Vragenlijst

Registratie en rapportage

In paragraaf 6.1 is uitgelegd hoe de vragenlijst tot stand is gekomen. Belangrijk uitgangspunt hierbij was de definitie van rapporteren volgens Starreveld (2002). Uit de definitie blijkt dat rapportage gebeurt op basis van geregistreerde informatie. Tijdens de case study is gebleken dat de meeste organisatieonderdelen niet alle informatie over risicomanagement registreren maar ondanks dit wel rapporteren. Uit de analyse is gebleken dat dit komt omdat men bij organisatie X nog niet beschikt over uniforme formats of toepassingen om deze informatie te registreren. De resultaten uit de case study leidden daarom niet tot een aanpassing van de structuur van de vragenlijst. Nog steeds moet eerst de vraag gesteld worden of informatie over het betreffende risicomanagement aspect wordt geregistreerd. Daarna volgt de vraag of de informatie ook wordt gerapporteerd. Uit de case is wel gebleken dat de vraag over registratie ook negatief beantwoordt kan worden en dat dan de vraag over rapportage nog steeds relevant kan zijn.

Doelstellingen

Uit de casestudy is gebleken dat alle onderzochte organisatieonderdelen doelstellingen hebben geformuleerd. Niet alle organisatieonderdelen hebben naast financiële doelstellingen ook strategische doelstellingen geformuleerd. Uit de literatuur komt duidelijk naar voren dat het niet voldoende is om alleen financiële doelstellingen te formuleren. Het is dus belangrijk om bij de

62

antwoordindelingen onderscheid te maken naar aard van doelstelling. Het formuleren van doelstellingen is dus ook pas adequaat als meer dan één categorie doelstellingen wordt geformuleerd. Tijdens de validatie werd genoemd dat het interessant zou zijn om te vragen of de doelstellingen in lijn zijn met de strategische doelstellingen. Omdat deze vragenlijst vooral kijkt naar de rapportage en minder naar de kwaliteit wordt deze vraag niet toegevoegd. Dit is overigens wel een goede mogelijkheid voor een vervolgonderzoek. In paragraaf 7.2 wordt hier verder op in gegaan. De vraag over de risicoacceptatiegraad kon in de case organisatie X door geen respondent bevestigend worden beantwoord. Dit betekent in dit geval niet dat deze vraag overbodig is. Tijdens de validatie werd ook uitgesproken dat deze vraag over risicohouding wellicht als afzonderlijke vraag gesteld zou kunnen worden en niet als onderdeel van de vragen over doelstellingen. Om de vragenlijst meer in overeenstemming te laten zijn met het normatieve model laat ik deze vraag toch staan als onderdeel bij de vragen over doelstellingen. Uit de analyse is gebleken dat door de afwezigheid van methoden en handvatten organisatieonderdelen deze stap niet kunnen uitvoeren.

Risico-inventarisatie

Bij organisatie X hebben negen van de twaalf organisatie onderzochte organisatieonderdelen risico’s benoemd. Ook op basis van literatuur en validatie is gebleken dat risico-inventarisatie een risicomanagementaspect is waarover gerapporteerd moet worden. Organisatieonderdelen die risico’s inventariseren doen dit deels systematisch. Uit de analyse blijkt dat vanwege het feit dat risico’s niet systematisch worden geïnventariseerd, risico’s ook niet worden geregistreerd. De experts beamen dat risico-inventarisatie een belangrijk onderdeel is van risicomanagement. Het is daarom belangrijk om naast de vraag over risco-inventarisatie ook te vragen naar de manier waarop risico’s worden geïnventariseerd omdat dit een voorspeller is of risico’s worden geregistreerd en gerapporteerd.

Risicobeoordeling

Van de negen organisatieonderdelen van organisatie X die risico’s inventariseren, zijn er zes die de risico’s niet beoordelen. Zoals in de analyse opgemerkt komt dit doordat risicobeoordeling niet in het huidige risicomanagementsysteem is opgenomen. Deze beperkt zich nu slechts tot risico inventarisatie en het vaststellen van beheersmaatregelen. Uit de literatuur is gebleken dat risicobeoordeling een wezenlijk onderdeel is van risicomanagement. Ook de experts die de vragenlijst gevalideerd hebben bevestigen dat de opgestelde norm en de vragenlijst compleet is en dat risicobeoordeling hier ook een aspect van is. Het feit dat risicobeoordeling in de case door

63

slechts enkele organisatieonderdelen wordt uitgevoerd, is daarom geen reden om dit aspect en bijbehorende vraag uit de norm en vragenlijst te halen.

Beheersmaatregelen

De organisatieonderdelen B die risico’s inventariseren hebben daar ook maatregelen voor getroffen. Gezien het, zoals eerder gezegd, nogal operationele karakter past de naam ‘verbeteracties’ zoals zij dat zelf noemen daar goed bij. Organisatieonderdelen A hebben lang niet voor alle risico’s beheersmaatregelen. Zij hebben daar, zoals zij zelf zeggen, veelal geen invloed op. Dit komt deels door een gebrek aan kennis zoals uit de analyse blijkt. Zij zeggen dat de risico’s buiten hun invloedssfeer liggen. Wanneer organisatieonderdelen op de gebeurtenis zelf geen invloed uit kan oefenen, kunnen zij door beheersmaatregelen de gevolgen beperken. Omdat een deel van de organisatieonderdelen wel degelijk beheersmaatregelen heeft vastgesteld en literatuuronderzoek en validatie hebben aangetoond dat het treffen van beheersmaatregelen wel degelijk tot risicomanagement behoort, blijft de vraag over beheersmaatregelen onderdeel van de vragenlijst.

Evaluatie en bijsturing

Uit de resultaten van de case study blijkt dat evaluatie van de inhoud van het risicomanagementproces niet aantoonbaar plaats vindt bij organisatie X. In de analyse van dit onderdeel is naar voren gekomen dat hier verschillende oorzaken voor zijn. In eerste plaats wordt van organisatieonderdelen op dit moment niet verwacht dat zij deze stap uitvoeren. Toch blijkt uit de literatuur dat (bijna) alle risicomanagementprocessen evaluatie noemen als onderdeel van risicomanagement. Een andere verklaring voor het ontbreken van deze stap en dus ook de registratie en rapportage hierover is dat er nog geen praktische methoden bestaan voor evaluatie. Er is in het algemeen nog weinig bekend hoe deze stap uitgevoerd moet worden en hoe hierover gerapporteerd moet worden.

Randvoorwaarden

Uit de literatuur is gebleken voor een optimale beheersing van risicomanagement enkele randvoorwaarden noodzakelijk zijn. Dat zijn de randvoorwaarden; kennis, structuur, cultuur en techniek. Hierover zijn ook vragen opgenomen in de vragenlijst. Hoewel voor deze vragen geen antwoordindeling gemaakt kon worden is door middel van de interviews toch een helder beeld ontstaan over de randvoorwaarden bij organisatie X. Zo is gebleken dat de randvoorwaarden niet optimaal aanwezig zijn bij organisatie X. Er is soms onduidelijkheid over rapportage structuren

64

en afspraken over wat gerapporteerd moet worden door organisatieonderdelen B zijn ook niet helder. De ondervraagde personen staan nog niet geheel achter risicomanagement omdat dit de, toch al hoge werkdruk en rapportagedruk, nog verder verhoogd. Technieken voor een goede vastlegging van informatie over risicomanagement zijn nog niet beschikbaar en kennis ontbreekt om sommige risicomanagementaspecten goed uit te voeren. Verder viel het op dat implementatie van nieuwe systemen of methoden moeizaam gaat. Dit geldt dus ook voor de invoering van risicomanagement. Doordat de randvoorwaarden niet voldoende zijn ingebed binnen organisatie X, worden niet alle risicomanagementaspecten beheerst en wordt hierover niet in alle gevallen gerapporteerd. Bovenstaande geeft aan dat de vragen in de ontwikkelde vragenlijst een goed beeld kunnen geven over de randvoorwaarden van risicomanagement. Ook de experts bevestigen uitdrukkelijk dat deze randvoorwaarden noodzakelijk zijn voor een goede beheersing van risicomanagement en de rapportage hierover.

Op basis van de uitkomsten van het literatuuronderzoek, validatie van de vragenlijst en het testen van de vragenlijst in de case organisatie X kan geconcludeerd worden dat de vragenlijst een geschikt instrument is voor het primaire doel, toetsen en verbeteren van interne risicorapportage. Daarnaast is gebleken dat door het afnemen van de vragenlijst ook een goed inzicht verkregen kan worden in de staat van een risicomanagement bij organisaties en de tekortkomingen van het systeem.