Presentatie Uitwisselingsbijeenkomst 22 november 2011

of 52 /52
Risicobeheersing met Risicobeheersing met Control & Risk Self Control & Risk Self Assessment (CRSA) Assessment (CRSA) Risicoanalyse in12 stappen Risicoanalyse in12 stappen Provinciehuis Assen Frits Engel EMIA RO CCSA Operational auditor Accountantsdienst UWV

description

De presentatie van Uitwisselingsbijeenkomst gehouden op 22 november 2011

Transcript of Presentatie Uitwisselingsbijeenkomst 22 november 2011

Page 1: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Risicobeheersing met Risicobeheersing met Control & Risk Self Control & Risk Self Assessment (CRSA)Assessment (CRSA)

Risicoanalyse in12 stappenRisicoanalyse in12 stappen

Provinciehuis Assen

Frits Engel EMIA RO CCSA

Operational auditorAccountantsdienst UWV

Page 2: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Even voorstellen ………Even voorstellen ………

Frits Engel 51 jaar

Woonplaats Rotterdam

30 jaar sociale zekerheid

‘Roots’ in productie (loketten WW GAK)

15 jaar HQ via, functioneel beheer, procesontwikkeling, servicemanagement, projectmanagement, nu al weer10 jaar operational auditing

Executive master Internal Auditing (EMIA)

Geregistreerd Operational auditor (RO)

Door IIA gecertificeerd in het faciliteren van CSA (CCSA)

Publicatie ‘Risocoanalyse in 12 stappen’ / Finance & Control - dec ‘10

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 3: Presentatie Uitwisselingsbijeenkomst 22 november 2011

33Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 4: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 5: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Kwantitatief risicomanagement (wiskunde)

R(O) = ∑ (i) P (i) [O,B (i)] W (i) x D (i)

Kwalitatief risicomanagement (strategisch, tactisch en operationeel)

K x S = P

55

Risicomanagement in 2 soorten

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 6: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Risico's identificeren

Vaststellen risicoprofiel

Risico's analyseren

Kans en gevolg

Risico's beoordelen

Kans x gevolg

Ontwikkelenbeheersmaatregelen

Organisatorisch,technisch financieel

Implementerenmaatregelen

Taken enverantwoordelijkheden

Rapporteren enevalueren

Effecten

Stap1.

Stap2.

Stap3.

Stap4.

Stap5.

Stap6.

De 6 stappen van hetrisicomanagementproces

66

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 7: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Vaak wordt vergeten dat risicobeheersing niet alleen gaat om het wegnemen van gevaren maar ook om het realiseren van kansen. Maar juist om kansen te realiseren moet je in kaart brengen wat er mis kan gaan.

Beperk je daarbij niet tot je eigen omgeving en organisatie maar analyseer ook de afhankelijkheden van de omgeving.

Ondernemingen (business units, divisies, afdelingen, projecten)opereren immers niet ‘stand alone’ en de mooiste kansen realiseer je door samen te werken.

7

Zonder risico’s geen kansen!!

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 8: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Het probleem is dat iedereen zo langzamerhand wel weet dat het ‘doen’ aan risicomanagement voordelen geeft. Maar waar zit nu de winst?

◦ Betere strategische en business planning; ◦ Slimmere inzet van middelen (effectiviteit)◦ Verbeteren wordt makkelijker; ◦ Minder ´rampen´ en verrassingen; ◦ Betere kijk op kansen; ◦ Verbetering van de communicatie; ◦ Meer zekerheid voor de stakeholders dat

doelstellingen worden gehaald; ◦ Vermindering van de auditbelasting;

8

Voordelen van risicomanagement

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 9: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Weer een bureaucratisch gebeuren (risico van window dressing door risk- & issuelogs);

Onduidelijke rolverdeling (wie doet nu wat); Niet iedereen wil weten welke risico´s er

zijn (want dan moet er actie ondernomen worden – duiken in plaats van handelen);

Het is makkelijker om de gevolgen te bestrijden (levert mogelijk nog meer op ook);

Samenwerken is moeilijk (risico’s delen dus ook)

De politiek doet het zelf ook niet dus …..

9

Waarom slaat het niet aan?

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 10: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Citaat Citaat ‘‘IBO controle-torenIBO controle-toren’’

“... de inzet van beheersingsmaatregelen en audits is nog onvoldoende gebaseerd op een daadwerkelijke risicoafweging, met als gevolg dat processen met een laag risico op dezelfde manier worden beheerst en gecontroleerd als processen met een hoog risico.

De minder belangrijke zaken krijgen zo ten onrechte te veel aandacht. De echt belangrijke zaken blijven hierdoor onderbelicht....”

10Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 11: Presentatie Uitwisselingsbijeenkomst 22 november 2011

11Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 12: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Ontwikkeling Risico ManagementOntwikkeling Risico Management

Risico management is een aandachtspunt in alle publieke en private governance codes: “het moet”, helaas zonder nadere invulling…….Veel risico management is ad hoc, goed risico management structureel.

12

Publiek PrivaatComptabel bestel …… …Government Governance COSOCommissie Meurs Cie. PeetersVBTB SOXDualisering Tabaksblatt

tijd accent

Control

Risk mgmt.

Ontwikkelingslijn Governance:– Beheersing aantoonbaar via verantwoording: “tell me…”– Control: “show me …”– Transparantie: “show me all …”– Risk management: “assure me…”

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 13: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Essentie van RisicomanagementEssentie van RisicomanagementRisicomanagement is momenteel hét tool

voor ‘mindfullness’

1. Focus op onzekerheid rond intern beheer: ◦ Betekenis van afwijkingen t.o.v. het beheerskader;

in welke onzekerheid belanden we, nu we onze regels en afspraken niet helemaal nakomen? Hoe erg is dit?;

◦ Betekenis van onvolkomenheid van het beheerskader

in welke onzekerheid belanden we, nu we zien dat we onze beheersing niet op alle noodzakelijke gebieden volwaardig hebben ingericht? Hoe erg is dit?

2. Focus op onzekerheid in de omgeving

◦ aan welke voorvallen, incidenten, bewegingen, bedreigingen etc. staan wij óók nog bloot, en op welke manier kunnen wij daar last van hebben? Hoe erg is deze onzekerheid en moeten wij ons erop toerusten?

13Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 14: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Begrippen risicomanagementBegrippen risicomanagement

Controls: het geheel van maatregelen (formeel en informeel) die genomen zijn om de doelstellingen van de organisatie te kunnen (en zullen) bereiken.

Het formuleren van controls (beheersmaatregelen) vraagt om het in kaart brengen van:◦ oorzaken van het event of de gebeurtenis;◦ het schadevormingsproces van event tot schade, en

de factoren die dit beïnvloeden.

In control zijn: er is redelijke zekerheid dat de risico’s (met de toegepaste controls) worden beheerst.

14Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 15: Presentatie Uitwisselingsbijeenkomst 22 november 2011

High reliability organisations (Weick)High reliability organisations (Weick)

Weick: management van het onverwachte is de essentie waar het in de steeds complexer wereld meer en meer om draait

High reliability organisations: kennen een hoge staat van opmerkzaamheid jegens het onverwachte (mindfullness)

HRO’s hebben:◦ Een hoog bewustzijn voor ‘zwakke’ signalen, ◦ vermogen om afwijkingen van het verwachte

(onzekerheid) te signaleren,◦ vermogen om (weef)fouten te ontdekken en te

corrigeren die anders tot een crisis zouden kunnen leiden.

15Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 16: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Het begrip Het begrip ‘event’ of gebeurtenis‘event’ of gebeurtenis Onzekerheden: mogelijke incidenten en voorvallen waarover qua

kans niets te zeggen is en qua mogelijke effecten wellicht een idee bestaat, maar niet beredeneerbaar

Een event is een onzekere gebeurtenis, een kwetsbaarheid die van invloed kan zijn op een doelstelling van een risico-object. ◦ een gemiste kans;◦ een ongewenst voorval;◦ een acute dreiging.

Een risico-object is het object dat last heeft van de event, omdat daar verantwoordelijkheid voor de doelstelling is belegd: een persoon, groep mensen, organisatie(onderdeel), een project.

Een event kan goed een combinatie van gebeurtenissen zijn, de zogenaamde ongelukkige samenloop van omstandigheden…..

16Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 17: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Met risico wordt de ‘fatale’ combinatie bedoeld tussen event en hierdoor veroorzaakte specifieke schade aan een doelstelling.

Een risico wordt dus verwoord in een zin die een event met een schade voor een doelstelling verbindt.

Een “goed” risico bevat in de omschrijving altijd de doelstelling, de aard van de schade en het event.

Het risico-niveau wordt dan ook ‘berekend’ door de vermenigvuldiging van:

Kans, dat de event zich voordoetX Schade (impact) die de event op de doelstelling

heeft = …….

Het begrip RisicoHet begrip Risico

17Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 18: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Governance en Interne Beheersing

18Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 19: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Corporate Governance (RvB – Minister)◦ Gericht op externe verantwoording◦ Certificering (wetgeving)

Internal Governance (RvB – Directeuren)◦ Bedrijfsvoering (planning en control)◦ Gericht op realisatie

IT Governance (RvB & Directeuren – CIO)◦ ‘alignment’ tussen IT doelen en Business

doelen

Soorten ‘Governance’Soorten ‘Governance’

19Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 20: Presentatie Uitwisselingsbijeenkomst 22 november 2011
Page 21: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Ontwikkeling “Good Governance” Ontwikkeling “Good Governance” (jaren 70 – heden)(jaren 70 – heden)

1970: De opdrachtgever krijgt vertrouwen door resultaat-verantwoording;

◦ De managementkwaliteit is:inrichten en doen naleven

1990: De opdrachtgever wil zekerheid;◦ De managementkwaliteit is: effectief managen van

interne en externe onzekerheden

Nu: De opdrachtgever wil dat men ‘in control’ is: ◦ De managementkwaliteit is: aantoonbaar doelmatig

intern beheer;◦ En: Effectief omgaan met cq. aanpassen op

veranderlijke omgeving;

21Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 22: Presentatie Uitwisselingsbijeenkomst 22 november 2011

22

COSO2 of ERM kubusEnterprise Risk Management

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 23: Presentatie Uitwisselingsbijeenkomst 22 november 2011

23Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 24: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Keten-Samen-Werking

Gebaseerd op het werk van Prof. Grijpink

2424Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 25: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Ketens worden steeds belangrijker door:◦ voortschrijdende specialisatie;◦ toenemende onderlinge afhankelijkheden;◦ hogere maatschappelijke eisen;◦ Toenemende interactie en samenwerking;

Een keten is een moeilijk terrein door:◦ geen overkoepelend gezag;◦ gemeenschappelijk belangen vaak beperkt en

onduidelijk;◦ irrationaliteit en onvoorspelbaarheid proef;◦ het dominant ketenprobleem is de ‘baas’ in de

keten.

Belang van Belang van ketendenkenketendenken

2525Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 26: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Maatschappelijk relevant;Veel onafhankelijke partijen;Wil of druk om iets samen te doen;Een dominant probleem waarop

men alleen geen vat heeft;Tegengestelde belangen;Proces met schakels na of naast

elkaar, lussen of knopen;Afhankelijkheden in het proces;Bestuurlijke en administratieve

complexiteit.

Kenmerken van een Kenmerken van een ketenketen

2626Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 27: Presentatie Uitwisselingsbijeenkomst 22 november 2011

NIET (in het algemeen)

Efficiency;Kosten;Baten;Doelmatigheid;Informatie-

voorziening;Wet- en

regelgeving.

Criteria voor dominante Criteria voor dominante ketenproblemenketenproblemen

2727

WELLevensgevaar;Incidenten met

ernstige gevolgen;Risico op herhaling;Risico op escalatie;Publieke

verontwaardiging;Schade voor het imago

van de keten;(inter)nationale druk.

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 28: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Werken met een ketenvisie gebaseerd op hiërarchie, rationaliteit en voorspelbaarheid;

Interne belangen stellen boven externe afhankelijkheden;

Overschatten van de gemeenschappelijkheid van belangen in een keten;

Overschatten van mogelijkheden voor ontwikkeling van een gemeenschappelijke informatie-infrastructuur;

Niet delen van (interne) risico’s.

Valkuilen keteninformatiseringValkuilen keteninformatisering

2828Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 29: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Voor een grote oplossing is ieder draagvlak te klein; geleidelijkheid is uitgangspunt;

Niet bemoeien met interne aangelegenheden van andere partijen;

Het probleem is de baas in de keten;

Crisis creëert verandering.

Enkele ketenwettenEnkele ketenwetten

2929Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 30: Presentatie Uitwisselingsbijeenkomst 22 november 2011

De gefaciliteerde workshop

Control Risk Self Assessment (CRSA)

30Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 31: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Een gestructureerd proces;

1. Waarmee de effectiviteit van de interne beheersmaatregelen;

2. Ten aanzien van een of meer bedrijfsprocessen (of projecten) wordt beoordeeld;

3. Door medewerkers die bij de uitvoering en beheersing van het proces (project) betrokken zijn;

4. Met als doel een bijdrage te leveren aan de zekerheid dat de organisatie- of projectdoelen worden gehaald.

CRSA is een managementinstrument en (nog) geen audittool

31

De CRSA definitie

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 32: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Het ontbreken van zekerheid;

Het ontbreken van een gedragen referentiekader;

De behoefte aan een gemeenschappelijke werkelijkheid;

De dynamiek c.q. snelheid van de veranderingen.

32

Waarom is er vraag?

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 33: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Het moet ‘passen’ in de cultuur; Nut en noodzaak moet duidelijk zijn; Er moet een sfeer zijn waar openheid,

integriteit en eerlijkheid worden beloond Het (top) management moet de

invoering steunen Er moet aandacht zijn voor de marketing

van het product CRSA Kaderstelling CRSA moet aansluiten op

het gebruikte controlframework

33

Randvoorwaarden bij de uitvoering

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 34: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 35: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Wilom te

veranderen

Gezamenlijkvertrekpunt,doel en route

Concretestappen

Middelen

Werken vanuitgemeenschappelijk model

Eigen beoordelingPraten met vakgenoten

Bepalen huidig niveauBepalen gewenst niveau

Onderkennen zwakke puntenBenoemen knelpunten

Definiërenacties

beleggenacties

De assessmenttrechter

De veranderpyramide

Doen

35

De wil om te veranderen

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 36: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Audit – van buiten af CRSA – van binnen uit

Objectieve meting Subjectief oordeel

Door (externe) auditor Door interne medewerkers

Mogelijkheid tot benchmarking

Onderkennen verbeter-punten en acties

Vooral voor het management Vooral voor de deelnemers zelf

Gevoel van veroordeling ipv. beoordeling

Draagt bij aan betrokkenheid

Geeft diepgaand beeld over één of meer onderwerpen

Geeft in zeer korte tijd een globaal (betrouwbaar) beeld

Duurt al snel enkele weken Duurt één a twee dagen

Single-loop learning Double-loop learning

36

Audit v/s CRSA

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 37: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Voordelen CRSA Nadelen CRSA

Het is gericht op doel-realisatie

Het impliceert verandering

Het vergroot het risicobe-wustzijn van de deelnemers

De kennis en kunde moeten worden ontwikkeld

Het bevordert de communica-tie met de business

De (on)betrouwbaarheid van de uitkomsten

Benutten van de kennis van de experts

Het kan de auditfunctie bedreigen

Een groot draagvlak voor de resultaten

Geen ‘veilige’ omgeving

37

Voordelen en nadelen

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 38: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Stap 1: Zorg voor een breede groep aan deelnemers (betrokkenen +

eindgebruikers + specialisten)

Stap 2: Zoek met de groep naar de alignment met de hogere doelstellingen op

organisatieniveau (visie, missie, doelen, strategie)

Stap 3: Zorg dat de groep de projectdoelen van het project op het netvlies heeft (SMARTI maken). Wat gaan we doen en hoe draagt die

bij aan de realisatie van de doelen van de organisatie

Stap 4: Voer een stakeholdersanalyse uit. Wie ‘profiteren’ van het projectresultaat? Wie zijn de grootste sponsoren? Van wie hebben we

(mogelijk) last

Stap 5: Benoem de invalshoeken van waaruit je naar de risico's gaat kijken. Gebruik control

modellen zoals COSO, COBIT, INK, I SO, of handige rijtjes zoals COPAFI J TH en PEST.

Stap 6: I dentificeer vanuit de invalshoeken de risico's of bedreigingen (we gaan de

doelstelling niet halen omdat ..?)

Stap 7: Analyseer de geidentificeerde risico's.; Haal de overlap eruit, bepaal de eigenaar, bepaal de strategie en het soort

maatregel.

Stap 8: Geef de eerste (bruto) score. Doe dit met cijfers en alleen op gevoel. Vergeet bij het geven van de score de organisatie en al

z'n interne beheersing. Gebruik cijfers!

Stap 9: Op op zoek naar de beheersmaatregelen (bestaande en nieuwe)

die we rond het mogelijke het risico georganiseerd hebben.

Stap 10: Geef op basis van de aanwezige beheersing een nieuwe (netto) score. Let wel dat je iets moet weten over opzet, bestaan en

werking van de beheersmaatregel.

Stap 11: Bepaal op basis van de netto-scores je top 10. Deze risico's gaan we management.

Waarom 10? Meer kan je er toch niet aan.

Stap 12: Manage de toprisico's (rapportage, voortgang, monitoring). Pas op voor

spreadsheet fetisjisme en waak voor de bureaucratie. Maak afspraken over

monitoring op de gemaakte afspraken

12 stappenplan voor het uitvoeren van risicoanalyses

3838Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 39: Presentatie Uitwisselingsbijeenkomst 22 november 2011

‘2 x wegen’ Kans * Schade = Prioriteit

Bruto Risico 9 * 8 = 72

-/- Maatregelen◦ Organisatorisch 5◦ Verzekering 6

Netto Risico 4 * 2 = 8

De regel: bruto risico minus de beheersmaatregelen = netto risico. Scores met cijfers (1 = laag / 9 = hoog) ipv een vage gradatie Hoog – Midden - Laag

3939Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 40: Presentatie Uitwisselingsbijeenkomst 22 november 2011

41

9

8

7

6

5

4

3

2

1

2 3 4 5 6 7 8 9

1.1.

1.3.

Spreidingsdiagram totaal

1.5.

3.6.

1.6.

11.7.

11.11.

5.1.

3.8.

1.1. Doelstellingen en (stuur) informatie

1.2. Afboeken, integriteit, taakverdeling

1.4. Voorkomen van terugvorderingen

1.5. Werkvoorraden (stuwmeer)

1.6.Imago, externe verantwoording

3.6. Audittrail

3.8 Inzicht betaalproces

5.1. Retour gekomen betalingen

11.7. Foutieve adressen

11.11. Juistheid betaalgegevens

Schade

Waarschijnlijkheid

1.4.

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 41: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Als je alles wilt beheersen sta je stil!

4242Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 42: Presentatie Uitwisselingsbijeenkomst 22 november 2011

4343Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 43: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Praktijkcase

UWVDivisie Uitkeren

Operationeel Risicomanagement

‘Risicobeheersing met inzet van CRSA’

Risicoanalyse in 12 stappen

Page 44: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

--------------------------------------------------------------------------------------------------------De

praktijkCASE

Page 45: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Governance Environment UWVGovernance Environment UWV

46

Generiek ontwerpInterne organisatie

Minister

UWV

sturen

Richten en organiseren: ‘zeker’ stellen vereiste uitvoering

Generiekdeel

mensen

kwaliteiten technologie

processen

onzekerheden

Specifiekdeel

Aanvullende specifieke organiseermaatregelen

Generiek

opdrachten

mensen

technologie

processenkwaliteiten

Klantverwachtingen

onzekerhedenUWV

Operationeleomgeving

Beheerskader

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 46: Presentatie Uitwisselingsbijeenkomst 22 november 2011

47

Operationeel risicomanagementOperationeel risicomanagement

Aandacht voor risicomanagement geeft vorm aan een nieuw soort dialoog binnen UWV, een dialoog waar iedereen aan mee kan doen, en die gaat over risico’s en kansen in relatie met de gestelde doelen.

Deze nieuwe dialoog zorgt dat management en medewerkers zich bezig houden met die dingen die er echt toe doen, met als gevolg een gezamenlijk en gedragen beeld van de operationele werkelijkheid.

Bron: Presentatie Uitkeren d.d. 21 januari 2010

Page 47: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Een verandertraject van 3 Jaar

Jaar 1 : Risicomanagement met CRSA ‘durven jullie dat?’2010 Spelen en verleiden door workshops voor management en

medewerkers. Introductie van het 12 stappenproces

Go/no go beslissing 1 : GO

Jaar 2 : Oefenen met CRSA. Voordoen, samen doen, zelf doen.2011

Go/no go beslissing 2 : GO

Jaar 3 : Formeel incorporeren CRSA in de jaarplan- of planning en 2012 controlcyclus + het trainen van de CRSA Facilitators

UitgangspuntenWe doen het met ‘eigen’ mensen;

Niets moet, iedereen mag meedoen;Sponsoship van de top;

CRSA introductie op alle niveau’s (hoofdkantoor, productie, projecten)

Page 48: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

DE CRSA Facilitator“ … maakt het gemakkelijk ….”

Organiseert het CRSA en helpt de deelnemers ‘door’ het CRSA protocol van de 12 stappen.

Een CRSA Facilitator:-Moet VOOR de groep durven STAAN-Heeft dus goede communicatieve eigenschappen nodig-Weet hoe hij/zij met groepen om moet gaan-Is resultaatgericht -Moet ‘dubbele agenda’s onderkennen-Moet durven doorvragen-Moet (enig) verstand hebben van interne beheersing-Moet verstand hebben van de ‘business’-Een ‘rechte rug’ hebben / doet niet aan politiek

Een CRSA Facilitator is geen adviseur op het gebied van Risicomanagement. Na de oplevering van de eindrapportage (decharge) Is het werk klaar.

Page 49: Presentatie Uitwisselingsbijeenkomst 22 november 2011
Page 50: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Het verhaal van de Rode Aap

Page 51: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Stap 1: Zorg voor een breede groep aan deelnemers (betrokkenen +

eindgebruikers + specialisten)

Stap 2: Zoek met de groep naar de alignment met de hogere doelstellingen op

organisatieniveau (visie, missie, doelen, strategie)

Stap 3: Zorg dat de groep de projectdoelen van het project op het netvlies heeft (SMARTI maken). Wat gaan we doen en hoe draagt die

bij aan de realisatie van de doelen van de organisatie

Stap 4: Voer een stakeholdersanalyse uit. Wie ‘profiteren’ van het projectresultaat? Wie zijn de grootste sponsoren? Van wie hebben we

(mogelijk) last

Stap 5: Benoem de invalshoeken van waaruit je naar de risico's gaat kijken. Gebruik control

modellen zoals COSO, COBIT, INK, I SO, of handige rijtjes zoals COPAFI J TH en PEST.

Stap 6: I dentificeer vanuit de invalshoeken de risico's of bedreigingen (we gaan de

doelstelling niet halen omdat ..?)

Stap 7: Analyseer de geidentificeerde risico's.; Haal de overlap eruit, bepaal de eigenaar, bepaal de strategie en het soort

maatregel.

Stap 8: Geef de eerste (bruto) score. Doe dit met cijfers en alleen op gevoel. Vergeet bij het geven van de score de organisatie en al

z'n interne beheersing. Gebruik cijfers!

Stap 9: Op op zoek naar de beheersmaatregelen (bestaande en nieuwe)

die we rond het mogelijke het risico georganiseerd hebben.

Stap 10: Geef op basis van de aanwezige beheersing een nieuwe (netto) score. Let wel dat je iets moet weten over opzet, bestaan en

werking van de beheersmaatregel.

Stap 11: Bepaal op basis van de netto-scores je top 10. Deze risico's gaan we management.

Waarom 10? Meer kan je er toch niet aan.

Stap 12: Manage de toprisico's (rapportage, voortgang, monitoring). Pas op voor

spreadsheet fetisjisme en waak voor de bureaucratie. Maak afspraken over

monitoring op de gemaakte afspraken

12 stappenplan voor het uitvoeren van risicoanalyses

5252Frits Engel - Risicobeheersing met Control & Risk Self Assessment

Page 52: Presentatie Uitwisselingsbijeenkomst 22 november 2011

Frits Engel - Risicobeheersing met Control & Risk Self Assessment