Programma 14 november middag. Risicomanagement Modellen. Strategisch risicomanagement

Transcriptie

1 Programma 14 november middag Risicomanagement Modellen Strategisch risicomanagement Kaplan 1www.risicomanagementacademie.nl

2 2www.risicomanagementacademie.nl Risicomanagement modellen

3 Verscheidenheid normen ISO 14000/EMAS ISO 9000/INK/EFQM OHSAS 18001/ VCA ISO information security Risicomanagement COSO HACCP/ISO www.risicomanagementacademie.nl SA 8000/ISO PAS Supply chain security

4 Verschillende ERM normen COSO ISO31000 M_o_R 4www.risicomanagementacademie.nl

5 COSO I Begin jaren 90 (1992) Gericht op interne controle Onderdelen Risk-assessment (analyse) Controle activiteiten Informatie en communicatie Monitoring 5www.risicomanagementacademie.nl

6 COSO II Enterprise Risk Management framework In verlengde Sarbox wetgeving USA Drie dimensies: Doelstellingen Organisatieniveau Elementen risicomanagement Veel toegepast door grote ondernemingen en in de financiële sector 6www.risicomanagementacademie.nl

7 COSO ERM 7www.risicomanagementacademie.nl

8 Nadelen COSO Focus op rapporteren/verantwoorden over risico s (compliance-niet op sturing) Geeft geen regels voor implementatie. Speelt niet in op cultuur/omgeving (noemt het wel) Laat geen management achter in de organisatie, geen visie op implementatie. Houdt geen rekening met niet kwantificeerbare risico s (vooral financieel) Betreft intern management, gaat voorbij externe risico s. Houdt onvoldoende rekening met kansen. 8www.risicomanagementacademie.nl

9 Voordelen COSO Overzichtelijk kader (voor iedereen) Koppelt risico`s aan doelstellingen Gebruikt door veel bedrijven (voorbeeldmateriaal) Sterk in context Sterk in verantwoordelijkheden 9www.risicomanagementacademie.nl

10 ISO www.risicomanagementacademie.nl

11 Drie samenhangende normen ISO Guide 73 Risk management Vocabulary ISO Risk management Principles and guidelines ISO/IEC Risk management Risk assessment techniques 11www.risicomanagementacademie.nl

12 Risicomanagement als algemeen kader ISO 31000? Supply chain security 12www.risicomanagementacademie.nl Food safety Safety of machinery information OH&S security Finance quality environment

13 Concept of + gebeurtenis gevolg doelstellingen - onzekerheden

14 Definitie van (ISO Guide 73) - Opmerkingen 1. Een effect is een afwijking ten opzichte van de verwachting positief en/of negatief 2. Doelstellingen kunnen worden gekenmerkt door verschillende aspecten (bijvoorbeeld financiële, arbo- of milieudoelen) en kunnen betrekking hebben op verschillende niveaus (zoals strategisch, organisatiebreed, een project, product of proces) 3. Een risico wordt vaak gekarakteriseerd door verwijzing naar mogelijke gebeurtenissen en gevolgen, of een combinatie daarvan 4. Een risico wordt vaak uitgedrukt als een combinatie van de gevolgen van een gebeurtenis (met inbegrip van wijzigingen in omstandigheden) en de bijbehorende waarschijnlijkheid dat de gebeurtenis zich voordoet 14www.risicomanagementacademie.nl

15 ISO structuur L P A D Principes voor risicomanagement (Hfst 3) C Raamwerk voor risicomanagement (Hfst 4) Risicomanagementproces(sen) (Hfst 5) 15www.risicomanagementacademie.nl

16 Communicatie en overleg (5.2) Monitoring en beoordeling (5.6) a) Voegt waarde toe b) Is geintegreerd in de processen van de organisatie c) Maakt deel uit van de besluitvorming d) Onzekerheden worden expliciet benoemd e) Systematisch, gestructureerd en tijdig Samenhang ISO Mandaat en commitment (4.2) Ontwerp van een kader voor het managen van risico s (4.3) Vaststellen van de context (5.3) Risicobeoordeling (5.4) Risico-identificatie (5.4.2) f) Gebaseerd op de best beschikbare informatie g) Op maat gesneden h) Houdt rekening met menselijke en culturele factoren i) Transparant en sluit niemand uit j) Dynamisch, iteratief en reagerend op veranderingen k) Ondersteunt continue verbetering en de uitbouw van de organsiatie Continue verbetering van het kader (4.6) Monitoring en beoordeling van het kader (4.5) Implementatie van risicomanagement (4.4) Risico-analyse (5.4.3) Risico-evaluatie(5.4.4) Risicobehandeling (5.5) Principes (Hoofdstuk 3) 16www.risicomanagementacademie.nl Kader (Hoofdstuk 4) Proces (Hoofdstuk 5)

17 Principes van risicomanagement (1) Risk management: Voegt waarde toe en zorgt voor behoud van waarde Risicomanagement maakt integraal deel uit van alle processen van de organisatie Risicomanagement maakt deel uit van de besluitvorming Met risicomanagement wordt onzekerheid expliciet benoemd Risicomanagement is systematisch, gestructureerd en tijdig Risicomanagement is gebaseerd op de beste beschikbare informatie 17www.risicomanagementacademie.nl

18 Principes van risicomanagement (2) Risicomanagement: Risicomanagement is op maat gesneden Risicomanagement houdt rekening met menselijke en culturele factoren Risicomanagement is transparant en sluit niemand uit Risicomanagement is dynamisch en iteratief en reageert op verandering Risicomanagement ondersteunt continu verbetering van de organisatie 18www.risicomanagementacademie.nl

19 Raamwerk voor risicomanagement Mandaat en commitment (4.2) Ontwerp van een kader voor het managen van risico s (4.3) Inzicht verkrijgen in de organisatie en haar context (4.3.1) Vaststellen van risicomanagementbeleid (4.3.2) Toerekenbaarheid (4.3.3) Integratie in processen van de organisatie (4.3.4) Middelen (4.3.5) Vaststellen van mechanismen voor interne communicatie en rapportage (4.3.6) Vaststellen van mechanismen voor externe communicatie en rapportage (4.3.7) Continue verbetering van het kader (4.6) Implementatie van risicomanagement (4.4) Implementatie van een kader voor het managen van risico s (4.4.1) Implementatie van het risicomanagementproces (4.4.2) Monitoring en beoordeling van het kader (4.5) 19www.risicomanagementacademie.nl

20 ISO Risk assessment techniques Risk assessment concepts Risk assessment process Selection of risk assessment techniques Applicability (risk identification, analysis and/or evaluation Influencing factors Complexity Nature and degree of uncertainty Extent of resources needed Whether quantitative output can be provided 20www.risicomanagementacademie.nl

21 ISO Risk assessment techniques 31 assessment techniques are classified and briefly described, in following categories: Look-up methods (e.g. check-lists) Supporting methods (e.g. Delphi) Scenario analysis (e.g. fault tree analysis) Function analysis (e.g. FMEA, HAZOP, HACCP) Controls assessment (e.g. bow tie analysis) Statistical methods (e.g. Monte-Carlo) 21www.risicomanagementacademie.nl

22 Voordelen/nadelen ISO Voordelen Begint bij cultuur Geeft ontwikkelproces voor implementatie Biedt generieke methode Houdt rekening met diverse vormen van risico Koppelt risico`s aan doelstellingen Nadelen Noodzakelijk: beschikbaar kader van doelstellingen dat meetbare output creëert (niet per definitie financieel) Balans tussen verwachtingen en realiteit Biedt (nog) geen inzicht in de rollen die actoren hebben (te generiek) 22www.risicomanagementacademie.nl

23

24 Risico omschrijving Oorzaak Stroomuitval Fout software Menselijke fout Gebeurtenis Uitval ICT Gevolg Dienstverlening Verlies data Schadeclaims Kans Doelstellingen 24www.risicomanagementacademie.nl

25 M_o_R (Management of Risk) Ontwikkeld vanuit Britse overheid Relatie met Corporate Governance Gebaseerd op: M_o_R principles M_o_R approach M_o_R process Embedding and reviewing M_o_R Veel gebruikt in combinatie met projectmanagement (Prince 2) 25www.risicomanagementacademie.nl

26 Hoofdelementen M_o_R Principes: Deze zijn essentieel voor een ontwikkeling van volwassen Risicomanagement. Zij zijn afgeleid van corporate governance principes met de erkenning dat Risicomanagement onderdeel is van de interne control van organisaties Aanpak: Elke organisatie dient de principes aan te passen en accepteren. Deze afspraken worden vervolgens vastgelegd in beleid, een proceshandleiding en strategie documenten, en ondersteund door risico registers en incidenten registratie Het Risicomanagementproces: Onderscheid 4 hoofdstappen om risico s te identificeren, beoordelen en beheersen Verankeren en reviewen: Als bovenstaande onderdelen zijn voldaan dient de organisatie ervoor te zorgen dat de hele organisatie zich houdt aan de afspraken en dat het verbeteringen doorvoert 26www.risicomanagementacademie.nl

27 M_o_R karakteristieken Gerelateerd aan behoorlijk Bestuur Public Domain en een Best Practice Branche onafhankelijk Generiek voor alle organisaties Betrekt alle medewerkers in een organisatie Vervangt niet maar voorziet in een structuur, kader en een communicatieomgeving www.risicomanagementacademie.nl

28 Welke documenten? Risicomanagementbeleid: communiceert hoe risicomanagement door een hele organisatie heen (of in een deel van een organisatie) wordt geïmplementeerd om het realiseren van haar strategische doelstellingen te ondersteunen Handleiding risicomanagementprocessen: beschrijft de reeks stappen (van Identificeren tot en met Implementeren) en hun respectievelijke verbonden activiteiten, die noodzakelijk zijn voor de uitvoering van risicomanagement. Risicomanagementstrategie; Beschrijft de risicomanagementactiviteiten die voor een bepaalde organisatieactiviteit worden ondernomen. Risicoregister: legt vast en onderhoudt informatie over alle geïdentificeerde bedreigingen en kansen die gerelateerd zijn aan een specifieke organisatieactiviteit Issuelogboek: legt informatie over alle geïdentificeerde issues die al hebben plaatsgevonden en actie vereisen, op een consistente en gestructureerde manier vast en onderhoudt deze. Tot deze issues kunnen risico s behoren die werkelijkheid zijn geworden, en zijn veranderd van mogelijke gebeurtenissen in werkelijke gebeurtenissen. 28www.risicomanagementacademie.nl

29 Modellen Voordeel is dat je aanhaakt bij best practices Je voldoet ergens aan Gemeenschappelijke taal Maak eigen keuzes: geen model is perfect 29www.risicomanagementacademie.nl