Een brug slaan tussen Enterprise Risk management (ERM) en QHSE management systemen Guus Koomen, senior adviseur Milieu & Veiligheid - Industrie 2009
Agenda 1. Introductie 2. Integrale risico managementsystemen - Enterprice Risk Management (ERM) - Standaarden voor integraal risico management - COSO - ISO 31000 - QHSE 3. Veiligheidscultuur benaderd vanuit de financiële wereld 4. Zijn de lessen kredietcrisis ook toepasbaar voor QHSE systemen? 2
Diensten DHV Milieu & Veiligheid - Industrie - Externe veiligheid (BRZO, QRA) - Milieu en duurzaamheid - Vergunningen (compliance studies) - Veiligheidsmangementsystemen (VBS, HSE) - Risicomanagement (ERM, project RM) - Veiligheidscultuur & gedragsbeïnvloeding 3
Vraagstelling: Zijn Enterprise Risk Management en QHSE management compleet andere werelden of zijn er parallellen te ontdekken en kan er voordeel worden behaald door deze twee werelden dichter bij elkaar te brengen? En zijn de lessen van kredietcrisis, bij het falen van risico managementsystemen ook toepasbaar voor QHSE systemen? 4
Wat is Enterprise Risk Management? Enterprise Risk Management (ERM), ofwel integraal risico management, is een werkwijze waarmee een organisatie de risico s, die de doelstellingen van een organisatie kunnen bedreigen, inventariseert, evalueert en beheerst 5
Waar komt Enterprise Risk Management vandaan? Net zoals in de wereld van arbeidsveiligheid hebben ernstige calamiteiten, in dit geval fraude met financiële verslaglegging, tot versterkte regelgeving en toezicht geleid. In 1985 is COSO opgericht om onderzoek te doen naar oorzaken van fraudes in de financiële verslaglegging 6
Enterprise Risk Management en de meest gebruikte standaard: COSO ERM In 2001 heeft COSO het initiatief genomen voor een nieuw raamwerk waarmee risico s op een integrale wijze geïdentificeerd, geëvalueerd en beheerst kunnen worden. Dit heeft in 2004 geleid tot het COSO Integrated framework, inmiddels COSO (ERM) *Commitee Of Sponsoring Organisation of the Treadway Commission 7
Het COSO ERM Raamwerk bestaat uit acht hoofdcomponenten die gericht zijn op het bereiken van een redelijke mate van zekerheid voor het bereiken van organisatiedoelstellingen op alle niveaus in een organisatie voor vier categorieën 1. bereiken van de strategische doelstellingen (Strategic) 2. effectiviteit en efficiëntie van bedrijfsprocessen Operations) 3. betrouwbaarheid van de (financiële) informatieverzorging (Reporting) 4. naleving van relevante wet- en regelgeving(compliance) 8
Risk assesment Risico-evaluatie door ranking van de kans en effect. Het evalueren vindt meestal plaats met hulp van softwaretools. 9
ISO 31000: integraal risico management Mandate and commitment Framework Design for Managing risk Risico managementproces: Principes van risico management Continual Improvement of the framework Monitoring and review of the framework Implementing risk management -Risk Identification -Risk analysis -Risk evaluation -Risk treatment Risico management Framework 10
De principes van risico management vormen het fundament waarop risico management gebaseerd moet zijn. Het betreft de volgende principes: 1. Risk management creates value 2. Risk management is an integral part of organizational processes 3. Risk management is part of decision making 4. Risk management explicitly addresses uncertainty 5. Risk management is systematic, structured and timely 6. Risk management is based on the best available 7. Risk management is tailored 8. Risk management takes human and cultural factor into account 9. Risk management is transparent and inclusive 10. Risk management is dynamic, iterative and responsive to change 11. Risk management facilitates continual improvement and enhancement of the organizati 11
ERM en Cultuur Emanuels versus Hudson/Westrum 12
13
Lessen kredietcrisis ook toepasbaar voor HSE systemen? Een citaat van A.J. Kellermann, Directeur van De Nederlandse Bank. Volgens de bankiers waren de gebruikte risicosystemen verouderd en niet toegerust om nieuwe risico s en de onderlinge samenhang tussen risico s te beoordelen. Met andere woorden: het risicomanagement was niet afdoende. Daardoor was men niet op de hoogte van de risico s die waren verbonden aan de nieuwe financiële producten. 14
Lessen kredietcrisis ook toepasbaar voor HSE systemen? Een citaat van Michael Corbey, Hoogleraardirecteur TiasNimbas Business School De commisie-frijns heeft haar aanbevelingen gepresenteerd. Beloningen maken een belangrijk deel ervan uit. De commissie merkt onder meer op de dat variabele beloning gericht moet zijn op de lange termijn. De commissie wil met dit beroep op de lange termijn het ongewenste verschijnsel bestrijden dat bekendstaat als accounting myopia (Letterlijk: bijziendheid). Het betreft hier een overdreven gerichtheid van managers op de korte termijn accounting winst van de onderneming. 15
Lessen kredietcrisis ook toepasbaar voor HSE systemen? Daarnaast speelt een fenomeen dat door een Amerikaanse directeur van een zakenbank werd 0mschreven als as long the band keeps on playing we keep on dancing Dat met zoveel woorden willen zeggen, als iedereen deze werkwijze hanteert waarom zouden wij dan anders gaan werken. 16
Lessen kredietcrisis ook toepasbaar voor HSE systemen? Al gaat het bij de kredietcrisis vooral om ondernemersrisico en zullen de effecten van falende QHSE systemen niet, zoals bij de kredietcrisis, massaal naar andere bedrijven overslaan. Toch roept het met betrekking tot QHSE de volgende onderbuik gevoelens op: 17
Lessen kredietcrisis ook toepasbaar voor HSE systemen? Systeemfouten: Zijn de beheersmaatregelen die bij QHSE worden toegepast niet te complex? Begrijpen de medewerkers die het betreft, wel voldoende hoe het QHSE systeem werkt en wat de zwakke plekken van het systeem zijn? Hoe goed is de koppeling tussen de risico s en de beheersing / toezicht ervan? Zijn de risico s in de gehele keten (leverancier, contrators) voldoende inzichtelijk? Sluit de informatie verkregen uit het risico managementsysteem aan op de waardes die het management aanhangt? Is er een parallel tussen (achteraf gebleken) risicovolle beleggingspakketten en gekwantificeerde procesrisico s? (De risico s zelf zijn niet meer zichtbaar er wordt alleen gestuurd op cijfers.) 18
Lessen kredietcrisis ook toepasbaar voor HSE systemen? Invloed bedrijfscultuur Hoe is het gesteld met de beloningscultuur in het kader van QHSE. Interessant is om na te gaan wat de invloed is van de bonusstructuur van menige manager die wordt sterk afgerekend op ongevallencijfers, zie het cultuurmodel van Emanuels In hoeverre houdt het fenomeen: as long the band keeps on playing we keep on dancing de verbetering van risico managementsysteem tegen? (Zijn er niet te makkelijk bepaalde aannames gedaan bij het bepalen van scenario s omdat iedereen nou eenmaal deze waarden hanteert?) Hoe wordt omgegaan met medewerkers die aangeven dat bepaalde werkwijzen niet meer goed zijn maar niet serieus worden genomen? 19