Managing Risk and Performance

A Guide for Gov Decision Makers

Estimated reading time: 10 minuten

Dit boek beschrijft de problematiek van het invoeren van enterprise risk management in de Federale overheid van de USA.

Het is in grote lijnen een verhaal van “het glas is half leeg of het glas is half vol”.

“Het glas is half leeg” kijkt naar de reputationele risico impacts van het ‘General Services Administration’ en het ‘Department of Veterans Affairs’ voor extravagante uitgaven aan conferenties, inadequaat federaal overzicht die aanleiding gaf tot de financiële crisis, ‘Deepwater Horizon’ Olievervuiling van BP etc. “Het glas is half vol”, dat aangehangen wordt in dit boek, is dat risico’s zelf nooit kunnen ge-elimineerd worden, maar dat ze veel beter kunnen gemanaged worden door het toepassen van de goede praktijken …  [Douglas Webster, CEO, Cambio Consulting Group]

Werking van de VS Government en haar dienstverlening aan de burgers optimaliseren is het doel van ERM in de Federale overheid van de USA volgens dit boek. Daarbij zijn er een aantal uitdagingen en een stappenplan dat uit deze teksten kan gedistilleerd worden:

Uitdaging 1: Blijvende ondersteuning van de top

De ondersteuning moet blijven gelden na vervanging van de leiders aan de top bij een machtswissel. Daarom is de creatie van een CRO / verantwoordelijke voor Risicomanagement van belang in de agencies. Dit kan de continuïteit van het risicomngt garanderen. Tevens is ondersteuning van de top van belang voor het creëren van een risico-erkennende cultuur in de organisatie. Hierbij is een institutionele verandering nodig, waarbij o.a. de nodige beleidsdocumenten, ondersteunende risicomngt processen en het opnemen van vereiste acties in de plannen van verantwoordelijkheden van de leidend ambtenaren van belang. Daarbij is het van belang te onderschrijven dat risicomanagement prioriteit heeft. Tevens moet het belang van RM binnen een goed beleid onderstreept worden en dat het risicomanagement kan gedelegeerd worden aan de CRO. Tevens is het van belang om RM te betrekken in elke vorm van kostenbesparing.

Uitdaging 2: Het overstijgen van silowerking

Veel individuen hebben steeds in hetzelfde agentschap gewerkt of dezelfde taken uitgevoerd. Daardoor wordt verandering moeilijk. Objectieven van organisaties zijn vaak niet meetbaar binnen overheden. Daardoor kunnen de lagere ondersteunende objectieven in de agencies aan belang winnen over de entiteit-brede objectieven.

Daarom moeten de agencies met betrekking tot RM:

• Zich concentreren op een beperkt aantal maar meest relevante risico’s
• Een Risico management comité oprichten met een beperkt aantal leden
• RM institutionaliseren
• Het RM-proces verbinden met/ van toepassing maken op de toewijzing van de budgetten
• Een cultuur van vertrouwen creëren
• RM comité nauw laten samenwerken met de agencies.

Uitdaging 3: Het overstijgen van een cultuur van voorzichtigheid

Vaak lijkt het alsof de overheid aanstuurt op risico-vermijdend gedrag. Ondernemen is echter risico nemen. In het verleden werd er te veel nadruk gelegd op “uit de problemen blijven”. Dit komt voornamelijk door het feit dat de overheid geen drijfveer heeft van “profijt versus verlies” wat een van de drijfveren is in de private sector. Daardoor is het moeilijker voor een overheid om hier te “optimaliseren”. Daarom moet er een cultuur komen van rapporteren van risico’s verticaal op en neer doorheen de agencies.

Hiervoor is de ondersteuning van de top essentieel. Medewerkers moeten er een veilig gevoel bij hebben wanneer ze een risico rapporteren.

Uitdaging 4: Het verzoenen van de risicofunctie met die van audit

Het is van belang zich ervan te verzekeren dat niet alleen fraude en misbruik worden tegengegaan, maar dat verspilling en inefficiënties worden geïdentificeerd op een manier die ervoor zorgt dat de agencies er baat bij hebben, door een verbeterde manier van besluitvorming. Ook daarvoor is een veilig gevoel bij de medewerkers van belang. Hierbij kan de samenwerking van de disciplines van audit en RM leiden tot sterkere praktijken wat betreft tegemoetkomen aan de verwachtingen van de belanghebbenden.

Uitdaging 5: Opvoeden van de medewerkers wat betreft Risicomanagement

RM is iets wat tijd vraagt om te begrijpen. Meer dan het voeren van betekenisvolle discussies over risico’s is de federal government van de VS te vaak bezig met het focussen op interne controles. Deze manier van werken kan geen garantie opleveren voor een gebalanceerde performantie versus kost en risico. Daarom is het uitspreken van een visie en waarde statement van RM dat uitgedragen wordt over de agency van belang. Zo’n statement kan een groot belang hebben bij het winnen van de noodzakelijke ondersteuning binnen de organisatie.

Het is dus belangrijk dat er meer aandacht gaat naar besef van bedreigingen en risico’s, dan het compliance-georiënteerd zijn. Het doel is dus het verhogen van de maturiteit van intern RM en om RM geïntegreerd te krijgen in de beslissingsprocessen doorheen heel de agencies. Daarbij kan het opstellen van een risicoregister en daarin het prioriteren van bedreigingen en risico’s helpen.

Eveneens van belang zijn dus een goed cultuur wijzigingsbeheer en het tonen van de meerwaarde van RM aan de medewerkers op alle niveaus binnen de agencies.

Uitdaging 6: Het aantonen van de (meer)waarde van Risicomanagement

Het moeilijke hierbij is aantonen dat je een kostelijk incident hebt voorkomen dat niet is opgetreden. Een belangrijke issue hierin is dat vaak grote druk bestaat om politiek gedreven initiatieven te nemen zonder begrip hoe die objectieven gehaald kunnen worden met een beheersbaar risico.

Daarom is de waarde van RM te bekijken als een verbeterde kwaliteit van beslissingsproces, doordat bedreigingen, obstakels, enz. een positieve dialoog kunnen geven. Zonder zo’n dialoog is de beslissing te vaak een simpele eis die zegt “we doen het” of “we doen het niet”.

Een verbeterd beslissingsproces kan men herkennen aan:

• De identificatie en monitoring van risico’s en risicobehandeling die voorkomt op alle niveaus van de agency.
• Ontwikkeling van of nieuwe mogelijkheden voor het management om tussen te komen in de allocatie van mensen en middelen indien een verandering in de omgeving een wijziging vereisen van de plannen voor de behandeling van risico’s.
• Een belangrijke verlaging van het aantal verrassingen die de agency negatief beïnvloeden.
• Een breed begrip van de risicotolerantie binnen de agency en het voelen van de nood om een zeker risico te nemen bij beslissingen, consistent met de risicotolerantie.
• Verbetering van de mogelijkheid van de agency om middelen en mensen toe te wijzen, om risico’s te beheren over functionele en programmatorische domeinen heen, waardoor een grotere entiteit-brede return on investment ontstaat.
• Verbetering van entiteit-brede appreciatie van de nood om functionele en programmatorische doelen af te stemmen met strategische doelen.

Het stappenplan hiertoe:

Stap 1: een RM raamwerk maken

Dit behelst het definiëren van sleutelrollen en verantwoordelijkheden, op vlak van de agencies zowel als overkoepelend over de overheid.

Overkoepelend over de overheid moet aandacht geschonken worden aan:

• In de jaarlijkse budget-reviews moet men agencies vragen om de grote risico’s aan te geven en uit te leggen hoe deze worden aangepakt.
• Bij het opstellen van de budgetten moet risk management betrokken worden als samenwerkende functie voor de inspectie er van.
• Regelmatig nazicht van de beste praktijken van risk management in de agencies door accountancy.
• Analyse van de risico-praktijken, om onafhankelijk in te schatten hoe de kwetsbaarheden wijzigen bij falen van risicomanagementprocessen.
• Beoordelen van de kwaliteit van de beslissingen bij het afwegen van performantie, kost en risico om de meerwaarde voor de belanghebbenden te maximaliseren.

Op vlak van de agencies moet aandacht geschonken worden aan:

• De CEO’s moeten hun directieraad omvormen tot een management dat denkt in termen van het welzijn van de agency eerder dan van de eigen organisatieonderdeel.
• De CEO’s moeten een comité vormen in hun agency dat entiteit-breed de grote risico’s in kaart brengt, prioriteert, en een aanpak genereert voor deze met het hoogste prioriteit.
• Een open cultuur genereren zodat alle medewerkers de mogelijkheid voelen om hun bezorgdheden te uiten tegen het management, zodat deze zich er over kan buigen.
• De CEO moet een individu aanduiden om het risico-initiatief te leiden.
• De CEO moet het budgetteringsproces zo fijnstellen dat ze op een geïntegreerde manier de middelen beschouwen, de performantie beschouwen en het risico.
• Audit en de risico-functie bepalen samen hoe best de effectiviteit van de risico-functie kan ge-evalueerd worden zonder schade te berokkenen aan de noodzakelijke stroom van risico-gerelateerde informatie naar de organisatieonderdelen en de directieraad.

Stap 2: Conditioneren om RM effectief te maken

Het doel is om de risico-informatie op en neer in de agency te laten doorstromen naar de meest relevante plaatsen om ze aan te pakken door de juiste beslissingnemers. Daarvoor moet het silo denken overwonnen worden, moet men denken aan de risico’s en winsten voor de agency ipv voor de organisatieonderdelen. Hiervoor moet de risicofunctie bestaft worden met mensen met de juiste skills, waarbij interpersoonlijke skills belangrijker zijn dan analytische skills, omdat de risico-functie door iedereen als betrouwbaar en vertrouwd moeten ervaren worden. Dit omdat de risico-functie de leidinggevenden comfortabel moet kunnen laten voelen bij het vertellen van risico’s in hun organisatieonderdeel, eerder dan ze te verbergen. De kwaliteit van de risico-functie en hun toegang tot informatie is belangrijker dan haar grootte en budget.

Stap 3: Integreren van RM in het beslissingsproces

RM moet informatie kunnen geven aan de beslissingnemers. Het integreren van RM in het budgetteerproces en performantiemanagement processen staat de agency toe om met de schaarse middelen en mensen grote risico’s aan te pakken. Het integreren van RM in de strategische planning geeft de beslissingnemers de kans om informatie over grote risico’s te integreren in de planning van de agency. Daarnaast moet de CEO eveneens zich ervan verzekeren dat de risicofunctie aanwezig is op gespecialiseerde comités die de agency nodig vindt voor haar missie en structuur.

Stap 4: Bescherming van de risicofunctie

Het is essentieel dat de risico-functie beschermd wordt tegen grote spelers / leidinggevenden van wie het leengoed de agency in gevaar kan brengen.

Stap 5: Een risico-beseffende cultuur maken

De CEO heeft de mogelijkheid om de “teneur aan de top” te zetten in het voordeel van RM. Dit moet eveneens inhouden het uitbouwen van een open cultuur waarin de feedback gehoord wordt, en indien deze redelijk klinkt, het te valideren of te invalideren.

Daarnaast is samenwerken uiterst belangrijk. Dit opnemen in de evaluatie van de medewerkers is een optie om de medewerkers hiertoe aan te moedigen. De CEO moet publiekelijk de CRO bij gebeurtenissen betrekken, en wanneer een leidinggevende kwetsbaarheden komt bespreken die aan het licht zijn gekomen.

Stap 6: Het managen van het veranderingsproces

Verander van een RM proces met silo denken naar een RM proces met samenwerking.

Vond u deze boekbespreking waardevol? Ontdek dan ook deze gerelateerde artikels voor meer inspiratie en inzichten: