Hoe communiceer en rapporteer je over risicomanagement?

Risicomanagement – COSO 2017 principes en best practices over Informatie, Communicatie en Rapportage principes. Hoe selecteer en structureer je relevante data voor besluitvorming.

COSO 2017 Thema 5 Informatie, Communicatie en Rapportage principes

Organisaties hebben te maken met een exponentieel groeiende hoeveelheid data. Daarnaast neemt ook de snelheid toe waarmee het allemaal moet worden verwerkt, georganiseerd en opgeslagen. Met zoveel datastromen bestaat de kans op ‘informatie-overload’. Een bekende uitspraak is: “we are drowning in information and starving for knowledge”.

Het is daarom belangrijk dat organisaties;

  • de relevante informatie selecteren vanuit de verschillende systemen,
  • in de juiste vorm en
  • met de juiste timing,
  • op het juiste detailniveau
  • aan de juiste mensen verstrekken.

Principe 18: Gebruik van Informatie en Technologie

De organisatie maakt gebruik van informatie-en technologie-systemen om risicomanagement te ondersteunen. En beetje reclame; ons pakket NarisGRC is in gebruik bij meer dan 300 organisaties waarvan enkele wereldwijd, en bevat risicomanagement, control, compliance, audit en incidenten informatie. Ik laat het je graag een keer zien.

Relevante Informatie

Organisaties gebruiken informatie welke relevant is om te anticiperen op situaties die impact kunnen hebben op de strategie en doelstellingen. De risicodatabase is meer dan alleen een opslagplaats van historische risicogegevens. Het dient het begrip en (her)gebruik van een  volledig actueel en dynamisch risicoprofiel te ondersteunen. Een dashboard kan hierbij zaken zeer inzichtelijk maken denk hierbij bijvoorbeeld aan een integraal beeld per land, proces, of een risicostrategiekaart als hieronder waarbij risico’s worden gekoppeld aan strategie en performance.

Risicomanagement

Het management en ander personeel kunnen bepalen hoe informatie het risicomanagement ondersteunt. Bijvoorbeeld;

  • Het bestuur kan informatie nodig hebben over de naleving van de gedragsnormen. Zij kan de prestaties in relatie tot die normen vaststellen door de kennis van het personeel te testen om vast te stellen of ze begrijpen wat van hen wordt verwacht.
  • Voor strategie en het stellen van doelen kan de organisatie informatie nodig hebben over de verwachtingen van stakeholders over de risicobereidheid. Stakeholders, zoals beleggers en klanten, kunnen hun verwachtingen kenbaar maken door middel van analistengesprekken, blogberichten, contractvoorwaarden enz. Al deze opties geven relevante informatie over de soorten en de hoeveelheid risico’s die een organisatie bereid is te accepteren, en de strategie die zij nastreeft.
  • Organisaties verzamelen informatie over hun concurrenten, hun risico’s en hun risicobereidheid.

Vandaag de dag worden de gegevens zo snel gegenereerd dat het voor het management vaak een uitdaging is om het te verwerken en te verfijnen tot bruikbare informatie.

Met risicomanagement software kunnen organisaties deze uitdaging aan. Het kan efficiënter zijn om waar mogelijk ook gebruik te maken van bestaande informatiesystemen, mits  deze niet verouderd zijn, gebruikersvriendelijk en flexibel. Met een integraal risicomanagement systeem kan de organisatie meer risicobewuste en betere beslissingen nemen én tegelijkertijd aan haar  rapportageverplichtingen voldoen.

Om nuttig te zijn moet informatie real time beschikbaar zijn voor de besluitvormers en de kwaliteit van de data geborgd zijn. Om de kwaliteit te waarborgen, implementeren organisaties software en stellen ze een informatiebeleid vast met duidelijke taken en verantwoordelijkheden.

Gestructureerde en ongestructureerde informatie

Er zijn twee soorten van informatie; gestructureerd en ongestructureerd. Gestructureerde gegevens verwijzen naar informatie die zeer georganiseerd is en gemakkelijk kan worden doorzocht (bijvoorbeeld databasebestanden, openbare indexen of spreadsheets). Ongestructureerde gegevens volgen daarentegen niet volgens een vooraf gedefinieerd gegevenspatroon (bijv. e-mailberichten, foto’s, video’s, tekstverwerkingsdocumenten).

Door kunstmatige intelligentie, datamining en machine learning, kunnen risicomanagers grote hoeveelheden (on)gestructureerde informatie verzamelen, converteren en analyseren. Hiermee kunnen organisaties betere beslissingen nemen. Deze informatie, gecombineerd met een menselijk oordeel/validatie, geeft het management meer inzicht.

Kortom, met geavanceerde gegevensanalyses kunnen organisaties:

  • ‘informatie-overload’ voorkomen en de enorme hoeveelheid gegevens die nu beschikbaar is ten voordele van het bedrijf gebruiken.
  • correlaties en dwarsverbanden in bedrijfsprestaties detecteren die niet direct duidelijk zijn met een meer traditionele benadering van data-analyse.
  • trends in prestaties eerder identificeren
  • aannames rondom de strategie challengen
  • meer inzicht bieden in beslissingen over alternatieve strategieën, bedrijfsdoelstellingen en het vaststellen van prestatiedoelstellingen.
  • Individuele meningen en ervaringen objectiveren

Standaard taal is noodzakelijk

Organisaties moeten de informatie die ze vastleggen structureren door gebruik te maken van een standaard risicotaal of architectuur. Als deze aansluit bij de huidige inrichting van 3LoD, ISMS, internal audit, informatiebeheer en operationeel risicobeheer, is de kans van slagen groter.

Door een gemeenschappelijke risicotaal te gebruiken, zijn risico’s binnen de organisatie te vergelijken en kan een eventuele  concentratie van risico’s binnen een bedrijfsonderdeel  worden vastgesteld. Een dergelijke structuur helpt ook om risico’s te beoordelen in relatie tot strategie en doelstellingen van de organisatie.  Het dient ook als basis voor het ontwikkelen van een consistente reactie op risico’s en verschillende rapportages.

Gegevensbeheer als randvoorwaarde

Wil je kunnen bouwen op bestaande informatie dan moet deze wel betrouwbaar zijn. Belangrijk onderdeel van risicomanagement is om de kwaliteit van het gegevensbeheer te waarborgen. Dit omvat drie belangrijke elementen: gegevens- en informatiebeheerprocessen en besturingselementen en architectuur.

  • Gegevens- en informatiebeheer helpen op een tijdige, verifieerbare en veilige manier gestandaardiseerde, hoogwaardige gegevens aan eindgebruikers te leveren. Ze helpen ook bij het standaardiseren van de gegevensarchitectuur, het autoriseren van standaarden, het toewijzen van verantwoording en het handhaven van de kwaliteit. Ze definiëren duidelijke   rollen en verantwoordelijkheden voor data-eigenaren en eigenaars van risico-informatie. Qua veiligheid zijn hiervoor steeds meer kaders als ISO27002 of de BIO voor overheidsorganisaties.
  • Processen en besturingselementen helpen een organisatie de betrouwbaarheid en kwaliteit van gegevens te versterken en zorgen ervoor dat er waar nodig correcties kunnen worden doorgevoerd.
  • Architectuur voor gegevensbeheer verwijst naar het fundamentele ontwerp van de technologie. Het is samengesteld uit modellen, beleidsregels, regels of normen die bepalen welke gegevens worden verzameld en hoe deze worden opgeslagen, ingericht, geïntegreerd en gebruikt in systemen en de organisatie. Organisaties implementeren normen en bieden regels voor het structureren van informatie, zodat de gegevens op betrouwbare wijze kunnen worden gelezen, gesorteerd, geïndexeerd, opgehaald en gedeeld met zowel interne- als externe belanghebbenden, waardoor uiteindelijk de waarde op lange termijn wordt beschermd.
LinkedIn
Twitter
Facebook
Email
Print
Incidentenmanagement Risico Control Matrix PDCA Risicomanagement risicodialoog Risk appetite

In het kort:

Meer artikelen: