Training risicomanagement bedrijfsleven Robert t Hart robert.t.hart@risicomanagement.nl 14 november 2013 1www.risicomanagement.nl
Nederlands Adviesbureau Risicomanagement Enschede & Baarn Totaalleverancier risicomanagement Onafhankelijke en praktische aanpak Zelfstandige verankering risicomanagement Advies Training en coaching Software NARIS 2www.risicomanagement.nl
Drie dagen Dag 1 Wetgeving en gedrag Dag 2 Risicoanalysetechnieken Dag 3 Organisatie en rapportage 3www.risicomanagement.nl
Agenda vandaag.. Ochtend (09.00 12.00) Robert t Hart Inleiding risicomanagement Governance, risk & compliance Cultuur, houding en gedrag Lunch Middagprogramma (13.00-16.30) Geert Haisma Wetgeving (Basel, Solvency II) en raamwerken (COSO, ISO) Strategisch risicomanagement en Balanced scorecard, Kaplan 4www.risicomanagement.nl
Wees creatief! X X 5www.risicomanagement.nl
Visie risicomanagement Balans tussen risico s nemen en risico s beheersen Innovatie (risico s nemen) en risicomanagement gaan goed samen 90% van de risico s heeft als oorzaak menselijk handelen The talking cure 6www.risicomanagement.nl
Doelstellingen training 7www.risicomanagement.nl
Communicatie en overleg (5.2) Monitoring en beoordeling (5.6) CULTUUR VERANKERING PROCES a) Voegt waarde toe b) Is geintegreerd in de processen van de organisatie c) Maakt deel uit van de besluitvorming d) Onzekerheden worden expliciet benoemd e) Systematisch, gestructureerd en tijdig Mandaat en commitment (4.2) Ontwerp van een kader voor het managen van risico s (4.3) Vaststellen van de context (5.3) Risicobeoordeling (5.4) Risico-identificatie (5.4.2) f) Gebaseerd op de best beschikbare informatie g) Op maat gesneden h) Houdt rekening met menselijke en culturele factoren i) Transparant en sluit niemand uit j) Dynamisch, iteratief en reagerend op veranderingen k) Ondersteunt continue verbetering en de uitbouw van de organsiatie Continue verbetering van het kader (4.6) Monitoring en beoordeling van het kader (4.5) Implementatie van risicomanagement (4.4) Risico-analyse (5.4.3) Risico-evaluatie(5.4.4) Risicobehandeling (5.5) Principes (Hoofdstuk 3) Kader (Hoofdstuk 4) Proces (Hoofdstuk 5)
Spelregels deze dagen Telefoon uit Presentaties per trainingsdag uitgedeeld Geef aan wanneer je eerder weg moet Flexibiliteit Schrijf op welke stukken er beloofd zijn Iedereen neemt een actueel aan risicomanagement gerelateerd artikel mee 9www.risicomanagement.nl
10www.risicomanagement.nl Inleiding
Wat is risico?
RISICO..het mogelijk optreden van een ongewenste en ongeplande gebeurtenis in de toekomst, waarvan de gevolgen het bereiken van de resultaten en/of doelstellingen geheel of gedeeltelijk kunnen bedreigen Als een mens begint met zekerheden, zal hij eindigen in twijfels; als hij aanvankelijk genoegen neemt met twijfels, zal hij eindigen met zekerheden. BACON 12www.risicomanagement.nl
..het mogelijk optreden van een ongeplande gebeurtenis in de toekomst, waarvan de gevolgen het bereiken van de resultaten en/of doelstellingen geheel of gedeeltelijk kunnen verrijken of bevorderen. KANS Hoop op een wonder, maar ben er niet van afhankelijk (Talmoed) 13www.risicomanagement.nl
Wist u dat 90% van de ongelukken wordt veroorzaakt in de eerste en laatste 10 minuten van de rit? 14www.risicomanagement.nl
Wist u dat. Hoe hiërarchischer de cultuur is in het land waar de piloten vandaan komen, hoe vaker het mis gaat? 15www.risicomanagement.nl
Wat is risicomanagement? 16www.risicomanagement.nl
Wat is risicomanagement? Een paar definities Enterprise risk management is a process, effected by an entity s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. COSO Enterprise Risk Management Framework Enterprise Risk Management is a comprehensive, systematic approach for helping all organisations, regardless of size or mission, to identify events and measure, prioritise and respond to the risks challenging its most critical objectives and related projects, initiatives and day-to-day operating practices Enterprise Risk Management enhances an organisation s ability to effectively manage uncertainty A structured approach to align strategy, processes, people, technology and knowledge with the purpose of evaluating and managing the uncertainties the enterprise faces as it creates value Het continu en systematisch doorlopen van een organisatie op risico s met als doel de gevolgen daarvan te voorkomen of te vermijden en de kans erop te verkleinen of het op een andere manier beheersbaar te maken PwC 17www.risicomanagement.nl
Wat is risicomanagement? Het is een proces Het wordt bewerkstelligd door mensen: Raad van Bestuur, management en ander personeel van de instelling Het wordt toegepast in de gehele organisatie Het is ontworpen om risico te managen binnen de risk appetite Zorgt voor een redelijke zekerheid Het is gericht op het bereiken van de doelstellingen 18www.risicomanagement.nl
19www.risicomanagement.nl Geschiedenis
Geschiedenis: De mens en god Risico is afgeleid van het Vroeg-Italiaanse woord riscare, hetgeen durven betekent. Risico kan dan ook worden omschreven als de durf die wij als mens hebben om een andere weg in te slaan (weg van het gemiddelde) om daar je voordeel mee te halen. 20www.risicomanagement.nl
Ontwikkeling risicomanagement Integraal risicomanagement Bewustzijn tijdperk Deelgebieden risicomanagement Informatie tijdperk Act of God Industriële tijdperk Agrarisch tijdperk Tijd 1800 1900 2000 2100 21www.risicomanagement.nl
22www.risicomanagement.nl Governance risk & compliance
Voorbeelden Directeur Imtech Bestuurders weg 23www.risicomanagement.nl
Achtergrond risicomanagement Corporate Governance (goed bestuur) A. Transparantie B. Zeggenschap C. Verantwoording Gevolg: bestuurders worden in toenemende mate afgerekend als er iets fout gaat in hun organisatie 24www.risicomanagement.nl
Kernonderdelen ERM 1. Het opzetten van het Enterprise Risk Management systeem 2. Bepalen van risk appetite en doelstellingen 3. Het ontwikkelingen van effectieve rapportage structuren 4. Risico-analyse en beoordeling 5. Controleren of activiteiten onderneming voldoen aan risicoprofiel en gestelde doelen 6. Reactie op feitelijke verwezenlijking risico s 7. Het gezag van de risicobeheersingsfunctie binnen de organisatie 8. Uitvoering ERM door niet-bestuurders 25www.risicomanagement.nl
Juridische Bestuursfouten (1) 1. Bestuur kiest voor te risicovol beleid 2. Bestuur neemt beslissing zonder onderzoek naar mogelijke risico s 3. Vennootschap beschikt niet over systemen van risicobeheersing en interne controle of bestuur neemt belangrijke beslissing zonder over systemen te beschikken die daarop zijn berekend 4. Mogelijke risico s worden wel onderzocht maar gewraakte risico wordt niet geconstateerd of onvoldoende materieel geacht 5. Keuze voor inadequate risicoreactie 6. Er worden geen criteria en richtlijnen opgesteld voor de beheersing van geconstateerde risico s 26www.risicomanagement.nl
Juridische Bestuursfouten (2) 7. Er vindt geen periodieke beoordeling plaats van de feitelijke exposure aan het risico ten opzichte van de gestelde criteria 8. Er is geen contingency plan 9. Er wordt niet doorgevraagd over of geen onderzoek ingesteld naar vermoede incidenten 10.Er vindt geen correctie plaats in geval van overschrijding van gestelde criteria en richtlijnen 11.Gestelde criteria en richtlijnen worden bijgesteld zonder nader onderzoek en beleidsafweging 27www.risicomanagement.nl
Juridische Bestuursfouten (3) 12.Het nalaten medebestuurders en commissarissen te informeren over mogelijke incidenten en material weaknesses in risicobeheersingsystemen 13.Het doen van misleidende publieke mededelingen over risicobeheersing 28www.risicomanagement.nl
29www.risicomanagement.nl Risicocultuur
Elementen risicohouding Basishouding: Bewustzijn Rationele analyse Situatie van het risico Onderbewustzijn kenmerken Perceptie en houding Gevoelens en emoties 30www.risicomanagement.nl
Uitleg risicohouding Situatie GOED Perceptie GOED Houding Keuze voor Proactief gedrag 31www.risicomanagement.nl
Uitleg risicohouding Situatie SLECHT Perceptie SLECHT Houding Reactief gedrag 32www.risicomanagement.nl
Uitleg risicohouding Situatie Goed of slecht? Perceptie Onzekerheid Houding / gedrag 33www.risicomanagement.nl
Risicohoudingen Risicomijdend actief uit de weg gaan, bang, beredenerend, minder bereid nieuwe zaken uit te proberen Risicotolerant is ontspannen bij onzekerheid, kop in het zand, ontkenning als maatregel Risicozoekend neemt risico s, probeert nieuwe zaken, te optimistisch, houdt van een uitdaging, onderschatten van bedreigingen Risiconeutraal het ideaal, comfortabel met de besluitvorming, weloverwogen, breng maatregelen in lijn met de kansen en bedreigingen (in proportie) 34www.risicomanagement.nl
Basishouding Functie Achtergrond Opleiding Ervaringen 35www.risicomanagement.nl
Onderzoek basishoudingen Vrouwen en minderheden zien alle risico s hoger Hoogopgeleide blanke mannen zien veel risico s als laag Jongeren nemen meer risico s dan ouderen Juridische /technische mensen zien meer risico s dan economen 36www.risicomanagement.nl
Kernkwadrant oefening 37www.risicomanagement.nl
Kernkwadrant oefening 38www.risicomanagement.nl
Gezonde botsing?
Risicohouding Onderbewustzijn 40www.risicomanagement.nl
Stel u heeft de kans om geld te winnen Maak een keuze. Optie A u heeft 80% kans om 4.000 te winnen 20% om niets te winnen Optie B u wint 100% zeker 3.000 waar kiest u voor? 41www.risicomanagement.nl
Stel u heeft de kans om geld te verliezen Maak een keuze Optie A: u heeft 80% kans om 4.000 te verliezen 20% om niets te hoeven betalen Optie B: u verliest 100% zeker 3.000 42www.risicomanagement.nl
Onbewustzijn Versimpelen van de werkelijkheid (framing) door: Beschikbaarheid; geheugen gaat op zoek naar referentiepunt Vergelijkbare situaties; generaliseren, minder oog voor verschillen Anker; eerst genoemde getal gaat leven. Bevestiging; zoeken naar bevestiging van eerdere hypothese 43www.risicomanagement.nl
Beschikbaarheid 7 6 5 4 3 2 1 0 1 2 3 4 5 hoog Psychologische impact NU 1jr 3 jr NU 3 jr 20 jr laag 10 jr 20 jr 44www.risicomanagement.nl
Beschikbaarheid Tijd en psychologische impact van belang Korte termijn geheugen sterker Psychologische impact vaak negatief Media impact versterkt dit 45www.risicomanagement.nl
Vergelijkbare situaties Huidige situatie Welke past het beste? Situaties uit verleden 46www.risicomanagement.nl
Bevestiging hypothese Ondersteund hypothese Z I E N Neutraal Niet zien Ontkracht hypothese
Discomfort level Situatie Extreem Hoog Comfort level Laag 0 0 Laag Hoog Extreem Risico mijdend Risico tolerant Risico zoekend 48www.risicomanagement.nl
Discomfort level Situatie Extreem Hoog Laag Comfort level 0 0 Laag Hoog Extreem Risico mijdend Risico tolerant Risico zoekend Hoge relevante kennis, vaardigheid Hoge kans van optreden Perceptie van huidige beheersing Kans op directe consequenties Groot verlies/ hoge winst 49www.risicomanagement.nl
Emoties Onzekerheid over baan Organisatie cynisme Angst Risico- negatief Zwart Nucleair 50www.risicomanagement.nl
Linda Linda is 31 jaar, hoog opgeleide, alleenstaande vrouw met uitgesproken mening. Ze heeft filosofie gestudeerd aan de universiteit. Als student was ze zeer begaan met discriminatie en sociale rechtvaardigheid. Ook heeft ze deelgenomen aan demonstraties tegen nucleaire centrales. 51www.risicomanagement.nl
Hoe waarschijnlijk is het dat Linda Een lerares op een basisschool is In een boekwinkel werkt en yoga lessen Een actieve feminist is Een sociaal maatschappelijk medewerker is Een bankmedewerker is Een verzekering sales persoon is Een bankmedewerker en actief feministisch 52www.risicomanagement.nl
53www.risicomanagement.nl Risico intelligentie
Wat is RQ? Risico-intelligentie wordt gedefinieerd als de vaardigheid om risico s (positieve en negatieve) nauwkeurig in te schatten. Het gaat om het nemen van beslissingen onder onzekere omstandigheden Je zelfvertrouwen speelt hierbij grote rol. Heb je teveel zelfvertrouwen dan leidt dat tot een niet reëel beeld van de juistheid van je eigen bewering. Met te weinig zelfvertrouwen denk je minder te weten dan je daadwerkelijk weet en wordt je onzeker om beslissingen te nemen. 54www.risicomanagement.nl
2 factoren risico-intelligentie Vermogen om: Vermogen om in percentages te denken Vermogen om het eigen kennisniveau op waarde in te schatten 55www.risicomanagement.nl
Gedrag intelligentie Je risico gedrag bepaalt hoeveel risico je wilt nemen risico-intelligentie bepaalt in hoeverre je bewust je beseft hoeveel risico je daadwerkelijk neemt 56www.risicomanagement.nl
Veronachtzaming van waarschijnlijkheid Als een gevaar sterke emoties oproept, hebben mensen de neiging minder rekening te houden met de waarschijnlijkheid ervan. Gevolg is dat we veel moeite doen om risico s te vermijden waarvan de kans extreem klein is 57www.risicomanagement.nl
IQ en RQ Hoe beroemder de voorspeller, hoe geringer haar risico-intelligentie leek te zijn. Punt waarop meeropbrengst van kennis onmeetbaar klein is wordt snel bereikt.. (journalist doet het beter dan de wetenschapper) 58www.risicomanagement.nl
59www.risicomanagement.nl Gedrag
Overtreding + fout = ramp 60www.risicomanagement.nl
Herald of Free Enterprise 61www.risicomanagement.nl
Foutenboom 62www.risicomanagement.nl
Soorten overtredingen Onbedoeld; Begrip en beschikbaarheid Routinematig; Frequent, bekend en gedoogd Verbetering; iets beter, efficiënter doen, voor de kick Situationeel; Aanpassen aan feitelijke werksituatie Uitzonderlijk; Totaal onverwachte situatie 63www.risicomanagement.nl
Let op Overtreders nemen aan, dat zij de enige zijn die de regels overtreden. Overtredingen zijn verboden, dus ze worden niet gemeld en blijven daardoor verborgen. Overtreders werken op elk niveau van de organisatie. Sommige mensen zien regels als dwingend voor anderen maar slechts als richting gevend voor zichzelf. Er zijn veel ongevallen gebeurd doordat mensen zich aan slechte regels hielden. 64www.risicomanagement.nl
Schadelijk gedrag Een projectonderbouwing hoef je alleen aan het begin van je project te maken en gaat daarna de la in Veel stuurgroepleden weten niet waar ze in hun rol voor verantwoordelijk zijn. Nu even niet ga eerst je echte werk maar doen Ze waren op vakantie gegaan, de dag na de oplevering We hebben moeten zoeken naar projectdocumentatie, er was gewoon niets overgedragen Een melding naar boven zorgt alleen maar voor meer administratie Nee, ik ben alleen verantwoordelijk voor deze fase, de rest ligt bij andere afdeling 65www.risicomanagement.nl
66www.risicomanagement.nl Cultuur
Leren van fouten Negatieve foutencultuur Verdoezelen fouten Afstraffen fouten Angst door fouten Fouten niet zien Persoonlijk falen Positieve foutencultuur Praten over fouten Leren van fouten Risico nemen Zoeken naar oorzaken Open voor reflectie 67www.risicomanagement.nl