Recensies

Handboek Risicomanagement – ERMplus een praktische toepassing van COSO ERM

admin

Auteur: Drs. Urjan Claassen

In dit boek bespreekt de auteur risicomanagement op een docerende, praktijkgerichte manier.

In de inleiding bespreekt hij het verschil tussen een “conformance” en een “performance” motief voor het overgaan van het klassieke risicomanagement naar een integraal risicomanagement. Het begrip “integraal risicomanagement” moet door de lezer echter vanaf de eerste bladzijde intuïtief begrepen worden als een risicomanagement dat geldt voor de hele organisatie, op alle niveaus. Hoe dat kan gebeuren wordt gaandeweg in het boek verder uitgewerkt. Daarbij is naar mijn gevoel het begrip van de 5 verdedigingslinies zeer belangrijk:

  • 1A: de operationele medewerkers, 1B het tactisch management, 1C het strategisch management.
  • 2 de interne audit
  • 3 de externe audit
  • 4 de accountant
  • 5 de toezichthouders.

Tevens wordt in de inleiding een aantal tekortkomingen van COSO aangereikt, samen met hoe ERMplus hiervoor een oplossing heeft.

Wat van dit boek speciaal bijblijft zijn volgende zaken:

  • Het belang van een gemeenschappelijke taal van risicomanagement. Zonder deze basis kunnen de verschillende spelers immers elkaar niet verstaan.
  • Dat er psychologische en sociologische aspecten zijn aan risicomanagement. Deze kunnen de besluitvorming beïnvloeden.
  • Dat naast de risicomatrix voor bedreigingen, er ook een dient opgesteld te worden voor de opportuniteiten.
  • Het enorme belang van audit en hoe het dient aangepakt te worden. Auditten is een project op zich met een eigen grondig plan van aanpak om het onderste uit de kan te halen.
  • We hebben ons risicomanagement, we hebben onze audit, en nu? Dan komt op t einde van het jaar het jaarverslag met “in-control” statements en een verklaring van het weerstandsvermogen.
  • De implementatie kan gebeuren vanuit verschillende startpunten, waarbij terug de vijf verdedigingslinies van belang worden.
  • Er zijn verschillende structuren mogelijk om toezicht te houden: de one-tier en two-tier governance modellen.

Wie risicomanagement wil uitwerken volgens het COSO model vindt in het “Handboek Risicomanagement – ERMplus een praktische toepassing van COSO ERM” zijn gading. Het vertelt een zeer doorgedreven heavy weight-aanpak van risicomanagement, dat zeer compleet is.

Implementing Enterprise Risk Management

admin

Editors: Fraser; Simkins en Narvaez

Dit 650 blz tellend boek heeft de bedoeling een leerboek / oefeningenboek te zijn, dat mijn inziens gebruikt kan worden in een bachelorprogramma voor Enterprise Risk Management. Het is opgebouwd uit 35 hoofdstukken, eigenlijk 35 verhalen, waarvan elk afgerond wordt met een vragenlijst als leidraad voor een bespreking door een team studenten. Het wordt begeleid door een ander boek, nl. “Enterprise Risk Management – today’s leading research and best practices for tomorrow’s executives”. Dit laatste is het bijhorende theorieboek.

Betekent dit dat je eerst het theorieboek moet gelezen hebben? Niet als je reeds een goede basiskennis ERM hebt volgens mij.

Volgende zaken uit dit boek zijn me als smaakmakers het meest bijgebleven:

  • Het PAPA model van LEGO: Park, Adapt, Prepare en Act. Hierbij heeft men de bedoeling om de overkoepelende strategische respons te bepalen op basis van hoe snel dingen in een scenario veranderen tav de kans dat een scenario optreedt.
  • De bepaling van de Risk Appetite adhv 7 vragen, nl
  1. Hoeveel risico denken we dat we nu nemen? (Risk perception)
  2. Hoeveel risico nemen we feitelijk? Welk bewijsmateriaal hebben we daarbij? (Risk exposure)
  3. Hoeveel risico nemen we gewoonlijk graag? Als dit minder is dan onder punt 1. Dan voelen we ons niet comfortabel. (Risk propensity / culture)
  4. Hoeveel risico kunnen we aan / veilig nemen? (Risk capacity) Dit moet groter zijn dan onder de punten 1., 2. en 3.
  5. Hoeveel risico denken we dat we zouden moeten nemen? (Risk attitude)
  6. Hoeveel risico willen we feitelijk nemen? (Risk appetite)
  7. Hoe kunnen we maatregelen en limieten zetten binnen de processen, producten en business onderdelen om er zeker van te zijn dat onze totale risk appetite niet wordt overschreden? (Risk limits)
  • Wat UW (University of Washington) over zijn ERM Model besliste:
  1. Assess de risico’s in de context van de strategische objectieven, en identificeer de interrelatie van risicofactoren over heel het instituut, niet enkel per uitgeoefende functie.
  2. Behandel alle types van risico’s: compliance, financieel, operationeel, en strategisch.
  3. Kweek een algemene awareness dat aan individuen toestaat hun aandacht te focussen op risico’s met een strategische impact.
  4. Verbeter en versterk de cultuur van UW van compliance, en bescherm tegelijk de decentrale, samenwerkende entrepreneurs-geaardheid van het instituut.
  • ‘Three lines of defence’ van de TD Bank: 1) de business en de aansprakelijken, 2) het uitzetten van standaarden en het uitdagen van business om hun governance te verbeteren, alsook hun risico’s en controlegroepen hun verantwoordelijkheden en aansprakelijkheden, en 3) een onafhankelijke interne audit.
  • De ERM-objectieven van Zurich Insurance Group:
  1. Bescherm het basiskapitaal, zodat de risico’s die genomen worden niet boven de risico-tolerantie uitstijgen.
  2. Verbeteren van de waarde creatie en bijdragen tot een optimaal risk/return profiel.
  3. Ondersteunen van beslissingnemers met consistente, tijdige, correcte informatie over de risico’s.
  4. Beschermen van de reputatie en de brand door een gezonde cultuur van risico awareness en een gedisciplineerde en geïnformeerde risiconame.

 

Dit is slechts een kleine greep uit de waardevolle voorbeelden die het boek ten toon spreidt.

Business Continuity And The Pandemic Threat

admin

Auteur: Robert A. Clark

Met dit boek trekt de auteur, Robert A. Clark, de aandacht op een belangrijk issue dat zich bevindt op de grens tussen BCM en Risicomanagement, maar wat traditioneel wordt toegeschreven aan BCM, namelijk de pandemische bedreiging. Deze bedreiging is relevant omdat statistisch deze zich gemiddeld om de 30 jaar manifesteerde de laatste 300 jaar.

Het boek is opgedeeld in twee delen: ‘Part I: Understanding the Threat’ en ‘Part II: Preparing for the Inevitable’

Deel I vertelt uitgebreid over micro-organismen, wat een pandemie eigenlijk is, gevaren van ziektekiemen in de handen van criminelen en terroristen, een korte geschiedenis van de belangrijkste gekende pandemieën, en het gevaar van ziekenhuisbacteriën (antimicrobial resistance of AMR). In twee aparte hoofdstukken gaat hij dieper in op de gevallen van SARS en de Spaanse Griep van 1918-1919 die doorheen het hele boek verder terugkomen als de klassiekers. Hij besluit deel I met een vergelijking tussen de twee gevallen die toch uitersten zijn: de Spaanse Griep met 50.000.000 sterfgevallen en SARS met een goede 1000 doden en ‘slechts’ 8000 besmettingen, wereldwijd.

Deel II gaat over de aanpak rond pandemieën. Hij vertrekt van twee standpunten: voorbereiding en respons. Daarover vertelt hij wat kan gedaan worden op wereld-, nationaal-, organisatie- en individueel niveau. Wat belangrijk is in deel II is volgens mij de aandacht die hij geeft aan de belangrijke punten voor een pandemieplan. Hij doet dit echter verhalend, zonder een concreet pandemieplan of template te geven. Dat maakt hij echter goed door in de appendices te verwijzen naar een website waar een template te vinden is: www.bcm-consultancy.com/pandemicthreat. Daarbij blijft het echter niet. Hij beschrijft ook wat je ermee moet doen als er geen pandemie is: oefenen en valideren. Daarbij geeft hij een overzicht van een aantal types van oefeningen, die gaan van zeer simpel tot zeer complex en uitgebreid.

Een beperkt deel van de aandacht van de beschouwingen van de karakteristieken van een pandemieplan gaan naar supply chain.

Ondertussen werd opgemerkt dat de template niet meer bereikbaar is op de website. Een voorbeeld van een pandemieplan vindt u echter op deze website: ‘http://www.emannuel.eu/uncategorized/pandemieplan/ ‘

Risk Issues and Crisis Management in Public Relations – A Casebook of Best Practice

admin

Auteurs: Michael Regester & Judy Larkin

In dit boek behandelen de auteurs Risicomanagement (hoewel ze enkel spreken van risico-issues) en crisismanagement als een onderdeel van wat zij noemen ‘Issues management’ en dat met een insteek vanuit het bijdragestandpunt van Public relations. Hierbij geven ze tal van voorbeelden in de vorm van gevalstudies.

Het boek is opgedeeld in twee delen: een deel over de uitwerking van issues management, dat verdacht veel trekt op risicomanagement, doordat het enorm veel gelijkaardige bouwstenen heeft, en een tweede deel over crisis management, waarbij  zowel het belang van de teams wordt benadrukt, als de communicatieaspecten.

In Issues management wordt gewerkt naar een opstellen van een procedure van issues management, waarbij voornamelijk veel aandacht gaat naar de componenten die de auteurs belangrijk vinden, en waarbij het verhaal wordt afgesloten met enkele overzichten van concrete aanpakken in twee bestaande organisaties.

Bij Crisismanagement is het de bedoeling dat je het volgende zeker onthoudt (niet noodzakelijk in deze volgorde en geen limitatieve lijst):

  • Wees de eerste om het mee te delen, erken als eerste dat er een probleem is.
  • Rectificeer onmiddellijk elke fout die in de media komt,
  • Wees volledig, correct, eerlijk, transparant en gewillig om te communiceren. Zeg niet dingen zoals ‘no comment’ en als er nog niets geweten is, deel dan mee dat je geen steen onomgedraaid zult laten om te weten hoe de zaken in elkaar zitten.
  • Zorg voor een plaats om de pers te woord te staan. Voor de televisiezenders kan je best one-on-one werken. Dit laatste kan zeer veel tijd en energie vergen en daarom kan het interessant zijn om een enkele tv-interview op te laten zetten in samenspraak met alle zenders.
  • Begin onmiddellijk te communiceren, ook al heb je nog geen informatie.
  • Spreek steeds over volgende onderwerpen in de volgende volgorde:
    • Mensen
    • Milieu en omgeving
    • Eigendommen
    • Geld

En spreek steeds eerst over de feiten, dan emoties en vermeld dan een visie van wat je zal doen of er voor aan het doen bent. Voorkom een leegte in de communicatie.

  • Zorg steeds dat je acties in de kijker staan, en dat je gehoord wordt
  • Vermijd het om kwaad bloed te zetten bij de populatie
  • Bezoek de rampensite
  • Erken schuld als deze bewezen is, niet eerder. Verwijs naar experten voor de bewijsvoering en laat je niet verleiden tot oeverloze verdedigingspraat.
  • Speculeer nooit over wat je niet weet.
  • Indien de pers geen aandacht voor u heeft, loop dan niet weg, blijf in de omgeving maar trek geen aandacht naar uw organisatie. Wees geen ‘sitting target’.
  • Negeer geen enkele mediabron.
  • Wees bereid tot ex-gratia-betalingen.

Dit alles wordt uitgebreid gestoffeerd met cases waar het lukte en waar het niet lukte.

Mastering Risico En Onzekerheid

admin

Redactie: James Pickford

Dit boek uit 2005 behandelt de blijvende problematiek van onzekerheid van bedrijven en financiële organisaties betreffende risico’s en onzekerheden in de markt. Het reikt een aantal wijsheden aan waarmee deze organisaties kunnen trachten hun onzekerheden te bemeesteren, opportuniteiten te capteren en exploiteren, en bedreigingen tijdig te onderkennen.

Een greep uit de verzameling weetjes:

  • Politiek risico weerhoudt bedrijven van investeringen in onstabiele regio’s. doen ze dat toch, dan kunnen ze zich best inlaten met de gemeenschappen waarbinnen ze hun activiteiten uitvoeren. De toestand op de verzekeringsmarkt toont aan hoezeer het management van het terrorismerisico een uitdaging geworden is voor de bedrijfswereld.
  • Er is een delicaat evenwicht tussen risico en beloning: hoewel de meesten denken dat risico’s te mijden zijn, is risiconeming tevens een bron van kansen. “Meer weten dan de anderen over de aard van een systeem biedt een cruciale voorsprong. Blijft de vraag hoeveel aandacht de leidinggevenden besteden aan de externe kenmerken van hun zakelijke omgeving.
  • Diversificatie beschermt bedrijven tegen onvoorziene gebeurtenissen die een van hun kernactiviteiten bedreigen. De prijs is een hogere complexiteit van de onderneming en het gevaar dat de beperkte middelen te dun gespreid worden. Het is dus een goed idee om reserves achter de hand te houden.
  • Soms mislukken kan beter zijn dan altijd slagen in je opzet, maar je moet wel je lessen eruit kunnen trekken om sterker terug te komen. Succes vernauwt immers het blikveld, en dan kan je je eigen capaciteiten niet meer nuchter evalueren. Meestal echter worden successen overgewaardeerd en bevestigen deze dikwijls teveel de strategie van het management. Als je enkel leert van succes wordt mislukken op termijn onvermijdelijk. Enige focus op kleine en middelgrote mislukkingen is dus een goede zaak.
  • Risicomanagement steunt meestal op tastbare en kwantificeerbare zaken. Maar scenario denken – zich “een waaier van de toekomstmogelijkheden herinneren” – is eveneens belangrijk. Daarop kan je maatregelen bedenken om grote mogelijke risico’s te omzeilen of zelfs te benutten.
  • Enterprise Risk Management beschouwt de mogelijke impact op het gehele bedrijf, eerder dan het klassieke risicomanagement dat vroeger per ‘zuil’ werd uitgewerkt. Het probleem daarbij is in de eerste plaats een gebrek aan integratie. Risico’s worden te vaak fragmentarisch bekeken op een microniveau (Vinaya Sharma) tevens is er vaak een gebrekkige of geen koppeling tussen risico-evaluaties en strategie.
  • Verschillen in cultuur en risico-oriëntatie bij fusies en overnames is meestal een bron van wrijvingen. Daardoor blijven grote successen op dat vlak vaak uit.
  • Innovatie is bij uitstek met risico omgeven: innoveren doe je door iets te ondernemen en veranderingen aan te brengen. Daarbij moet men de onzekerheden managen door a. dit gegeven te aanvaarden.
  • Een maatregel die alleen rekening houdt met de neerwaartse gevoeligheid kan een instrument zijn voor inzicht in de prestaties van activa.