zijn de criteria opgebouwd en hoe zijn we

Nadere informatie

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

Raadsinformatiebrief Nr. :

Raadsinformatiebrief Nr. : Raadsinformatiebrief Nr. : Onderwerp: Risicomanagement Reg.nr. : 12.0693 B&W verg. : 19 juni 2012 : 1) Status In het licht van de actieve informatieplicht informeren wij U over de stand van zaken met betrekking

Nadere informatie

Bedrijfsarchitectuur sterker door opleiding

Bedrijfsarchitectuur sterker door opleiding Onderzoek naar het effect van de Novius Architectuur Academy Bedrijfsarchitectuur sterker door opleiding Door met meerdere collega s deel te nemen aan een opleiding voor bedrijfsarchitecten, werden mooie

Nadere informatie

De nieuwe ISO-normen: evolutie of revolutie?

De nieuwe ISO-normen: evolutie of revolutie? De nieuwe ISO-normen: evolutie of revolutie? Een goede voorbereiding is het halve werk Wordt de overgang van ISO 9001:2008 naar ISO 9001:2015 voor u een evolutie of een revolutie? In 2000 hadden de wijzigingen

Nadere informatie

Een positieve blik op modellen voor risicomanagement

Een positieve blik op modellen voor risicomanagement TPC Een positieve blik op modellen voor risicomanagement 26 Er zijn de afgelopen jaren nieuwe normen op het gebied van risicomanagement ontstaan. Welke handvatten geven deze normen COSO, ISO 31000 en M_o_R

Nadere informatie

NTA 8620 en de relatie met andere normen voor managementsystemen

NTA 8620 en de relatie met andere normen voor managementsystemen NTA 8620 en de relatie met andere normen voor managementsystemen Dick Hortensius NEN Milieu&maatschappij Herziening NTA 8620 1 Inhoud Aanleiding en aanpak herziening NTA Belangrijkste aandachtspunten Afstemming

Nadere informatie

BETERE INTERNE BEHEERSING DANKZIJ INTEGRAAL RISICOMODEL

BETERE INTERNE BEHEERSING DANKZIJ INTEGRAAL RISICOMODEL 26 BETERE INTERNE BEHEERSING DANKZIJ INTEGRAAL RISICOMODEL De invoering van een geïntegreerd risicomodel leidde tot versterking van de interne beheersing bij Kempen & Co. Een risicomodel waarin risk, compliance

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

Onderwerp: Risico inventarisatie project rwzi Utrecht Nummer: 604438. Dit onderwerp wordt geagendeerd ter kennisneming ter consultering ter advisering

Onderwerp: Risico inventarisatie project rwzi Utrecht Nummer: 604438. Dit onderwerp wordt geagendeerd ter kennisneming ter consultering ter advisering COLLEGE VAN DIJKGRAAF EN HOOGHEEMRADEN COMMISSIE BMZ ALGEMEEN BESTUUR Agendapunt 9A Onderwerp: Risico inventarisatie project rwzi Utrecht Nummer: 604438 In D&H: 22-01-2013 Steller: Drs. J.L.P.A. Dankaart

Nadere informatie

[Cursus Risicomanagement in onderhoud en beheer]

[Cursus Risicomanagement in onderhoud en beheer] [Cursus Risicomanagement in onderhoud en beheer] Bestemd voor: Managers die verantwoordelijk zijn voor het onderhoud, het (installatie)beheer of de bedrijfsvoering van technische systemen. Technici die

Nadere informatie

6. Project management

6. Project management 6. Project management Studentenversie Inleiding 1. Het proces van project management 2. Risico management "Project management gaat over het stellen van duidelijke doelen en het managen van tijd, materiaal,

Nadere informatie

De nieuwe compliance norm ISO 19600 en risicomanagement Een praktijkvoorbeeld voor een license to operate. Arjan Donatz

De nieuwe compliance norm ISO 19600 en risicomanagement Een praktijkvoorbeeld voor een license to operate. Arjan Donatz De nieuwe compliance norm ISO 19600 en risicomanagement Een praktijkvoorbeeld voor een license to operate. Arjan Donatz Group Director, QHSE 11 September 2014. ABOUT US FTS Hofftrans Oil transportation

Nadere informatie

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM E Ernst & Young Accountants LLP Telt +31 88 407 1000 Boompjes 258 Faxt +31 88407 8970 3011 XZ Rotterdam, Netherlands ey.corn Postbus 2295 3000 CG Rotterdam, Netherlands Nederlandse Beroepsorganisatie van

Nadere informatie

Hoofdlijnen Corporate Governance Structuur Stek

Hoofdlijnen Corporate Governance Structuur Stek Hoofdlijnen Corporate Governance Structuur Stek 1 Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe

Nadere informatie

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 ISO Revisions Nieuw en herzien Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 Inleiding Dit document maakt een vergelijking tussen ISO 9001:2008 en de Final Draft International

Nadere informatie

Portefeuillehouder: M.A.P. Michels Behandelend ambtenaar J. van der Meer, 0595 447719 gemeente@winsum.nl (t.a.v. J. van der Meer)

Portefeuillehouder: M.A.P. Michels Behandelend ambtenaar J. van der Meer, 0595 447719 gemeente@winsum.nl (t.a.v. J. van der Meer) Vergadering: 11 december 2012 Agendanummer: 12 Status: Besluitvormend Portefeuillehouder: M.A.P. Michels Behandelend ambtenaar J. van der Meer, 0595 447719 E mail: gemeente@winsum.nl (t.a.v. J. van der

Nadere informatie

BENT U ER KLAAR VOOR?

BENT U ER KLAAR VOOR? ISO 9001:2015 EN ISO 14001:2015 HERZIENINGEN ZIJN IN AANTOCHT BENT U ER KLAAR VOOR? Move Forward with Confidence WAT IS NIEUW IN ISO 9001:2015 & ISO 14001:2015 MEER BUSINESS GEORIENTEERD KERNASPECTEN "LEIDERSCHAP

Nadere informatie

De nieuwe ISO-normen: meer dan KAM-management alleen!

De nieuwe ISO-normen: meer dan KAM-management alleen! De nieuwe ISO-normen: meer dan KAM- alleen! Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Wat kunt u verwachten? Ontwikkelingen systeemnormen Plug-in

Nadere informatie

Plan van aanpak Rekenkameronderzoek naar (be)sturing van Gemeenschappelijke Regelingen

Plan van aanpak Rekenkameronderzoek naar (be)sturing van Gemeenschappelijke Regelingen Plan van aanpak Rekenkameronderzoek naar (be)sturing van Gemeenschappelijke Regelingen Rekenkamercommissies Edam-Volendam, Landsmeer, Oostzaan, Waterland Inleiding In de maanden mei tot en met oktober

Nadere informatie

Integraal risicomanagement

Integraal risicomanagement Samenvatting Integraal risicomanagement in 40 Nederlandse ziekenhuizen Inhoud Inleiding 3 Onderzoeksvragen 3 Integraal risicomanagement onvoldoende beschreven 4 Aanbevelingen 5 Over VvAA 7 2 VvAA Risicomanagement

Nadere informatie

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er

Nadere informatie

Het stuurmodel voor een opdrachtgever

Het stuurmodel voor een opdrachtgever Het stuurmodel voor een opdrachtgever Ir. Derk K. Kremer 1. Inleiding In één van mijn eerdere artikelen heb ik al aangegeven dat de rol van opdrachtgever op zich geen moeilijke rol is. Voor een ervaren

Nadere informatie

MVO-PROFIEL Bedrijf X

MVO-PROFIEL Bedrijf X MVO-PROFIEL Bedrijf X 2008 BouwMVO De in deze uitgave vermelde gegevens zijn strikt vertrouwelijk en alle hierop betrekking hebbende auteursrechten, databankrechten en overige (intellectuele) eigendomsrechten

Nadere informatie

BSCAT en Managementsystemen

BSCAT en Managementsystemen BSCAT en Managementsystemen Veiligheidsdag Apply 15 april 2015 1 SAFER, SMARTER, GREENER De praktijk 2 Risicomanagementproces De Deming SAFER, SMARTER, GREENER Risico s zijn ook kansen No Risk no business

Nadere informatie

Oplossingsvrij specificeren

Oplossingsvrij specificeren Oplossingsvrij specificeren ir. J.P. Eelants, projectmanager Infrabouwproces CROW Samenvatting De methodiek van oplossingsvrij specificeren richt zich niet alleen op het formuleren van functionele eisen.

Nadere informatie

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :

Nadere informatie

Strategisch Risicomanagement

Strategisch Risicomanagement Commitment without understanding is a liability Strategisch Risicomanagement Auteur Drs. Carla van der Weerdt RA Accent Organisatie Advies Effectief en efficiënt risicomanagement op bestuursniveau Risicomanagement

Nadere informatie

De effectieve directie

De effectieve directie Studiedag - Journée d études De interne audit en het auditcomité Walgraeve M. Hoofd interne audit NVSM 17.10.2008 Verslag over: De effectieve directie - Financiële, operationele en strategische risico

Nadere informatie

Doe eens gek! Houd rekening met de mensen in uw organisatie bij het implementeren van ICT oplossingen.

Doe eens gek! Houd rekening met de mensen in uw organisatie bij het implementeren van ICT oplossingen. Doe eens gek! Houd rekening met de mensen in uw organisatie bij het implementeren van ICT oplossingen. ERP, CRM, workflowmanagement en documentmanagement systemen, ze hebben één ding gemeen: Veel van de

Nadere informatie

MONITORING COMMISSIE CODE BANKEN. Aanbevelingen toekomst Code Banken

MONITORING COMMISSIE CODE BANKEN. Aanbevelingen toekomst Code Banken MONITORING COMMISSIE CODE BANKEN Aanbevelingen toekomst Code Banken 22 maart 2013 Inleiding De Monitoring Commissie Code Banken heeft sinds haar instelling vier rapportages uitgebracht. Zij heeft daarin

Nadere informatie

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende

Nadere informatie

Bantopa Terreinverkenning

Bantopa Terreinverkenning Bantopa Terreinverkenning Het verwerven en uitwerken van gezamenlijke inzichten Samenwerken als Kerncompetentie De complexiteit van producten, processen en services dwingen organisaties tot samenwerking

Nadere informatie

Managementsamenvatting adviesrapport

Managementsamenvatting adviesrapport Managementsamenvatting adviesrapport Onderzoek succesfactoren, knelpunten en ondersteuningsbehoeften van Nederlandse Gemeenten rond MVO-stimulering, verduurzaming van de bedrijfsvoering en duurzaam inkopen

Nadere informatie

NTA 8620 versus ISO-systemen. Mareille Konijn 20 april 2015

NTA 8620 versus ISO-systemen. Mareille Konijn 20 april 2015 NTA 8620 versus ISO-systemen Mareille Konijn Voorstellen Mareille Konijn Lid van de NEN-werkgroep Senior HSE consultant Industry, Energy & Mining T: 088 348 21 95 M: 06 50 21 34 27 mareille.konijn@rhdhv.com

Nadere informatie

ISO 31000 stimuleert integraal risicomanagement

ISO 31000 stimuleert integraal risicomanagement TPC public control integraal risicomanagement norm ISO 31000 verankering implementatie ISO 31000 stimuleert integraal risicomanagement Het voor integraal risicomanagement vaak gebruikte COSO-model biedt

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Doen of laten? Een dag zonder risico s is een dag niet geleefd

Doen of laten? Een dag zonder risico s is een dag niet geleefd Doen of laten? Een dag zonder risico s is een dag niet geleefd Wie, wat en hoe Eric Lopes Cardozo & Rik Jan van Hulst sturen naar succes Doel Delen van inzichten voor praktisch operationeel risico management

Nadere informatie

De nieuwe ISO norm 2015 Wat nu?!

De nieuwe ISO norm 2015 Wat nu?! De nieuwe ISO norm 2015 Wat nu?! Stichting QualityMasters Nieuwland Parc 157 3351 LJ Papendrecht 078-3030060 info@qualitymasters.com www.qualitymasters.com 02-2015 Inhoud Inleiding pagina 3 Van Oud naar

Nadere informatie

NOG TE WEINIG INTEGRAAL RISICOMANAGEMENT IN DE GEZONDHEIDSZORG

NOG TE WEINIG INTEGRAAL RISICOMANAGEMENT IN DE GEZONDHEIDSZORG Risicomanagement: NOG TE WEINIG INTEGRAAL RISICOMANAGEMENT IN DE GEZONDHEIDSZORG De Nederlandse gezondheidszorg kenmerkt zich door ruime aandacht voor risicomanagement. De toepassing van integraal risicomanagement

Nadere informatie

Concept Praktijkhandreiking 1119 Nadere toelichtingen in de goedkeurende controleverklaring

Concept Praktijkhandreiking 1119 Nadere toelichtingen in de goedkeurende controleverklaring Nadere toelichtingen in de goedkeurende controleverklaring maart 2012 Concept Praktijkhandreiking 1119 Inleiding Binnen de huidige wet- en regelgeving kan de accountant reeds uitdrukkelijk inspelen op

Nadere informatie

Inhoudsopgave. Bijlagen 121 Literatuur 144

Inhoudsopgave. Bijlagen 121 Literatuur 144 Inhoudsopgave 5 Voorwoord 7 Ten geleide 9 1 Inleiding 11 2 De risicoanalyse 25 3 Uitvoeren van de risicoanalyse 65 4 Risicomanagement 77 5 Uitvoeren van risicomanagement 85 6 Implementatie van risicomanagement

Nadere informatie

BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT

BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT WHITEPAPER BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT RISICOMANAGEMENT IN BALANS Ondernemen betekent risico s nemen om de

Nadere informatie

Prestatiemeting op maat:

Prestatiemeting op maat: PRESTATIEMETING Drs. K.B.M. Bessems is recent als bedrijfseconoom afgestudeerd aan de Universiteit van Tilburg. Drs. J.M.C. Niederer (niederer@telenet.be) is werkzaam in de controllerspraktijk en heeft

Nadere informatie

Integraal Kwaliteitsmanagement Gezondheidszorg Zorgkwaliteit, risicobeheersing, veiligheid en efficiency volgens NEN EN 15224

Integraal Kwaliteitsmanagement Gezondheidszorg Zorgkwaliteit, risicobeheersing, veiligheid en efficiency volgens NEN EN 15224 Integraal Kwaliteitsmanagement Gezondheidszorg Zorgkwaliteit, risicobeheersing, veiligheid en efficiency volgens NEN EN 15224 Version 1/2013 Uitdagingen in de gezondheidszorg Als professionele zorgaanbieder

Nadere informatie

Optimaal benutten, ontwikkelen en binden van aanwezig talent

Optimaal benutten, ontwikkelen en binden van aanwezig talent Management Development is een effectieve manier om managementpotentieel optimaal te benutten en te ontwikkelen in een stimulerende en lerende omgeving. De manager van vandaag moet immers adequaat kunnen

Nadere informatie

STUDIEDAG De wereld verandert bent u er klaar voor? Bereid u voor op Continu Verbeteren

STUDIEDAG De wereld verandert bent u er klaar voor? Bereid u voor op Continu Verbeteren STUDIEDAG De wereld verandert bent u er klaar voor? Bereid u voor op Continu Verbeteren Bereid u voor op Continu Verbeteren VERANDERING effect op PROCESSEN Verandering...steeds sneller en dat geldt ook

Nadere informatie

Energiemanagement Actieplan

Energiemanagement Actieplan 1 van 8 Energiemanagement Actieplan Datum 18 04 2013 Rapportnr Opgesteld door Gedistribueerd aan A. van de Wetering & H. Buuts 1x Directie 1x KAM Coördinator 1x Handboek CO₂ Prestatieladder 1 2 van 8 INHOUDSOPGAVE

Nadere informatie

Graag maak wij van de gelegenheid gebruik om u op de hoogte te brengen van de recente ervaringen en ontwikkelingen bij De Regiecentrale.

Graag maak wij van de gelegenheid gebruik om u op de hoogte te brengen van de recente ervaringen en ontwikkelingen bij De Regiecentrale. 1 Geachte heer/mevrouw Graag maak wij van de gelegenheid gebruik om u op de hoogte te brengen van de recente ervaringen en ontwikkelingen bij De Regiecentrale. Bij verschillende gemeenten en instellingen

Nadere informatie

Resultaten Onderzoek September 2014

Resultaten Onderzoek September 2014 Resultaten Onderzoek Initiatiefnemer: Kennispartners: September 2014 Resultaten van onderzoek naar veranderkunde in de logistiek Samenvatting Logistiek.nl heeft samen met BLMC en VAViA onderzoek gedaan

Nadere informatie

BUSINESS CONTINUITEIT

BUSINESS CONTINUITEIT BUSINESS CONTINUITEIT BUSINESS CONTINUITY MANAGEMENT Tine Bernaerts, Consultant risk management, Amelior Business Continuity Management volgens ISO 22301: Societal Security Business Continuity Management

Nadere informatie

Workspace Design Onderzoeksopzet voor SOZAWE

Workspace Design Onderzoeksopzet voor SOZAWE Workspace Design Onderzoeksopzet voor SOZAWE Datum: 16 december 2010 Ir. Jan Gerard Hoendervanger Docent-onderzoeker Lectoraat Vastgoed Kenniscentrum Gebiedsontwikkeling NoorderRuimte Hanzehogeschool Groningen

Nadere informatie

Normalisatie: de wereld op één lijn. ISO 26000. Maatschappelijke Verantwoordelijkheid van Organisaties (MVO) Zet goede bedoelingen om in goede acties

Normalisatie: de wereld op één lijn. ISO 26000. Maatschappelijke Verantwoordelijkheid van Organisaties (MVO) Zet goede bedoelingen om in goede acties Normalisatie: de wereld op één lijn. ISO 26000 Maatschappelijke Verantwoordelijkheid van Organisaties (MVO) Zet goede bedoelingen om in goede acties 2 Inhoudsopgave ISO 26000: een richtlijn voor iedereen

Nadere informatie

Mogelijkheden zien waar niemand ze ziet. CPI Governance: pragmatische en transparante governance-oplossingen.

Mogelijkheden zien waar niemand ze ziet. CPI Governance: pragmatische en transparante governance-oplossingen. Mogelijkheden zien waar niemand ze ziet CPI Governance: pragmatische en transparante governance-oplossingen. Risicobeheersing begint aan de top CPI Governance CPI (Corporate, Public en Internal) Governance

Nadere informatie

Profielschets Raad van Commissarissen

Profielschets Raad van Commissarissen Profielschets Raad van Commissarissen Vastgesteld door de Raad van Commissarissen op 18 maart 2009 en laatstelijk gewijzigd in 2014. 1. Doel profielschets 1.1 Het doel van deze profielschets is om uitgangspunten

Nadere informatie

Functieprofiel: Adviseur Functiecode: 0303

Functieprofiel: Adviseur Functiecode: 0303 Functieprofiel: Adviseur Functiecode: 0303 Doel (Mede)zorgdragen voor de vormgeving en door het geven van adviezen bijdragen aan de uitvoering van het beleid binnen de Hogeschool Utrecht kaders en de ter

Nadere informatie

COMPLIANCE MET DE NEDERLANDSE CORPORATE GOVERNANCE CODE

COMPLIANCE MET DE NEDERLANDSE CORPORATE GOVERNANCE CODE COMPLIANCE MET DE NEDERLANDSE CORPORATE GOVERNANCE CODE Corporate Governance Novisource streeft naar een organisatiestructuur die onder meer recht doet aan de belangen van de onderneming, haar klanten,

Nadere informatie

Kwaliteitszorg met behulp van het INK-model.

Kwaliteitszorg met behulp van het INK-model. Kwaliteitszorg met behulp van het INK-model. 1. Wat is het INK-model? Het INK-model is afgeleid van de European Foundation for Quality Management (EFQM). Het EFQM stelt zich ten doel Europese bedrijven

Nadere informatie

Onderzoekscommissie Steenwijkerland

Onderzoekscommissie Steenwijkerland Onderzoekscommissie Steenwijkerland Adviesrapportage onderzoek verbouwing De Meenthe (2) 1 oktober 2012 Colofon Een onderzoek door de raad is een op waarheidsvinding gericht onderzoek naar een specifiek

Nadere informatie

Een Project Management model. Wat is IASDEO?

Een Project Management model. Wat is IASDEO? Een Project Management model Project Management betekent risico s beheersen, voldoen aan allerlei vereisten, klanten tevreden stellen, beslissingen nemen, producten leveren, activiteiten coördineren, inputs

Nadere informatie

Dit document maakt gebruik van bladwijzers. NBA-handreiking 1123 Gecombineerde verklaring bij financiële en mvoverslagen

Dit document maakt gebruik van bladwijzers. NBA-handreiking 1123 Gecombineerde verklaring bij financiële en mvoverslagen Dit document maakt gebruik van bladwijzers NBA-handreiking 1123 Gecombineerde verklaring bij financiële en mvoverslagen 31 januari 2014 NBA-handreiking 1123 Gecombineerde verklaring bij financiële en mvo-verslagen

Nadere informatie

Kennisdeling in lerende netwerken

Kennisdeling in lerende netwerken Kennisdeling in lerende netwerken Managementsamenvatting Dit rapport presenteert een onderzoek naar kennisdeling. Kennis neemt in de samenleving een steeds belangrijker plaats in. Individuen en/of groepen

Nadere informatie

Verantwoordingsdocument Code Banken over 2014 Hof Hoorneman Bankiers NV d.d. 18 maart 2015. Algemeen

Verantwoordingsdocument Code Banken over 2014 Hof Hoorneman Bankiers NV d.d. 18 maart 2015. Algemeen Verantwoordingsdocument Code Banken over 2014 Hof Hoorneman Bankiers NV d.d. 18 maart 2015 Algemeen Mede naar aanleiding van de kredietcrisis en de Europese schuldencrisis in 2011 is een groot aantal codes,

Nadere informatie

Beoordelingskader Dashboardmodule Betalingsachterstanden hypotheken

Beoordelingskader Dashboardmodule Betalingsachterstanden hypotheken Beoordelingskader Dashboardmodule Betalingsachterstanden hypotheken Hieronder treft u per onderwerp het beoordelingskader aan van de module Betalingsachterstanden hypotheken 2014-2015. Ieder onderdeel

Nadere informatie

ISO 26000, wereldwijde MVO richtlijn

ISO 26000, wereldwijde MVO richtlijn ISO 26000, wereldwijde MVO richtlijn Zet goede bedoelingen om in goede acties Ingeborg Boon NEN met dank aan Hans Kröder 1 Europees: 30 leden Wereldwijd: 159 leden ruim 60 jaar 18.000 publicaties Missie:

Nadere informatie

Contractmanagement in Nederland anno 2011

Contractmanagement in Nederland anno 2011 Contractmanagement in Nederland anno 2011 Samenvatting Mitopics Theo Bosselaers NEVI René van den Hoven Februari 2012 1 Periodiek onderzoekt Mitopics de professionaliteit waarmee Nederlandse organisaties

Nadere informatie

Integraal management en Sturen

Integraal management en Sturen Integraal management en Sturen Inleiding InterimProf werkt continu aan de ontwikkeling van haar interimmers. Daartoe heeft zij een Ontwikkelprogramma opgesteld. In dat kader is op 27 en 28 maart 2013 een

Nadere informatie

Het dienstbaarheidsconcept

Het dienstbaarheidsconcept Het dienstbaarheidsconcept Koning Willem I College - Dienst Governance & Control - Joost van der Staak 1 juni 2012 Pas op de plaats Wat zijn de succesfactoren in de organisatie gebleken? Wat zijn de inhoudelijke

Nadere informatie

ISO 31000: hét nieuwe raamwerk voor risicomanagement

ISO 31000: hét nieuwe raamwerk voor risicomanagement ISO 31000: hét nieuwe raamwerk voor risicomanagement Actuele informatie over de toepassing van risicomanagement en de betekenis van de nieuwe ISO 31000 Dinsdag 8 december 2009 CineMec Ede Mondiaal geaccepteerd

Nadere informatie

Beleids- en BeheersCyclus. Cursus beleidsplanning, -monitoring en evaluatie: Inleidend hoofdstuk

Beleids- en BeheersCyclus. Cursus beleidsplanning, -monitoring en evaluatie: Inleidend hoofdstuk Beleids- en BeheersCyclus Cursus beleidsplanning, -monitoring en evaluatie: Inleidend hoofdstuk Inhoud cursus Rode draad 1.2 Inleiding 1.3 Definities 1.4 Model strategisch 1.5 Belang strategisch 1.6 Belang

Nadere informatie

4. Bij voorkeur zal de raad van toezicht van Stichting P60 bij de werving van nieuwe toezichthouders buiten het eigen netwerk zoeken.

4. Bij voorkeur zal de raad van toezicht van Stichting P60 bij de werving van nieuwe toezichthouders buiten het eigen netwerk zoeken. REGLEMENT RAAD VAN TOEZICHT Opgesteld door de voorzitter op 25.03.2013 Vastgesteld door de raad van toezicht op: 27.05.2013 te Amstelveen HOOFDSTUK I. ALGEMEEN Artikel 1. Begrippen en terminologie Dit

Nadere informatie

ORGANISEREN BINNEN FM

ORGANISEREN BINNEN FM Marjon Klootwijk KWALITEITSDOCUMENTEN ORGANISEREN BINNEN FM De hoeveelheid documenten neemt alsmaar toe en het overzicht in het aantal en soorten documenten verdwijnt geleidelijk. De relaties of de interdependentie

Nadere informatie