Zit COSO al in jouw DNA?

Zit COSO al in jouw DNA?

Terug naar overzicht | | | Reageer op dit bericht

Blog van Robert ’t Hart, expert op het gebied van risicocultuur en het creëren van draagvlak. Hij is kerntrainer bij de Naris Risk Academy

COSO ERM 2017De concurrentie tussen risicomanagement frameworks is losgebarsten. Zo kwam COSO in september met een update genaamd COSO ERM 2017 en ook ISO 31000 heeft aangekondigd in het eerste kwartaal 2018 te komen met aanpassingen. Allemaal om een transitie te maken van risicoverantwoording naar besluitvorming. De oude COSO ERM-kubus is omgebouwd naar een DNA string. Hiermee wil COSO laten zien dat risicomanagement geen doel op zich is, maar verankerd moet zijn in de sturing en rituelen van een organisatie. Hoe doe je dat?

De COSO ERM 2017 DNA string is opgedeeld in 5 thema’s, die zijn beschreven in mijn vorige blog. Een van de vijf thema’s is governance & cultuur. Hierin speelt het bepalen van de gewenste cultuur een belangrijke rol en daar ga ik in deze blog verder op in.

Risicocultuur
Hoe een organisatie naar risico’s kijkt wordt voor een groot deel bepaald door de cultuur. Het is daarom belangrijk dat de directie een gewenste risicocultuur definieert met als uitgangspunt de kernwaarden van de organisatie. Natuurlijk kan een risk appetite statement hierbij helpen maar er zit meer achter.

Allereerst kijk je naar het karakter van de organisatie: Is het een risiconemende, neutrale of juist een risicomijdende organisatie? En hoe zit dit decentraal? Welke afdeling of business unit is risiconemend (bijv. projectmanagement) en welke is risicomijdend (bijv. juridische afdeling)? En hoe gaan ze met elkaar om. Kortom een goed inzicht in de verschillende risicohoudingen is een belangrijk startpunt om stappen te kunnen zetten ten aanzien van de risicocultuur.

Cowboys en schapen
Elke organisatie heeft cowboys, zogenaamde risk takers nodig. Zij innoveren, nemen de boel op sleeptouw, hebben een sterke visie en laten zich liever niet door regels & procedures tegenhouden. De schapen (risicomijdende personen) houden van zekerheid en niet van risico’s. Het liefste zouden zij alles dichttimmeren met beheersmaatregelen. Cowboys en schapen zitten in elkaars allergiezone. Ze proberen elkaar te ontwijken om beslissingen te nemen met alle gevolgen van dien. Denk bijvoorbeeld aan een accountmanager die een kans ziet bij een klant. Het idee wordt voorgelegd aan de manager, die zich vervolgens wil verdiepen in de risico’s. Door drukte belandt het idee onderop de stapel. De accountmanager kan nu twee dingen doen. Of hij gaat toch aan de slag en ontwijkt hiermee de procedures en loopt veel risico of hij ziet er van af met de kans dat het bedrijf een werelddeal mist. Beide scenario’s hebben invloed het resultaat.

Proud to be fout
De risicocultuur wordt voor een groot gedeelte bepaald door de foutencultuur, want open over risico’s praten is vaak leuk totdat het echt mis gaat. Als er dan afgerekend wordt of gestraft wordt een bom onder de risicocultuur gelegd. Om dit te voorkomen is een gemeenschappelijk begrip nodig over welke fouten acceptabel zijn en welke fouten niet. Ook zal er actief naar fouten moeten worden gevraagd. Het zorgen voor een speak-up cultuur en systematisch leren van elkaars fouten uit het verleden, gaat niet vanzelf. Aantoonbaar commitment van de directie en veiligheid voor de medewerkers helpen hierbij. Door het bepalen van de risk appetite  – hoeveel risico’s ben je als directie/organisatie bereid te nemen om strategische doelstellingen te behalen – wordt eigenlijk een indirect fouten appetite statement gegeven.

Kortom, het gaat om meer dan alleen het volgen van een framework. Het spreken van dezelfde taal en wederzijds respect leidt uiteindelijk tot succesvol risicomanagement.

Kader
Wil jij concreet aan de slag met COSO ERM 2017? Schrijf je dan in voor onze tweedaagse training COSO ERM 2017.


Naris Risk Academy

De mogelijkheid om te reageren is bij dit bericht uitgezet