Beheersinstrumenten voor identificatie en beoordeling van risico’s

5.3 Beheersinstrumenten voor identificatie en beoordeling van risico’s

Deze paragraaf gaat in op het gebruik van beheersinstrumenten voor risico-identificatie en – beoordeling in de programmaorganisatie. Figuur 14 geeft de positie van deze paragraaf binnen hoofdstuk 5 weer.

Figuur 14: Beheersinstrumenten in hoofdstuk 5

De beheersinstrumenten worden beschreven en geanalyseerd in relatie tot de beheersproblemen die geformuleerd zijn in hoofdstuk 3 en in paragraaf 5.2.4. De beheersproblemen zijn gerelateerd aan de aard van de activiteiten die als doel hebben in risico informatie te voorzien en ‘awareness’ te creëren. Tijdens het onderzoek blijkt dat deze doelstelling geworteld is in drie thema’s⁵⁵. Aan de hand van deze thema’s worden de beheersinstrumenten besproken. De thema’s zijn:

- Organisatie

- Processen en procedures - Mensen

In overeenstemming met paragraaf 3.1.1 wordt de samenstelling en gebruik van beheersinstrumenten beschreven vanuit een doelmatigheidsperspectief. Dat perspectief betekent dat bij elk beheersinstrument wordt besproken:

- Wanneer en door wie het instrument wordt ingezet; - Welk mechanisme het instrument in gang zet;

- En welke transactie van risico informatie er plaatsvindt. 5.3.1 Organisatie

Binnen het thema organisatie kunnen een aantal beheersinstrumenten voor risico-identificatie en – beoordeling worden benoemd. Dat zijn de inzet van het programmateam overleg (PTO), een feedbackloop, continue risico- identificatie en –beoordeling en de inzet voor risicomanagement door het PMO.

55

Geïnterviewden gaven aan dat als belangrijkste voorwaarden voor risico-identificatie en –beoordeling worden beschouwd: mensen, processen en (organisatie van) tools

55 Het PTO is een belangrijke activiteit voor risico-identificatie en -beoordeling. In dit overleg wordt op periodieke basis een risk assessment uitgevoerd. Alle functionele afdelingen zijn in dit overleg vertegenwoordigd. Dat maakt de aard van het team en het overleg multidisciplinair. In een PTO worden risico’s besproken die de functionele vertegenwoordigers vanuit hun eigen gebied meenemen⁵⁶.

In de programmaorganisatie vindt op verschillende manieren een feedbackloop van risico informatie plaats. Een van de manieren is door middel van een zogenaamde bandbreedte in de financiële programmarapportage. Deze bandbreedte is een directe vertaling van een risico in financiële impact. De bandbreedte wordt maandelijks gespecificeerd door de programmamanager en de controller. Dit proces wordt afgedwongen door de PRM of, afhankelijk van het risicoprofiel van het programma, in een big ticket rapportage. Het voordeel van de bandbreedte is dat de vorming ervan wordt afgedwongen door verankering in de planning en control cyclus. Daarnaast maakt gedetailleerde documentatie deel uit van de specificatie van een bandbreedte. Deze documentatie wordt gebruikt bij expert of peer reviews van het programma⁵⁷.

Risico’s voor een programma worden in de organisatie op voortdurende basis geïdentificeerd en beoordeeld door de programmamanager en de controller⁵⁸. Dit deel van het proces voor identificatie en beoordeling is niet geformaliseerd. Echter, de term informeel is ook niet van toepassing op dit proces. Het beheersinstrument is in de verwachting en risicohouding van de gehele organisatie. In nagenoeg elke bespreking en cross-functioneel overleg worden gebeurtenissen geëvalueerd en de kans en impact van optreden beoordeeld⁵⁹. Er vindt dan niet meteen een vertaling naar programma-financiën plaats. Daarvoor wordt de periodieke risk assessment gebruikt. In het risk assessment wordt het risicoprofiel van een programma vastgelegd. Gebruikers van risico informatie organiseren peer reviews op deze risicoprofielen. Verder kunnen de mitigatieplannen voor risico’s worden gerelateerd aan verlaging van het risicoprofiel. Het risk assessment template voorziet in monitoring van het risicoprofiel. Figuur 15 geeft een voorbeeld van de monitoring van het risicoprofiel weer. Het verloop van het risicoprofiel in de tijd wordt in deze grafiek weergegeven. Naarmate het betreffende programma in een andere programmafase terechtkomt, dan zal het profiel stabieler moeten worden. In onderstaande grafiek is dat te zien aan de rechterzijde van de grafiek.

56

Bron: Interviews; observatie PTO

57

Bron: Interviews; documentatie

58

Bron: Observatie

59

56 Figuur 15: Voorbeeld van monitoring risico ontwikkeling op een programma (bron: risk assessment tool) Beoordeling van de impact van bepaalde gebeurtenissen verschilt per programma, terwijl gebeurtenissen dezelfde aard kunnen hebben. De risicomanager ondersteunt vanuit het PMO bij het in kaart brengen van dit soort gebeurtenissen⁶⁰. De uitkomst van de beoordeling door de risicomanager wordt door hoger management, bijvoorbeeld op business line niveau, gebruikt voor condensatie van risico informatie.

5.3.2 Procedure en processen

Procedures en processen kunnen op zichzelf als beheersinstrumenten worden beschouwd. Doelmatigheid van het gebruik van procedures als beheerinstrument in de programmaorganisatie, wordt uitgedrukt in een aantal activiteiten.

Een concrete tool die het proces van risico-identificatie en –beoordeling op programmaniveau in gang zet is het risk assessment tool. Deze tool wordt door de programma’s minimaal één keer per kwartaal gebruikt⁶¹. De mechanismes die het gebruik van de tool in gang zetten, zijn van formele aard. Dat betekent dat de procedure voor risicomanagement, een expliciet verzoek van business line management, periodieke controle door een accountant, of een andere prikkel leidt tot gebruik van de tool. Programmamanagers gebruiken naast de tool, hun dagelijkse overlegstructuren en informatiesystemen⁶² om zich zo goed mogelijk te informeren over de risico’s voor hun programma. Het risico assessment tool wordt vooral gebruikt voor documentatie en monitoring van risico’s. De uitkomst van het proces dat wordt geïnitieerd door het gebruik van de tool is een risico register. Dit register geeft een grafisch overzicht van het risicoprofiel dat volgt uit de identificatie en

60

Bron: Interne documentatie PMO; procedure PMS

61

Bron: analyse data risk assessment tools

62

57 beoordeling van gebeurtenissen. Een programmateam gebruikt dit overzicht bij het managen van het programma. De gebruikswaarde van de informatie die deze tool voortbrengt, wordt vergroot door verspreiding naar de juiste stakeholders. Daarnaast informeert hoger management zich met ad hoc vragen over actuele kwesties en ‘watch items’. Uit de interviews blijkt dat de formele status van de risk assessment rapportages bijdraagt aan het gebruik ervan voor beantwoording van ad hoc vragen.

Het gebruik van de risk assessment tool maakt deel uit van een pakket aan procedures die richting geven aan het werk van een programma. Programma’s worden continu gedwongen procedures na te leven binnen de programmaorganisatie. Dat gebeurt via de PMS, door te verschijnen in een PRM en andere verantwoordingsmomenten met bijvoorbeeld klanten. Voorwaarde voor participatie op deze momenten is voorbereiding door middel van risicoanalyse, die identificatie en beoordeling afdwingt. Het vullen van een matrix kost mankracht en budget63. Anders gezegd zorgt de noodzaak tot transparantie en verantwoording voor transactiekosten. De keuze voor een risk assessment tool als beheersinstrument wordt echter gedragen door de programmaorganisatie⁶⁴. Geïnterviewden geven aan dat het toevoegen van een matrix de daadwerkelijke risico-identificatie en –beoordeling meer bevordert, dan bijvoorbeeld een aanmoediging door het management om zo goed mogelijk risico’s te identificeren.

Risico’s worden in de programmaorganisatie geïdentificeerd en beoordeeld in relatie tot specifieke doelstellingen. Standaardlijsten met risico’s worden daarvoor niet geschikt geacht. Er worden daarom specifiek risico’s geïdentificeerd ten aanzien van de doelstelling van het betreffende programma. Hierbij wordt de nadruk gelegd op documentatie van de mogelijke impact van de gebeurtenis. Het blijkt uit interviews en observatie dat de controller in dit proces degene is die zorgdraagt voor de koppeling tussen documentatie van risico’s en de financiële rapportage. De documentatie wordt gebruikt in peer reviews. Deze peer reviews worden georganiseerd omdat risico’s die materiele impact hebben, anders naar boven komen als het eigenlijk al te laat is. Daarnaast worden risico’s top-down geïdentificeerd en beoordeeld. Top-down betekent dat bijvoorbeeld business line management de volledigheid en geldigheid van geïdentificeerde risico’s controleert.

5.3.2.1 Het gebruik van procedures in relatie tot de complexiteit van doelstellingen

Uit de observatie en interviews in de programmaorganisatie blijkt dat er aan de hand van verschillende procedures risico-identificatie en –beoordeling plaatsvindt. Het zijn niet altijd in eerste

63

Bron: Interview

64

58 instantie de procedures in de PMS die worden nageleefd. Het gebruik van een bepaalde procedure wordt door geïnterviewde personen verklaard door de institutionele druk die op de betreffende procedure wordt uitgevoerd. Elke institutie legt namelijk zijn eigen doelstelling aan een programma op. Dat verklaart waarom risico’s vanuit institutioneel perspectief worden geïdentificeerd en beoordeeld. Als het overheersend institutioneel perspectief door de klant bepaald wordt, dan worden gebeurtenissen die het behalen van doelstellingen die door de klant worden opgelegd, geïdentificeerd en beoordeeld. Eén geïnterviewde illustreert dit als volgt: ‘Wat je ziet is dat we én een eigen proces hebben en een proces van een klant. De druk door de klant op het uit te voeren proces is soms groter dan de druk vanuit de organisatie op het uitvoeren van ons eigen proces. Dan worden wel alle procedures gevolgd, maar de volgorde waarin ze worden uitgevoerd varieert’. 5.3.3 Mensen

Het derde thema waar omheen samenstelling van beheersinstrumenten kan worden beschreven is de toepassing van kennis en ervaring van mensen. In deze paragraaf wordt de rol van mensen in de samenstelling van beheersinstrumenten uitgedrukt in continuïteit en ervaring, kennis en houding. Continuïteit van de inzet van mensen en ervaring van mensen overlappen elkaar. Uit interviews en observatie blijkt dat programma’s tijdens het zoeken naar informatie over gebeurtenissen een beroep doen op mensen met veel ervaring in de organisatie. De ervaring van mensen bij het identificeren en beoordelen van risico’s werkt door in de samenstelling van offerte- en programmateams.⁶⁵ Zoals eerder aangegeven varieert het risicoprofiel van een programma gedurende een offerteproces meer dan van een gecontracteerd programma. Het blijkt dat mensen die deel hebben genomen aan risico-identificatie en –beoordeling in een offertetraject, deze ervaring bewust inzetten bij identificatie en beoordeling van risico’s in gecontracteerde programma’s.

Kennis is een veelomvattend begrip, waar ook binnen de programmaorganisatie veel betekenissen aan worden gegeven. Naast alle specifieke technische kennis is de kennis van contracten en specificaties van werkpakketten een belangrijke voorwaarde voor effectieve identificatie en beoordeling van risico’s voor een programma. Aan deze voorwaarde wordt invulling gegeven door evaluaties van conceptcontracten en peer reviews van conceptoffertes⁶⁶.

Er wordt een transparante houding van de mensen in de programmaorganisatie verwacht met betrekking tot risico-identificatie en –beoordeling⁶⁷. Hoewel deze houding niet in een procedure is te

65

Bron: Interview

66

Bron: Interviews, offerteprocedure, observatie

67

59 vatten, dwingen controllers en programmamanagers de houding af door informatie te delen en er een financiële dimensie aan te verbinden. Op die manier wordt risico informatie geschikt voor gebruik in financiële prognoses.

5.4 Samenvatting

In dit hoofdstuk is beheersing van risico-identificatie en –beoordeling in de programmaorganisatie van FA beschreven. De eigenschappen van de transactiekenmerken en de hieraan gerelateerde beheersproblemen zijn beschreven. Vervolgens zijn de beheersinstrumenten in relatie tot de organisatie en de kenmerken van identificatie en beoordeling in kaart gebracht.

In hoofdstuk 4 is op basis van de verwachte beheersproblemen en de literatuur een overzicht opgesteld van beheerinstrumenten die naar verwachting vormgeven aan beheersing van risico-identificatie en –beoordeling in een programmaorganisatie. In tabel 2 hieronder is naast dit overzicht aangegeven in hoeverre deze beheersinstrumenten zijn aangetroffen in de programmaorganisatie van FA. Het is niet de bedoeling de exacte overeenkomst of aanwezigheid van beheersinstrumenten te toetsen, maar om de aangetroffen beheersinstrumenten te duiden. Daarbij bevatten de aangetroffen instrumenten in tabel 2 ook elementen die niet expliciet zijn benoemd in dit hoofdstuk. Deze elementen kunnen daarom als aanvulling op dit hoofdstuk worden gezien.

Verwachte beheersinstrumenten op basis van beheersproblemen en literatuur

Aangetroffen vorm van beheersinstrument in programmaorganisatie FA

Zo concreet mogelijk doelen stellen, en daar gebeurtenissen aan relateren.

Doelstellingen voor programma’s worden afgeleid uit achtereenvolgens een strategisch en operationeel plan. Onder andere tijdens risk

assessments in het PTO worden gebeurtenissen gerelateerd aan deze doelstellingen. Institutionele druk (vanuit klanten) zorgt voor

verschillende initiaties van identificatie en beoordeling. Een risk assessment voor het vastleggen van

de projectdoelen.

In de verschillende fases waarin een programma zich bevindt, worden risk assessments gehouden. Het vastleggen van de uitkomst van een assessment zorgt voor beschrijving van de context van een business case, daarnaast wordt door documentatie een peer review mogelijk gemaakt.

Een proces flow analyse om alle betrokken individuen het proces te laten begrijpen.

Programmateamleden worden hebben de beschikking over een project management plan waarin alle processen die te maken hebben met het programma worden beschreven.

Continue identificatie en beoordeling van gebeurtenissen.

Continue identificatie en beoordeling van gebeurtenissen vindt zowel plaats binnen de programma’s, bijvoorbeeld tijdens PTO’s en risk assessments, als tijdens frequent voortgangsoverleg met hoger management, tijdens de maandelijkse PRM.

60 Verwachte beheersinstrumenten op basis van

beheersproblemen en literatuur (vervolg)

Aangetroffen vorm van beheersinstrument in programmaorganisatie FA (vervolg)

Onderscheid tussen inherente en residu risico’s.

Een centraal orgaan (PMO) bewaakt het begrip van definitie van risico’s in de programmaorganisatie. Op programmaniveau worden alleen programma specifieke risico’s geïdentificeerd en beoordeeld. Identificatie, beoordeling en management van inherente risico’s die verbonden zijn aan ontwerp- en productieprocessen gebeurt in de functionele assen.

Nadruk op kwalitatieve beoordeling:

Beoordeling op basis van nominale en ordinale waarden omwille van begrijpelijkheid van kans en impact.

De nadruk ligt vooral op identificatie en beoordeling van de financiële impact van gebeurtenissen. Dit wordt bevorderd door het toevoegen en specificeren van zogenaamde bandbreedtes in de financiële

programmarapportage. Geen expliciete opdracht tot

risico-identificatie en –beoordeling.

Risico-identificatie en -beoordeling wordt via verschillende interne en externe procedures afgedwongen.

Frequente ad hoc informatie. Buiten de formele rapportagecyclus zorgt een transparante overlegcultuur in de programmaorganisatie voor frequente ad hoc informatie.

Een procedure of in ieder geval een aanwezigheidsplicht, ter beperking van opportunisme.

De aanwezigheid in PTO's en risk assessments in offertefases maakt deel uit van de multidisciplinaire basis van de programmaorganisatie. Samenstellen van een multidisciplinair

kernteam.

Alle programmateams in de programmaorganisatie zijn multidisciplinair.

Een gefaciliteerde workshop waarbij individuen cross functioneel samenwerken.

Met de implementatie en formalisatie van een PMO worden risk assessments gefaciliteerd.

Een consistente manier voor de administratie van industrie specifieke gebeurtenissen en uit deze database kunnen putten.

Er wordt gebruik gemaakt van 'lessons learned' documentatie die wordt bijgehouden op corporate niveau.

De kwaliteit van de beoordeling hangt af van de specifieke kennis van betrokken individuen.

Verschillende disciplines brengen gevraagd en ongevraagd op

interactieve wijze gebeurtenissen onder de aandacht van programma's. Daarnaast maken peer reviews onderdeel uit van risk assessments tijdens de offertefase.

Een questionnaire zoals export compliance training waarbij deelname wordt

geadministreerd en niet vrijblijvend is.

De risk assessment tool gaat verder dan een questionnaire doordat deze actief moet worden ingevuld.

Gebruik van leading event indicators, of key risk indicators.

Zie figuur 15 voor een voorbeeld van key risk indicators. Terugkoppeling over de mate waarin

inherente en resterende risico’s waarheid zijn geworden.

Programma's steunen bij de verantwoording van financiële

bandbreedtes op het verloop van het aantal risico's in het risicoregister. Daarnaast is terugkoppeling over risico’s onderdeel van de planning en control cyclus die wordt gevormd door PRM’s, big ticket rapportage, en budgettering.

Documentatie van ontstaan en ontwikkelingen van risico’s.

Op documentatie en verslaglegging van risico's wordt aandacht gevestigd en wordt als voorwaarde onderkend voor de werking van beheersinstrumenten.

In document Beheersing van risico-identificatie en -beoordeling in een programmaorganisatie (pagina 54-61)