Contact NARIS
Contact
Email to
info@naris.com

NARIS GRC® voor Non Profit organisaties

Inleiding maak risicomanagement geen doel op zich

 

Goede Doelen Organisaties krijgen steeds meer verplichtingen rondom governance en risicomanagement.  Een kleine greep:

  1. de kwaliteitsnorm ISO 9001 kiest voor een risicobenadering.

2. ANBI-status  eist ook steeds meer

https://www.cbf.nl/uploads/normen-categorie-d-per-1-december-2018.4bcde9.pdf

bron; Erkenningsregeling  zie link

3.2.Beheer van de financiële middelen

3.2.1. De organisatie bepaalt de omvang van de reserves en fondsen en licht die toe.

3.2.2. Als een reserve bestemd is om risico’s af te dekken, bepaalt de organisatie de omvang van de reserve op basis van een risicoanalyse en geeft aan welke maatregelen worden getroffen om risico’s te beheersen.

3.2.3. De organisatie geeft inzicht in het beleggingsbeleid. Voor alle vormen van financieel (risico)beheer stelt de organisatie vast welke financiële en niet-financiële criteria een rol spelen.

3.2.4. De organisatie leeft de “Richtlijn Financieel Beheer Goede Doelen (versie 22 juni 2017)” na en licht een eventuele afwijking daarvan toe.

 

3.5.Risicoanalyse

3.5.1. De organisatie geeft inzicht in de mogelijke risico’s die het voortbestaan of de doelrealisatie van de organisatie zouden kunnen bedreigen.

3.5.2. De organisatie toont aan hoe zij de benoemde risico’s probeert te beperken en te beheersen.

Van compliance-gedreven naar proactief risicomanagement

‘Goede Doelen Organisaties bevinden zich in een dynamische omgeving waarbij ze aan hoge verwachtingen en veel regels moeten voldoen om hoogwaardige Goede Doelen Organisaties te kunnen garanderen.’

Risicomanagement draagt bij aan het ‘in control zijn en blijven’, zonder alles dwangmatig te controleren. Om in control te blijven is het van belang risicomanagement als integraal, systematisch en continu proces te zien, beginnend met de doelen van de organisatie. Bij het continu proces van inventarisatie- en analyse van risico’s is het van belang zich op risico’s te focussen die het realiseren van strategische, operationele en financiële doelstellingen bedreigen. Effectief risicomanagement is geen systeem of model. Het is het samenspel tussen gedrag en regels dat ervoor zorgt dat een zorginstelling effectief met belangrijke risico’s omgaat.

Deze effectieve omgang met risico’s houdt ook eigen verantwoordelijkheid in. Controle is goed maar vertrouwen is beter. Een positieve foutencultuur helpt erbij om van fouten te kunnen leren maar in het bijzonder om risico’s te durven nemen. Doordat fouten erbij horen durven medewerkers verantwoordelijk te nemen en door vrijheid ontstaat openheid voor reflectie. Als risicosignalering en risicobewustzijn op alle niveaus is geïntegreerd, kunnen betere voorspellingen van risico’s, op zowel strategisch als operationeel niveau, worden gemaakt.

Risicomanagement werkt in onze visie alleen als de gehele organisatie een bijdrage levert aan de kerndoelen, vanuit een reeds gecreëerd draagvlak. Risicomanagement moet zijn ingebed in de reguliere werkprocessen door regelmatig een dialoog aan te gaan met betrokkenen. Deze verantwoordelijkheid geldt voor zowel het bestuur, als voor de medewerkers. Iedereen dient zich bewust te zijn van belangrijke risico’s die in een organisatie spelen, startend op het hoogste niveau, vervolgens per afdeling.

 

Hét succes van integraal risicomanagement

De ervaring leert ons dat veel Goede Doelen Organisaties de meeste risico’s al goed beheersen. Echter is de dialoog over risico’s statisch en blijft het meestal bij een lijst van risico’s.
“Hoe kan een organisatie de dialoog over risico’s stimuleren en voor bewustwording bij medewerkers zorgen?

Vanuit de praktijk heeft Naris  geleerd dat risicomanagement over bewustzijn en anticiperen gaat. NAR heeft een aanpak ontwikkeld, waarbinnen “De Strategiekaart” een levende dialoog over risico’s en risicoacceptatie faciliteert en de koppeling wordt gelegd met Prestatiemanagement. Met behulp van de Strategiekaart wordt draagvlak gecreëerd en worden risico’s aan doelstellingen gekoppeld. Door deze koppeling hebben Goede Doelen Organisaties meer inzicht in hun risico’s, vergroten zij het risicobewustzijn en bewaken zij de financiële continuïteit, waardoor de Kwaliteit en Veiligheid van Goede Doelen Organisaties blijft gewaarborgd!

‘Risicomanagement moet expliciet gerelateerd worden aan de doelstellingen van de organisatie’

Prestatiemanagement

Een risico is de kans op optreden van een gebeurtenis met effect op het behalen van de doelstellingen van de organisatie. Deze definitie van een risico laat zien dat risico’s en doelstellingen een duidelijke koppeling met elkaar hebben. Risico’s worden in de praktijk echter zelden aan de doelen van organisaties
(de strategie) gekoppeld, waardoor het bespreken van risico’s vaak als een losstaand geheel wordt benaderd. Een op zichzelf staande discussie over risico’s leidt vaak tot een al te negatieve voorspiegeling van zaken. Risicobeheersing wordt hierdoor te veel benaderd als negatief en remmend voor de organisatie, terwijl een gedegen discussie over risico’s een organisatie juist zou moeten helpen om haar doelen te realiseren. De discussie over risico’s dient om deze reden dan ook bij voorkeur gekoppeld te worden aan de discussie over de doelen die de organisatie zichzelf gesteld heeft. Door risicobeheersing direct deel uit te laten maken van het prestatiemanagement van de organisatie, ontstaat een platform waarin uitgewerkte, realistische en gedragen doelstellingen de basis vormen voor de interne agenda van de organisatie.

Deze benadering biedt een organisatie houvast bij het nemen van strategische beslissingen die bijdragen aan het grotere geheel in plaats van uitsluitend aan de individuele onderdelen, waardoor een efficiëntere én gezondere bedrijfsvoering ontstaat.

De Strategiekaart

Door middel van de strategiekaart wordt risicomanagement gekoppeld aan prestatiemanagement en sluit zo bij de kerndoelen van de organisatie aan.

Het opstellen van een strategiekaart start met de missie van de goededoelenorganisatie  welke de kernwaarden en kernbedoeling van de organisatie weergeeft. Vervolgens dienen de doelen gekozen te worden welke bepalend zijn voor de komende jaren. De juiste keuze maken kan lastig zijn aangezien doelen wel eens met elkaar conflicteren. Dit maakt het stellen van prioriteiten essentieel. Wanneer de strategische doelstellingen zijn bepaald, is het noodzakelijk te bepalen welke activiteiten van cruciaal belang zijn voor het bereiken van deze doelstellingen.

Als resultaat heeft u op één A4 een strategiekaart met een voor de organisatie operationeel gemaakte strategie, welke niet alleen helpt bij het sturen op realisatie van de ambities, maar ook helpt om aan belanghebbende partijen uitleg te geven over de strategie realisatie en de belangrijkste uitdagingen die daarmee samenhangen. Kortom; Transparantie en vooral ook Grip op úw Succes.

 

Toprisico’s

De volgende ontwikkelingen zien wij in de markt, welke uw strategie kunnen bedreigen.

  • Kwaliteit organisatie

De druk om aantoonbaar als organisatie te proffesionaliseren…… Goede Doelen Organisaties worden bijna gedwongen om hierover transparant te communiceren. Doet men dit niet, dan dreigt de doelgroep uit te wijken naar een collega instelling.

  • Integriteit issues van medewerkers
  • Risico’s uit samenwerking, netwerk governance,
  • Wijzigingen in wet- en regelgeving

Er worden steeds meer eisen gesteld aan verantwoording.  maar ook de druk vanuit de overheid op verregaande bezuinigingen, doen  telkens weer een beroep op uw aanpassingsvermogen.

  • Privacy

Naast het selecteren van het juiste pakket, zitten er grote risico’s in het schenden van de (privacy-) rechten van donateurs met als gevolg aanzienlijke boetes bij tekortkoming in de informatiebeveiliging.

 

 Om het risicobewustzijn in organisaties te vergroten en risicomanagement te implementeren dien je rekening te houden met de instrumentele en de cultuurkant van je organisatie. Eigenlijk dien je tussen de regels en de dialoog te balanceren.

De instrumentele kant bestaat vaak uit regels, beleid, autorisatie, rapportages,  P&C, formats en instrumenten. Het is noodzakelijk wel de kaders neer te zetten en ook te borgen door in een P&C cyclus. Maar die kaders zijn niet voldoende om het iets van je organisatie te maken.

De gedragskant betekent dat in de dagelijkse praktijk risico’s te laten en dat bij belangrijke beslissingen risico’s worden meegewogen.

Om deze stappen te kunnen zetten haken wij aan bij de ISO31000 welke de stappen verbindt aan de PDCA cyclus

  1. Mandaat & commitment wordt verkregen door wetgeving, interpretatie, en een context analyse zodat
  2. Plan ( Ontwerp van een RM kader)
    • Integraal RM framework (standaard taal)
    • Kaders; Wie doet wat, wanneer en hoe
    • Interne / externe rapportage
    • Training / tooling
    • Cultuur regels
  3. Do (Implementatie)
    • Helpen organisatie door organiseren dialoog
    • Verkrijgen beeld integrale risicoprofiel
    • Oprollen risicoprofiel
  4. Check (Monitoring en beoordeling van het kader)
    • Stuurgroep
    • Challengen risicoprofiel en proces
    • Alert op dynamiek profiel
  5. Act
    • Doorvoeren verbeteringen proces
    • Update externe risico’s
  6. Ontwikkel een visie
  7. Mandaat en commitment visie bij MT/DT
  8. Selecteer & training kernteam
  9. Ontwikkelen Standaardtaal & risicodialoog
  10. Uitrol sessies naar organisatie-onderdelen
  11. Validatie sessie
  12. Rapportage en presentatie

 

Plan ( Ontwerp van een RM kader) 2 de lijn

    • Integraal RM framework (standaard taal)
    • Kaders; Wie doet wat, wanneer en hoe
    • Interne / externe rapportage
    • Training / tooling
    • Cultuur regels

Do (Implementatie)

    • Helpen organisatie door organiseren dialoog
    • Verkrijgen beeld integrale risicoprofiel
    • Oprollen risicoprofiel

Check (Monitoring en beoordeling van het kader)

    • Stuurgroep
    • Challengen risicoprofiel en proces
    • Alert op dynamiek profiel

Act

    • Doorvoeren verbeteringen proces
    • Update externe risico’s

 

Naris is dé specialist op het gebied van risicomanagement. In ons werk maken wij een onderscheid tussen risicomanagement en risicoverantwoording. Risicomanagement gaat over de balans tussen risico’s nemen en beheersen; risico’s horen immers bij ondernemen. Risicoverantwoording gaat over het aantonen dat risico’s bewust en gecalculeerd genomen zijn. Via onze docentschappen bij het VU Zijlstra Center, de Haagse Hogeschool en de Master Risicomanagement aan de Universiteit van Twente houden wij onze kennis over beide onderwerpen actueel. Middels onze opdrachten brengen wij de theorie vervolgens in praktijk. Onze ervaringen nemen wij samen met die van onze opdrachtgevers mee in de doorontwikkeling van NARIS, ons Risk Intelligence-systeem. Een goed voorbeeld daarvan is de nieuwe compliance module, welke in samenwerking met
St. Jansdal tot stand is gekomen.