Uitgeverij: Wiley

Business Continuity Strategies – Protecting Against Unplanned Disasters – Third Edition

admin

Auteur: Kenneth N. Myers

In dit boek bespreekt de auteur strategieën voor het aanpakken van twee klassen rampzalige crisissen die een organisatie kunnen overkomen: Het uitvallen van alles wat computers aangaat en geweld en terreur op de werkvloer.

Herhaalde malen trekt de auteur van leer tegen twee zaken bij de eerste klasse:

  1. Het te gemakkelijk beslissen voor een disaster recovery site waar alle business software ontdubbeld staat
  2. Het stellen van de verkeerde vragen aan de businessmensen bij het bepalen van de BIA.

Wat dat laatste betreft blijken de consulenten de vragen vooral structureel verkeerd te stellen, bijv. vraag niet:

  • Hoelang kun je zonder pc?

Want dan is het antwoord steevast iets heel kortdurend, zoals “24 uur”

Stel de vraag anders door hen te confronteren met de feitelijke desgevallende situatie:

  • ICT en het servernetwerk ligt er voor 14 kalenderdagen uit. Wat ga je doen en wat heb je nodig om de business verder te laten gaan / te redden?

Door die andere insteek om de vragen te stellen, gaan de bedrijfsmensen veel bewuster om met de problematiek die zich zou kunnen voordoen en gaan ze beter nadenken.

Tevens geeft de auteur een aantal voorbeelden van alternatieve aanpak van een aantal branches in organisaties ten tijde van crisis, die kortlopend kunnen toegepast worden in een groot aantal bedrijven. Dit om tijdelijk de pc-loze periode te overbruggen, de tijd die de dienst ICT nodig heeft om alles terug op te zetten.

In dit boek pakt de auteur het vraagstuk op een gedegen manier aan. Het eerste hoofdstuk gaat dan ook over het definiëren van het vraagstuk. Daarna komen de hoofdstukken over computerproblemen en geweld op de werkplaats. Daarna geeft hij een aantal adviezen over het aanpakken van een contingency plan. Daarbij geeft hij ook enige aandacht aan awareness en opleiding.

Buiten het aantal alternatieve voorbeelden van de mogelijke praktijken bij computeruitval, waarvoor een disaster recovery website wel en niet goed voor is, en hoe de vragen moeten gesteld worden aan de business voor het opstellen van een BIA en het bijhorende contingency plan, blijft het boek vooral theoretisch op een goed niveau. Het klasseert zich daardoor op een niveau vooral boven dat van beginners.

Implementing Enterprise Risk Management

admin

Editors: Fraser; Simkins en Narvaez

Dit 650 blz tellend boek heeft de bedoeling een leerboek / oefeningenboek te zijn, dat mijn inziens gebruikt kan worden in een bachelorprogramma voor Enterprise Risk Management. Het is opgebouwd uit 35 hoofdstukken, eigenlijk 35 verhalen, waarvan elk afgerond wordt met een vragenlijst als leidraad voor een bespreking door een team studenten. Het wordt begeleid door een ander boek, nl. “Enterprise Risk Management – today’s leading research and best practices for tomorrow’s executives”. Dit laatste is het bijhorende theorieboek.

Betekent dit dat je eerst het theorieboek moet gelezen hebben? Niet als je reeds een goede basiskennis ERM hebt volgens mij.

Volgende zaken uit dit boek zijn me als smaakmakers het meest bijgebleven:

  • Het PAPA model van LEGO: Park, Adapt, Prepare en Act. Hierbij heeft men de bedoeling om de overkoepelende strategische respons te bepalen op basis van hoe snel dingen in een scenario veranderen tav de kans dat een scenario optreedt.
  • De bepaling van de Risk Appetite adhv 7 vragen, nl
  1. Hoeveel risico denken we dat we nu nemen? (Risk perception)
  2. Hoeveel risico nemen we feitelijk? Welk bewijsmateriaal hebben we daarbij? (Risk exposure)
  3. Hoeveel risico nemen we gewoonlijk graag? Als dit minder is dan onder punt 1. Dan voelen we ons niet comfortabel. (Risk propensity / culture)
  4. Hoeveel risico kunnen we aan / veilig nemen? (Risk capacity) Dit moet groter zijn dan onder de punten 1., 2. en 3.
  5. Hoeveel risico denken we dat we zouden moeten nemen? (Risk attitude)
  6. Hoeveel risico willen we feitelijk nemen? (Risk appetite)
  7. Hoe kunnen we maatregelen en limieten zetten binnen de processen, producten en business onderdelen om er zeker van te zijn dat onze totale risk appetite niet wordt overschreden? (Risk limits)
  • Wat UW (University of Washington) over zijn ERM Model besliste:
  1. Assess de risico’s in de context van de strategische objectieven, en identificeer de interrelatie van risicofactoren over heel het instituut, niet enkel per uitgeoefende functie.
  2. Behandel alle types van risico’s: compliance, financieel, operationeel, en strategisch.
  3. Kweek een algemene awareness dat aan individuen toestaat hun aandacht te focussen op risico’s met een strategische impact.
  4. Verbeter en versterk de cultuur van UW van compliance, en bescherm tegelijk de decentrale, samenwerkende entrepreneurs-geaardheid van het instituut.
  • ‘Three lines of defence’ van de TD Bank: 1) de business en de aansprakelijken, 2) het uitzetten van standaarden en het uitdagen van business om hun governance te verbeteren, alsook hun risico’s en controlegroepen hun verantwoordelijkheden en aansprakelijkheden, en 3) een onafhankelijke interne audit.
  • De ERM-objectieven van Zurich Insurance Group:
  1. Bescherm het basiskapitaal, zodat de risico’s die genomen worden niet boven de risico-tolerantie uitstijgen.
  2. Verbeteren van de waarde creatie en bijdragen tot een optimaal risk/return profiel.
  3. Ondersteunen van beslissingnemers met consistente, tijdige, correcte informatie over de risico’s.
  4. Beschermen van de reputatie en de brand door een gezonde cultuur van risico awareness en een gedisciplineerde en geïnformeerde risiconame.

 

Dit is slechts een kleine greep uit de waardevolle voorbeelden die het boek ten toon spreidt.

Managing Risk and Performance – A Guide for Government Decision Makers

admin

Auteurs: Thomas H. Stanton & Douglas W. Webster

Dit boek beschrijft de problematiek van het invoeren van enterprise risk management in de Federale overheid van de USA.

Het is in grote lijnen een verhaal van “het glas is half leeg of het glas is half vol”.

“Het glas is half leeg” kijkt naar de reputationele risico impacts van het ‘General Services Administration’ en het ‘Department of Veterans Affairs’ voor extravagante uitgaven aan conferenties, inadequaat federaal overzicht die aanleiding gaf tot de financiële crisis, ‘Deepwater Horizon’ Olievervuiling van BP etc. “Het glas is half vol”, dat aangehangen wordt in dit boek, is dat risico’s zelf nooit kunnen ge-elimineerd worden, maar dat ze veel beter kunnen gemanaged worden door het toepassen van de goede praktijken …  [Douglas Webster, CEO, Cambio Consulting Group]

Werking van de VS Government en haar dienstverlening aan de burgers optimaliseren is het doel van ERM in de Federale overheid van de USA volgens dit boek. Daarbij zijn er een aantal uitdagingen en een stappenplan dat uit deze teksten kan gedistilleerd worden:

Uitdaging 1: Blijvende ondersteuning van de top

De ondersteuning moet blijven gelden na vervanging van de leiders aan de top bij een machtswissel. Daarom is de creatie van een CRO / verantwoordelijke voor Risicomanagement van belang in de agencies. Dit kan de continuïteit van het risicomngt garanderen. Tevens is ondersteuning van de top van belang voor het creëren van een risico-erkennende cultuur in de organisatie. Hierbij is een institutionele verandering nodig, waarbij o.a. de nodige beleidsdocumenten, ondersteunende risicomngt processen en het opnemen van vereiste acties in de plannen van verantwoordelijkheden van de leidend ambtenaren van belang. Daarbij is het van belang te onderschrijven dat risicomanagement prioriteit heeft. Tevens moet het belang van RM binnen een goed beleid onderstreept worden en dat het risicomanagement kan gedelegeerd worden aan de CRO. Tevens is het van belang om RM te betrekken in elke vorm van kostenbesparing.

Uitdaging 2: Het overstijgen van silowerking

Veel individuen hebben steeds in hetzelfde agentschap gewerkt of dezelfde taken uitgevoerd. Daardoor wordt verandering moeilijk. Objectieven van organisaties zijn vaak niet meetbaar binnen overheden. Daardoor kunnen de lagere ondersteunende objectieven in de agencies aan belang winnen over de entiteit-brede objectieven.

Daarom moeten de agencies met betrekking tot RM:

  • Zich concentreren op een beperkt aantal maar meest relevante risico’s
  • Een Risico management comité oprichten met een beperkt aantal leden
  • RM institutionaliseren
  • Het RM-proces verbinden met/ van toepassing maken op de toewijzing van de budgetten
  • Een cultuur van vertrouwen creëren
  • RM comité nauw laten samenwerken met de agencies.

Uitdaging 3: Het overstijgen van een cultuur van voorzichtigheid

Vaak lijkt het alsof de overheid aanstuurt op risico-vermijdend gedrag. Ondernemen is echter risico nemen. In het verleden werd er te veel nadruk gelegd op “uit de problemen blijven”. Dit komt voornamelijk door het feit dat de overheid geen drijfveer heeft van “profijt versus verlies” wat een van de drijfveren is in de private sector. Daardoor is het moeilijker voor een overheid om hier te “optimaliseren”. Daarom moet er een cultuur komen van rapporteren van risico’s verticaal op en neer doorheen de agencies.

Hiervoor is de ondersteuning van de top essentieel. Medewerkers moeten er een veilig gevoel bij hebben wanneer ze een risico rapporteren.

Uitdaging 4: Het verzoenen van de risicofunctie met die van audit

Het is van belang zich ervan te verzekeren dat niet alleen fraude en misbruik worden tegengegaan, maar dat verspilling en inefficiënties worden geïdentificeerd op een manier die ervoor zorgt dat de agencies er baat bij hebben, door een verbeterde manier van besluitvorming. Ook daarvoor is een veilig gevoel bij de medewerkers van belang. Hierbij kan de samenwerking van de disciplines van audit en RM leiden tot sterkere praktijken wat betreft tegemoetkomen aan de verwachtingen van de belanghebbenden.

Uitdaging 5: Opvoeden van de medewerkers wat betreft Risicomanagement

RM is iets wat tijd vraagt om te begrijpen. Meer dan het voeren van betekenisvolle discussies over risico’s is de federal government van de VS te vaak bezig met het focussen op interne controles. Deze manier van werken kan geen garantie opleveren voor een gebalanceerde performantie versus kost en risico. Daarom is het uitspreken van een visie en waarde statement van RM dat uitgedragen wordt over de agency van belang. Zo’n statement kan een groot belang hebben bij het winnen van de noodzakelijke ondersteuning binnen de organisatie.

Het is dus belangrijk dat er meer aandacht gaat naar besef van bedreigingen en risico’s, dan het compliance-georiënteerd zijn. Het doel is dus het verhogen van de maturiteit van intern RM en om RM geïntegreerd te krijgen in de beslissingsprocessen doorheen heel de agencies. Daarbij kan het opstellen van een risicoregister en daarin het prioriteren van bedreigingen en risico’s helpen.

Eveneens van belang zijn dus een goed cultuur wijzigingsbeheer en het tonen van de meerwaarde van RM aan de medewerkers op alle niveaus binnen de agencies.

Uitdaging 6: Het aantonen van de (meer)waarde van Risicomanagement

Het moeilijke hierbij is aantonen dat je een kostelijk incident hebt voorkomen dat niet is opgetreden. Een belangrijke issue hierin is dat vaak grote druk bestaat om politiek gedreven initiatieven te nemen zonder begrip hoe die objectieven gehaald kunnen worden met een beheersbaar risico.

Daarom is de waarde van RM te bekijken als een verbeterde kwaliteit van beslissingsproces, doordat bedreigingen, obstakels, enz. een positieve dialoog kunnen geven. Zonder zo’n dialoog is de beslissing te vaak een simpele eis die zegt “we doen het” of “we doen het niet”.

Een verbeterd beslissingsproces kan men herkennen aan:

  • De identificatie en monitoring van risico’s en risicobehandeling die voorkomt op alle niveaus van de agency.
  • Ontwikkeling van of nieuwe mogelijkheden voor het management om tussen te komen in de allocatie van mensen en middelen indien een verandering in de omgeving een wijziging vereisen van de plannen voor de behandeling van risico’s.
  • Een belangrijke verlaging van het aantal verrassingen die de agency negatief beïnvloeden.
  • Een breed begrip van de risicotolerantie binnen de agency en het voelen van de nood om een zeker risico te nemen bij beslissingen, consistent met de risicotolerantie.
  • Verbetering van de mogelijkheid van de agency om middelen en mensen toe te wijzen, om risico’s te beheren over functionele en programmatorische domeinen heen, waardoor een grotere entiteit-brede return on investment ontstaat.
  • Verbetering van entiteit-brede appreciatie van de nood om functionele en programmatorische doelen af te stemmen met strategische doelen.

 

Het stappenplan hiertoe:

Stap 1: een RM raamwerk maken

Dit behelst het definiëren van sleutelrollen en verantwoordelijkheden, op vlak van de agencies zowel als overkoepelend over de overheid.

Overkoepelend over de overheid moet aandacht geschonken worden aan:

  • In de jaarlijkse budget-reviews moet men agencies vragen om de grote risico’s aan te geven en uit te leggen hoe deze worden aangepakt.
  • Bij het opstellen van de budgetten moet risk management betrokken worden als samenwerkende functie voor de inspectie er van.
  • Regelmatig nazicht van de beste praktijken van risk management in de agencies door accountancy.
  • Analyse van de risico-praktijken, om onafhankelijk in te schatten hoe de kwetsbaarheden wijzigen bij falen van risicomanagementprocessen.
  • Beoordelen van de kwaliteit van de beslissingen bij het afwegen van performantie, kost en risico om de meerwaarde voor de belanghebbenden te maximaliseren.

Op vlak van de agencies moet aandacht geschonken worden aan:

  • De CEO’s moeten hun directieraad omvormen tot een management dat denkt in termen van het welzijn van de agency eerder dan van de eigen organisatieonderdeel.
  • De CEO’s moeten een comité vormen in hun agency dat entiteit-breed de grote risico’s in kaart brengt, prioriteert, en een aanpak genereert voor deze met het hoogste prioriteit.
  • Een open cultuur genereren zodat alle medewerkers de mogelijkheid voelen om hun bezorgdheden te uiten tegen het management, zodat deze zich er over kan buigen.
  • De CEO moet een individu aanduiden om het risico-initiatief te leiden.
  • De CEO moet het budgetteringsproces zo fijnstellen dat ze op een geïntegreerde manier de middelen beschouwen, de performantie beschouwen en het risico.
  • Audit en de risico-functie bepalen samen hoe best de effectiviteit van de risico-functie kan ge-evalueerd worden zonder schade te berokkenen aan de noodzakelijke stroom van risico-gerelateerde informatie naar de organisatieonderdelen en de directieraad.

Stap 2: Conditioneren om RM effectief te maken

Het doel is om de risico-informatie op en neer in de agency te laten doorstromen naar de meest relevante plaatsen om ze aan te pakken door de juiste beslissingnemers. Daarvoor moet het silo denken overwonnen worden, moet men denken aan de risico’s en winsten voor de agency ipv voor de organisatieonderdelen. Hiervoor moet de risicofunctie bestaft worden met mensen met de juiste skills, waarbij interpersoonlijke skills belangrijker zijn dan analytische skills, omdat de risico-functie door iedereen als betrouwbaar en vertrouwd moeten ervaren worden. Dit omdat de risico-functie de leidinggevenden comfortabel moet kunnen laten voelen bij het vertellen van risico’s in hun organisatieonderdeel, eerder dan ze te verbergen. De kwaliteit van de risico-functie en hun toegang tot informatie is belangrijker dan haar grootte en budget.

Stap 3: Integreren van RM in het beslissingsproces

RM moet informatie kunnen geven aan de beslissingnemers. Het integreren van RM in het budgetteerproces en performantiemanagement processen staat de agency toe om met de schaarse middelen en mensen grote risico’s aan te pakken. Het integreren van RM in de strategische planning geeft de beslissingnemers de kans om informatie over grote risico’s te integreren in de planning van de agency. Daarnaast moet de CEO eveneens zich ervan verzekeren dat de risicofunctie aanwezig is op gespecialiseerde comités die de agency nodig vindt voor haar missie en structuur.

Stap 4: Bescherming van de risicofunctie

Het is essentieel dat de risico-functie beschermd wordt tegen grote spelers / leidinggevenden van wie het leengoed de agency in gevaar kan brengen.

Stap 5: Een risico-beseffende cultuur maken

De CEO heeft de mogelijkheid om de “teneur aan de top” te zetten in het voordeel van RM. Dit moet eveneens inhouden het uitbouwen van een open cultuur waarin de feedback gehoord wordt, en indien deze redelijk klinkt, het te valideren of te invalideren.

Daarnaast is samenwerken uiterst belangrijk. Dit opnemen in de evaluatie van de medewerkers is een optie om de medewerkers hiertoe aan te moedigen. De CEO moet publiekelijk de CRO bij gebeurtenissen betrekken, en wanneer een leidinggevende kwetsbaarheden komt bespreken die aan het licht zijn gekomen.

Stap 6: Het managen van het veranderingsproces

Verander van een RM proces met silo denken naar een RM proces met samenwerking.