USINESS RISK SERVIES - Improven · ‘soft controls’ geen effectieve ‘hard controls’. eter 1...
Transcript of USINESS RISK SERVIES - Improven · ‘soft controls’ geen effectieve ‘hard controls’. eter 1...
© Improven — Business Risk Services 1 September 2016
Risicomanagement voor de Publieke Omroep
Aan welke knoppen te draaien?
BUSINESS RISK SERVICES
© Improven — Business Risk Services 2 September 2016
RISICOMANAGEMENT
Jurre Tersteeg over risicomana-
gement in de media:
“In een tijdperk waarin organi-
saties zo afhankelijk zijn gewor-
den van beschikbare systemen
en betrouwbare informatie, is
het cruciaal om als publieke
media-instelling risico’s te ken-
nen en tijdig te beheersen en om
aantoonbaar ‘in-control’ te zijn."
-
MSc. J.D. (Jurre) Tersteeg
Consultant BRS
In haar beleidsnota begin dit jaar gaf het Commissariaat voor de
Media aan dat zij als toezichthouder vanuit het publieke belang
dient vast te stellen of er risico’s bestaan ten aanzien van de gover-
nance en interne beheersing bij publieke media-instellingen. Het
belang van ‘good governance’ of ‘goed bestuur en toezicht’ is an-
no 2016 niet meer weg te denken uit het publieke debat.
In navolging van steeds meer ondernemingen en maatschappelijke
organisaties met een publieke taak wordt ook van landelijke en re-
gionale publieke omroepen verwacht dat zij zich bewust zijn van de
verwachtingen die verschillende stakeholders hebben van de door
hen gemaakte afweging van belangen, transparantie in de verant-
woording en duurzame bedrijfsvoering. Grip op uw risico’s is daar-
mee essentieel.
In deze publicatie leest u op welke wijze Improven u begeleidt om
uw organisatierisico’s op een adequate, pragmatische en werkza-
me wijze inzichtelijk te maken en te beheersen.
Wat zijn uw uitdagingen?
Informele principes expliciet maken
Publieke media-instellingen werken natuurlijk al met principes, strategische
speerpunten en plannen, die de risicobereidheid van de organisatie om haar
doelstellingen te behalen impliciet reflecteren. Een belangrijke doelstelling bij de
implementatie van risicomanagement is om deze (informele) principes expliciet
bekend te maken, intern en extern te delen en de relatie te leggen met de stra-
tegische en operationele risico’s binnen de organisatie.
Wij zien risicomanagement als een systematische aanpak om relevante risico’s
te kunnen identificeren, prioriteren, analyseren en beheersen. Wij helpen u stap
voor stap en passend bij de aard, omvang en ambitie van uw organisatie om uw
strategische en operationele risico’s transparant te maken.
Grip op uw risico’s
© Improven — Business Risk Services 3 September 2016
Een veranderend medialandschap
In de brede mediasector zijn er vele belangrijke ontwikkelingen en veran-
deringen gaande, die noodzaken dat de betrokken organisaties hierop anti-
ciperen en acteren. Alleen al de technologische ontwikkelingen, zoals het
toenemende gebruik van smartphones, tablets en internet, hebben grote
invloed op de gehele sector. Niet alleen ten negatieve, maar ook ten posi-
tieve. Er is sprake van een enorm (nieuw) aanbod.
Een veranderend medialandschap eist van een omroep om continu keuzes
te maken. Hoe groeit u mee met uw bestaande en potentiële kijkers? Wel-
ke technologische, sociaal-maatschappelijke en politieke ontwikkelingen
hebben invloed op de organisatie. Hoe stel ik mijn productenaanbod en
het bestaansrecht van de omroep voor de toekomst veilig? Omroepen
opereren in een uiterst dynamische wereld, met ingrijpende ontwikkelin-
gen in technologie en concurrerende marktomstandigheden. Om de hier-
aan verbonden risico’s in de greep te houden binnen de bepaalde risicobe-
reidheid en in te gaan op de kansen die de nieuwe omstandigheden bie-
den, is het goed om transparant risicomanagement te implementeren.
Publieke taak Publieke media hebben als doel om objectieve, integere en onafhankelijke
informatie te verspreiden. Wanneer een publieke omroep met een ernstig
incident te maken krijgt, leidt dit mogelijk niet alleen tot grote financiële-
en reputatieschade, maar in een enkel tot verdergaande gevolgen. Vanuit
haar publieke taak moet de waarde van de omroeporganisatie juist bij een
calamiteit goed gewaarborgd zijn. Een goed samenspel tussen alle kernbe-
trokkenen is essentieel om de waarde van uw organisatie in geval van een
calamiteit te beschermen.
Creëren van de juiste
risicocultuur
Het scheppen van cultuur en bewustzijn
voor risicobeheersing blijft een uitdaging
voor elke organisatie, klein of groot.
Organisaties vinden het lastig om risico´s
op voorhand te vermijden en handelen
daardoor vaak incidentgedreven: pas als
een risico zich heeft voorgedaan. Dikwijls
ontbreekt het al aan een heldere strategie
en beleid of deze worden niet gedragen
door het (senior) management. De aan-
wezigheid van een sterke risicocultuur
binnen een organisatie is voor een groot
gedeelte afhankelijk van de ‘tone at the
top’ en de organisatiecultuur. Deze heb-
ben daarmee een cruciale rol in risicoma-
nagement
Complexiteit wet– en
regelgeving
Met haar beleidsnota volgt het Commis-
sariaat voor de Media de trend waarin
toezichthouders steeds strengere eisen
stellen omtrent transparantie en beheer-
sing. Als gevolg hiervan ervaren omroe-
pen nog meer druk om te voldoen aan in–
en externe wet– en regelgeving. Behalve
de nieuwe Mediawet zijn ook de over-
gangsregeling rondom de VAR en de Euro-
pese privacyrichtlijn en de hiervan afgelei-
de meldplicht datalekken zaken om in
2016 extra rekening mee te houden.
Door gebruik te maken van standaarden
en best practices levert dit veel voordeel
op. Dit uit zich in o.a. in betere relaties
met leveranciers, handelspartijen en toe-
name in vertrouwen bij overige stakehol-
ders. Wij helpen u vanuit onze kennis en
ervaring bij de interpretatie en implemen-
tatie van dergelijke compliance vereisten.
Figuur 1: Uitdagingen voor omroepen
© Improven — Business Risk Services 4 September 2016
Onze visie
Een lerende organisatie
In onze visie is risicomanagement gebaseerd op een lerende
organisatie. Integraal, stap voor stap en passend bij de aard,
omvang en ambitie van de organisatie. Als kern van een wer-
kend en transparant risicomanagementsysteem zien wij in on-
ze visie de volgende elementen:
Het heldere begrip en het draagvlak van bestuur, ma-nagement en interne toezichthouders voor dit onderwerp en het vervolgens blijvend uitdragen in de organisatie.
Een op de organisatie en diens karakteristieken (sector, product, omvang, bestuursfilosofie) toegespitste aanpak en invulling. One size doesn’t fit all!
Risicomanagement is nooit een doel op zich, slechts een middel om overzicht, inzicht en transparante beheersing te verkrijgen. Hoe compacter en eenvoudiger, des te krachtiger.
Risicomanagement behoeft naast (management) aandacht ook tijd; het moet voor begrip en draagvlak rijpen in de organisatie.
‘Tussen de oren’ is belangrijker dan techniek of papier. Het doel is begrip en gebruik, het opschrijven slechts een ondersteunend middel.
Aandacht voor gedragsaspecten is noodzakelijk; zonder ‘soft controls’ geen effectieve ‘hard controls’.
Beter 1 key control in de hand, dan 10 controls in de lucht: welke beheersmaatregelen zijn écht nodig. Minder is meer.
Top-down implementatie & bottom-up inbedding: start-punt voor de analyse is top-down, de strategie en risicobe-reidheid van de organisatie en daarmee de strategische risicokaart.
De daadwerkelijke inbedding is bottom-up, bij de operati-onele risicoanalyses en in de kernprocessen.
Integraal Risicomanagement In onze visie dient integraal risicomanagement te
worden geïmplementeerd dat passend is bij de
organisatie. Hierbij geldt dat voldoende aandacht
moet zijn voor de wijze waarop risicomanagement
wordt vormgegeven en geïmplementeerd.
Risicomanagement is meer dan alleen het ontwik-
kelen van technisch geavanceerde modellen, het
afvinken van lijstjes of het braaf volgen van richtlij-
nen van externe toezichthouders. Alleen met een
sterk fundament slaagt een organisatie er in om
vanuit haar huidige volwassenheidsniveau risico-
management stabiel en efficiënt vorm te geven.
Wanneer een heldere formulering van de risicobe-
reidheid en daarmee het fundament van risicoma-
nagement van een organisatie ontbreekt, toont de
praktijk aan dat het lastiger is keuzes te maken in
het al dan niet afdekken van bepaalde
risico´s. Het gevaar is dan dat alle risico’s even be-
langrijk lijken en daarmee het systeem teveel uit-
dijt en tot een papieren tijger verwordt. Het gaat
niet om het handboek, het gaat om het begrip en
de toepassing!
Figuur 2: Integraal risicomanagement
© Improven — Business Risk Services 5 September 2016
Bepalen risicobereid-heid Risicobereidheid, ook wel risk appetite
genoemd, is de mate van risico die de
organisatie bereid is te lopen bij het
realiseren van haar strategische doel-
stellingen. Het betreft de mate van
acceptatie dan wel het juist willen
voorkomen van bepaalde risico’s die
de organisatie en haar doelen kunnen
raken. Het inzichtelijk maken van de
risicobereidheid vormt een belangrijk
startpunt en een toetssteen in de im-
plementatie van risicomanagement.
Vanuit de ‘tot hier en niet verder’
gedachte geeft het richting aan de
mate waarin beheersmaatregelen ge-
troffen dienen te worden. De risicobe-
reidheid moet dan ook een toets vor-
men voor de getroffen en nog te
treffen beheersmaatregelen. Overi-
gens betekent dit lang niet altijd méér,
maar soms juist minder beheersmaat-
regelen door gedragen acceptatie en
ondernemerschap. Samengevat be-
paalt u welke risico’s u als organisatie
wel of niet accepteert en op welke
risicogebieden daarmee aanvullende
(of juist minder) beheersing nodig is.
Risk Governance Het inrichten van de risk governance
betreft een duidelijke vastlegging van
rollen, taken, bevoegdheden en ver-
antwoordelijkheden, organisatie en
activiteiten rondom risicomanage-
ment. Feitelijk: wie doet wat?
Wij helpen u bij het inrichten van de
organisatie en processen met betrek-
king tot risicomanagement in uw orga-
nisatie inclusief principes die de orga-
nisatie hanteert en een besluitvor-
mingsstructuur.
Onze dienstverlening Quick Scan risicomanagement Voor veel publieke omroepen is risicomanagement een vrij nieuw onderwerp.
Wij zien vooral dat ‘hoe’- vraag best lastig kan zijn, omdat daarvoor totaal-
overzicht van relevante strategische/operationele risico’s is vereist. Aan de
hand van een quick scan stellen wij samen met u de juiste condities vast voor
het vormgeven en implementeren van risicomanagement binnen uw organi-
satie.
De scan bestaat uit een documentstudie en interviews met stakeholders
(zowel medewerkers en management uit het primaire en ondersteunende
processen als ook directie en interne toezichthouders. Het resultaat van de
scan maakt inzichtelijk welke condities ontbreken of onvoldoende ontwikkeld
zijn om risicomanagement doelgericht en succesvol toe te kunnen passen.
Inzicht in strategische risico’s
Als directie ziet u wellicht tientallen risico's in uw directe organisatieomge-
ving. Echter niet alle risico's zijn even relevant, sommige van die risico's heb-
ben een kleine(re) waarschijnlijkheid en/of een lagere impact. Ook vallen
sommige risico’s binnen de risicobereidheid van de organisatie. Een strate-
gisch risico manifesteert zich binnen in het proces van activiteiten en beslis-
singen die invloed hebben op de strategische doelstellingen van uw omroep-
organisatie. Deze kunnen worden beïnvloed door zaken als beschikbaarheid
van kapitaal, autonome en politieke risico’s, veranderingen in voor u gelden-
de wet– en regelgeving, reputatieschade, veranderingen in de fysieke omge-
ving of een sterke afhankelijkheid van interne en/of externe producties.
Improven helpt u deze strategische risico’s, die zich zowel intern als extern
manifesteren, te inventariseren, te analyseren en te adresseren. Samen met u
brengen wij de interne en externe risico’s in kaart die het realiseren van de
(strategische) doelstellingen van uw organisatie in gevaar kunnen brengen.
Door middel van analyse maken wij deze risico’s verder inzichtelijk in een
Risico Control Matrix (RCM) zodat u afgewogen keuzes kunt maken.
Figuur 3: Voorbeeld organisatiemodel publieke omroep
© Improven — Business Risk Services 6 September 2016
Soft Controls
Veelal hebben organisaties wel maat-
regelen benoemd en geïmplemen-
teerd om zich te beschermen tegen
bedreigingen. Het gedrag van de mens
binnen en buiten de organisatie be-
paalt echter sterk het niveau van de
daadwerkelijke beveiliging. Om het
gedrag van de mens als zwakste (of
sterkste!) schakel in de keten te be-
heersen leveren wij aan onze op-
drachtgevers de volgende diensten:
1. Opzetten en uitvoeren risk aware-
ness en soft control programma’s
2. Uitvoeren risicoanalyses; o.a.
gericht op mens en gedrag, tac-
tisch en in de operatie
3. Trainingen en opleidingen voor
medewerkers.
Het succes van elk programma en
beheersaspect hangt in hoge mate af
van het gedrag en de rol van de mens.
De rol van de mens als onderdeel van
risicobeheersing loopt als rode draad
door onze dienstverlening. Separaat
kunnen wij voor u een soft control
framework inrichten.
Onze dienstverlening (vervolg)
In het dagelijks leven maken we aan de lopende band bewust en onbewust
keuzes en wegen we de daarbij behorende risico’s mee in ons besluit. Bij het
bewust nemen van risico’s betekent dat je de risico`s herkent en kent, zowel
in soort als in omvang, en dat je weet hoeveel risico je kan of wil hebben.
Toch kan het lastig zijn om alle relevante risico’s overzichtelijk in beeld te
hebben om van daaruit juiste afwegingen en keuzes te kunnen maken. Begrij-
pelijk, want het vergt een gestructureerde aanpak en voortdurende aandacht.
Inzicht in relevante operationele risico’s
Wanneer helder inzicht ontbreekt kan het ingewikkeld zijn om de juiste risi-
co's te beheersen in een organisatie. In algemene termen wordt een operati-
oneel risico beschouwt als een risico dat voortkomt uit de operatie van be-
drijfsfuncties binnen een organisatie. Meer specifiek kunnen operationele
risico's gedefinieerd worden als het risico van een verlies of incident als ge-
volg van ontoereikende of niet werkende interne processen, mensen en sys-
temen of van externe gebeurtenissen. Maar welke risico’s neem je mee in je
analyse en welke elimineer je en laat je vervolgens buiten beschouwing?
Door onze brede media- en omroepgerelateerde ervaring kennen we de be-
langrijkste risico’s binnen zowel de primaire als ondersteunende processen en
is onze pragmatische, laagdrempelige aanpak erop gericht om inzicht te ver-
schaffen en om risico’s transparant en beheersmaatregelen aantoonbaar te
maken. Onze aanpak richt zich op de belangrijkstee (key) risico’s en beheers-
maatregelen om een efficiënte en effectieve beheersomgeving te waarbor-
gen.
Voorbeelden hiervan zijn het inzichtelijk maken van
risico’s binnen een specifieke keten alsook voor de
rest van de primaire en ondersteunde processen
binnen uw organisatie. In onze aanpak maken wij
daarbij zoveel mogelijk gebruik van eerder opgestel-
de analyses, beheersmaatregelen en controlplannen
waarbij we niet-key en niet-bijdragende controls in
overleg met u zoveel mogelijk elimineren.
Samen met u bouwen wij een actueel RCM (Risico Con-
trol Matrix) dat u tegelijkertijd inzicht biedt in opzet
en bestaan van de key beheersmaatregelen en even-
tueel vastgestelde tekortkomingen of aandachtspunten.
Zodat u op de hoogte bent welke beheersgebieden en -
maatregelen nadere aandacht verdienen.
© Improven — Business Risk Services 7 September 2016
Onze dienstverlening (vervolg)
Het beheersen van risico’s blijft mensenwerk en daardoor soms hoogst sub-
jectief. Wat de een beschouwt als relevant risico voor de organisatie, kan de
ander in het proces beschouwen als buitensporig. Vaak voortkomend uit on-
bekendheid en verkeerde voorbeelden (de papieren risicomanagementsys-
temen) zien uw medewerkers ook niet altijd de nut en noodzaak en van risi-
comanagement in hun werk en tonen soms weinig wil om te veranderen. Om
risicomanagement te laten slagen binnen uw organisatie is het creëren van
draagvlak onder alle betrokkenen essentieel. Leren door dezelfde risicomana-
gementbril te kijken vormt daarbij een uitgangspunt. Want wat verstaat een-
ieder onder risicomanagement en wat wordt er specifiek van hen verwacht?
Training risicomanagement
Onze training is erop gericht om uw medewerkers op een pragmatische wijze
kennis te laten maken met de basisprincipes van risicomanagement. In de
training worden diverse aspecten behandeld zoals:
Wat is een risico? En wat is een beheersmaatregel? Kijken we allemaal
wel door dezelfde bril?
Hoe prioriteer je relevante risico’s en wat is een risicoanalyse?
Hoe wordt risicomanagement integraal onderdeel van de organisatie?
Hoe voorkom je dat de focus ligt op de rapportage in plaats van de dia-
loog over risico’s?
Toegespitst op de dagelijkse praktijk vanuit een omroeporganisatie richt de
kennis die men opdoet tijdens de training op de praktische toepassing van
risicomanagement.
Onze adviseurs helpen u om op gestructureerde wijze risico’s te herkennen,
inventariseren en uiteindelijk te managen. Met als doel energie en focus aan
te brengen om risicomanagement te laten slagen binnen uw organisatie.
Door tijdens de training een duidelijke relatie te leggen tussen verschillende
primaire en ondersteunende processen en door het gebruik van heldere voor-
beelden leert men stil te staan bij zijn of haar rol en die van anderen in het
risicomanagementproces. U krijgt op deze manier meer grip op de risico’s.
De uiteindelijke training wordt geheel vanuit uw behoefte samengesteld.
Voor het inbrengen van eigen ervaringen, casuïstiek of vragen is dan ook
voldoende gelegenheid.
Borging Een gezonde, verstandige afweging
maken tussen de risico's, de maatrege-
len om de kans van optreden en/of
het gevolg van deze risico's te beper-
ken en het omroepbelang vormt soms
een heel karwei. Vaak vormen afde-
lingshoofden daarbij het grootste risi-
co. Zij zijn immers eindverantwoorde-
lijk voor de doelstellingen en beslissin-
gen die zij nemen. Daarnaast is hun
voorbeeldgedrag bepalend voor de
risicohouding en gedrag van hun me-
dewerkers. Improven helpt u in het
betrekken van alle managementlagen
binnen de omroep bij het uitrollen,
introduceren en laten participeren in
risicomanagement. Door hen te hel-
pen de verantwoordelijkheid voor risi-
comanagement op te pakken zorgt u
ervoor dat de materie en het bewust-
wording rondom risicomanagement
beter beklijft.
Laszlo Nagy over risicomanage-
ment:
“Voor alle betrokkenen geldt dat
het gaat om creëren van bewust-
zijn en het leren van de juiste
(kritische) vragen te stellen om
zo risico’s en kansen voor de or-
ganisatie in beeld te brengen en
op effectieve wijze te kunnen
beheersen. Het gaat uiteindelijk
om het doen en het gedrag, niet
slechts om het opschrijven ”.
Drs. L.Z. (Laszlo) Nagy EMIA RO
Director Business Risk Services
© Improven — Business Risk Services 8 September 2016
Over Business Risk Services
Waardeoptimalisatie en waardecreatie. Dit zijn de kernwoorden waar organisaties
voor staan, zowel intern als extern. Onze vakgroep Business Risk Services onder-
steunt organisaties bij het inrichten van governancestructuren binnen de kaders van
compliance, risicomanagement en interne audit.
Wij geloven in een goede mix van ‘hard’ en ‘soft’ (behavioral) controls die tezamen
zorgen voor het juiste gedragsaspect in de beheersing van organisatierisico’s, het
voldoen aan wet- en regelgeving, maar vooral het nastreven van de strategische
doelstellingen van de organisatie. Wij bieden u hiervoor een breed palet van pro-
ducten en diensten die we steeds organisatiespecifiek maken: maatwerk op basis van
best practices, passend bij uw organisatiestructuur en –cultuur.
Klanten waarderen onze kennis, passie en de wijze waarop wij complexe zaken trans-
parant maken. Onze hands-on ondernemende mentaliteit maakt dat wij dat echt
betrokken zijn bij onze klanten. Wij werken vanuit ons vak naast mediabedrijven ook
voor de verzekeraars, zorginstellingen, banken, pensioenfondsen, vermogensbeheer-
ders, handel-, industrie- en retail bedrijven, als ook de onderwijs, woningcorporaties,
gemeenten, provincies, rekenkamers en rijk.
Consultants van Business Risk Services publiceren regelmatig over hun vakgebied en
zijn spreker op congressen.
Improven
Zonnebaan 9-21
3542 EA Utrecht
Postbus 8227
3503 RE Utrecht
Tel: 0800 7837833
www.improven.nl
Meer informatie?
Drs. L.Z. (Laszlo) Nagy EMIA RO
Director
Business Risk Services
T: +31 (0)6 53 36 11 11
MSc. J.D. (Jurre) Tersteeg
Consultant
Business Risk Services
T: +31(0)6 57 88 70 46