Handboek Risicomanagement – ERMplus een praktische toepassing van COSO ERM

admin

Auteur: Drs. Urjan Claassen

In dit boek bespreekt de auteur risicomanagement op een docerende, praktijkgerichte manier.

In de inleiding bespreekt hij het verschil tussen een “conformance” en een “performance” motief voor het overgaan van het klassieke risicomanagement naar een integraal risicomanagement. Het begrip “integraal risicomanagement” moet door de lezer echter vanaf de eerste bladzijde intuïtief begrepen worden als een risicomanagement dat geldt voor de hele organisatie, op alle niveaus. Hoe dat kan gebeuren wordt gaandeweg in het boek verder uitgewerkt. Daarbij is naar mijn gevoel het begrip van de 5 verdedigingslinies zeer belangrijk:

  • 1A: de operationele medewerkers, 1B het tactisch management, 1C het strategisch management.
  • 2 de interne audit
  • 3 de externe audit
  • 4 de accountant
  • 5 de toezichthouders.

Tevens wordt in de inleiding een aantal tekortkomingen van COSO aangereikt, samen met hoe ERMplus hiervoor een oplossing heeft.

Wat van dit boek speciaal bijblijft zijn volgende zaken:

  • Het belang van een gemeenschappelijke taal van risicomanagement. Zonder deze basis kunnen de verschillende spelers immers elkaar niet verstaan.
  • Dat er psychologische en sociologische aspecten zijn aan risicomanagement. Deze kunnen de besluitvorming beïnvloeden.
  • Dat naast de risicomatrix voor bedreigingen, er ook een dient opgesteld te worden voor de opportuniteiten.
  • Het enorme belang van audit en hoe het dient aangepakt te worden. Auditten is een project op zich met een eigen grondig plan van aanpak om het onderste uit de kan te halen.
  • We hebben ons risicomanagement, we hebben onze audit, en nu? Dan komt op t einde van het jaar het jaarverslag met “in-control” statements en een verklaring van het weerstandsvermogen.
  • De implementatie kan gebeuren vanuit verschillende startpunten, waarbij terug de vijf verdedigingslinies van belang worden.
  • Er zijn verschillende structuren mogelijk om toezicht te houden: de one-tier en two-tier governance modellen.

Wie risicomanagement wil uitwerken volgens het COSO model vindt in het “Handboek Risicomanagement – ERMplus een praktische toepassing van COSO ERM” zijn gading. Het vertelt een zeer doorgedreven heavy weight-aanpak van risicomanagement, dat zeer compleet is.

De 4 geboden van risicomngt, de waarden van een organisatie en Informatieveiligheid

admin

Auteur: Manu Steens en Joris Bouve met dank aan Hilde Van Nijen

De belangrijkste bedoeling van informatieveiligheid is m.i. het risico-besef (awareness) van de medewerkers. De mens is immers de zwakste schakel. Risico-besef gaat zowel in twee richtingen. Enerzijds gaat dit over awareness van de business m.b.t. informatieveiligheid: waar knelt het schoentje en wat kan technisch en wat moet je zelf doen. Anderzijds gaat het ook over de awareness van de ICT mensen: wat moeten zij weten dat de business belangrijk vindt en wat niet. Meer doen is dikwijls onverantwoord en geeft aanleiding tot “geld over de balk gooien”.

Wat & Waarom?

Het doel van informatieveiligheid is zorgen voor de betrouwbaarheid van informatiesystemen.  Die betrouwbaarheid wordt bekeken vanuit volgende drie invalshoeken:

  • Vertrouwelijkheid (Confidentiality): het waarborgen dat informatie alleen toegankelijk is voor diegenen, die hiertoe zijn geautoriseerd
  • Integriteit (Integrity): het waarborgen van de correctheid en volledigheid van de informatie.
  • Beschikbaarheid (Availability): het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot de informatie/informatiesystemen

Dit kan natuurlijk alleen maar door een samenhangend pakket van maatregelen te treffen, te onderhouden en te controleren. Het gaat over het algemeen over informatie die is opgeslagen in informatiesystemen, maar ook opgeslagen kan zijn in papieren dossiers.

Het informatieveiligheidsbeleid van de organisatie is erop gericht om, op basis van risicomanagement, te verzekeren dat de informatie van de organisatie correct en volledig is en tijdig toegankelijk voor de geautoriseerde personen.

Hoe?

Om op een adequate wijze aan informatieveiligheid, te doen, moeten maatregelen uitgewerkt worden om de confidentialiteit (C), integriteit (I) en de beschikbaarheid (A: availability) te kunnen borgen.
Het is niet eenvoudig om hiervoor algemeen geldende criteria vast te leggen, omdat deze kunnen verschillen van departement tot departement binnen een organisatie, zelfs tussen teams binnen een departement kunnen de noden anders liggen.

Deze maatregelen moeten bovendien inspelen op volgende domeinen:

  • Mensen en Middelen,
  • Inhoud,
  • Systemen
  • Samenwerking (op procesniveau en overkoepelend).

Als hulpinstrument hebben wij hiervoor onderstaande matrix uitgewerkt. In deze matrix worden de vier domeinen benaderd vanuit de drie invalshoeken. Voor elke combinatie hebben wij een aantal richtvragen opgesteld. Voor deze richtvragen hebben wij ons geïnspireerd op de “vier geboden van risicomanagement” (zie verder). Met deze richtvragen kan ieder personeelslid aan de slag. Maar deze richtvragen zijn ook uitermate geschikt om een duidelijker zicht te krijgen op informatieveiligheid (zowel vanuit het standpunt van de “business” als vanuit het standpunt van IT).

Mensen en middelen Samenwerking op procesniveau en overkoepelend Systemen Inhoudelijk
C Wat deel je met wie? Welke toegangen heb je nodig? Kent iedereen de veiligheids-verantwoordelijke? Wat is de bedoeling van het management met hun informatieveilig-heidsbeleid? Blijft de vertrouwelijke informatie binnen vertrouwelijke kringen? Zijn deze kringen door iedereen gekend? Welke zaken moet je kunnen om tot de systemen toegelaten te worden? Is hiervoor een achtergrond-onderzoek nodig? Wie coördineert dit? Aan welke veiligheidsgerelateerde wetten moet je organisatie voldoen  (privacy, ISO-normen, BCM,…)?
I Heeft iedereen goede bedoelingen? Is hiervoor een achtergrond-onderzoek nodig? Zijn de processen uitgetekend en gecontroleerd op bugs en fouten? Werd de flow van het proces getest? Worden de systemen regelmatig onderhouden en getest? Is dat nodig? Hoe belangrijk is de juistheid van de inhoud? Gebruik je vrijwillige foutenintroductie ten behoeve van de vertrouwelijkheid?
A Welke mensen en zaken heb je nodig om je werk veilig te kunnen doen? Wat met een uitval van systemen? Mensen? Gebouwen? Faciliteiten? Leveranciers? Is er een Risicoanalyse gemaakt voor informatieveiligheid? Wie heeft fysieke toegang tot welke systemen? Wie heeft logische toegang tot welke systemen? Wanneer? Is er een SLA met leverancier? Wanneer heb je de informatie nodig? Zijn deze afhankelijk van het tijdstip in het jaar?

 

Antwoorden op deze vragen zijn dan de criteria waaraan informatieveiligheid binnen de organisatie moet voldoen.

De vier geboden van risicomanagement en vier waarden: openheid, daadkracht, vertrouwen en wendbaarheid

Risico-beseffend gedrag is terug te brengen tot de volgende vier geboden:

  1. Berokken jezelf geen schade, tenzij je er beter van wordt;
  2. Berokken niemand schade, tenzij hij/zij er beter van wordt;
  3. Maak niets stuk, tenzij je met de onderdelen iets beter kan maken;
  4. Grijp je kansen, tenzij dit in strijd is met regels 1, 2 of 3.

Deze vier geboden zijn

  • eenvoudig
  • gemakkelijk te onthouden
  • duidelijk toepasbaar

Bovendien zijn deze geboden vrij eenvoudig te linken aan de waarden van een organisatie. Ter illustratie geven we hier hoe deze passen binnen de waarden openheid, daadkracht, vertrouwen en wendbaarheid.

Openheid:

Regel 2: berokken niemand schade is hierop van toepassing. Bijvoorbeeld openheid van bestuur is maar geldig zolang iemand betrokken partij is. Ook de privacywetgeving huldigt dit principe dat een persoon beroep kan aantekenen tegen de verwerking van zijn gegevens. Bovendien staat de privacywetgeving vooral toe om met statistieken naar buiten te komen, niet om hart en ziel van een individu tegen zijn zin bloot te leggen. Er mag dus transparantie zijn, maar met de juiste mate: de mate waarin je niemand kwetst.

Daadkracht:

Regel 3: maak niets stuk en regel 4: grijp uw kansen. Daadkracht binnen de organisatie is scheppend bedoeld. Om de klant beter te dienen kan het evenwel nodig zijn om daadkrachtig te zijn en bestaande structuren af te breken en betere structuren te bouwen. Daarvoor moet men de wegen binnen de organisatie kennen om doeltreffend op te kunnen treden. En als men de doelen kent en de weg er naar toe, is het zaak om de kansen te grijpen.

Vertrouwen:

Regel 2: berokken niemand schade en regel 1: berokken jezelf geen schade. In de organisatie is het van ultiem belang dat iedereen in hen vertrouwen heeft. Dit geldt zowel voor de klant als voor de medewerkers. Je moet voldoende zelfvertrouwen hebben dat je de goede kant uit gaat met wat je voor de markt doet. Indien daarbij mensen elkaar zinloos pijn doen, zal dit vertrouwen snel geschonden worden.

Wendbaarheid:

Dit betekent dat bij regels 1 tem 4 steeds uitzonderingen kunnen horen.

Maar het betekent ook regel 4: grijp je kansen. Even afdwalen van de gekozen weg kan een aantal voordelen opleveren die je anders had laten liggen. Goed uitkijken naar opportuniteiten en deze aanpakken is dus eveneens de boodschap !

Implementing Enterprise Risk Management

admin

Editors: Fraser; Simkins en Narvaez

Dit 650 blz tellend boek heeft de bedoeling een leerboek / oefeningenboek te zijn, dat mijn inziens gebruikt kan worden in een bachelorprogramma voor Enterprise Risk Management. Het is opgebouwd uit 35 hoofdstukken, eigenlijk 35 verhalen, waarvan elk afgerond wordt met een vragenlijst als leidraad voor een bespreking door een team studenten. Het wordt begeleid door een ander boek, nl. “Enterprise Risk Management – today’s leading research and best practices for tomorrow’s executives”. Dit laatste is het bijhorende theorieboek.

Betekent dit dat je eerst het theorieboek moet gelezen hebben? Niet als je reeds een goede basiskennis ERM hebt volgens mij.

Volgende zaken uit dit boek zijn me als smaakmakers het meest bijgebleven:

  • Het PAPA model van LEGO: Park, Adapt, Prepare en Act. Hierbij heeft men de bedoeling om de overkoepelende strategische respons te bepalen op basis van hoe snel dingen in een scenario veranderen tav de kans dat een scenario optreedt.
  • De bepaling van de Risk Appetite adhv 7 vragen, nl
  1. Hoeveel risico denken we dat we nu nemen? (Risk perception)
  2. Hoeveel risico nemen we feitelijk? Welk bewijsmateriaal hebben we daarbij? (Risk exposure)
  3. Hoeveel risico nemen we gewoonlijk graag? Als dit minder is dan onder punt 1. Dan voelen we ons niet comfortabel. (Risk propensity / culture)
  4. Hoeveel risico kunnen we aan / veilig nemen? (Risk capacity) Dit moet groter zijn dan onder de punten 1., 2. en 3.
  5. Hoeveel risico denken we dat we zouden moeten nemen? (Risk attitude)
  6. Hoeveel risico willen we feitelijk nemen? (Risk appetite)
  7. Hoe kunnen we maatregelen en limieten zetten binnen de processen, producten en business onderdelen om er zeker van te zijn dat onze totale risk appetite niet wordt overschreden? (Risk limits)
  • Wat UW (University of Washington) over zijn ERM Model besliste:
  1. Assess de risico’s in de context van de strategische objectieven, en identificeer de interrelatie van risicofactoren over heel het instituut, niet enkel per uitgeoefende functie.
  2. Behandel alle types van risico’s: compliance, financieel, operationeel, en strategisch.
  3. Kweek een algemene awareness dat aan individuen toestaat hun aandacht te focussen op risico’s met een strategische impact.
  4. Verbeter en versterk de cultuur van UW van compliance, en bescherm tegelijk de decentrale, samenwerkende entrepreneurs-geaardheid van het instituut.
  • ‘Three lines of defence’ van de TD Bank: 1) de business en de aansprakelijken, 2) het uitzetten van standaarden en het uitdagen van business om hun governance te verbeteren, alsook hun risico’s en controlegroepen hun verantwoordelijkheden en aansprakelijkheden, en 3) een onafhankelijke interne audit.
  • De ERM-objectieven van Zurich Insurance Group:
  1. Bescherm het basiskapitaal, zodat de risico’s die genomen worden niet boven de risico-tolerantie uitstijgen.
  2. Verbeteren van de waarde creatie en bijdragen tot een optimaal risk/return profiel.
  3. Ondersteunen van beslissingnemers met consistente, tijdige, correcte informatie over de risico’s.
  4. Beschermen van de reputatie en de brand door een gezonde cultuur van risico awareness en een gedisciplineerde en geïnformeerde risiconame.

 

Dit is slechts een kleine greep uit de waardevolle voorbeelden die het boek ten toon spreidt.

Business Continuity And The Pandemic Threat

admin

Auteur: Robert A. Clark

Met dit boek trekt de auteur, Robert A. Clark, de aandacht op een belangrijk issue dat zich bevindt op de grens tussen BCM en Risicomanagement, maar wat traditioneel wordt toegeschreven aan BCM, namelijk de pandemische bedreiging. Deze bedreiging is relevant omdat statistisch deze zich gemiddeld om de 30 jaar manifesteerde de laatste 300 jaar.

Het boek is opgedeeld in twee delen: ‘Part I: Understanding the Threat’ en ‘Part II: Preparing for the Inevitable’

Deel I vertelt uitgebreid over micro-organismen, wat een pandemie eigenlijk is, gevaren van ziektekiemen in de handen van criminelen en terroristen, een korte geschiedenis van de belangrijkste gekende pandemieën, en het gevaar van ziekenhuisbacteriën (antimicrobial resistance of AMR). In twee aparte hoofdstukken gaat hij dieper in op de gevallen van SARS en de Spaanse Griep van 1918-1919 die doorheen het hele boek verder terugkomen als de klassiekers. Hij besluit deel I met een vergelijking tussen de twee gevallen die toch uitersten zijn: de Spaanse Griep met 50.000.000 sterfgevallen en SARS met een goede 1000 doden en ‘slechts’ 8000 besmettingen, wereldwijd.

Deel II gaat over de aanpak rond pandemieën. Hij vertrekt van twee standpunten: voorbereiding en respons. Daarover vertelt hij wat kan gedaan worden op wereld-, nationaal-, organisatie- en individueel niveau. Wat belangrijk is in deel II is volgens mij de aandacht die hij geeft aan de belangrijke punten voor een pandemieplan. Hij doet dit echter verhalend, zonder een concreet pandemieplan of template te geven. Dat maakt hij echter goed door in de appendices te verwijzen naar een website waar een template te vinden is: www.bcm-consultancy.com/pandemicthreat. Daarbij blijft het echter niet. Hij beschrijft ook wat je ermee moet doen als er geen pandemie is: oefenen en valideren. Daarbij geeft hij een overzicht van een aantal types van oefeningen, die gaan van zeer simpel tot zeer complex en uitgebreid.

Een beperkt deel van de aandacht van de beschouwingen van de karakteristieken van een pandemieplan gaan naar supply chain.

Ondertussen werd opgemerkt dat de template niet meer bereikbaar is op de website. Een voorbeeld van een pandemieplan vindt u echter op deze website: ‘http://www.emannuel.eu/uncategorized/pandemieplan/ ‘

Risico-identificatiebenadering

admin

Auteur: Manu Steens

Deze methode, sluit aan bij de COSO-ERM-aanpak als het gaat om centraal stellen van de doelstellingen van de onderneming en het entiteitsbreed identificeren van zowel statische als dynamische risico’s.

De structuur is een matrix die wordt vorm gegeven door enerzijds de doelstellingen (Strategische en operationele doelstellingen) en anderzijds mogelijke interne en externe factoren, de quick scan.

Deze matrix-aanpak bevordert de volledigheid van de risico-identificatie en geeft een structuur voor de ordening van de risico’s.

Meer bepaald ziet de risicomatrix er uit zoals hieronder weergegeven:

volgnr Aspecten Quick Scan bevindingen Risico’s: incident, kans, schadeoorzaak en schadegevolg vermelden
Strategische doelstellingen SD1 SD2
Operationele doelstellingen OD1-1 OD1-2 OD2-1 OD2-2
1 Procesmanagement
2 Belanghebbendenmanagement
3 Monitoring
4 Organisatiestructuur
5 Human Resources Management
6 Organisatiecultuur
7 Informatie en communicatie
8 Financieel management
9 Facilitymanagement
10 Informatie en communicatietechnologie
11 Externe factoren

Door deze matrix in te vullen beantwoordt de CRO drie essentiële vragen:

  1. Welke doelstellingen van de entiteit zijn onderwerp voor onderzoek?
  2. Welke onderdelen / aspecten van de organisatie zijn onderwerp voor onderzoek?
  3. In welke risico’s wordt nader inzicht gewenst?

In een eerste stap wordt aan de hand van een quick scan globaal nagegaan aan welke potentiële risico’s de entiteit bloot staat.

Als tweede stap zal de CRO op systematische wijze moeten nagaan welke van de in de quick scan onderkende risicoprobleemvelden in zijn bedrijf voorkomen en welke een nader onderzoek vergen. Daarvoor moet hij de desbetreffende interne en externe deskundigen en het management team bevragen.

Het uitwerken van een quick scan kan doorgaans door een bevraging te doen bij de deskundigen, wat zij globaal zien als realistische risico’s ivm de aspecten van de leidraad. Dit kan verder aangevuld worden met een deskresearch waarbij gebruik gemaakt wordt van jaarverslag, audit rapporten, risico-inventarissen van arbeidsveiligheid, brandpreventieplannen, continuïteitsplannen, incidentenregistraties, schadehistoriek inclusief registratie van bijna schaden.

Nadien wordt de matrix “gewogen” tav de quick scan in stap 2, waarbij duidelijk gekozen moet worden welke risico’s vat hebben op welke strategische en operationele doelstellingen. In periodieke interviews met het management team wordt dan gevraagd welke risico’s zij zien, hoe deze risico’s de organisatie beïnvloeden en wat er wordt gedaan om deze te beheersen. Een insteek van bestaande beheersmaatregelen kan eerder reeds opgenomen worden in de quick scan.