Sturen op een gezonde risicocultuur

Vergelijkbare documenten
Commitment without understanding is a liability

Risicocultuur. Together you make the difference. Hoe kunnen we de risicocultuur van een organisatie beschrijven en beïnvloeden.

ZELFEVALUATIE RvC. Good enough never is. Een moment om kansen voor verbetering te benutten ZELFEVALUATIE RAAD VAN COMMISSARISSEN

RISICOMANAGEMENT BIJ WONINGCORPORATIES

Strategisch Risicomanagement

Risicomanagement in het jaarverslag van woningcorporaties

Accent Organisatie Advies

RISICOMANAGEMENT IN DE PRAKTIJK

Hoofdlijnen Corporate Governance Structuur Stek

Visie op toezicht Raad van commissarissen WBO Wonen

Reglement RvC Bijlage C: profielschets bestuur

Concretere eisen om te (kunnen) voldoen aan relevante wet- en regelgeving zijn specifiek benoemd

fysieke beveiliging onder controle Good Governance op het gebied van fysieke beveiliging Thimo Keizer

Competenties directeur Nije Gaast

NORMEN KWALITEITSLABEL SOCIAAL WERK

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Toezichtvisie Raad van Commissarissen en bestuur. Veluwonen

Profielschets. Lid Raad van Commissarissen op voordracht van de huurders. HBV Dudok Wonen

Hoofdlijnen Corporate Governance Structuur

VISIE OP TOEZICHT Vastgesteld door Raad van Commissarissen op 15 september 2016

Bantopa Terreinverkenning

De effectieve directie

De onafhankelijke controlfunctie, gepositioneerd in de Three Lines of Defence

MVO-Control Panel. Instrumenten voor integraal MVO-management. Intern MVO-management. Verbetering van motivatie, performance en integriteit

Organisatie principes

Mogelijkheden zien waar niemand ze ziet. CPI Governance: pragmatische en transparante governance-oplossingen.

Informatievoorziening en omgaan met stakeholders. maart 2013 regiobijeenkomst NVTK

Zelfsturing Waar hebben we het over? Zelfsturing (binnen bestaande modellen)? Zelfsturende teams? Zelfsturende organisatie?

Directiestatuut. Stichting MeerWonen

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars!

Zelfevaluatie Kwaliteitslabel Sociaal Werk

Gedragseffecten in de (internal) audit-professie. 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018

Een nieuwe dimensie voor security management: sturen op integer gedrag.

Optimaal benutten, ontwikkelen en binden van aanwezig talent

RISICOMANAGEMENT VOOR WONINGCORPORATIES

Academie voor Talent en Leiderschap Veiligheidsregio s. Leiderschapsprofiel strategisch leidinggevende

telefoon (088)

Profielschets voorzitter Raad van Toezicht

versie: 2005 Strategieën ontwikkelen om de prestaties van de organisatie te verbeteren Plannen De Investors In People standaard

Rampen- en Crisisbestrijding: Wat en wie moeten we trainen

Functieprofiel: Adviseur Functiecode: 0303

Leergangkader Leergang Tactisch manager

Gedrag en cultuur als voorspeller. Jildau Piena en Melanie de Waal De Nederlandsche Bank

Corporaties In Control

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

Meerwaarde Internal Audit functie. 16 maart 2017

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

In deze nieuwsbrief. Het belang van Strategisch Risico Management

Profielschets Raad van Toezicht Augustus 2014

PROFIEL VOOR DE RAAD VAN COMMISSARISSEN EN ZIJN LEDEN

Het ontwikkelen van de vastgestelde Competenties van Crisis Management Teamleden: wat is trainable?

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

RISICOMANAGEMENT VOOR WONINGCORPORATIES

Over samenwerken. GroupLife. Strategy, business and technology

Kwaliteitszorg en/of het beleidsvoerend vermogen van scholen!? Jan Vanhoof SOK-studiedag 10 december 2010

Kwaliteit van zorg door georganiseerde reflectie en dialoog

Profiel lid raad van commissarissen

Regelloos en toch in control?

CONTROLSTATUUT WOONSTICHTING SSW

Zelfsturing en vakmanschap. HR in de zorg, 2 december 2014

Profielschets. Voorzitter Raad van Commissarissen. Beter Wonen Almelo. ERLY the consulting company Datum: november 2015 Adviseur: drs.

Integraal risicomanagement

Internal audit draagt bij aan comfort van commissarissen

Bestuursreglement. Woningstichting Heteren

DOORSTAAT UW RISICOMANAGEMENT DE APK?

Strategy, business and technology. Normenkader. Versie 5.1

Risicobewuste sturing, beheersing en verantwoording bij woningcorporaties

(10 spatie s) voette kst wijzig en via Invoeg en Kopte kst en voette kst TOEZICHT ONDER SOLVENCY II

Het stimuleren van professioneel gedrag. CNV Schoolleiders. Myriam Lieskamp

Functieprofiel lid Raad van Toezicht

Onderzoek Soft controls bij interne accountantsdiensten: Terugkoppeling bevindingen

Missionstatement en core values

Toezichtkader Raad van Toezicht SGR

Powersessie Leidinggeven. D-na Lies Verstraete 15 Mei 2019 Gate 15 Antwerpen

Februari Goed mkb-bestuur en accountant: een waardevolle combinatie

ONVZ past dit principe toe. Het principe is uitgewerkt in het reglement van de raad van bestuur.

Online Training Gewenst Gedrag

Profielschets. Manager Financiën. Omnivera GWZ. ERLY the consulting company Datum: februari 2016 Opdrachtgever: Omnivera GWZ

Profiel lid Raad van Toezicht

Krijg grip op verzuim

Rapport Management i360. Test Kandidaat

De controller met ICT competenties

Visie op toezicht en bestuur Raad van Toezicht en Raad van Bestuur Woonstichting t Heem

Positioning Paper Professionele Integriteit

6. Project management

Werken aan randvoorwaarden om als schoolteam tot succesvol informatiegebruik te komen.

Gedragscode Bureau Financieel Toezicht

Governance. Informatiemanagement. Architectuur. Gemeenschappelijk

Werken met Lean. Peter Matthijssen Consultant BiZZdesign. Almar Jong Consultant BiZZdesign

Profielschets. 4 leden Raad van Commissarissen Provides

drs. Marcel Reijnen en dr. mr. Steven Jellinghaus OR en strategische vraagstukken

Professionalisering intern toezicht binnen de Kinderopvang

B1 - DESKUNDIGE LEIDINGGEVENDE

Leidinggeven bij de stad Antwerpen

beter leren, fijner werken, sneller groeien Performance Management workshop HR Live congres The Courseware Company Welkom!

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Resultaat Continuïteit bevorderd, zodanig dat de organisatie is staat is en blijft zijn missie, strategie en doelstellingen uit te voeren.

FUNCTIEPROFIEL LID RAAD VAN COMMISSARISSEN PROFIEL VASTGOED VELISON WONEN

Integrale kwaliteitszorg zorgnetwerk (IKZ) (A1-3)

Transcriptie:

Sturen op een gezonde risicocultuur Onze aanpak voor het in kaart brengen en beïnvloeden van de risicocultuur van een organisatie Auteurs: Frank van Egeraat, Alice Jansen en Carla van der Weerdt Disclaimer Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand en/of openbaar gemaakt in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of op enige andere manier zonder voorafgaande schriftelijke toestemming van Accent Organisatie Advies.

Inleiding Voor iedere organisatie is het benutten van kansen en het effectief beheersen van risico s essentieel om de doelstellingen van de organisatie te realiseren. Steeds meer groeit het besef bij bestuurders en toezichthouders dat een eenzijdige focus op risicobeheersing- en controlesystemen de harde kant van risicomanagement hiervoor niet voldoende is. Het succes van risicomanagement staat of valt met de houding en het gedrag in de organisatie ten aanzien van risico s: de risicocultuur. In dit artikel schetsen wij onze aanpak voor het in kaart brengen en beïnvloeden van de risicocultuur van een organisatie. Risicocultuur en de relatie met de organisatiecultuur Risicocultuur is een relatief nieuwe term, die vooral sinds de financiële crisis van 2008 vaker gebruikt wordt. De risicocultuur in een organisatie is een afgeleide van de organisatiecultuur. De organisatiecultuur is het geheel van de gedeelde normen en waarden, houdingen en gedragingen die op alle niveaus van de organisatie worden uitgedragen en nageleefd. Bij risicocultuur bekijken we de organisatiecultuur door een risicobril en beschouwen we met name die aspecten van de organisatiecultuur die van invloed zijn op de wijze waarop mensen en teams in de organisatie omgaan met risico s en de beheersing daarvan. Er bestaat geen universeel geaccepteerde definitie van het begrip risicocultuur. Wij definiëren risicocultuur als: De normen en waarden, en de houding en het gedrag van individuen en groepen in de organisatie die bepalen hoe zij omgaan met het identificeren, begrijpen, bespreken, en acteren op de risico s waarmee de organisatie geconfronteerd wordt c.q. die de organisatie neemt. Anders gezegd, risicocultuur is hoe mensen zich gedragen ten aanzien van risico s als je niet kijkt. Hard controls en soft controls Risicocultuur kent vele facetten, is een mix van formele en informele processen, en ontwikkelt zich continu. De risicocultuur in een organisatie wordt beïnvloed door zowel de hard controls als de soft controls. De hard controls zijn die maatregelen die een organisatie treft om het gewenste gedrag direct of indirect af te dwingen en ongewenst gedrag te beperken of te voorkomen. Te denken valt aan procedures, functiescheidingen en beveiligingsmaatregelen in ICT systemen. De soft controls zijn de maatregelen waarmee de organisatie de motivatie, loyaliteit, integriteit en normen en waarden van medewerkers beïnvloedt. De hard controls in een organisatie zijn meestal goed waarneembaar en toetsbaar. De soft controls daarentegen zijn vaak minder goed waarneembaar, maar daarmee niet minder belangrijk. Ze stimuleren het gewenste gedrag bij medewerkers. Soft controls worden daarom ook wel behavioural controls genoemd. In de literatuur i worden veelal acht basis soft controls onderscheiden: - Helderheid - Voorbeeldgedrag - Betrokkenheid - Uitvoerbaarheid - Transparantie - Bespreekbaarheid - Aanspreekbaarheid - Handhaving Accent Organisatie Advies, januari 2019 2

Binnen organisaties moeten de hard controls en de soft controls goed in balans zijn. Beide typen controls moeten in meer of mindere mate aanwezig zijn en effectief functioneren om een gezonde risicocultuur te realiseren. Het is een utopie om te denken dat een organisatie alleen aandacht hoeft te schenken aan soft controls, net zo min als dat alleen hard controls voldoende zijn om risico s adequaat te beheersen. Het gaat om een goede mix van beiden. Aandacht voor risicocultuur en soft controls groeit Organisaties voelen steeds meer de behoefte om een gezonde risicocultuur na te streven omdat dit bijdraagt aan een hogere klantwaarde, het voorkomen van incidenten en betere en meer voorspelbare financiële prestaties. Daarnaast ondersteunt een gezonde risicocultuur de mogelijkheid om organisaties platter te maken en verantwoordelijkheden laag in de organisatie te beleggen, een trend die bij veel organisaties zichtbaar is. Organisaties worden daardoor wendbaarder en kunnen beter het hoofd bieden aan de toenemende mate van verandering, onzekerheid en complexiteit in de wereld van vandaag. Risicocultuur is hoe mensen zich gedragen ten aanzien van risico s als je niet kijkt Organisaties moeten daarnaast beantwoorden aan de groeiende vraag van buiten naar meer transparantie en zichtbare aandacht voor de (risico)cultuur en soft controls in de organisatie. De Nederlandse Corporate Governance Code en verschillende sectorspecifieke governance codes, zoals de Zorgbrede Governance Code en de Governance Code Woningcorporaties, leggen een duidelijke verantwoordelijkheid bij het bestuur voor het vormgeven van een cultuur gericht op lange termijn waarde creatie. Het bestuur moet een integere en open cultuur creëren waarbinnen ruimte is voor reflectie en tegenspraak. Aandacht voor soft controls is daarbij van belang. Van de Raad van Commissarissen (RvC) wordt verwacht dat zij hierop toeziet. In de risicoparagraaf in het bestuursverslag legt het bestuur verantwoording af over de inrichting en uitvoering van het risicomanagement in de organisatie. Externe belanghebbenden verwachten van het bestuur dat zij daarbij ook aandacht besteedt aan maatregelen die de organisatie heeft genomen (de soft controls) om de cultuur en het gedrag van de medewerkers positief te beïnvloeden. Model om risicocultuur inzichtelijk te maken Om de risicocultuur in een organisatie inzichtelijk te maken, te beoordelen en te beïnvloeden, is het van belang een gedeeld begrip te hebben van de aspecten die de risicocultuur in de organisatie bepalen. Voor het beoordelen van de risicocultuur in organisaties hanteren wij een model dat is gebaseerd op een brede studie naar de aspecten die in het algemeen geacht worden de risicocultuur te beïnvloeden. Het model bestaat uit vijf dimensies. Binnen iedere dimensie onderscheiden wij twee Organisatie Inzicht en besluitvorming Risico cultuur Medewerkers Leiderschap Beleidskaders Accent Organisatie Advies, januari 2019 3

aspecten die de risicocultuur beïnvloeden. Voor ieder aspect geldt dat zowel bepaalde hard controls als bepaalde soft controls aanwezig moeten zijn om op dat aspect een gezonde risicocultuur te realiseren. Hierna lichten wij de dimensies en aspecten afzonderlijk toe. 1. Leiderschap Voorbeeldgedrag De toon aan de top van de organisatie De leiding in de organisatie moet een duidelijk beeld hebben van de gewenste risicocultuur in de organisatie en hier naar handelen. Het eigen handelen en de eigen gedragingen van de leiding in woord en daad zetten de toon. Inzicht in het getoonde voorbeeldgedrag kan onder andere verkregen worden uit enquêtes onder medewerkers, 360 graden feedback onderzoeken, etc. Ook de wijze waarop de leiding omgaat met klachten van klanten of medewerkers geeft een indicatie van het voorbeeldgedrag dat de leiding vertoont. Gedragsstandaarden Het geven van richting aan de gewenste risicohouding en -gedrag De leiding moet een risicocultuur creëren die integriteit en gezond risicomanagement stimuleert, en waarin het uiten van verschillende meningen en invalshoeken mogelijk is. Een gezond debat leidt tot betere risicobeheersing. De leiding kan richting geven aan de gewenste risicohouding en -gedrag in een organisatie door het vastleggen en uitdragen van een heldere gedragscode. Deze moet vervolgens ook gehandhaafd worden: gedrag dat niet passend is, moet duidelijke consequenties hebben. Een gezonde risicocultuur is niet per definitie een risicomijdende cultuur 2. Beleidskaders Risicobereidheid De grenzen bij het aangaan van risico s Het bestuur dient een duidelijke risicobereidheid te formuleren (goedgekeurd door de Raad van Commissarissen), die als basis dient voor het bespreken, nemen en beheersen van risico s verbonden aan de organisatiestrategie en de realisatie van de doelstellingen. Van belang is dat de risicobereidheid van de organisatie voor iedereen duidelijk en haalbaar is en gehandhaafd wordt, onder andere door de risicobereidheid te borgen in de besluitvormingsprocessen. Risicobeleid, procedures, processen & infrastructuur Het efficiënt en effectief identificeren en beheersen van risico s. De organisatie moet een duidelijk raamwerk hebben van beleid, procedures en controls in de processen. Periodiek moet de organisatie de risico s op strategisch, tactisch en operationeel niveau identificeren, analyseren, afwegen en op een adequate wijze beheersen. De organisatie moet daarbij rekening houden met verschillende scenario s. Niet alleen het hebben van risicobeleid en -procedures is van belang, ook de uitvoerbaarheid moet bewaakt worden. Onuitvoerbare procedures leiden tot ongewenst gedrag (work-arounds). Helderheid en uitvoerbaarheid zijn dan ook belangrijke soft controls in relatie tot de dimensie beleidskaders. Accent Organisatie Advies, januari 2019 4

3. Medewerkers Prestatiemanagement & beloning Het sturen op prestaties en het voorkomen van perverse prikkels Het prestatiemanagement in de organisatie moet in lijn zijn met de normen en waarden en de risicobereidheid van de organisatie. De leiding moet ervoor waken dat het prestatiemanagement niet leidt tot perverse prikkels om overmatige risico s te nemen. Beloningen en promoties/benoemingen terwijl het gedrag van de betreffende medewerker niet in lijn is met de normen en waarden en de risicobereidheid ondermijnen een gezonde risicocultuur! Employee lifecycle & groepsdynamiek Het ontwikkelen van mensen en het stimuleren van teamwork en vertrouwen Medewerkers moeten passen bij de risicocultuur die de organisatie nastreeft. Dit begint al bij de werving en selectie, maar ook gedurende hun loopbaan moet de organisatie medewerkers ontwikkelen, trainen en evalueren op aspecten die van belang zijn voor een gezonde risicocultuur. Op die manier zijn zij in staat om risico s te identificeren en te beheersen op een manier die de organisatie wenselijk vindt. In dit verband is de soft control betrokkenheid van belang. Betrokken medewerkers zijn intrinsiek gemotiveerd om dat te doen wat goed is voor de organisatie. 4. Inzicht en besluitvorming Inzicht & communicatie Gestructureerde risico-informatie en open communicatie De organisatie moet informatie hebben die een betrouwbaar en tijdig inzicht geeft in de bestaande en nieuwe (opkomende) risico s (en kansen). Deze informatie wordt niet alleen uit interne bronnen maar ook uit externe bronnen verkregen. Betrouwbare, tijdige informatie en communicatie ten aanzien van risico s is essentieel voor een juiste beheersing van deze risico s. Medewerkers moeten zich vrij voelen om risico s te escaleren en moeten weten welke weg daarbij te bewandelen. Een belangrijke indicator voor dit aspect van de risicocultuur is de wijze waarop de organisatie omgaat met incidenten en de lessen die daaruit geleerd worden. Besluitvorming & tegenspraak Transparante besluitvorming met voldoende challenge Een organisatie met een gezonde risicocultuur kenmerkt zich door een transparante besluitvorming ten aanzien van risico s, waarbij aandacht wordt besteed aan verschillende scenario s en invalshoeken. Daarbij is openheid voor alternatieve gezichtspunten essentieel. Ook het bewustzijn van mogelijke vooringenomenheden ( cognitieve biases ) in de besluitvorming en het actief zoeken naar mogelijkheden om die te voorkómen is daarbij van belang. 5. Organisatie Verantwoordelijkheid & besturing Het risico-eigenaarschap en de handhaving daarvan De verantwoordelijkheid en het eigenaarschap ten aanzien van risico s in de organisatie moeten duidelijk zijn, bijvoorbeeld door een inrichting conform de bekende three lines of defence. Eigenaarschap van risico s ligt in de eerste lijn, en de leiding moet de risico-eigenaren hierop aanspreken. De tweede en derde lijn ondersteunen de eerste lijn, maar dragen geen eindverantwoordelijkheid voor de risicobeheersing. Risicomanagement competentie Het hebben van een effectieve risicomanagementfunctie. De organisatie moet beschikken over effectieve risicomanagement competenties. Bij een organisatie Accent Organisatie Advies, januari 2019 5

van enige omvang zal een afzonderlijke risicomanagement of controlfunctie ingericht zijn. De benodigde competenties van deze functie verschuiven steeds meer naar analytische, adviserende en samenwerkende vaardigheden. De mate waarin de organisatie de functie respecteert en waardeert voor hun bijdrage is kenmerkend voor de risicocultuur. Risicocultuur in kaart brengen Wij hebben een methode ontwikkeld om de risicocultuur van een organisatie in kaart te brengen. Hierbij maken we gebruik van een enquête, beoordelen we documenten en houden we diepte-interviews met medewerkers en leidinggevenden binnen de organisatie. Dit geeft inzicht in de effectiviteit van de relevante hard controls en soft controls binnen de organisatie. Aan de hand van stellingen voeren we vervolgens de dialoog met het managementteam en het bestuur over de uitkomsten en het verbeterpotentieel in de risicocultuur. Dit leidt uiteindelijk tot een risicocultuurkaart waarin de positie van de organisatie ten opzichte van de hard en soft controls inzichtelijk wordt gemaakt. De afbeelding hierboven is een illustratie daarvan. Het gedrag van de leiding is de meest bepalende factor voor de risicocultuur Risicocultuur beïnvloeden De cultuur in een organisatie, en daarmee de risicocultuur, vormt zich over een periode van jaren. De risicocultuur kan dan ook niet van de ene op de andere dag veranderen. Dit vergt tijd en aandacht van het bestuur en de leiding van de organisatie. Het beïnvloeden van de risicocultuur begint met het vaststellen van de gewenste risicocultuur. Hoe willen wij dat onze medewerkers zich gedragen ten aanzien van risico s? Daarbij geldt dat een gezonde risicocultuur niet betekent dat er sprake moet zijn van een risicomijdende cultuur. In een organisatie waar medewerkers gestimuleerd worden kansen te benutten, ook als die onzekerheden (en dus risico s) met zich meebrengen, kan de leiding net zo goed werken aan een gezonde risicocultuur. Hieronder geven wij enkele voorbeelden van acties die een organisatie kan nemen om een gezonde risicocultuur te creëren: - Het duidelijk formuleren van de gewenste risicohouding en -gedrag in de organisatie, en dit uitdragen middels een gedragscode of dialoogsessies over dilemma s op het werk. - Het definiëren van de risicobereidheid van de organisatie en dit borgen in de besluitvorming. - Het implementeren van een helder beleid en processen voor risicobeheersing, maar ook het opheffen van overbodige of onwerkbare procedures. Accent Organisatie Advies, januari 2019 6

- Het stellen van haalbare (prestatie)doelstellingen, het belonen van gewenst risicogedrag en het kritisch zijn op ongewenst risicogedrag. - Het stimuleren van risicobewustzijn, teamwork en onderling vertrouwen bij en tussen medewerkers en teams in de organisatie. - Het creëren van ruimte in de organisatie en in de besluitvormingsprocessen voor tegenspraak en een kritische challenge. - Het inrichten van een heldere governance voor risicomanagement. Maar bovenal geldt dat het eigen (voorbeeld)gedrag van de leiding de meest bepalende factor is in het creëren van een gezonde risicocultuur. Kritische zelfreflectie is daarom van belang. i Ontleend aan het Corporate Ethical Virtues Model ontwikkeld door M. Kaptein, professor in business ethics and integrity management aan de RSM Erasmus Universiteit Accent Organisatie Advies, januari 2019 7

Meer weten? Neem dan contact op met: Frank van Egeraat 06 23 16 23 82 f.vanegeraat@accentadvies.nl Alice Jansen-van den Tillaart 06 16 67 78 98 a.jansen@accentadvies.nl Carla van der Weerdt 06 12 22 94 69 c.vdweerdt@accentadvies Over Accent Wanneer mensen binnen organisaties risico s bewust nemen en beheersen kunnen organisaties makkelijker doelen realiseren. Daar helpen wij bij. Met ons Strategisch Risicomanagement ondersteunen wij organisaties bij de inrichting, besluitvorming en aansturing van risicomanagement op alle niveaus. Door onze werkwijze stimuleren wij opdrachtgevers om op een andere manier naar hun organisatie te kijken. Zodat zij, op basis van nieuwe inzichten, komen tot werkbare oplossingen voor optimale risicobeheersing. www.accentadvies.nl Amaliawolde, Amalialaan 126 E 3743 KJ Baarn

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback