Sonja Janicijevic, adviseur risicomanagement bij AON, geeft samen met Robert ’t Hart en Erik van Marle (beide directeur bij NARIS) een boeiende presentatie over business in control. Samen lichten ze het hoe, waarom, en vooral de grote meerwaarde van hun samenwerking toe.
Business in control – de samenwerking
Sinds ongeveer een jaar werken NARIS en AON samen om hun opdrachtgevers nog meer toegevoegde waarde te kunnen bieden. AON adviseert in de opzet en de implementatie, en in de toepassing van risicomanagement, en NARIS biedt tooling aan om datzelfde proces goed te integreren en te borgen. Robert ’t Hart vertelt dat het NARIS softwarepakket kennis deelt tussen alle gebruikers. Aon heeft deze kennis volop in huis. Kennisdeling en borging van risicomanagement en compliance met de Business in Control aanpak helpt de opdrachtgevers bij het maken van goede keuzes.
AON past het risicomanagement pragmatisch toe. De uitdaging is om deze lijn door te trekken en structureel toe te passen. De tooling van NARIS helpt erbij om het risicomanagement echt iets van de organisatie te maken, een vibrerende, levende zaak. Kortom een samenwerking die duurzaamheid beoogt.
Een hoger plan
Maar hoe breng je risicomanagement nu samen naar een hoger plan? De kunst is om het risicomanagement goed en pragmatisch te implementeren, zodat het naadloos aansluit bij de organisatie. Traditioneel risicomanagement focust op het proces (hoe richt ik het proces goed in, hoe organiseer ik de verantwoordelijkheden eromheen, en hoe krijg ik die risico-informatie naar boven waar ik op moet sturen). Om dit naar de volgende fase te tillen moet vooral worden gekeken naar de effectiviteit van de te nemen maatregelen. Zijn deze maatregelen echt genomen, hebben ze daadwerkelijk tot het doel geleid, en hebben ze het risicoprofiel verbeterd? Zekerheid hierover geeft bestuurders en management vertrouwen om risico’s te blijven nemen. Zo krijgt risicomanagement betekenis.
De risicoloze wereld
We opereren in deze tijd in een enorme dynamiek, en binnen grote complexiteit. Binnen die complexiteit worden voortdurend risico’s en kansen op ons afgevuurd. In de maatschappij zie je dat als er een incident voorvalt, we scherpe vragen gaan stellen en het incident willen uitbannen. We lijken te verlangen naar een risicoloze wereld. Als reactie hierop proberen we regels te verzinnen, maar ook fysieke maatregelen te treffen om deze risico’s voor te zijn.
In de business in control-aanpak van AON en Naris wordt gefocust op sturing maar ook op verantwoording van de inrichting van het risicomanagementproces. Allereerst wordt ervoor gezorgd dat het traditionele stuk op orde is, en vervolgens verschuift de aandacht naar de borging van de controls. Dit door middel van periodieke checks met ‘lichte audits’ / assessments. Er hoeft hier niet per se een auditafdeling voor aanwezig te zijn, de assessment is onderdeel van de aanpak die Aon en Naris bieden. Borging van de key controls is essentieel en geeft aan in hoeverre risicomanagement daadwerkelijk effectief is.
Three Lines of Defense
Wat betreft de risico’s die het bedrijf bedreigen: het management zal bewust en proactief moeten zijn. De kunst is om als tweede lijn alleen maar te faciliteren bij het in beeld brengen en managen van risico’s, en het proces vooral niet over te nemen. Het doorvoeren van maatregelen is en blijft de verantwoordelijkheid van de eerste lijn, integraal met de verantwoordelijkheid voor de aansturing van de onderneming.
De waarde van dialoog
Het is belangrijk om het gesprek over risico’s op gang te houden, of het nu één op één of in een groepssessie gebeurt. De facilitator (2de lijn) stelt vragen en helpt gedachten te orderen. De risico-eigenaren formuleren zelf de risico’s en voelen daarmee het eigenaarschap en de verantwoordelijkheid voor actie. Voortdurende risico-dialoog leidt tot bewustwording over risico’s en over de noodzaak tot actie nemen. Deze aanpak draagt bij aan de insteek van de nieuwe COSO: zorg dat je dicht bij de strategie en sturing van je organisatie blijft, zorg dat het leeft!
De voordelen
Een groot voordeel van deze werkwijze is dat de focus ligt bij de resultaten van risicomanagement: de realisatie van maatregelen en daadwerkelijk verbeteren van het risicoprofiel. Dit verkoopt naar de business! Ook wat betreft het in control statement wordt zo aangetoond dat de organisatie goed zicht heeft op de belangrijkste risico’s. Daarnaast is het belangrijk dat je als bedrijf leert van het wel of niet werken van de beheersing, en dat ’three lines of defence’ goed en duidelijk samenwerken.
De praktijk
Erik van Marle vertelt dat de kracht zit in de combinatie. Als adviezen niet geborgd worden is het lastig om erop terug te komen. Bij leiderschap is het nakomen van gemaakte afspraken essentieel. Door monitoring van de status van risicobeheersing is focus op de effectiviteit van risicomanagement gevestigd. Als je dit doet met de Naris software kun je in één afbeelding zien wat mensen met elkaar willen bereiken. Je kunt daarnaast heel helder herkennen welke risico’s de doelstellingen van het bedrijf bedreigen. Deze combinatie zal het bestuur het vertrouwen geven bij het nemen van belangrijke beslissingen. Tegenwoordig zit er dus veel meer dynamiek in de control: Max Verstappen rijdt zo hard omdat hij honderd procent vertrouwt op de remmen die hij heeft.
