Prestatiegericht risk management
Veel organisaties hebben een beleid op het gebied van risk management en ze gebruiken vaak Excel of een web gebaseerde tool om geïdentificeerde risico’s met bijbehorende beheersmaatregelen vast te leggen en te beheren.
Er zijn echter maar weinig organisaties die een directe verbinding leggen tussen hun risk management activiteiten en de vastgestelde risico bereidheid. Een manier om dit te doen is om door middel van key performance indicators risico gerelateerde trends te identificeren en dit te integreren in de (maandelijkse) rapportagecyclus. Als men dit op de juiste manier doet, zal risk management meer toegevoegde waarde hebben. Je kunt dit “prestatie gericht” risk management noemen.
In deze context betekent ‘prestatiegericht’ dat de key performance indicators gekoppeld zijn aan de risicobereidheid via vooraf vastgestelde risicotoleranties. Deze indicatoren worden gemeten en periodiek geverifieerd om vast te stellen of ze de afgesproken toleranties bereiken of zelfs overschrijden. Op deze manier kijk je of het risico zich voordoet en zet je key performance indicators om in key risk indicators, ook wel afgekort tot KRI. Deze aanpak kan worden toegepast in vele industrieën alsook bij overheids- en non-profitorganisaties.
In dit artikel hebben wij een pragmatische en eenvoudige manier uiteengezet om prestatiegericht risk management te implementeren. Lees verder om op om een praktische manier prestatiemeting te koppelen aan risk management.
Risk management: context
De organisaties waar we prestatiegericht risk management introduceerde waren middelgrote bedrijven met ongeveer 300-1000 werknemers. Het risk management was bij deze bedrijven relatief nog niet erg volwassen en risk management gerelateerde activiteiten waren over het hele bedrijf verspreid. Een gecentraliseerde risicobeheerfunctie was niet altijd aanwezig. De bestaande risk management activiteiten waren voornamelijk gericht op ‘traditionele’ activiteiten zoals interne controle activiteiten en beperkte dynamische interactie en/of betrokkenheid bij de business.
COSO ERM
Onze implementatiebenadering is meestal gebaseerd op het COSO ERM model uit 2004. Na het definiëren van de doelen en doelstellingen van de organisatie, heb ik in samenwerking met verschillende medewerkers (op basis van interviews, maar ook jaarverslagen, auditrapporten en incidentrapporten) een risico universum gemaakt met diverse interne en externe risico’s die de organisatie kunnen bedreigen.
Daarnaast hebben wij waarschijnlijkheids- en impactcriteria bepaald voor het beoordelen van de risico’s. Nadat ik het risico universum had gemaakt, zijn verschillende workshops gehouden met managers van alle afdelingen om de meest relevante risico’s die binnen hun verantwoordelijkheidsgebied vielen te identificeren. Dit resulteerde in ongeveer 50 risico’s die als basis dienden voor de risk assessment met het management team of leadership team.
Deze risk assessment resulteerde in de top risico’s. Deze top risico’s werden verder geanalyseerd op grondoorzaken, gevolgen en mate van beheersing. Om meer interactieve bijeenkomsten te hebben, hebben we ‘mini-workshops’ georganiseerd met 2-3 medewerkers waar we de risico’s via MindMapping hebben geanalyseerd. MindMapping is een grafische manier om ideeën en concepten weer te geven. Het is een visueel denkinstrument dat je informatie structureert, wat helpt bij het beter analyseren, begrijpen en bedenken van nieuwe ideeën. Onze ervaring is dat deze interactieve techniek veel meer informatie oplevert dan bijvoorbeeld een interview.
Na het opstellen van het risk en beheersing raamwerk op basis van het bovenstaande begonnen we met de belangrijkste key risk indicators (KRI’s). Alles is gedocumenteerd in Excel, dus zowel het risico beheersing raamwerk als het KRI-dashboard zijn gebaseerd op Excel.
Belangrijk is dat dit artikel niet bedoeld is om de concepten te negeren die zijn beschreven in het onlangs uitgebrachte ‘COSO ERM – Integrating with strategy and performance’ uit 2017. Het is duidelijk dat deze editie van COSO inzoomt op de relatie tussen performance en risk management en het belang benadrukt van het overwegen van risico’s in zowel het strategiebepalende proces als in het aansturen van prestaties. Het doel van dit artikel is meer om een praktische manier te bieden om prestatiemeting te koppelen aan risk management.
KRI’s en de relatie met Key Perfomance Indicators bij risk management
Zoals hierboven aangegeven, zijn de belangrijkste key risk indicators (KRI’s) in essentie performance indicators, maar gericht op risico’s en verbonden met de risicobereidheid van het bedrijf via risicotoleranties. In dit gedeelte lees je hoe je de KRI’s kunt bepalen en hoe je ze kunt gebruiken. Ook staan er voorbeelden bij.
Wij zijn ervan overtuigd dat het meest effectief is om methoden en technieken te gebruiken die al aanwezig zijn, in plaats van nieuwe methoden te bedenken en het wiel opnieuw uit te vinden. Dit geldt ook voor KRI’s. In een van de organisaties waar we dit hebben toegepast was het gebruik van Key Performance Indicators wijdverbreid.
Wij zijn begonnen met enkele top risico’s en stelden vast welke KPI verband hield met het risico en ook als KRI kon dienen. In sommige gevallen moet de KRI uiteraard helemaal opnieuw worden bepaald wanneer er geen bijbehorende KPI beschikbaar is. Het bepalen van KRI’s moet altijd in nauwe samenwerking met de risico-eigenaar gebeuren, aangezien hij/zij uiteindelijk ook de eigenaar van de KRI zal zijn.
Na het vaststellen van de KRI in overleg met de risico-eigenaar, heeft de risico-eigenaar toleranties bepaald (die uiteraard in lijn moeten zijn met de risicobereidheid). Wanneer de risicobereidheid laag is, worden de toleranties zeer strikt vastgesteld en bij een hoge risicobereidheid zijn de toleranties groter.
Je kunt ook de KRI waarde markeren wanneer het een norm overschrijdt of niet (eventueel met behulp van een stoplichtsysteem) en of het verhoogd of verlaagd is en een positieve of negatieve trend vertoont (afhankelijk van de KRI). Dit is een uitstekende manier om je risicobereidheid te operationaliseren en zeer concreet en tastbaar te maken.
Maak minigrafieken
Iedereen weet dat een beeld meer zegt dan duizend woorden. Daarom is het erg nuttig om je gegevens met een grafiek weer te geven. Op deze manier zijn trends gemakkelijk te herkennen. Wanneer je ook grafieken opneemt die de toleranties laten zien, kun je direct zien of de KRI een tolerantie overschrijdt.
Voorbeeld van een KRI risk management dashboard
De volgende afbeelding toont een voorbeeld van een KRI-dashboard. Het risico is (kwantitatieve) beschikbaarheid van personeel en de bijbehorende KRI is het verloop als percentage van het totale personeelsbestand. Zoals je kunt zien, is de tolerantie ingesteld op 10% (oranje) en 12% (rood), dit moet in overeenstemming zijn met de risicobereidheid van het bedrijf. De trend maand op maand laat zien dat de KRI het hele jaar onder de norm ligt, maar een zorgwekkende stijgende trend toont die zelfs in september de norm overschrijdt.
Maak de KRI’s uitvoerbaar
Om ervoor te zorgen dat dit proces echt een meerwaarde heeft en om praktische managementinformatie te creëren, is het cruciaal om een conclusie en actie aan de KRI te koppelen. Op basis van de gegevens en de bijbehorende trend moet je zoeken naar grondoorzaken die de risicoblootstelling veroorzaken. Wanneer de trend de toleranties begint te overschrijden, is het belangrijk om, in samenwerking met de risico-eigenaar, passende maatregelen te bepalen om de risicoblootstelling weer binnen aanvaardbare toleranties te brengen. Het is belangrijk op te merken dat de hoofdverantwoordelijkheid voor het beheersen van het risico uiteraard bij de risico-eigenaar ligt.
Wie gebruikt KRI’s?
Het is belangrijk om je doelgroep te kennen. Het is duidelijk dat de risk manager een van de belangrijkste gebruikers van het KRI-dashboard is als onderdeel van zijn toezichthoudende rol met betrekking tot risico’s. Maar het is ook belangrijk dat het dashboard gedeeld wordt met het management en de Raad van Bestuur. Vooral managers hebben de primaire verantwoordelijkheid om op te treden wanneer risico’s de afgesproken normen overschrijden.
Hoe verzamel je data?
Een belangrijk onderdeel van KRI’s zijn de brongegevens. Als Key Performance Indicators al in gebruik zijn, zou dit eenvoudig moeten zijn. Je maakt dan gewoon gebruik van de gegevens die al zijn vastgelegd. Wanneer je KRI’s echter helemaal opnieuw bepaalt, kan dat behoorlijk tijdrovend zijn. Je moet met de risico-eigenaar afspreken waar en hoe je de brongegevens opvraagt. Soms zijn de gegevens gemakkelijk beschikbaar via een rapport dat al is verzonden, maar in andere gevallen moet men beginnen met het vastleggen van de gegevens.
Geleerde lessen bij deze vorm van risk management
Tijdens de implementaties van prestatiegericht risk management die ik heb uitgevoerd, waren er uiteraard altijd een aantal uitdagingen. Daaruit heb ik de volgende lessen geleerd:
- Maak SMART, maar eenvoudige KRI’s: Uiteraard moeten KRI’s specifiek, meetbaar en tijdsgebonden zijn. Maar maak het niet te ingewikkeld, aangezien gebruikers het waarschijnlijk niet altijd zullen begrijpen en het moeilijk kan zijn om relevante gegevens vast te leggen.
- Werk samen met de risico-eigenaar en de business: het creëren van een KRI-dashboard (net als het creëren van het volledige risicobeheersing raamwerk) is uiteraard niet de exclusieve verantwoordelijkheid van de risk manager. Dit moet gebeuren in nauwe samenwerking met de risico-eigenaren en de business. Zij zijn de experts in hun vakgebied en zijn het best in staat om bedreigingen, risico’s en verzwakte beheersmaatregelen te identificeren en daardoor waardevolle input te leveren. Meer betrokkenheid van de business vergroot ook het draagvlak en het bewustzijn voor het KRI-dashboard en risk management in het algemeen.
- Maak duidelijke afspraken met degene die de data aanlevert: Zoals aangegeven is er zonder juiste brongegevens geen gebruik van KRI’s mogelijk. Als zodanig is het cruciaal om goede afspraken te maken met de mensen die je KRI-gegevens aanleveren over de timing en wijze van levering. Je KRI-dashboard moet op tijd worden afgegeven, dus ook je brongegevens.
- Blijf uitleggen: het concept van KRI is misschien geen rocket science, maar voor sommigen kan het moeilijk te begrijpen zijn. Wanneer je dagelijks met risicobeheersing concepten werkt, vergeet je vaak dat de gebruikers van je rapporten en dashboard dat misschien niet doen, dus uitgebreide uitleg over de KRI’s is nodig.
- Splits de KRI’s per Business Units of afdelingen: Soms is het handig om de KRI’s per afdeling of bedrijfseenheid te splitsen om meer inzicht te krijgen en om meer gedetailleerde informatie te verstrekken aan de verantwoordelijke manager. Dit is ook relevant wanneer je je KRI’s per Business Unit rapporteert.
- Wijs risico- en KRI-eigenaren toe: eigenaarschap is cruciaal! Zonder eigenaarschap en verantwoording is de enige eigenaar van de KRI de risico manager, terwijl het jouw doel is om de organisatie te betrekken. Als het eigenaarschap onduidelijk is, is het ook moeilijk om de juiste brongegevens voor je KRI’s op te halen.
- Integreer je KRI’s met periodieke rapporten: om ervoor te zorgen dat het onderdeel wordt van de normale bedrijfsvoering, moet je je KRI-dashboard met andere managementrapporten integreren. Dit zorgt voor voldoende aandacht voor je KRI’s en risk management in het algemeen.
- Besteed voldoende tijd aan de toleranties: De KRI-toleranties operationaliseren je risicobereidheid. Het is van cruciaal belang om passende toleranties vast te stellen die de risicobereidheid van het bedrijf weerspiegelen, dus hou hier goed rekening mee. Om zinvolle toleranties in te kunnen stellen, kan het handig zijn om eerst de trend van je KRI te bepalen (hoewel dit natuurlijk niet altijd mogelijk is voor nieuwe KRI’s).
KRI’s in jouw organisatie
Met de hierboven uiteengezette aanpak is het interessant om te zien hoe andere organisaties prestatiegericht risk management zouden implementeren. Overweeg de belangrijkste risico’s in jouw organisatie en bepaal een goede KRI.
Zoals besproken, probeer te gebruiken wat beschikbaar is, bijvoorbeeld een Key Performance Indicator die al is vastgelegd. Voeg er realistische toleranties aan toe en maak de KRI-trend zichtbaar door een grafiek te maken op basis van historische data.
Benieuwd hoe het gebruik van KPI’s en KRI’s jouw organisatie kan helpen met performance-based risk management?