Gecontroleerde groei, inspelen op veranderingen van buitenaf en risico’s integraal onderdeel laten uitmaken van alledaagse beslissingen: dat is waar Integraal risicomanagement (IRM) om draait. Het is dan ook niet verwonderlijk dat we de trend zien waarbij naast de risicomanager(s) de mensen op de werkvloer een steeds prominentere rol spelen in IRM. We leggen je vandaag uit waarom dit belangrijk is én hoe integraal risicomanagement écht gaat leven binnen je organisatie.
Het Three Lines model van het Institute of Internal Auditors (IIA) is wereldwijd veelgebruikt voor risicomanagement. Binnen Nederland wordt het vooral door grote organisaties gebruikt. Het model legt de drie lagen van verantwoordelijkheid binnen een organisatie uit, waarmee de basis van gedegen integraal risicomanagement gelegd kan worden. De drie lagen zien er als volgt uit:
De eerste twee lijnen hebben als gezamenlijk doel om acties te realiseren waarmee de organisatie haar doelen kan behalen. De rol van de eerste lijn hierin is het voorzien van klanten in diensten en goederen en het managen van risico’s, terwijl de tweede lijn de eerste lijn ondersteuning biedt bij alle risicogerelateerde zaken. Denk daarbij aan expertise delen, ondersteuning bieden, risico’s monitoren en uitdagingen op risicovlak aangaan. De derde laag voorziet de managementlaag van advies om de organisatiedoelen te bereiken.
In toenemende mate worden slimme en korte self-assessments in organisaties geïntroduceerd, om de business actiever te betrekken binnen het zogeheten Three Lines model. Niet langer zijn het vooral de tweede en derde lijn die de verantwoordelijkheid dragen voor adequaat risicomanagement. Juist door de medewerkers te betrekken die de meeste ‘pijn’ ervaren bij het optreden van risico’s, ontstaat een collectief besef van nut en noodzaak.
Veel organisaties worstelen echter met de wijze waarop de kostbare tijd van deze first line, ook wel de business, minimaal wordt belast en maximaal wordt benut. Marieke Kessels, CEO van Infoland en gepromoveerd op dit onderwerp, legt uit: “Bij Infoland zien we daarvoor volop mogelijkheden, juist door iedereen binnen de organisatie te betrekken bij risicobeheersing.” Borgen en aantonen dat de organisatie in control is, dat is de voornaamste reden om op frequente basis control tests uit te voeren. Vaak zijn dit self-assessments, bedoeld om de effectiviteit van bestaande beheersmaatregelen (controls) te achterhalen. Het vraagt echter een bepaalde mate van risicobewustzijn – en daarmee een zekere mate van risicovolwassenheid – van de business om een zinvolle invulling te geven aan deze taak.
Ervoor zorgen dat integraal risicomanagement op alle niveaus wordt gedragen, blijkt dan ook bij veel organisaties één van de grootste uitdagingen te zijn. Zo worden self-assessments of andere vormen van control testing traditioneel volgens een vast format uitgevoerd. Afwijkingen van het verwachte resultaat worden als issue vastgelegd en afgewikkeld. Marieke: “Dit is waar de schoen vaak wringt. Issues leiden tot verbetermaatregelen of andere activiteiten die uitgevoerd en bewaakt moeten worden. Naarmate de organisatieomvang toeneemt, is het behouden van een integraal overzicht uitermate complex.”
Het zijn juist de mensen op de werkvloer die dagelijks van input kunnen voorzien en de waarde van risicomanagement kunnen verhogen. Misschien niet altijd bij de risicoanalyses zelf, maar wél door ze te betrekken bij periodieke checks en door ze de mogelijkheid te bieden eenvoudig melding te maken van diverse voorvallen. Denk aan meldingen van (bijna-)incidenten, afwijkingen, verbetersuggesties of klachten die voor veel waardevolle input zorgen en als voeding dienen voor integraal risicomanagement. Zo ontstaat vanuit de business een continue stroom aan inzichten waarmee risicobeheersing naar een volgend plan wordt getrokken.
“Meer data vanuit verschillende invalshoeken maakt het totale risicoprofiel namelijk meer valide en betrouwbaar”, legt Marieke uit. Het stelt organisaties in staat om:
Marieke: “Het betrekken van de business en het omzetten van hun input naar waardevolle inzichten, valt of staat met de inrichting van een adequaat IRM-systeem dat verder gaat dan enkel het vastleggen en beheren van risico’s.” In een ideale wereld maken organisaties daarom gebruik van een geïntegreerde oplossing waarin naast risicoanalyse en control testing ook thema’s zoals issuemanagement, incidentmanagement en auditmanagement een plek hebben. Door deze componenten integraal onderdeel uit te laten maken van de IRM tooling, ontstaan praktische inzichten dankzij (real-time) dashboards. Dit zorgt voor effectief risicomanagement.
Zenya RISK is een oplossing die dit mogelijk maakt. De software helpt je bij het optimaal identificeren, evalueren, beheersen en monitoren van operationele en strategische risico’s en de bijbehorende controls. De inzichten die tools zoals RISK je bieden, kunnen vervolgens direct input leveren voor het identificeren en evalueren van risico’s en beheersmaatregelen. Ook kunnen deze inzichten gebruikt worden voor het vergroten van het risicobewustzijn. Door dashboards bijvoorbeeld ook op de werkvloer (en in de kantine) te delen, zien mensen de positieve of negatieve effecten van hun handelen. Zo groeit je organisatie in risicovolwassenheid!
“Het betrekken van de business en het omzetten van hun input naar waardevolle inzichten, valt of staat met de inrichting van een adequaat risicomanagementsysteem dat verder gaat dan enkel het vastleggen en beheren van risico’s.”
Marieke Kessels, CEO Infoland
“In de praktijk zien we nog een krachtig instrument om het risicobewustzijn op de werkvloer te vergroten. Het gaat om kennisoverdracht door middel van korte vragen en kennisflitsen”, vertelt Marieke. Wist je dat we ook hiervoor sinds kort een Zenya module beschikbaar hebben? Ontdek de voordelen van microlearning met Zenya BOOST.
Neem als voorbeeld het naleven van veiligheids- of hygiënevoorschriften, twee uiteenlopende thema’s die in veel organisaties spelen. Uit de praktijk blijkt dat het effect van nieuwsbrieven, handleidingen of (klassikale) leertrajecten zeer beperkt is. Kennis beklijft uitsluitend als deze direct toepasbaar is. Het nieuwe leren verschuift daarmee naar on-the-job microlearning in de vorm van korte, digitale trainingen en toetsen.
Laten we als voorbeeld inzoomen op een onderwerp als GDPR: een voorbeeld dat organisatiebreed allerlei risico’s met zich meebrengt. Van het printen en laten ‘rondslingeren’ van cv’s, tot het versturen van gevoelige klantinformatie. Iedereen binnen een organisatie heeft ermee te maken.
Door periodiek een korte kennistoets rond te sturen, blijft het thema actueel én wordt met de juiste vraagstelling veel data verzameld. Door bijvoorbeeld mensen te vragen om de GDPR-valkuilen met een aanwijsvraag te selecteren, gaan zij actief nadenken en de situatie analyseren. En omdat zij na hun antwoord direct feedback ontvangen in de vorm van een kennisflits, wordt hun risicobewustzijn meteen verhoogd. Met heatmaps wordt inzichtelijk waar medewerkers vaak of minder vaak op hebben geklikt. Kennishiaten, en dus risico’s, maak je op deze manier onmiddellijk inzichtelijk. Dit kan leiden tot extra maatregelen rondom risicobeheersing (controls), lesprogramma’s of andere acties.
“Samengevat biedt een effectief risicomanagementsysteem een set toepassingen die iedereen binnen jouw organisatie ondersteunt in betere en uitgebreidere evaluatie van risico’s. Meer data vanuit verschillende invalshoeken maakt het totale risicoprofiel namelijk meer valide en betrouwbaar”, legt Marieke uit.
In Jip-en-janneketaal betekent het dat je thermometermomenten kunt introduceren, waarbij je kijkt of professionals op de werkvloer ook écht gehoor geven aan beheersmaatregelen en of risicobewustzijn goed tussen de oren zit. Middelen als issue- en incidentmanagement, auditmanagement en microlearning zijn hiervoor geschikt. Hiermee ontstaat een continu verbeterende organisatie waarin alle lagen een toegevoegde waarde leveren. En dan werkt integraal risicomanagement écht als drijver voor succes.
Risicomanagement is een taak van de gehele organisatie. Maar hoe zorg je er nou voor dat iedereen zich verantwoordelijk voelt voor de veiligheid? Dat doe je door risicobewustzijn deel uit te laten maken van het DNA. Maar dit is makkelijker gezegd dan gedaan.
Hoe risicobewust ben jij, en hoe goed scoort jouw team? Je weet het binnen 5 minuten met de test welke wij speciaal hiervoor ontwikkelden in de digitale toetsingssoftware iQualify, het broertje van Zenya.
Vraag de brochure aan zodat je alle informatie gemakkelijk bij de hand hebt.
Zelf zien wat Zenya RISK voor jouw organisatie kan gaan betekenen?
Lees er alles over op onze Zenya RISK pagina. Op deze pagina kun je ook een gratis demo aanvragen.