USINESS RISK SERVIES - Improven · ‘soft controls’ geen effectieve ‘hard controls’. eter 1...

8
Risicomanagement voor de Publieke Omroep Aan welke knoppen te draaien? BUSINESS RISK SERVICES

Transcript of USINESS RISK SERVIES - Improven · ‘soft controls’ geen effectieve ‘hard controls’. eter 1...

Page 1: USINESS RISK SERVIES - Improven · ‘soft controls’ geen effectieve ‘hard controls’. eter 1 key control in de hand, dan 10 controls in de lucht: welke beheersmaatregelen zijn

© Improven — Business Risk Services 1 September 2016

Risicomanagement voor de Publieke Omroep

Aan welke knoppen te draaien?

BUSINESS RISK SERVICES

Page 2: USINESS RISK SERVIES - Improven · ‘soft controls’ geen effectieve ‘hard controls’. eter 1 key control in de hand, dan 10 controls in de lucht: welke beheersmaatregelen zijn

© Improven — Business Risk Services 2 September 2016

RISICOMANAGEMENT

Jurre Tersteeg over risicomana-

gement in de media:

“In een tijdperk waarin organi-

saties zo afhankelijk zijn gewor-

den van beschikbare systemen

en betrouwbare informatie, is

het cruciaal om als publieke

media-instelling risico’s te ken-

nen en tijdig te beheersen en om

aantoonbaar ‘in-control’ te zijn."

-

MSc. J.D. (Jurre) Tersteeg

Consultant BRS

In haar beleidsnota begin dit jaar gaf het Commissariaat voor de

Media aan dat zij als toezichthouder vanuit het publieke belang

dient vast te stellen of er risico’s bestaan ten aanzien van de gover-

nance en interne beheersing bij publieke media-instellingen. Het

belang van ‘good governance’ of ‘goed bestuur en toezicht’ is an-

no 2016 niet meer weg te denken uit het publieke debat.

In navolging van steeds meer ondernemingen en maatschappelijke

organisaties met een publieke taak wordt ook van landelijke en re-

gionale publieke omroepen verwacht dat zij zich bewust zijn van de

verwachtingen die verschillende stakeholders hebben van de door

hen gemaakte afweging van belangen, transparantie in de verant-

woording en duurzame bedrijfsvoering. Grip op uw risico’s is daar-

mee essentieel.

In deze publicatie leest u op welke wijze Improven u begeleidt om

uw organisatierisico’s op een adequate, pragmatische en werkza-

me wijze inzichtelijk te maken en te beheersen.

Wat zijn uw uitdagingen?

Informele principes expliciet maken

Publieke media-instellingen werken natuurlijk al met principes, strategische

speerpunten en plannen, die de risicobereidheid van de organisatie om haar

doelstellingen te behalen impliciet reflecteren. Een belangrijke doelstelling bij de

implementatie van risicomanagement is om deze (informele) principes expliciet

bekend te maken, intern en extern te delen en de relatie te leggen met de stra-

tegische en operationele risico’s binnen de organisatie.

Wij zien risicomanagement als een systematische aanpak om relevante risico’s

te kunnen identificeren, prioriteren, analyseren en beheersen. Wij helpen u stap

voor stap en passend bij de aard, omvang en ambitie van uw organisatie om uw

strategische en operationele risico’s transparant te maken.

Grip op uw risico’s

Page 3: USINESS RISK SERVIES - Improven · ‘soft controls’ geen effectieve ‘hard controls’. eter 1 key control in de hand, dan 10 controls in de lucht: welke beheersmaatregelen zijn

© Improven — Business Risk Services 3 September 2016

Een veranderend medialandschap

In de brede mediasector zijn er vele belangrijke ontwikkelingen en veran-

deringen gaande, die noodzaken dat de betrokken organisaties hierop anti-

ciperen en acteren. Alleen al de technologische ontwikkelingen, zoals het

toenemende gebruik van smartphones, tablets en internet, hebben grote

invloed op de gehele sector. Niet alleen ten negatieve, maar ook ten posi-

tieve. Er is sprake van een enorm (nieuw) aanbod.

Een veranderend medialandschap eist van een omroep om continu keuzes

te maken. Hoe groeit u mee met uw bestaande en potentiële kijkers? Wel-

ke technologische, sociaal-maatschappelijke en politieke ontwikkelingen

hebben invloed op de organisatie. Hoe stel ik mijn productenaanbod en

het bestaansrecht van de omroep voor de toekomst veilig? Omroepen

opereren in een uiterst dynamische wereld, met ingrijpende ontwikkelin-

gen in technologie en concurrerende marktomstandigheden. Om de hier-

aan verbonden risico’s in de greep te houden binnen de bepaalde risicobe-

reidheid en in te gaan op de kansen die de nieuwe omstandigheden bie-

den, is het goed om transparant risicomanagement te implementeren.

Publieke taak Publieke media hebben als doel om objectieve, integere en onafhankelijke

informatie te verspreiden. Wanneer een publieke omroep met een ernstig

incident te maken krijgt, leidt dit mogelijk niet alleen tot grote financiële-

en reputatieschade, maar in een enkel tot verdergaande gevolgen. Vanuit

haar publieke taak moet de waarde van de omroeporganisatie juist bij een

calamiteit goed gewaarborgd zijn. Een goed samenspel tussen alle kernbe-

trokkenen is essentieel om de waarde van uw organisatie in geval van een

calamiteit te beschermen.

Creëren van de juiste

risicocultuur

Het scheppen van cultuur en bewustzijn

voor risicobeheersing blijft een uitdaging

voor elke organisatie, klein of groot.

Organisaties vinden het lastig om risico´s

op voorhand te vermijden en handelen

daardoor vaak incidentgedreven: pas als

een risico zich heeft voorgedaan. Dikwijls

ontbreekt het al aan een heldere strategie

en beleid of deze worden niet gedragen

door het (senior) management. De aan-

wezigheid van een sterke risicocultuur

binnen een organisatie is voor een groot

gedeelte afhankelijk van de ‘tone at the

top’ en de organisatiecultuur. Deze heb-

ben daarmee een cruciale rol in risicoma-

nagement

Complexiteit wet– en

regelgeving

Met haar beleidsnota volgt het Commis-

sariaat voor de Media de trend waarin

toezichthouders steeds strengere eisen

stellen omtrent transparantie en beheer-

sing. Als gevolg hiervan ervaren omroe-

pen nog meer druk om te voldoen aan in–

en externe wet– en regelgeving. Behalve

de nieuwe Mediawet zijn ook de over-

gangsregeling rondom de VAR en de Euro-

pese privacyrichtlijn en de hiervan afgelei-

de meldplicht datalekken zaken om in

2016 extra rekening mee te houden.

Door gebruik te maken van standaarden

en best practices levert dit veel voordeel

op. Dit uit zich in o.a. in betere relaties

met leveranciers, handelspartijen en toe-

name in vertrouwen bij overige stakehol-

ders. Wij helpen u vanuit onze kennis en

ervaring bij de interpretatie en implemen-

tatie van dergelijke compliance vereisten.

Figuur 1: Uitdagingen voor omroepen

Page 4: USINESS RISK SERVIES - Improven · ‘soft controls’ geen effectieve ‘hard controls’. eter 1 key control in de hand, dan 10 controls in de lucht: welke beheersmaatregelen zijn

© Improven — Business Risk Services 4 September 2016

Onze visie

Een lerende organisatie

In onze visie is risicomanagement gebaseerd op een lerende

organisatie. Integraal, stap voor stap en passend bij de aard,

omvang en ambitie van de organisatie. Als kern van een wer-

kend en transparant risicomanagementsysteem zien wij in on-

ze visie de volgende elementen:

Het heldere begrip en het draagvlak van bestuur, ma-nagement en interne toezichthouders voor dit onderwerp en het vervolgens blijvend uitdragen in de organisatie.

Een op de organisatie en diens karakteristieken (sector, product, omvang, bestuursfilosofie) toegespitste aanpak en invulling. One size doesn’t fit all!

Risicomanagement is nooit een doel op zich, slechts een middel om overzicht, inzicht en transparante beheersing te verkrijgen. Hoe compacter en eenvoudiger, des te krachtiger.

Risicomanagement behoeft naast (management) aandacht ook tijd; het moet voor begrip en draagvlak rijpen in de organisatie.

‘Tussen de oren’ is belangrijker dan techniek of papier. Het doel is begrip en gebruik, het opschrijven slechts een ondersteunend middel.

Aandacht voor gedragsaspecten is noodzakelijk; zonder ‘soft controls’ geen effectieve ‘hard controls’.

Beter 1 key control in de hand, dan 10 controls in de lucht: welke beheersmaatregelen zijn écht nodig. Minder is meer.

Top-down implementatie & bottom-up inbedding: start-punt voor de analyse is top-down, de strategie en risicobe-reidheid van de organisatie en daarmee de strategische risicokaart.

De daadwerkelijke inbedding is bottom-up, bij de operati-onele risicoanalyses en in de kernprocessen.

Integraal Risicomanagement In onze visie dient integraal risicomanagement te

worden geïmplementeerd dat passend is bij de

organisatie. Hierbij geldt dat voldoende aandacht

moet zijn voor de wijze waarop risicomanagement

wordt vormgegeven en geïmplementeerd.

Risicomanagement is meer dan alleen het ontwik-

kelen van technisch geavanceerde modellen, het

afvinken van lijstjes of het braaf volgen van richtlij-

nen van externe toezichthouders. Alleen met een

sterk fundament slaagt een organisatie er in om

vanuit haar huidige volwassenheidsniveau risico-

management stabiel en efficiënt vorm te geven.

Wanneer een heldere formulering van de risicobe-

reidheid en daarmee het fundament van risicoma-

nagement van een organisatie ontbreekt, toont de

praktijk aan dat het lastiger is keuzes te maken in

het al dan niet afdekken van bepaalde

risico´s. Het gevaar is dan dat alle risico’s even be-

langrijk lijken en daarmee het systeem teveel uit-

dijt en tot een papieren tijger verwordt. Het gaat

niet om het handboek, het gaat om het begrip en

de toepassing!

Figuur 2: Integraal risicomanagement

Page 5: USINESS RISK SERVIES - Improven · ‘soft controls’ geen effectieve ‘hard controls’. eter 1 key control in de hand, dan 10 controls in de lucht: welke beheersmaatregelen zijn

© Improven — Business Risk Services 5 September 2016

Bepalen risicobereid-heid Risicobereidheid, ook wel risk appetite

genoemd, is de mate van risico die de

organisatie bereid is te lopen bij het

realiseren van haar strategische doel-

stellingen. Het betreft de mate van

acceptatie dan wel het juist willen

voorkomen van bepaalde risico’s die

de organisatie en haar doelen kunnen

raken. Het inzichtelijk maken van de

risicobereidheid vormt een belangrijk

startpunt en een toetssteen in de im-

plementatie van risicomanagement.

Vanuit de ‘tot hier en niet verder’

gedachte geeft het richting aan de

mate waarin beheersmaatregelen ge-

troffen dienen te worden. De risicobe-

reidheid moet dan ook een toets vor-

men voor de getroffen en nog te

treffen beheersmaatregelen. Overi-

gens betekent dit lang niet altijd méér,

maar soms juist minder beheersmaat-

regelen door gedragen acceptatie en

ondernemerschap. Samengevat be-

paalt u welke risico’s u als organisatie

wel of niet accepteert en op welke

risicogebieden daarmee aanvullende

(of juist minder) beheersing nodig is.

Risk Governance Het inrichten van de risk governance

betreft een duidelijke vastlegging van

rollen, taken, bevoegdheden en ver-

antwoordelijkheden, organisatie en

activiteiten rondom risicomanage-

ment. Feitelijk: wie doet wat?

Wij helpen u bij het inrichten van de

organisatie en processen met betrek-

king tot risicomanagement in uw orga-

nisatie inclusief principes die de orga-

nisatie hanteert en een besluitvor-

mingsstructuur.

Onze dienstverlening Quick Scan risicomanagement Voor veel publieke omroepen is risicomanagement een vrij nieuw onderwerp.

Wij zien vooral dat ‘hoe’- vraag best lastig kan zijn, omdat daarvoor totaal-

overzicht van relevante strategische/operationele risico’s is vereist. Aan de

hand van een quick scan stellen wij samen met u de juiste condities vast voor

het vormgeven en implementeren van risicomanagement binnen uw organi-

satie.

De scan bestaat uit een documentstudie en interviews met stakeholders

(zowel medewerkers en management uit het primaire en ondersteunende

processen als ook directie en interne toezichthouders. Het resultaat van de

scan maakt inzichtelijk welke condities ontbreken of onvoldoende ontwikkeld

zijn om risicomanagement doelgericht en succesvol toe te kunnen passen.

Inzicht in strategische risico’s

Als directie ziet u wellicht tientallen risico's in uw directe organisatieomge-

ving. Echter niet alle risico's zijn even relevant, sommige van die risico's heb-

ben een kleine(re) waarschijnlijkheid en/of een lagere impact. Ook vallen

sommige risico’s binnen de risicobereidheid van de organisatie. Een strate-

gisch risico manifesteert zich binnen in het proces van activiteiten en beslis-

singen die invloed hebben op de strategische doelstellingen van uw omroep-

organisatie. Deze kunnen worden beïnvloed door zaken als beschikbaarheid

van kapitaal, autonome en politieke risico’s, veranderingen in voor u gelden-

de wet– en regelgeving, reputatieschade, veranderingen in de fysieke omge-

ving of een sterke afhankelijkheid van interne en/of externe producties.

Improven helpt u deze strategische risico’s, die zich zowel intern als extern

manifesteren, te inventariseren, te analyseren en te adresseren. Samen met u

brengen wij de interne en externe risico’s in kaart die het realiseren van de

(strategische) doelstellingen van uw organisatie in gevaar kunnen brengen.

Door middel van analyse maken wij deze risico’s verder inzichtelijk in een

Risico Control Matrix (RCM) zodat u afgewogen keuzes kunt maken.

Figuur 3: Voorbeeld organisatiemodel publieke omroep

Page 6: USINESS RISK SERVIES - Improven · ‘soft controls’ geen effectieve ‘hard controls’. eter 1 key control in de hand, dan 10 controls in de lucht: welke beheersmaatregelen zijn

© Improven — Business Risk Services 6 September 2016

Soft Controls

Veelal hebben organisaties wel maat-

regelen benoemd en geïmplemen-

teerd om zich te beschermen tegen

bedreigingen. Het gedrag van de mens

binnen en buiten de organisatie be-

paalt echter sterk het niveau van de

daadwerkelijke beveiliging. Om het

gedrag van de mens als zwakste (of

sterkste!) schakel in de keten te be-

heersen leveren wij aan onze op-

drachtgevers de volgende diensten:

1. Opzetten en uitvoeren risk aware-

ness en soft control programma’s

2. Uitvoeren risicoanalyses; o.a.

gericht op mens en gedrag, tac-

tisch en in de operatie

3. Trainingen en opleidingen voor

medewerkers.

Het succes van elk programma en

beheersaspect hangt in hoge mate af

van het gedrag en de rol van de mens.

De rol van de mens als onderdeel van

risicobeheersing loopt als rode draad

door onze dienstverlening. Separaat

kunnen wij voor u een soft control

framework inrichten.

Onze dienstverlening (vervolg)

In het dagelijks leven maken we aan de lopende band bewust en onbewust

keuzes en wegen we de daarbij behorende risico’s mee in ons besluit. Bij het

bewust nemen van risico’s betekent dat je de risico`s herkent en kent, zowel

in soort als in omvang, en dat je weet hoeveel risico je kan of wil hebben.

Toch kan het lastig zijn om alle relevante risico’s overzichtelijk in beeld te

hebben om van daaruit juiste afwegingen en keuzes te kunnen maken. Begrij-

pelijk, want het vergt een gestructureerde aanpak en voortdurende aandacht.

Inzicht in relevante operationele risico’s

Wanneer helder inzicht ontbreekt kan het ingewikkeld zijn om de juiste risi-

co's te beheersen in een organisatie. In algemene termen wordt een operati-

oneel risico beschouwt als een risico dat voortkomt uit de operatie van be-

drijfsfuncties binnen een organisatie. Meer specifiek kunnen operationele

risico's gedefinieerd worden als het risico van een verlies of incident als ge-

volg van ontoereikende of niet werkende interne processen, mensen en sys-

temen of van externe gebeurtenissen. Maar welke risico’s neem je mee in je

analyse en welke elimineer je en laat je vervolgens buiten beschouwing?

Door onze brede media- en omroepgerelateerde ervaring kennen we de be-

langrijkste risico’s binnen zowel de primaire als ondersteunende processen en

is onze pragmatische, laagdrempelige aanpak erop gericht om inzicht te ver-

schaffen en om risico’s transparant en beheersmaatregelen aantoonbaar te

maken. Onze aanpak richt zich op de belangrijkstee (key) risico’s en beheers-

maatregelen om een efficiënte en effectieve beheersomgeving te waarbor-

gen.

Voorbeelden hiervan zijn het inzichtelijk maken van

risico’s binnen een specifieke keten alsook voor de

rest van de primaire en ondersteunde processen

binnen uw organisatie. In onze aanpak maken wij

daarbij zoveel mogelijk gebruik van eerder opgestel-

de analyses, beheersmaatregelen en controlplannen

waarbij we niet-key en niet-bijdragende controls in

overleg met u zoveel mogelijk elimineren.

Samen met u bouwen wij een actueel RCM (Risico Con-

trol Matrix) dat u tegelijkertijd inzicht biedt in opzet

en bestaan van de key beheersmaatregelen en even-

tueel vastgestelde tekortkomingen of aandachtspunten.

Zodat u op de hoogte bent welke beheersgebieden en -

maatregelen nadere aandacht verdienen.

Page 7: USINESS RISK SERVIES - Improven · ‘soft controls’ geen effectieve ‘hard controls’. eter 1 key control in de hand, dan 10 controls in de lucht: welke beheersmaatregelen zijn

© Improven — Business Risk Services 7 September 2016

Onze dienstverlening (vervolg)

Het beheersen van risico’s blijft mensenwerk en daardoor soms hoogst sub-

jectief. Wat de een beschouwt als relevant risico voor de organisatie, kan de

ander in het proces beschouwen als buitensporig. Vaak voortkomend uit on-

bekendheid en verkeerde voorbeelden (de papieren risicomanagementsys-

temen) zien uw medewerkers ook niet altijd de nut en noodzaak en van risi-

comanagement in hun werk en tonen soms weinig wil om te veranderen. Om

risicomanagement te laten slagen binnen uw organisatie is het creëren van

draagvlak onder alle betrokkenen essentieel. Leren door dezelfde risicomana-

gementbril te kijken vormt daarbij een uitgangspunt. Want wat verstaat een-

ieder onder risicomanagement en wat wordt er specifiek van hen verwacht?

Training risicomanagement

Onze training is erop gericht om uw medewerkers op een pragmatische wijze

kennis te laten maken met de basisprincipes van risicomanagement. In de

training worden diverse aspecten behandeld zoals:

Wat is een risico? En wat is een beheersmaatregel? Kijken we allemaal

wel door dezelfde bril?

Hoe prioriteer je relevante risico’s en wat is een risicoanalyse?

Hoe wordt risicomanagement integraal onderdeel van de organisatie?

Hoe voorkom je dat de focus ligt op de rapportage in plaats van de dia-

loog over risico’s?

Toegespitst op de dagelijkse praktijk vanuit een omroeporganisatie richt de

kennis die men opdoet tijdens de training op de praktische toepassing van

risicomanagement.

Onze adviseurs helpen u om op gestructureerde wijze risico’s te herkennen,

inventariseren en uiteindelijk te managen. Met als doel energie en focus aan

te brengen om risicomanagement te laten slagen binnen uw organisatie.

Door tijdens de training een duidelijke relatie te leggen tussen verschillende

primaire en ondersteunende processen en door het gebruik van heldere voor-

beelden leert men stil te staan bij zijn of haar rol en die van anderen in het

risicomanagementproces. U krijgt op deze manier meer grip op de risico’s.

De uiteindelijke training wordt geheel vanuit uw behoefte samengesteld.

Voor het inbrengen van eigen ervaringen, casuïstiek of vragen is dan ook

voldoende gelegenheid.

Borging Een gezonde, verstandige afweging

maken tussen de risico's, de maatrege-

len om de kans van optreden en/of

het gevolg van deze risico's te beper-

ken en het omroepbelang vormt soms

een heel karwei. Vaak vormen afde-

lingshoofden daarbij het grootste risi-

co. Zij zijn immers eindverantwoorde-

lijk voor de doelstellingen en beslissin-

gen die zij nemen. Daarnaast is hun

voorbeeldgedrag bepalend voor de

risicohouding en gedrag van hun me-

dewerkers. Improven helpt u in het

betrekken van alle managementlagen

binnen de omroep bij het uitrollen,

introduceren en laten participeren in

risicomanagement. Door hen te hel-

pen de verantwoordelijkheid voor risi-

comanagement op te pakken zorgt u

ervoor dat de materie en het bewust-

wording rondom risicomanagement

beter beklijft.

Laszlo Nagy over risicomanage-

ment:

“Voor alle betrokkenen geldt dat

het gaat om creëren van bewust-

zijn en het leren van de juiste

(kritische) vragen te stellen om

zo risico’s en kansen voor de or-

ganisatie in beeld te brengen en

op effectieve wijze te kunnen

beheersen. Het gaat uiteindelijk

om het doen en het gedrag, niet

slechts om het opschrijven ”.

Drs. L.Z. (Laszlo) Nagy EMIA RO

Director Business Risk Services

Page 8: USINESS RISK SERVIES - Improven · ‘soft controls’ geen effectieve ‘hard controls’. eter 1 key control in de hand, dan 10 controls in de lucht: welke beheersmaatregelen zijn

© Improven — Business Risk Services 8 September 2016

Over Business Risk Services

Waardeoptimalisatie en waardecreatie. Dit zijn de kernwoorden waar organisaties

voor staan, zowel intern als extern. Onze vakgroep Business Risk Services onder-

steunt organisaties bij het inrichten van governancestructuren binnen de kaders van

compliance, risicomanagement en interne audit.

Wij geloven in een goede mix van ‘hard’ en ‘soft’ (behavioral) controls die tezamen

zorgen voor het juiste gedragsaspect in de beheersing van organisatierisico’s, het

voldoen aan wet- en regelgeving, maar vooral het nastreven van de strategische

doelstellingen van de organisatie. Wij bieden u hiervoor een breed palet van pro-

ducten en diensten die we steeds organisatiespecifiek maken: maatwerk op basis van

best practices, passend bij uw organisatiestructuur en –cultuur.

Klanten waarderen onze kennis, passie en de wijze waarop wij complexe zaken trans-

parant maken. Onze hands-on ondernemende mentaliteit maakt dat wij dat echt

betrokken zijn bij onze klanten. Wij werken vanuit ons vak naast mediabedrijven ook

voor de verzekeraars, zorginstellingen, banken, pensioenfondsen, vermogensbeheer-

ders, handel-, industrie- en retail bedrijven, als ook de onderwijs, woningcorporaties,

gemeenten, provincies, rekenkamers en rijk.

Consultants van Business Risk Services publiceren regelmatig over hun vakgebied en

zijn spreker op congressen.

Improven

Zonnebaan 9-21

3542 EA Utrecht

Postbus 8227

3503 RE Utrecht

Tel: 0800 7837833

[email protected]

www.improven.nl

Meer informatie?

Drs. L.Z. (Laszlo) Nagy EMIA RO

Director

Business Risk Services

T: +31 (0)6 53 36 11 11

M: [email protected]

MSc. J.D. (Jurre) Tersteeg

Consultant

Business Risk Services

T: +31(0)6 57 88 70 46

M: [email protected]