Your SlideShare is downloading. ×
  • Like
Presentatie Uitwisselingsbijeenkomst 22 november 2011
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Presentatie Uitwisselingsbijeenkomst 22 november 2011

  • 748 views
Published

De presentatie van Uitwisselingsbijeenkomst gehouden op 22 november 2011

De presentatie van Uitwisselingsbijeenkomst gehouden op 22 november 2011

Published in Business
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
748
On SlideShare
0
From Embeds
0
Number of Embeds
2

Actions

Shares
Downloads
24
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • De 1 e dia voor het 2 e deel. Risicomanagement is geen veilig terrein! Als je er mee aan de gang gaat lees dan goed de gebruiksaanwijzing van het IIA (wat je als auditor wel en niet mag).
  • Safeguarding of assets

Transcript

  • 1. Risicobeheersing met Control & Risk Self Assessment (CRSA) Risicoanalyse in12 stappen Provinciehuis Assen Frits Engel EMIA RO CCSA Operational auditor Accountantsdienst UWV
  • 2. Even voorstellen ………
    • Frits Engel
    • 51 jaar
    • Woonplaats Rotterdam
    • 30 jaar sociale zekerheid
    • ‘ Roots ’ in productie (loketten WW GAK)
    • 15 jaar HQ via, functioneel beheer, procesontwikkeling, servicemanagement, projectmanagement, nu al weer10 jaar operational auditing
    • Executive master Internal Auditing (EMIA)
    • Geregistreerd Operational auditor (RO)
    • Door IIA gecertificeerd in het faciliteren van CSA (CCSA)
    • Publicatie ‘ Risocoanalyse in 12 stappen ’ / Finance & Control - dec ‘ 10
    Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 3. Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 4. Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 5.
    • Kwantitatief risicomanagement (wiskunde)
    • R(O) = ∑ (i) P (i) [O,B (i)] W (i) x D (i)
    • Kwalitatief risicomanagement
    • ( strategisch, tactisch en operationeel )
    • K x S = P
    Risicomanagement in 2 soorten Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 6. Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 7.
    • Vaak wordt vergeten dat risicobeheersing niet alleen gaat om het wegnemen van gevaren maar ook om het realiseren van kansen. Maar juist om kansen te realiseren moet je in kaart brengen wat er mis kan gaan.
    • Beperk je daarbij niet tot je eigen omgeving en organisatie maar analyseer ook de afhankelijkheden van de omgeving.
    • Ondernemingen (business units, divisies, afdelingen, projecten)opereren immers niet ‘stand alone’ en de mooiste kansen realiseer je door samen te werken.
    Zonder risico ’s geen kansen !! Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 8.
    • Het probleem is dat iedereen zo langzamerhand wel weet dat het ‘doen’ aan risicomanagement voordelen geeft. Maar waar zit nu de winst?
      • Betere strategische en business planning;
      • Slimmere inzet van middelen (effectiviteit)
      • Verbeteren wordt makkelijker;
      • Minder ´rampen´ en verrassingen;
      • Betere kijk op kansen;
      • Verbetering van de communicatie;
      • Meer zekerheid voor de stakeholders dat doelstellingen worden gehaald;
      • Vermindering van de auditbelasting;
    Voordelen van risicomanagement Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 9.
    • Weer een bureaucratisch gebeuren (risico van window dressing door risk- & issuelogs);
    • Onduidelijke rolverdeling (wie doet nu wat);
    • Niet iedereen wil weten welke risico´s er zijn (want dan moet er actie ondernomen worden – duiken in plaats van handelen);
    • Het is makkelijker om de gevolgen te bestrijden (levert mogelijk nog meer op ook);
    • Samenwerken is moeilijk (risico’s delen dus ook)
    • De politiek doet het zelf ook niet dus …..
    Waarom slaat het niet aan? Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 10. Citaat ‘IBO controle-toren’
    • “ ... de inzet van beheersingsmaatregelen en audits is nog onvoldoende gebaseerd op een daadwerkelijke risicoafweging, met als gevolg dat processen met een laag risico op dezelfde manier worden beheerst en gecontroleerd als processen met een hoog risico.
    • De minder belangrijke zaken krijgen zo ten onrechte te veel aandacht. De echt belangrijke zaken blijven hierdoor onderbelicht.... ”
    Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 11. Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 12. Ontwikkeling Risico Management
    • Risico management is een aandachtspunt in alle publieke en private governance codes: “het moet”, helaas zonder nadere invulling…….
    • Veel risico management is ad hoc, goed risico management structureel.
    • Ontwikkelingslijn Governance:
      • Beheersing aantoonbaar via verantwoording: “ tell me … ”
      • Control: “ show me … ”
      • Transparantie: “ show me all … ”
      • Risk management: “ assure me … ”
    Frits Engel - Risicobeheersing met Control & Risk Self Assessment Publiek Privaat Comptabel bestel … … … Government Governance COSO Commissie Meurs Cie. Peeters VBTB SOX Dualisering Tabaksblatt tijd accent Control Risk mgmt.
  • 13. Essentie van Risicomanagement
    • Risicomanagement is momenteel hét tool
    • voor ‘ mindfullness ’
    • Focus op onzekerheid rond intern beheer:
      • Betekenis van afwijkingen t.o.v. het beheerskader;
      • in welke onzekerheid belanden we, nu we onze regels en afspraken niet helemaal nakomen? Hoe erg is dit?;
      • Betekenis van onvolkomenheid van het beheerskader
      • in welke onzekerheid belanden we, nu we zien dat we onze beheersing niet op alle noodzakelijke gebieden volwaardig hebben ingericht? Hoe erg is dit?
    • Focus op onzekerheid in de omgeving
      • aan welke voorvallen, incidenten, bewegingen, bedreigingen etc. staan wij óók nog bloot, en op welke manier kunnen wij daar last van hebben? Hoe erg is deze onzekerheid en moeten wij ons erop toerusten?
    Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 14. Begrippen risicomanagement
    • Controls: het geheel van maatregelen (formeel en informeel) die genomen zijn om de doelstellingen van de organisatie te kunnen (en zullen) bereiken.
    • Het formuleren van controls ( beheersmaatregelen ) vraagt om het in kaart brengen van:
      • oorzaken van het event of de gebeurtenis;
      • het schadevormingsproces van event tot schade, en de factoren die dit beïnvloeden.
    • In control zijn : er is redelijke zekerheid dat de risico’s (met de toegepaste controls) worden beheerst.
    Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 15. High reliability organisations (Weick)
    • Weick : management van het onverwachte is de essentie waar het in de steeds complexer wereld meer en meer om draait
    • High reliability organisations : kennen een hoge staat van opmerkzaamheid jegens het onverwachte ( mindfullness )
    • HRO’s hebben:
      • Een hoog bewustzijn voor ‘zwakke’ signalen,
      • vermogen om afwijkingen van het verwachte (onzekerheid) te signaleren,
      • vermogen om (weef)fouten te ontdekken en te corrigeren die anders tot een crisis zouden kunnen leiden.
    Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 16. Het begrip ‘event’ of gebeurtenis
    • Onzekerheden : mogelijke incidenten en voorvallen waarover qua kans niets te zeggen is en qua mogelijke effecten wellicht een idee bestaat, maar niet beredeneerbaar
    • Een event is een onzekere gebeurtenis , een kwetsbaarheid die van invloed kan zijn op een doelstelling van een risico-object.
      • een gemiste kans;
      • een ongewenst voorval;
      • een acute dreiging.
    • Een risico-object is het object dat last heeft van de event, omdat daar verantwoordelijkheid voor de doelstelling is belegd: een persoon, groep mensen, organisatie(onderdeel), een project.
    • Een event kan goed een combinatie van gebeurtenissen zijn, de zogenaamde ongelukkige samenloop van omstandigheden…..
    Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 17.
    • Met risico wordt de ‘fatale’ combinatie bedoeld tussen event en hierdoor veroorzaakte specifieke schade aan een doelstelling.
    • Een risico wordt dus verwoord in een zin die een event met een schade voor een doelstelling verbindt.
    • Een “goed” risico bevat in de omschrijving altijd de doelstelling, de aard van de schade en het event.
    • Het risico-niveau wordt dan ook ‘berekend’ door de vermenigvuldiging van:
        • Kans, dat de event zich voordoet
        • X
        • Schade (impact) die de event op de doelstelling heeft
        • = …….
    Het begrip Risico Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 18.
    • Governance en Interne Beheersing
    Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 19.
    • Corporate Governance (RvB – Minister)
      • Gericht op externe verantwoording
      • Certificering (wetgeving)
    • Internal Governance (RvB – Directeuren)
      • Bedrijfsvoering (planning en control)
      • Gericht op realisatie
    • IT Governance (RvB & Directeuren – CIO)
      • ‘ alignment ’ tussen IT doelen en Business doelen
    Soorten ‘Governance’ Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 20.  
  • 21. Ontwikkeling “ Good Governance ” (jaren 70 – heden)
    • 1970: De opdrachtgever krijgt vertrouwen door resultaat-verantwoording;
      • De managementkwaliteit is:inrichten en doen naleven
    • 1990: De opdrachtgever wil zekerheid;
      • De managementkwaliteit is: effectief managen van interne en externe onzekerheden
    • Nu: De opdrachtgever wil dat men ‘in control’ is:
      • De managementkwaliteit is: aantoonbaar doelmatig intern beheer;
      • En: Effectief omgaan met cq. aanpassen op veranderlijke omgeving;
    Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 22. COSO2 of ERM kubus Enterprise Risk Management Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 23. Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 24.
    • Keten-
    • Samen-
    • Werking
    • Gebaseerd op het werk van Prof. Grijpink
    Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 25.
    • Ketens worden steeds belangrijker door:
      • voortschrijdende specialisatie;
      • toenemende onderlinge afhankelijkheden;
      • hogere maatschappelijke eisen;
      • Toenemende interactie en samenwerking;
    • Een keten is een moeilijk terrein door:
      • geen overkoepelend gezag;
      • gemeenschappelijk belangen vaak beperkt en onduidelijk;
      • irrationaliteit en onvoorspelbaarheid proef;
      • het dominant ketenprobleem is de ‘ baas ’ in de keten.
    Belang van ketendenken Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 26.
    • Maatschappelijk relevant;
    • Veel onafhankelijke partijen;
    • Wil of druk om iets samen te doen;
    • Een dominant probleem waarop men alleen geen vat heeft;
    • Tegengestelde belangen;
    • Proces met schakels na of naast elkaar, lussen of knopen;
    • Afhankelijkheden in het proces;
    • Bestuurlijke en administratieve complexiteit.
    Kenmerken van een keten Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 27.
    • NIET (in het algemeen)
    • Efficiency;
    • Kosten;
    • Baten;
    • Doelmatigheid;
    • Informatie-voorziening;
    • Wet- en regelgeving.
    Criteria voor dominante ketenproblemen WEL Levensgevaar; Incidenten met ernstige gevolgen; Risico op herhaling; Risico op escalatie; Publieke verontwaardiging; Schade voor het imago van de keten; (inter)nationale druk. Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 28.
    • Werken met een ketenvisie gebaseerd op hiërarchie, rationaliteit en voorspelbaarheid;
    • Interne belangen stellen boven externe afhankelijkheden;
    • Overschatten van de gemeenschappelijkheid van belangen in een keten;
    • Overschatten van mogelijkheden voor ontwikkeling van een gemeenschappelijke informatie-infrastructuur;
    • Niet delen van (interne) risico ’ s.
    Valkuilen keteninformatisering Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 29.
    • Voor een grote oplossing is ieder draagvlak te klein; geleidelijkheid is uitgangspunt;
    • Niet bemoeien met interne aangelegenheden van andere partijen;
    • Het probleem is de baas in de keten;
    • Crisis creëert verandering.
    Enkele ketenwetten Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 30.
    • De gefaciliteerde workshop Control Risk Self Assessment (CRSA)
    Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 31.
    • Een gestructureerd proces;
    • Waarmee de effectiviteit van de interne beheersmaatregelen;
    • Ten aanzien van een of meer bedrijfsprocessen (of projecten) wordt beoordeeld;
    • Door medewerkers die bij de uitvoering en beheersing van het proces (project) betrokken zijn;
    • Met als doel een bijdrage te leveren aan de zekerheid dat de organisatie- of projectdoelen worden gehaald.
    • CRSA is een managementinstrument en (nog) geen audittool
    De CRSA definitie Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 32.
    • Het ontbreken van zekerheid;
    • Het ontbreken van een gedragen referentiekader;
    • De behoefte aan een gemeenschappelijke werkelijkheid;
    • De dynamiek c.q. snelheid van de veranderingen.
    Waarom is er vraag? Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 33.
    • Het moet ‘passen’ in de cultuur;
    • Nut en noodzaak moet duidelijk zijn;
    • Er moet een sfeer zijn waar openheid, integriteit en eerlijkheid worden beloond
    • Het (top) management moet de invoering steunen
    • Er moet aandacht zijn voor de marketing van het product CRSA
    • Kaderstelling CRSA moet aansluiten op het gebruikte controlframework
    Randvoorwaarden bij de uitvoering Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 34. Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 35. De wil om te veranderen Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 36. Audit v/s CRSA Frits Engel - Risicobeheersing met Control & Risk Self Assessment Audit – van buiten af CRSA – van binnen uit Objectieve meting Subjectief oordeel Door (externe) auditor Door interne medewerkers Mogelijkheid tot benchmarking Onderkennen verbeter- punten en acties Vooral voor het management Vooral voor de deelnemers zelf Gevoel van veroordeling ipv. beoordeling Draagt bij aan betrokkenheid Geeft diepgaand beeld over één of meer onderwerpen Geeft in zeer korte tijd een globaal (betrouwbaar) beeld Duurt al snel enkele weken Duurt één a twee dagen Single-loop learning Double-loop learning
  • 37. Voordelen en nadelen Frits Engel - Risicobeheersing met Control & Risk Self Assessment Voordelen CRSA Nadelen CRSA Het is gericht op doel-realisatie Het impliceert verandering Het vergroot het risicobe-wustzijn van de deelnemers De kennis en kunde moeten worden ontwikkeld Het bevordert de communica-tie met de business De (on)betrouwbaarheid van de uitkomsten Benutten van de kennis van de experts Het kan de auditfunctie bedreigen Een groot draagvlak voor de resultaten Geen ‘veilige’ omgeving
  • 38. Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 39.
    • ‘ 2 x wegen ’ Kans * Schade = Prioriteit
    • Bruto Risico 9 * 8 = 72
    • -/- Maatregelen
      • Organisatorisch 5
      • Verzekering 6
      • Netto Risico 4 * 2 = 8
    • De regel: bruto risico minus de beheersmaatregelen = netto risico. Scores met cijfers (1 = laag / 9 = hoog) ipv een vage gradatie Hoog – Midden - Laag
    Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 40. Opgelegde coördinatie Impliciete coördinatie Expliciete coördinatie Zelf coördinatie Informatie systemen, intranet, kennis & management-systemen Voorbeeld- gedrag Wervingsbeleid Werken aan loyaliteit Training- en management ontwikkeling Formele besluitvorming Beleid en standaarden Machtsver- deling Missie en de waarden in de organisatie Beoordeling Beloning promotie Procedures Een gecommuniceerde strategie Operationele planning Toegangsrechten Instructies Planning en control cyclus Uren- taak registratie Taakstructuren (persoonlijk + divisie) Budget & Prestatieaf-spraken Mensen en middelen Prestatie-meting Evaluatie Vertrouwen Gedeelde waarden en normen Collegiale en team (zelf) beoordeling Informele contacten & Sociale netwerken Verhalen uit De organisatie Activiteiten gericht op saamhorigheid Formele instructies (handboeken) Professionele standaarden Routinisering van activiteiten Samenwerking (teams) Mandateringen Gedeelde best practices Overzicht maatregelen voor interne beheersing Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 41. 1.1 . 1.3 . Spreidingsdiagram totaal 1.5 . 3.6 . 1.6. 11.7 . 11.11. 5.1 . 3.8 . 1.1. Doelstellingen en (stuur) informatie 1.2. Afboeken, integriteit, taakverdeling 1.4. Voorkomen van terugvorderingen 1.5. Werkvoorraden (stuwmeer) 1.6.Imago, externe verantwoording 3.6. Audittrail 3.8 Inzicht betaalproces 5.1. Retour gekomen betalingen 11.7. Foutieve adressen 11.11. Juistheid betaalgegevens Schade Waarschijnlijkheid 1.4 . Frits Engel - Risicobeheersing met Control & Risk Self Assessment 9 8 7 6 5 4 3 2 1 2 3 4 5 6 7 8 9
  • 42.
    • Als je alles wilt beheersen
    • sta je stil!
    Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 43. Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 44. Frits Engel - Risicobeheersing met Control & Risk Self Assessment Praktijkcase UWV Divisie Uitkeren Operationeel Risicomanagement ‘ Risicobeheersing met inzet van CRSA’ Risicoanalyse in 12 stappen
  • 45. Frits Engel - Risicobeheersing met Control & Risk Self Assessment -------------------------------------------------------------------------------------------------------- De praktijk CASE
  • 46. Governance Environment UWV Generiek ontwerp Interne organisatie Minister UWV sturen Richten en organiseren: ‘zeker’ stellen vereiste uitvoering Generiek deel mensen kwaliteiten technologie processen onzekerheden Specifiek deel Aanvullende specifieke organiseer maatregelen Generiek opdrachten mensen technologie processen kwaliteiten Klant verwachtingen onzekerheden UWV Operationele omgeving Beheerskader Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 47. Operationeel risicomanagement Aandacht voor risicomanagement geeft vorm aan een nieuw soort dialoog binnen UWV, een dialoog waar iedereen aan mee kan doen, en die gaat over risico’s en kansen in relatie met de gestelde doelen. Deze nieuwe dialoog zorgt dat management en medewerkers zich bezig houden met die dingen die er echt toe doen, met als gevolg een gezamenlijk en gedragen beeld van de operationele werkelijkheid. Bron: Presentatie Uitkeren d.d. 21 januari 2010
  • 48. Frits Engel - Risicobeheersing met Control & Risk Self Assessment Een verandertraject van 3 Jaar Jaar 1 : Risicomanagement met CRSA ‘durven jullie dat?’ 2010 Spelen en verleiden door workshops voor management en medewerkers. Introductie van het 12 stappenproces Go/no go beslissing 1 : GO Jaar 2 : Oefenen met CRSA. Voordoen, samen doen, zelf doen. 2011 Go/no go beslissing 2 : GO Jaar 3 : Formeel incorporeren CRSA in de jaarplan- of planning en 2012 controlcyclus + het trainen van de CRSA Facilitators Uitgangspunten We doen het met ‘eigen’ mensen; Niets moet, iedereen mag meedoen; Sponsoship van de top; CRSA introductie op alle niveau’s (hoofdkantoor, productie, projecten)
  • 49. Frits Engel - Risicobeheersing met Control & Risk Self Assessment DE CRSA Facilitator “ … maakt het gemakkelijk ….”
    • Organiseert het CRSA en helpt de deelnemers ‘door’ het CRSA protocol
    • van de 12 stappen.
    • Een CRSA Facilitator:
    • Moet VOOR de groep durven STAAN
    • Heeft dus goede communicatieve eigenschappen nodig
    • Weet hoe hij/zij met groepen om moet gaan
    • Is resultaatgericht
    • Moet ‘dubbele agenda’s onderkennen
    • Moet durven doorvragen
    • Moet (enig) verstand hebben van interne beheersing
    • Moet verstand hebben van de ‘business’
    • Een ‘rechte rug’ hebben / doet niet aan politiek
    • Een CRSA Facilitator is geen adviseur op het gebied van
    • Risicomanagement. Na de oplevering van de eindrapportage (decharge)
    • Is het werk klaar.
  • 50.  
  • 51. Frits Engel - Risicobeheersing met Control & Risk Self Assessment Het verhaal van de Rode Aap
  • 52. Frits Engel - Risicobeheersing met Control & Risk Self Assessment
  • 53. Frits Engel - Risicobeheersing met Control & Risk Self Assessment