Van risicodialoog naar rapportage

Ja, hoe ga je nu verder na een hartstilstand in een tijd van reflectie? Zoals uit mijn vorige blog ‘Blij dat ik nog leef’ bleek, heb ik nog geen afscheid genomen van het risicodenken. Dus blijf ik ook lezen. Zo ook het nieuwe boek van Martin van Staveren “Risicodialoog”. Ben erg benieuwd wat hij onder een risicodialoog verstaat. Bij mijzelf leeft vooral de gedachte altijd: ‘Leuk zo’n dialoog, maar wat leg je vast en wat kun je er integraal mee?”

Risicodialoog

Na zijn eerdere boeken over “Risicogestuurd werken” en “Risicoleiderschap” pakt Van Staveren nu de risicodialoog beet. En terecht, want het gesprek over risico’s is het meest waarde toevoegende onderdeel van alle risicomanagementstappen. Met zijn DOD-methode (Doel-Onzekerheid-Doen) wordt het bespreken van risico’s in relatie tot de doelen heel praktisch gemaakt. In zijn boek haakt hij ook aan op een mooie artikel “The talking cure” van Robin Holt, waarin tamme, meer voorspelbare en wilde vraagstukken worden omschreven en hoe je daar mee om moet gaan. De DOD-methode richt zich vooral op de wilde en onvoorspelbare vraagstukken. En één ding is zeker… die zijn er steeds meer!

Eerder in 2011 heeft Karel de Bakker in zijn promotie “Dialogue on Risk” aangetoond dat naast de dialoog, administratie en rapportage het meest bijdragen aan het succes van een project. In de dialoog krijgt men een gemeenschappelijk beeld van de situatie en begrip voor elkaars standpunten.

Je kunt een mooi gesprek hebben gehad, maar je moet het wel kunnen rapporteren, het moet zichtbaar zijn. En natuurlijk is een risicodialoog waardevol. Maar zou het niet waardevoller zijn om een integraal beeld te krijgen van alle signalen die uit de verschillende dialogen komen?

Ook Van Staveren erkent dit. Hij omschrijft dit in twee sporen: een DOD-mindmap en een DOD-tabel die zich meer leent voor koppeling aan een bestaande P&C-cyclus. De mindmap is een waardevol instrument voor het vastleggen van een dialoog, maar geeft niet direct een integraal beeld. De koppeling aan de P&C-cyclus biedt daar meer mogelijkheden voor. Hiermee kan accurate, tijdige en overzichtelijke informatie vanuit de verschillende organisatieonderdelen meegenomen worden in de besluitvorming.

Maar juist dit laatste blijkt in de praktijk moeilijk. Veel organisaties stranden met de vele details over individuele risicoanalyses en bereiken nooit een integraal risicobeeld. Daarom een kleine verdieping en aandachtspunten over de risicorapportage.

Risicorapportage

Er zijn vele soorten risicorapportages zowel intern en extern. Voor externe verslaglegging is het belangrijk om geruststellend te zijn, terwijl je intern door middel van een risicodialoog in detail gaat over de risico’s. Deze twee moeten op elkaar aansluiten en niet door elkaar lopen. Je wilt immers niet elk risico en detail in je jaarverslag, want hierdoor zorg je ervoor dat je interne angst zaait. “Alles wat ik vertel word ik op afgerekend”. Bepaalde keuzes over consolidatie en transparantie moeten worden gemaakt. Het waardevolle van risicomanagement zit vooral in de interne communicatie over risico’s, bespreken van elkaars ervaringen en percepties, zodat een gemeenschappelijk beeld ontstaat van de situatie. Zie hier wat COSO ERM over rapportage aangeeft.

7 aandachtspunten voor een rapportage

  1. Sluit aan bij bestaande reporting; Ten aanzien van de rapportage zou aansluiting gezocht moeten worden bij de reeds bestaande rapportagestructuren. Zo zijn er al rapportages, waarin doelen, KPI’s, financiën en HR worden opgenomen. Risico-informatie wordt in deze tijd steeds vaker onder non-financial reporting geschaard.
  2. Dashboard of Adobe; De traditionele rapportages in Excel of Adobe maken steeds meer plaats voor dashboards. Veel organisaties werken met Power BI, omdat iedereen uiteindelijk met Excel werkt en het dan via Power BI gaat dashboarden. Daarmee zijn meerdere informatiebronnen door middel van datafeeds aan elkaar te koppelen.
  3. Koppeling met risk appetite; Voor het bestuur is de risk appetite een belangrijk onderwerp. Waar willen we wel of niet risico’s nemen in relatie tot het behalen van onze doelstellingen. Dit is natuurlijk iets anders dan financieel-, privacy- of HR-risicomanagement.
  4. Planning en control cyclus; De risicorapportage en de P&C-cyclus laten samenvallen als het om reporting gaat. Maar er is een verschil tussen het verzamelen van informatie en het rapporteren daarvan. Als ik als manager in de eerste lijn zit, moet ik veel verschillende zaken aanleveren. Het toevoegen van nóg een element, zoals risicorapportage, kan overweldigend zijn. ‘Het rapport werd opgesteld, maar er werd niet over gesproken in de vergadering, omdat de financiële cijfers voorrang kregen’. Daarom is het zinvol onderscheid te maken tussen het verzamelen van informatie en het rapporteren daarvan. Het is goed om te reflecteren tijdens rustige perioden. Misschien heb je dan nét al die andere taken afgerond en is er een uurtje om te reflecteren op de belangrijkste risico’s en controls. Dat kunnen we later nog eens snel actualiseren, maar dan is het klaar.
  5. Visualisatie risicoprofiel; Een heatmap of risicokaart is vaak het traditionele beeld van risico’s. Veel mensen zien dat als de standaard. Maar een taartdiagram of mindmap is wellicht slimmer om een goed beeld te geven van risico’s per bedrijfsonderdeel. Heatmaps kun je op verschillende manieren vormgeven, zoals op basis van kans en impact, financieel of imago. Soms meerdere dimensies bij elkaar zoals de Shell-heatmap waar je meteen alle tegelijkertijd ratings ziet. Maar wellicht is het beter meerdere heatmaps te maken en de kleuren aan te passen op basis van je risicobereidheid. Stel dus prioriteiten als risicomanager en laat niet alles zien.
  6. Aandacht voor dynamiek in het risicoprofiel; Door regelmatig risicoprofielen te updaten kun je inzicht krijgen in de trends en kan er beter bijgestuurd worden.
  7. Standaardisatie en consolidatie; Om risico’s en controls integraal te kunnen rapporteren is het van belang om aan de voorkant reeds een lijst met standaard risico’s met bijbehorende controls te maken. Zo voorkom je dubbele risico’s en help je zo de organisatie doordat zij niet zelf risico’s hoeven te bedenken.


Essentiële onderdelen integrale risicorapportage

Bij rapportages dien je aan te sluiten bij de bestaande organisatiestructuur op het gebied van doelstellingen, organogram, processen of locaties.

  • Het aantal vastgestelde risico’s en controls per bedrijfsonderdeel. Hierdoor kun je laten zien dat sommige onderdelen hun werk hebben gedaan, terwijl anderen te druk waren. Je moet groepsdruk creëren door zo snel mogelijk een integraal beeld te geven dat vragen oproept.
  • Het aantal per soort risico’s; bijvoorbeeld juridische-, financiële- en IT-risico’s. We hebben vaak alleen de focus op financiële risico’s, maar hoe zit het met de gehele supply chain?
  • De impact van vastgestelde risico’s per bedrijfsonderdeel (bijvoorbeeld top 5 per afdeling/unit).
  • De impact van per soort risico.
  • Aantal incidenten per bedrijfsonderdeel.
  • Aantal bevindingen vanuit audits per bedrijfsonderdeel.

Zorg voor een zichtbare cyclus van activiteiten. Het gaat om de dynamiek in het risicoprofiel!

LinkedIn
Twitter
Facebook
Email
Print
risicodialoog rapportage

In het kort:

Meer artikelen:

Bekijk meer artikelen en Webinars in de Naris Academy ->

Nederland

Plantageweg 1C
3833 AZ Leusden

Colosseum 19
7521 PV Enschede

Duitsland

Hohenzollernring 57
50672 Köln

Over NARIS

Partners

GRC tooling

Support