Risicomanagement, implementatie en kwaliteitsbepalende factoren

Risicomanagement, implementatie en

kwaliteitsbepalende factoren

Een aanzet tot een toetsingsmodel

Erik Douna

Studentnummer: 1802682 Augustus 2010

Masterscriptie Accountancy Rijksuniversiteit Groningen

Faculteit Economie en Bedrijfskunde B

M  

egeleider dhr. drs. W.G. de Munnik RA

Voorwoord

Voor u ligt mijn scriptie die ik heb geschreven ter afsluiting van de opleiding accountancy aan de Rijksuniversiteit te Groningen. In deze scriptie is onderzoek verricht naar het onderwerp risicomanagement, waarbij de implementatie centraal heeft gestaan.

Tijdens dit onderzoek ben ik veel over het vakgebied risicomanagement te weten gekomen. Maar ook zeker over de gelieerde vakgebieden. Vooral de extra dimensies implementatie en kwaliteitsbepalende factoren hebben er voor gezorgd dat ik nieuwe inzichten heb verkregen over het vakgebied risicomanagement.

Voor de afronding van mijn scriptie ben ik aan een aantal mensen mijn dank verschuldigd. In de eerste plaats wil ik mijn begeleider vanuit de Rijksuniversiteit Groningen, Wilmar de Munnik, bedanken voor de begeleiding en feedback gedurende het schrijven van deze scriptie. Daarnaast wil ik de personen bedanken die bereidt zijn geweest om mijn inzichten tijdens gesprekken te verscherpen en te verhelderen. Ten slotte wil ik mijn familie, vrienden en medestudenten bedanken die hebben bijgedragen aan de totstandkoming van deze scriptie.

Erik Douna,

Samenvatting

De financiële crisis heeft er voor gezorgd dat het onderwerp risicomanagement opnieuw op de agenda is komen te staan. Volgens de publieke opinie is pijnlijk duidelijk geworden dat risicomanagement niet naar behoren heeft gewerkt. Organisaties lijken echter steeds meer te doen aan risicomanagement, dit valt onder andere op te maken uit onderzoeken van de Monitoring Commissie Corporate Governance Code (2009).

Hoewel uit dergelijke onderzoeken blijkt dat er meer wordt gedaan aan risicomanagement stellen andere onderzoekers (o.a. PwC 2009) vast dat er grote verschillen bestaan tussen organisaties en sectoren. Om er voor te zorgen dat de implementatie kan worden verbeterd, is het wenselijk dat meer kennis wordt verkregen waarom bepaalde organisaties verder zijn dan andere. Een toetsingsmodel kan hierbij behulpzaam zijn. In dit onderzoek is een aanzet gedaan tot een dergelijk toetsingsmodel. Hierbij is de volgende centrale vraag leidend geweest: “Op welke wijze kan een verbinding worden gelegd tussen de onderwerpen risicomanagement, implementatie en kwaliteitsbepalende factoren, dat leidt tot een aanzet voor een toetsingsmodel voor risicomanagement?”

Het in dit onderzoek opgestelde toetsingsmodel is opgebouwd vanuit het perspectief van de vakgebieden risicomanagement en de veranderkunde. Tijdens het onderzoek is het toetsingsmodel uit dit rapport vergeleken met de toetsingsmodellen (maturity modellen) van een aantal gerenommeerde accountantskantoren. Uit deze vergelijking blijkt dat het mentale aspect, waarbij het ‘hoe’ en ‘waarom’ een organisatie risicomanagement implementeert ontbreekt in dergelijke modellen. Deze ‘zachte’ kant van risicomanagement blijkt voor de implementatie van belang te zijn, zodat men in de organisatie draagvlak weet te creëren bij de mensen om risicomanagement toe te passen. Deze kant van risicomanagement stelt de organisatie instaat om verwachtingen richting medewerkers duidelijk te maken.

Verder is uit het onderzoek gebleken dat een aantal kwaliteitsbepalende factoren van belang kunnen zijn voor de implementatie en effectiviteit van risicomanagement. Cultuur, leiderschap, informatiesystemen, structuren, alignment en personeel zijn hierbij naar voren gekomen. Uit dit onderzoek blijkt dat deze factoren kunnen worden gezien als randvoorwaarden voor het risicomanagementsysteem.

Inhoudsopgave

1 Inleiding... 5 1.1 Aanleiding onderzoek... 5 1.2 Probleembeschrijving... 6 1.3 Onderzoeksvraag... 7 1.4 Onderzoeksopzet... 8 2 Risicomanagement... 9 2.1 Agency-theorie... 9 2.2 Definitie risicomanagement... 11 2.2.1 Systeem... 13

2.2.2 Systeem van risicomanagement... 13

2.2.3 Iteratief proces van risicomanagement... 16

2.2.4 Risico, doelstellingen en beheersen... 19

3 Implementatie... 25

3.1 Implementeren... 25

3.2 Implementatieproces... 26

3.3 Beschrijving van de implementatiefase... 27

3.4 Conclusie... 29 4 Kwaliteitsbepalende factoren... 30 4.1 Cultuur... 30 4.2 Leiderschap (managementstijl)... 32 4.3 Informatiesystemen... 33 4.4 Alignment... 33 4.5 Structuren... 34 4.6 Personeel... 35 4.7 Resumerend... 36

5 Maturity model risicomanagement... 39

5.1 Beschrijving van fase risicomanagement... 39

5.2 Samenvatting maturity modellen BIG four... 40

5.3 Analyseren van de modellen... 43

5.4 Vergelijking van implementatieproces risicomanagement... 44

5.5 Aspecten van de diverse fasen van risicomanagement... 45

6 Slot... 47

6.1 Conclusie... 47

6.2 Beperkingen van het onderzoek... 50

6.3 Mogelijkheden voor vervolgonderzoek... 51

Referenties... 52

Bijlage I: Maturity model risicomanagement NIVRA-werkgroep... 56

Bijlage II: Maturity model voor risicomanagement ... 62

1 Inleiding

1.1 Aanleiding onderzoek

De financiële crisis heeft er voor gezorgd dat het onderwerp risicomanagement opnieuw hoog op de agenda staat. Het omvallen van Lehman Brothers is volgens de publieke opinie het gevolg van het nemen van te grote risico’s. De mate waarin Lehman Brothers zich bezighield met risicovolle hypotheken en de toegenomen leverage worden gezien als de belangrijkste elementen. De maatschappelijke impact van het faillissement is zeer groot. Denk maar aan de beelden in de media van werknemers die met dozen over straat lopen en de beurskoers die binnen enkele dagen tot $0,03 is gedaald. Maar ook klanten van andere banken die massaal claims indienen, omdat hun waardepapieren (o.a. Lehman-notes) geen waarde meer vertegenwoordigen.1

De financiële crisis is niet beperkt gebleven tot Amerika. Ook in Nederland is voor een aantal banken de risico impact te groot geworden. Duidelijke voorbeelden hiervan zijn de nationalisatie van Fortis en ABN AMRO en de staatsteun aan ING.

Naast de grote multinationals zijn ook de nodige bedrijven in het MKB geraakt door de crisis. De motor van onze economie heeft de gevolgen van de economische crisis vertaald zien worden in onder andere kleinere orderportefeuilles, moeilijke kredietverlening en oplopende betalingsproblemen. Dit heeft geleid tot een sterke toename van het aantal faillissementen en ontslagen binnen de sectoren.2

Ondernemen is een optimum proberen te vinden tussen rendementen en risico’s. Aangezien middelen schaars zijn kunnen activiteiten niet ongelimiteerd ontplooid worden. Organisaties dienen dan ook te kijken welke activiteiten de meeste waarde voor hen toevoegen en of deze activiteiten passen binnen de risicovoorkeur van de organisatie.

Deze afweging tussen rendement en risico geldt niet alleen voor de profit sector. In de non-profit sector moet een soortgelijke afweging worden gemaakt. Echter, hier spreekt men in

1 _{Documentaire: BBC, 2009, The Love of Money.} 2 _{MKB Nederland: Praktijk info, 26 maart 2009.}

de non-profit sector van een evenwicht tussen de maatschappelijke relevantie (maatschappelijk rendement) en risico’s.

Met name door de toegenomen marktwerking is het voor non-profit organisaties steeds belangrijker om als ondernemer te opereren en dus risico’s te managen. Veelal worden diensten in de non-profit sector bekostigd met maatschappelijke gelden, die optimaal besteed behoren te worden. Dit betekent dat risico’s die inherent zijn aan deze vorm van ondernemen ook goed moeten worden beheerst, omdat anders geen sprake kan zijn van een optimale inzet van het maatschappelijk kapitaal.

Naast de toegenomen marktwerking zijn non-profit organisaties verbonden met meerdere actoren, zoals het Rijk, gemeenten en afnemers. Door al deze actoren wordt het managen van de organisatie gecompliceerd, aangezien ze allemaal eigen belangen en doelen hebben en heterogene partijen zijn. Deze actoren willen graag nauw betrokken zijn bij de beleidskeuzes en voorgenomen prestaties van deze organisaties.

De toename van diversiteit aan actoren die het beleid van organisaties trachten te beïnvloeden is ook terug te vinden in de profit sector. Zo wordt de auto-industrie tegenwoordig zwaar onder druk gezet om kleinere en minder vervuilende auto’s te produceren. Toenemende klimaatzorgen in de maatschappij leiden tot strengere milieueisen. Dit leidt er toe dat van organisaties duurzaam verantwoorde keuzes worden verlangd door diverse actoren. Dat resulteert in meer gecompliceerde verantwoording wat mogelijk het aspect compliance raakt.

Een tweede complicatie is gerelateerd aan de financiële crisis, die ook de reële economie heeft geraakt. De crisis heeft er toe geleid dat financierende partijen zwaardere eisen stellen aan de verstrekking van middelen. Veel organisaties hebben hierdoor activiteiten moeten stilleggen en kregen te kampen met liquiditeitsproblemen. Deze gebeurtenis maakt duidelijk dat risicomanagement op dit moment erg actueel is. Operationele en strategische risico’s dreigen bij het niet tijdig anticiperen hierop.

1.2 Probleembeschrijving

De toenemende complexiteit van de maatschappij maakt het voor organisaties steeds lastiger om risico’s goed te beoordelen. De snelheid van verandering zorgt er tevens voor dat de

continuïteit van de organisaties wordt bedreigt door het niet tijdig waarnemen van risico’s. Dit is onder andere op te maken uit de voorbeelden uit de voorgaande paragraaf.

Problemen waar organisaties tegen aan lijken te lopen is de wijze waarop risico’s in kaart behoren te worden gebracht en de wijze waarop men deze behoort in te schatten (PwC, 2009). Maar ook het volledig kunnen missen van risico’s blijkt een probleem. Door de financiële crisis is duidelijk geworden hoe belangrijk onderlinge relaties tussen risico’s zijn. Dit vraagt derhalve om een organisatiebrede aanpak van risicomanagement, waarbij het voor de gehele organisatie duidelijk is welke acties en activiteiten wel of niet passen bij de risicovoorkeur van de organisatie. Organisaties lijken moeite te hebben met het implementeren van een dergelijke benadering van risicomanagement. Uit recente onderzoeken blijkt dat organisaties op het gebied van risicomanagement nog veel kunnen verbeteren (o.a. PwC, 2009; Droogsma, 2009).

Op dit moment is nog onvoldoende duidelijk waarom de ene organisatie verder gevorderd is met het implementeren van risicomanagement en de andere organisatie zich in de beginfase bevindt (Beasley et al., 2005; PwC, 2009; Droogsma, 2009). Droogsma (2009) heeft hierbij onderzoek verricht naar factoren die de mate van risicomanagement kunnen beïnvloeden. Uit het onderzoek van Droogsma blijkt dat een aantal factoren een positief effect hebben op de kwaliteit van risicomanagement. Deze kwaliteitsbepalende factoren zijn: cultuur, structuren, alignment en risicoperceptie. Verder constateert Droogsma dat de kwaliteitsbepalende factoren ‘leiderschap’ en ‘systemen’ tevens van invloed kunnen zijn.

Kortom de uitdagingen voor de organisaties en de kennislacunes op het gebied van risicomanagement maken het mogelijk, dat zowel op praktisch als wetenschappelijk gebied een bijdrage kan worden geleverd.

1.3 Onderzoeksvraag

Uit verkennend literatuuronderzoek is niet gebleken dat bruikbare toetsingsmodellen voor risicomanagement aanwezig zijn. Dit wordt voornamelijk veroorzaakt door het afwezig zijn van een theoretische basis waarop de modellen gebaseerd zijn. Derhalve is in dit onderzoek gekozen voor een literatuurstudie om een aanzet te doen tot een toetsingsmodel voor risicomanagement. Op basis van een dergelijk model kan de implementatie (mate van

maturity) van risicomanagement binnen een organisatie worden vastgesteld. Onder implementatie worden de afhankelijke factoren verstaan om risicomanagement mogelijk te maken. Tevens onderzoekt deze studie welke kwaliteitsbepalende factoren invloed hebben op de mate van implementatie van risicomanagement. Dit resulteert in de volgende centrale vraag:

“Op welke wijze kan een verbinding worden gelegd tussen de onderwerpen risicomanagement, implementatie en kwaliteitsbepalende factoren, dat leidt tot een

aanzet voor een toetsingsmodel voor risicomanagement?”

1.4 Onderzoeksopzet

Om de onderzoeksvraag te beantwoorden is een literatuurstudie uitgevoerd. Hierbij zijn de onderwerpen risicomanagement, implementatie en kwaliteitsbepalende factoren aan bod gekomen. In het eerste theoretische hoofdstuk is het onderwerp risicomanagement uitgewerkt. Hierbij wordt de volgende deelvaag beantwoord: “Hoe is risicomanagement vanuit de literatuur te beschouwen?”

Vervolgens is gekeken naar een generalistische benadering voor implementatie. De volgende deelvraag is hierbij leidend: “Welke fasen zijn bij implementatie te onderscheiden?”

Daarna is ingegaan op de kwaliteitsbepalende factoren die invloed hebben op de implementatie van risicomanagement. Dit hoofdstuk is tot stand komen op basis van de volgende deelvraag: “Welke kwaliteitsbepalende factoren beïnvloeden de implementatie van risicomanagement?”

In het hoofdstuk daaropvolgend is een aanzet gedaan tot een maturity model voor risicomanagement. Dit leidt tot beantwoording van de volgende deelvraag: “Hoe ziet een maturity model voor risicomanagement eruit?”

Tot slot wordt in het laatste hoofdstuk een verbinding gelegd tussen de onderwerpen, risicomanagement, implementatie en kwaliteitsbepalende factoren. Tevens zijn in dit hoofdstuk de beperkingen van het onderzoek weergegeven, waarbij ook de mogelijkheden tot vervolgonderzoek zijn belicht.

2 Risicomanagement

In dit hoofdstuk wordt het onderwerp risicomanagement toegelicht. De volgende vraag is hierbij leidend: “Hoe is risicomanagement vanuit de literatuur te beschouwen?” Allereerst zal aan de hand van de agency-theorie (economische theorie) risicomanagement worden verklaard. Vervolgens zijn contexten en definities met betrekking tot risicomanagement uitgewerkt.

2.1 Agency-theorie

Een grondslag voor het rechtvaardigen en verklaren van risicomanagement is terug te vinden in de agency-theorie (Fama en Jensen, 1983). De agency-theorie is verklarend van aard voor de relatie tussen principaal, management en monitoring. De agency-theorie kan volgens Scott (2009, p.313) als volgt worden geduid:

“Agency theory is a branch of game theory that studies the design of contracts to motivate a rational agent to act on behalf of a principal when the agent’s interest would otherwise

conflict with those of the principal.”

Figuur 1: principaal-agent relatie3

De theorie is gericht op de agentschapsrelatie (figuur één), waarbij de ene partij (de principaal) het werk delegeert aan een ander partij (de agent). Concreet betekent dit dat de eigenaar(s) (principaal) werk delegeert aan het management (de agent).

3 _{http://ounceofstrategy.wordpress.com/}

Door deze agentschapsrelatie ontstaat een tweetal problemen. Het eerste betreft het agentschapsprobleem dat zich voordoet wanneer (a) de wensen of doelen van principaal en agent conflicteren en (b) het moeilijk of kostbaar is voor de principaal om te verifiëren wat de agent daadwerkelijk uitvoert (Eisenhardt, 1989). Met andere woorden, de principaal kan niet of niet afdoende vaststellen of de agent juist heeft gehandeld. Het tweede probleem is de verdeeldheid over de te nemen hoeveelheid risico, wanneer de principaal en de agent een andere risicohouding hebben (Eisenhardt, 1989). Het probleem hierbij is dat principaal en agent andere activiteiten zullen uitvoeren op basis van een andere risicovoorkeur. De agency-theorie richt zich op een oplossing voor deze twee problemen.

De bovengenoemde problemen brengen kosten met zich mee voor de principaal (agency cost). Op verschillende gebieden (o.a. beloningen en monitoring) maakt de principaal kosten om de agent vanuit het perspectief van de principaal optimale beslissingen te laten nemen. Dit wordt hoofdzakelijk veroorzaakt door een verschil in de hoeveelheid beschikbare informatie tussen de twee partijen (principaal en agent), de zogenaamde informatie asymmetrie (adverse selection4, moral hazard5).

Vanuit het perspectief van de agency-theorie is de noodzaak van mechanismen voor adequate monitoring en controle te onderschrijven. Zo wordt de principaal beschermd tegen het eigenbelang van de manager (Fama en Jensen, 1983). Een systeem voor risicomanagement kan invulling geven aan een mechanisme voor monitoring en controle.

Risicomanagement is te beschouwen als een doorontwikkeling van internal control. Deze gedachte lijkt ondersteund te worden door COSO6, die in 1992 de grondlegger was van een maatgevend raamwerk voor internal control. Het raamwerk COSO I werd in 2004 uitgebreid naar COSO II (COSO-ERM) raamwerk voor Enterprise Risk Management (ERM). Een systeem voor risicomanagement kan bijdragen aan het verminderen van het voorgenoemde agentschapsprobleem.

4 _{Adverse selection: is a type of information asymmetry whereby one or more parties to a business transaction, or} potential transaction,, have an information advantage over other parties (Scott, 2009, p.13).

5 _{Moral hazard: is a type of information asymmetry whereby one or more parties to a business transaction, or} potential transaction, can observe their actions in fulfillment of the transaction but other parties cannot (Scott, 2009, p.14).

2.2 Definitie risicomanagement

In de voorgaande paragraaf is risicomanagement verklaard vanuit het perspectief van de agency-theorie. Deze paragraaf gaat in op de vraag: Wat is risicomanagement? In de wetenschappelijke literatuur wordt risicomanagement veelal getypeerd als ERM. Volgens Mikes (2009) wordt ERM verdedigd als een strategisch management control systeem. ERM is hierbij te vergelijken met management control systemen als value-based management, activity based management en de balanced scorecard, zo stelt Mikes (2009). In dit rapport worden ERM en risicomanagement als synoniem beschouwd.

Om te komen tot een definitie is vanuit de literatuur gekeken hoe risicomanagement wordt beschouwd. Droogsma (2009, p.263) definieert risicomanagement als volgt:

“Risicomanagement is een iteratief proces waarin bewust wordt gekozen voor het al dan niet implementeren van beheersmaatregelen naar aanleiding van ingeschatte risico’s.”

Deze definitie brengt een belangrijke benadering van risicomanagement naar voren: risico’s dienen bewust te worden genomen. De gedachte dat risicomanagement gericht is tegen het nemen van risico is dan ook onjuist. Risicomanagement gaat uit van een bewust evenwicht tussen de hoeveelheid risico en het te behalen resultaat. Een onderneming creëert waarde door het nemen van risico’s, maar riskeert waardevernietiging wanneer buitensporige en onbeheersbare risico’s worden genomen. De mate van risico die de organisatie wenst te nemen wordt de risicobereidheid van de organisatie genoemd. De risicobereidheid wordt vervolgens vertaald in de risicotolerantie. De risicotolerantie is het gebied waarbinnen de uitkomsten van de te realiseren doelen dienen te vallen (COSO, 2004; Emanuels en de Munnik, 2006; Droogsma, 2009).

Uit de definitie van Droogsma blijkt niet direct wat hij verstaat onder het proces. Een duiding van het proces voor risicomanagement kan worden gevonden in de definitie van Hubbard (2009, p.10):

“Risk management is the identification, assessment, and prioritization of risks followed by coordinated and economical application of resources to minimize, monitor, and control the

De reikwijdte van risicomanagement blijkt nog niet helemaal uit voorgaande definities. Claes (2000, p.3), duidt een scope van risicomanagement op basis van de beschrijving van Aart et al. (1990):

“De interactieve en iteratieve functie in het managementproces die tot doel heeft de onzekerheden die de doelstellingen van een organisatie in positieve of negatieve zin kunnen

beïnvloeden, op bedrijfseconomische wijze zo volledig en systematisch mogelijk te beheersen.”

Uit de beschrijving valt af te leiden dat risicomanagement zich dus richt op de doelstellingen van een organisatie. Daarnaast is vanuit het zinsdeel “[…]systematisch mogelijk[…]” op te maken dat er sprake moet zijn van een geordend geheel (een systeem) om te komen tot beheersing. Een tweetal recentere definities onderstreept het voorgaande en beschrijft risicomanagement als volgt:

“Process, effected by an entity’s board of directors board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed tot identify potential

events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.” (COSO, 2004, p.16)

“Het system dat het management in staat stelt om de relevante risico’s, die het behalen van de doelstellingen van de organisatie bedreigen, te kunnen identificeren, te prioriteren, te

analyseren en te beheersen.” (Emanuels en de Munnik, 2006, p.295)

Op basis van de voorgaande beschrijvingen en definities van risicomanagement is in dit onderzoek de volgende definitie voor risicomanagement geformuleerd:

“Risicomanagement is een systeem met daarbinnen een iteratief proces, gericht op bewuste en economische wijze beheersen van risico’s gerelateerd aan de doelstellingen van de

2.2.1 Systeem

Uit de voorgaande definitie voor risicomanagement blijkt dat er sprake is van een systeem. In deze sectie wordt antwoord gegeven op de vraag: wat is een systeem? Voor het begrip systeem is een algemene en bedrijfskundige definitie geformuleerd door De Leeuw:

“Er is van een systeem sprake indien er binnen die objectenverzameling geen objecten of deelverzamelingen bestaan die geen relatie hebben met de rest van de objectenverzameling.”

(De Leeuw, 1994, p.58)

De bovenstaande definitie komt voort uit het systeemdenken, ook wel de systeemtheorie. Volgens de theorie ontstaan eigenschappen binnen het systeem door onderlinge samenhang die niet terug te vinden zijn in de afzonderlijke elementen. Deze holistische benadering is één van de fundamenten van de systeemtheorie. Vanuit een holistische visie wordt gesteld dat het geheel meer is dan de som der delen. Het ‘meer’ uit zich in de nieuwe eigenschappen van het systeem. Het ontstaan van deze nieuwe eigenschappen noemt men emergentie. Emergente eigenschappen zijn eigenschappen die wel op een hoger, maar niet op een lager aggregatieniveau aanwezig zijn (De Leeuw, 2000).

2.2.2 Systeem van risicomanagement

Voor de beschrijving van het systeem van risicomanagement is in dit onderzoek gekozen voor de visie van Emanuels en De Munnik (2006). Het geheel is in figuur twee schematisch weergegeven.

De auteurs onderscheiden voor het systeem van risicomanagement een proces en randvoorwaarden. Het proces bestaat uit: definiëren van de doelstellingen, identificeren van risico’s, nemen van maatregelen, bewaking en bijsturing. Daarnaast onderkennen zij als randvoorwaarden: cultuur, structuur, technieken en competenties. Een soortgelijke holistische benadering van risicomanagement is terug te vinden in de opvatting van COSO-ERM. De genoemde randvoorwaarden worden door COSO-ERM opgenomen in de component ‘internal environment’. De internal environment is volgens COSO-ERM de basiscomponent voor ERM (COSO, 2004). Ook het AS/NZS-model kent een dergelijke holistische aanpak, waarbij het element ‘context’ enige overlap vertoont met het idee van Emanuels en De Munnik. De twee hiervoor genoemde modellen blijken door organisaties het meest te worden gebruikt (Droogsma, 2009). De randvoorwaarden vanuit de visie van Emanuels en De Munnik zijn later in deze paragraaf beschreven en het proces is in de volgende paragraaf opgenomen.

De relaties tussen de verschillende elementen zijn als volgt te beschrijven. Allereerst bestaat er samenhang tussen de diverse componenten van het proces. Het proces wordt door de auteurs gezien als een continu proces, waarbij de componenten sequentieel en iteratief doorlopen worden. Ten tweede is een relatie aanwezig tussen de randvoorwaarden en het proces. Bij veranderingen in de randvoorwaarden kunnen en zullen de componenten van het proces inhoudelijk wijzigen. Hierbij is sprake van een loop. De componenten zelf wijzigen echter niet. Het proces richt zich tot slot op de doelen van de organisatie waardoor ook hier samenhang is te onderkennen. Met de aanwezigheid van een dergelijk (effectief werkend) systeem kan de organisatie als ‘in control’ worden verondersteld, volgens Emanuels en De Munnik (2006).

Beschrijven van de randvoorwaarden van het systeem

Nu helder is uit welke elementen het systeem bestaat en de onderlinge relaties hierbinnen zijn beschreven, kan het systeem verder verduidelijkt worden door het beschrijven van de randvoorwaarden.

Cultuur

De cultuur is de wijze waarop binnen de organisatie met risico’s wordt omgegaan. Bijvoorbeeld de houding die de medewerkers en de leiding van de organisatie hebben ten aanzien van risico’s die gelopen worden en een adequate beheersing van relevante risico’s. Maar ook de wijze waarop binnen de organisatie om wordt gegaan met geconstateerde ‘fouten’ en ‘leemten’. Dit bepaalt onder andere in hoeverre risico’s in de organisatie worden onderkend.

Structuur

De structuur heeft betrekking op de inrichting van de organisatie. Hierbij valt te denken aan de mate van functiescheiding die binnen een organisatie wordt toegepast. Maar ook wie er verantwoordelijk zijn voor risicomanagement. Bijvoorbeeld of de functie van risicomanagement valt onder het takenpakket van de controller of behoort dit tot de taken van de managers.

Technieken

De technieken hebben betrekking op de middelen die in de organisatie worden ingezet om risicomanagement toe te passen. Een voorbeeld hiervan is het gebruik van software waarmee risico’s binnen projecten volledig en tijdig worden gesignaleerd.

Competenties

Met betrekking tot de competenties gaat het om de kennis van risicomanagement binnen de organisatie. Deze kennis kan grotendeels aanwezig zijn bij één persoon, maar kan ook verdeeld zijn over meerdere afdelingen en personen.

Uit het voorgaande is duidelijk geworden dat er sprake is van een systeem van risicomanagement als de organisatie het proces heeft ingericht en de randvoorwaarden heeft ingevuld. In de volgende subparagraaf wordt uiteengezet wat onder dit proces kan worden verstaan.

2.2.3 Iteratief proces van risicomanagement

Om te komen tot heldere criteria voor risicomanagement zal in deze sectie het begrip ‘iteratief proces’ nader worden belicht. Deze paragraaf geeft een antwoord op de vraag wat een iteratief proces in het kader van risicomanagement is. In dit onderzoek wordt een iteratief proces geduid met de volgende definitie:

“Het continu herhalen van een samenhangende reeks opeenvolgende handelingen die ergens toe leiden”

Een bekend voorbeeld van een iteratief proces is de Deming Wheel: Plan, Do, Check en Act (PDCA; Deming, 1986). Vergelijkbare stappen als in het managementinstrument van Deming zijn terug te vinden in literatuur over risicomanagement. In veel gevallen hebben de auteurs de vier stappen uitgebreid, maar in essentie komen ze allen op hetzelfde neer. Ook de benaming voor de stappen verschillen doorgaans, echter vrijwel alle auteurs zien het proces als een cyclisch proces. Tabel één geeft een ‘beperkte’ weergave van enkele stappenplannen die uit de literatuur naar voren komen.

Auteur (s) Stappen risicomanagement

Emanuels en De Munnik (2006)

Doelen, risico’s, maatregelen, bewaking en bijsturing

Bouman (2009) Doelstellingen, identificeren risico’s, bepalen impact en waarschijnlijkheid, bepalen omgang met risico, implementeren risicoreactie en managen restrisico

Hubbard (2009) Identification, assessment, prioritization, monitor and control Hillson (2002) Planning, identification, risk analysis, risk response, monitoring

and control

PwC (2006) Identificeer, analyseer, reageer, monitor en rapporteer Tabel 1 : Weergave stappenplannen risicomanagementproces

Hoewel niet alle stappenplannen starten vanuit de doelstellingen van de organisatie (top-down), kan dit overzicht wel als een belangrijk startpunt worden gezien. Risico’s dienen namelijk organisatiebreed beoordeeld te worden. Vanuit ieder niveau in de organisatie kan een gebeurtenis namelijk compleet verschillend beoordeeld worden. Voor een bepaalde afdeling kan een gebeurtenis heel wezenlijk zijn, terwijl deze op organisatieniveau geheel niet interessant is. Een andere mogelijkheid is dat gebeurtenissen elkaar onderling versterken. Elke gebeurtenis afzonderlijk lijkt geen potentieel risico op te leveren. Maar optreden van meerdere gebeurtenissen tegelijkertijd kan dan wel ineens een potentieel probleem (risico)

vormen. Het is derhalve van belang dat de organisatie in staat is om op organisatiebreed niveau te kijken naar gebeurtenissen en daaruit voortkomende risico’s.

Een organisatie kan dit realiseren door toekomstige gebeurtenissen te identificeren vanuit de doelen van de organisatie. In de literatuur (Droogsma, 2009; Emanuels en De Munnik, 2005; Chapman en Ward, 2004) spreekt men dan van een top-down benadering van risicomanagement. De voorkeur lijkt te liggen bij het top-down toepassen van risicomanagement. Hierbij dient echter wel een kanttekening geplaatst te worden. In de praktijk start de implementatie van risicomanagement vaak bottom-up. Echter, deze invalshoek belemmert het denken vanuit de strategie.

Grundke (2010) heeft onderzoek gedaan naar een integrale benadering voor risicomanagement met behulp van top-down en bottom-up methoden. Hij komt tot de conclusie dat de top-down methode het meest wordt gebruikt, maar dat niet duidelijk is hoe nauwkeurig deze benadering is. Een top-down methode lijkt in de eerste plaats voldoende, maar mogelijk is dit te versterken met een periodieke bottom-up methode. Hierdoor ontstaat een meer horizontale benadering. Echter, een discussie hierover valt buiten de scope van dit rapport. Derhalve is gekozen voor een top-down methode.

De doelen van de organisatie zijn in dit onderzoek het startpunt van het risicomanagementproces. De volgende stappen bestaan uit het identificeren en analyseren van risico’s, de risicoreactie en monitoring en verantwoording. In figuur drie wordt dit schematisch weergegeven. Doelen Risico’s Verantwoording Risicoreactie Monitoring

Beschrijving van de processtappen van risicomanagement Doelen

De doelen van de organisatie worden geformuleerd, zodat het mogelijk is om toekomstige gebeurtenissen die het behalen van deze doelen kunnen beïnvloeden te identificeren. De doelen zijn hierbij afgeleid van de missie van de organisatie en dienen binnen de risicotolerantie te vallen. Dit stelt het management in staat om haar strategie consistent te maken met de risicohouding (risicobereidheid) van de organisatie7_.

Risico’s

De organisatie start met de identificatie van mogelijke gebeurtenissen. Dit dient op een gestructureerde wijze plaats te vinden door bijvoorbeeld het uitvoeren van een SWOT-analyse. Wanneer deze gebeurtenissen zijn geïnventariseerd vindt formulering van risico’s plaats door inschatten van kans en impact (paragraaf 2.2.4). Op basis hiervan kan de organisatie de risico’s prioriteren.

Risicoreactie

Nadat risico’s zijn geanalyseerd richt de organisatie zich op te nemen beheersmaatregelen. Hiervoor zal de leiding beoordelen welke reactie op het risico gewenst is. De organisatie heeft hierbij de keuze tussen mitigeren, vermijden, delen en accepteren (paragraaf 2.2.4).

Monitoring

Bij het monitoren richt de organisatie zich op het vaststellen van gelopen risico’s. Hierbij kijkt de organisatie naar gebeurtenissen die zich hebben voorgedaan en analyseert zij de aanleiding en impact. Daarbij wordt ook de werking van beheersmaatregelen beoordeeld. De beoordeling kan resulteren in aanpassing van risicoreactie, kans en impact van gebeurtenissen of herziening van doelen.

Verantwoording

In de eerste plaats dient interne rapportage over risico’s plaats te vinden opdat zowel management als medewerkers op de hoogte en betrokken zijn bij risicomanagement. Intern dient men op de hoogte te zijn van typen risico’s en de impact hiervan op de organisatie. Daarnaast is externe rapportage van belang voor het inzicht van derden. Deze kunnen dan beoordelen welke risico’s zij mogelijk lopen en besluiten of zij deze risico’s willen blijven lopen.

Wanneer in dit rapport de term iteratief proces wordt gebruikt, gaat het om het continu doorlopen van de processtappen: doelen, risico, risicoreactie, monitoring en verantwoording.

2.2.4 Risico, doelstellingen en beheersen

In de voorgaande paragrafen is al het nodige over risicomanagement geschreven. Echter, er is nog niet voldoende duidelijk gemaakt wat in dit rapport wordt verstaan onder de begrippen risico, doelstellingen en beheersen. In deze paragraaf zal dan ook antwoord worden gegeven op de volgende vragen: ‘wat is een risico?’, ‘welke doelstellingen zijn te onderscheiden?’ en ‘wat is beheersen?’.

Risico

Over het begrip risico bestaat allerminst eenduidigheid in de literatuur. Ook hierbij helpt een definitie om verder richting te geven aan het begrip risico. Een definitie die vaak voorkomt is: ‘de kans op iets negatiefs’. Iets specifieker is de definitie van Knechel (2001, p.26: in Vaassen, 2004): ‘a threat to an organization that reduces the likelihood that the organization will achieve one or more of its objectives’.

Claes (2000) heeft een aantal definities van risico nader geanalyseerd. Hij komt tot de conclusie dat over het algemeen een tweetal elementen in de definities naar voren komt:

1. de mogelijkheid dat een situatie of gebeurtenis zich voordoet, die leidt tot een bepaalde mate van onzekerheid zich voordoet;

Een drietal componenten waarmee een risico te duiden is, kan uit deze analyse worden gehaald. De componenten zijn gebeurtenis, statistische kans en impact. Een risico wordt volgens Claes dan ook omschreven met de volgende formule: risico = kans x impact.

Per gebeurtenis kan er een statistische kans van optreden en een impact worden vastgesteld. Uit de analyse van Claes lijkt onzekerheid gelijk te zijn aan risico. Dit is echter niet het geval. Uit een artikel van Hillson (2002) valt op te maken dat onzekerheid kan worden gezien als een overkoepeling voor het begrip risico. Risico wordt in dit perspectief gezien als onderzekerheid met een negatief effect. Onzekerheid kan ook leiden tot een positief effect. In dat geval wordt gesproken van een kans.

Het verschil tussen onzekerheid en risico is verder te verduidelijken op basis van de definitie van Frank Knight (1921, in: Hubbard, 2009, p.81).

“To differentiate the measurable uncertainty and an unmeasurable one we may use the term ‘risk’ to designate the former and the term ‘uncertainty’ for the latter.”

Hieruit blijkt dat een organisatie de kans van voordoen van bepaalde gebeurtenissen niet altijd kan vaststellen (bijvoorbeeld de kredietcrisis). De organisatie weet in dit geval niet waartoe een onzekerheid leidt. Een onzekerheid wordt in dit onderzoek in navolging van Knight dan ook gezien als niet-meetbaar en een risico als meetbaar. In dit rapport wordt verondersteld dat er een oorzakelijke relatie bestaat tussen een gebeurtenis die mogelijk leidt tot een onzekerheid, risico of kans.

Uit het voorgaande valt af te leiden wat er onder een risico wordt verstaan. Van een risico is sprake wanneer een gebeurtenis waarvan een statistische kans is vast te stellen, en waarbij sprake is van een negatieve impact, zich voordoet. In dit onderzoek wordt het begrip risico conform de definitie van COSO-ERM (2004, p. 47.) omschreven.

“Een risico is de kans op het optreden van een gebeurtenis of omstandigheid die ertoe kan leiden dat een doelstelling niet gehaald wordt.”

Doelstellingen

Nu is beschreven wat in dit rapport met een risico wordt bedoeld kan verder worden gegaan met het omkaderen van het begrip doelstellingen. Primair is een doelstelling een ‘punt’ waar men in de toekomst wil zijn. Dit kan bijvoorbeeld een plaats of realisatie van een project zijn. Het gaat in dit onderzoek om doelstellingen die organisaties proberen te realiseren. Het COSO-ERM-raamwerk geeft een categorische indeling voor doelstellingen die organisaties nastreven. De volgende categorieën worden door COSO-ERM onderscheiden (COSO, 2004, p.35/36):

 Strategisch: doelen op het allerhoogste niveau en gebaseerd op de missie van organisatie.

 Operationeel: effectieve en efficiënte inzet van middelen.  Rapportage: betrouwbaarheid van informatie (rapportage).  Compliance: voldoen aan geldende wet- en regelgeving.

Dit onderscheid in categorieën kan enigszins kunstmatig overkomen, aangezien doelstellingen soms binnen meerdere categorieën kunnen vallen. Het helpt echter wel om een duidelijke structuur te krijgen in deze wijze waarop organisaties risico’s ten aanzien van de doelstellingen kunnen beoordelen.

Beheersen

Nu duidelijk is wat in dit onderzoek onder een risico wordt verstaan en aan welke doelstellingen de risico’s gerelateerd zijn, zal in deze sectie de term beheersen worden toegelicht. Ook het begrip beheersen is vanuit een definitie nader uit te werken. Van Dale geeft de volgende omschrijving van dit begrip:

“be·heer·sen -heerste, h -heerst 1 geestelijk helemaal machtig zijn: een taal ~ 2 in bedwang houden: zich ~ bedwingen 3 op een terrein vrij kunnen handelen: een weg ~”8

Het tweede punt sluit het beste aan bij de benadering van beheersen in dit onderzoek. In het algemeen gaat het om het in bedwang houden van iets. In de context van dit onderzoek leidt het beheersen van risico’s tot het beheersen van doelstellingen. Er is dus sprake van ‘beheersen’ als de organisatie instaat is om risico’s te bedwingen. Het aanbrengen van een

nuancering is echter op zijn plaats. Volledig bedwingen is redelijkerwijs niet mogelijk (uit kostenperspectief of het wordt een onwerkbare situatie). Het gaat om een bepaalde mate van beheersen van risico’s. In dit onderzoek wordt het begrip beheersen gedefinieerd conform Fisher’s definitie voor control.

“Control is vooral bedoeld om condities te creëren die de mensen in de organisatie motiveren om de beoogde doelen of vooraf bepaalde resultaten te bereiken.” (Fisher,

1995, in: Paape, 2008, p.32)

Het risico dat een organisatie loopt is te onderscheiden in inherent risico en restrisico. Het inherent risico is het risico dat de organisatie loopt zonder dat het management maatregelen heeft getroffen. Het restrisico is het risico dat blijft bestaan nadat het management maatregelen heeft getroffen (Bouman, 2009; COSO,2004).

Een risico bestaat dus uit de componenten kans en impact. In het kader van risicomanagement gaat het om het beheersen van kansen op en impact (gevolgen) van risico’s. Om te komen tot het beheersen van risico’s zal de organisatie moeten reageren op het risico.

De volgende vier risicoreacties zijn hierbij te onderscheiden (COSO, 2004):

1. Acceptatie: de leiding van de organisatie accepteert de risico’s die voortkomen uit de activiteiten. Het verwachte verlies (sommering van kans x impact) dient binnen de risicotolerantie te vallen.

2. Vermijden: de leiding van de organisatie stopt bepaalde activiteiten, zodat oorzaken van risico’s verdwijnen.

3. Delen: de leiding van de organisatie draagt het risico over aan een derde door bijvoorbeeld het risico te verzekeren.

4. Mitigeren: de leiding van de organisatie implementeert beheersingsmaatregelen, zodat risico’s beperkt worden.

Indien de verwachte uitkomst van het doel buiten de risicobereidheid (figuur vier) valt behoort dit te leiden tot een risicoreactie. Het management beoordeelt bij de keuze van een risicoreactie wat het effect is op kansen en gevolgen van het risico. Daarnaast beoordeelt het management wat de kosten van de betreffende risicoreactie zijn. Er is hierbij dus sprake van een economische beslissing, waarbij het management een kosten/baten-afweging maakt. Op

grond van de risicobereidheid komt het management uiteindelijk tot de beslissing of een risicoreactie daadwerkelijk wordt doorgevoerd.

Figuur 4: Grafische weergave risicobereidheid (Bouman, 2009)

De mate waarin de organisatie beheersing weet te realiseren wordt onder andere beïnvloed door het type gebeurtenis. Een gebeurtenis kan een interne en een externe oorzaak hebben (Bouman, 2009). Het onderscheid van gebeurtenissen naar interne en externe oorzaak kan op de doelstellingen worden toegepast.

De doelstellingen rapportage en compliance kunnen worden beïnvloed door de organisatie. De organisatie kan dan ook een redelijke mate van zekerheid verkrijgen omtrent de realisatie van deze doelstellingen (COSO, 2004). Daarentegen kennen de doelstellingen strategisch en operationeel veelal beïnvloeding van buiten de organisatie. Deze doelstellingen zijn doorgaans niet of minder te beïnvloeden door de organisatie. Voor deze doelstellingen kan de organisatie dan ook met een redelijke mate van zekerheid stellen dat men inzicht heeft in de mate waarin de doelen worden gerealiseerd (COSO, 2004).

Kortom, uit het voorgaande kan worden opgemaakt dat er sprake is van beheersen wanneer de organisatie risico’s weet terug te dringen. Het terugdringen van een risico wordt gerealiseerd door adequate toepassing van een risicoreactie. Deze risicoreactie dient ervoor te zorgen dat het door de organisatie gelopen risico binnen de risicotolerantie blijft. Dit leidt ertoe dat de leiding van de organisatie een redelijke mate van zekerheid heeft omtrent de realisatie van de doelstellingen.

Met deze laatste conclusie zijn alle begrippen uit de definitie van risicomanagement in dit onderzoek geduid. Dit hoofdstuk wordt afgesloten met de in dit rapport eerder geformuleerde definitie voor risicomanagement.

“Risicomanagement is een systeem met daarbinnen een iteratief proces gericht op economische wijze beheersen van risico’s gerelateerd aan de doelstellingen van de

3 Implementatie

In het vorige hoofdstuk zijn een aantal concepten voor risicomanagement besproken. Dit hoofdstuk heeft als doel te komen tot een aantal generieke fase voor implementatie. Vanuit de volgende deelvraag wordt het hoofdstuk gevormd: “Welke fasen zijn bij implementatie te onderscheiden?”

Uit literatuurstudie is niet een bruikbare theorie gebleken omtrent maturity bij implementatie van risicomanagement. Daarom is in dit hoofdstuk allereerst het begrip implementeren toegelicht. Vervolgens is gekeken naar het implementatieproces vanuit het perspectief van de veranderkunde.

3.1 Implementeren

Er zijn veel definities voor implementeren in omloop. Het begrip wordt vaak gebruikt bij het invoeren van een vernieuwing of een verandering. In algemene zin betekent implementeren: uitvoeren, vervullen, verwezenlijken, effectueren of in praktijk brengen van een overeenkomst, verdrag of plan. In de bedrijfskunde en de informatica betekent het in algemene zin: het realiseren van een ontwerp. En wat preciezer: het invoeren, in gebruik nemen van een systeem in een organisatie (Kruithof en Jonker, 2000).

Implementeren is echter meer dan alleen invoering. Kruithof en Poll (1991) zijn van mening dat er nog een tweetal activiteiten bij moet. Na de invoering volgt integratie en voor deze invoering moeten zowel invoering als integratie voldoende zijn voorbereid. Een geschikte definitie voor het begrip implementeren is die van Frambach en Schillewaert (2002, p.163).

“the decision of any individual or organization to make use of an innovation.”

In de volgende paragraaf zal gekeken worden naar een generieke benadering voor het implementatieproces.

3.2 Implementatieproces

Hoewel er veel geschreven is over implementatie, blijkt uit literatuur (o.a. Grol en Wensing, 2001) dat de complexiteit niet op basis van één theorie kan worden verklaard. In deze paragraaf wordt niet getracht een verklaring te vinden voor implementatie. Er wordt een benadering beschreven om een denkkader te creëren voor het implementatieproces.

Een aantal auteurs (o.a. Grol en Wensing, 2001; Kruithof en Poll 1991) vermeldt dat het bij implementatie van een verandering gaat om de invoering van een innovatie. Een verklaring hiervoor kan worden gevonden in de visie van Cozijnsen en Vrakking (2003). Zij leggen het startpunt van de veranderkunde op het terrein van de zogenaamde diffusie- en adoptietheorieën. Dit onderzoeksterrein richt zich op de verspreiding en aanvaarding van innovaties door individuen en organisaties. Een autoriteit op dit gebied is Everett Rogers met zijn boek ‘Diffusion of innovations’. Rogers (1995) ziet een innovatie als een idee, praktijk of object dat als nieuw beschouwd wordt door een individu of een andere adoptie-eenheid. Het idee hoeft hierbij niet per definitie nieuw te zijn, maar dient in de perceptie van de adoptie-eenheid als nieuw te worden beschouwd. Dit idee kan op organisatieniveau het aanvaarden van een nieuw product, beleid, proces of systeem zijn (Damanpour en Schneider, 2006).

Rogers (1995) maakt duidelijk dat de verspreiding van innovaties erg complex is. Zo kunnen innovaties jarenlang niet ontdekt worden, terwijl de toegevoegde waarde wel degelijk duidelijk is. Om dit ingewikkelde proces beter te begrijpen heeft Rogers verschillende fasen onderkend. Hij maakt in het proces van verspreiding van innovaties onderscheid tussen de volgende fasen:

1. Knowledge: men krijgt weet van de innovatie en vergaart kennis over de vernieuwing om het te begrijpen.

2. Persuasion: men vormt een positieve of een negatieve houding over de innovatie. 3. Decision: men voert testen uit die leiden tot aanvaarding of afwijzing van de

innovatie.

4. Implementation: men gaat de innovatie daadwerkelijk gebruiken.

5. Confirmation: men heeft positieve ervaringen met de innovatie en besluit ermee door te gaan.

In de gezondheidszorg wordt veel gebruik gemaakt van theoretische modellen om implementaties te begrijpen en succesvol te laten verlopen. Zo hebben Grol en Wensing (2001) een model ontwikkeld voor effectieve implementatie. Hierbij vatten zij diverse stapsgewijze modellen samen (o.a. Zaltman 1977; Orlandi, 1987; Spence, 1994), waarbij ook de theorie van Rogers wederom naar voren kwam.

Grol en Wensing (2001) komen tot de volgende fasen in het proces van verandering: 1. Oriëntatie: bewust zijn van de innovatie.

2. Inzicht: kennis en begrip opdoen van de innovatie.

3. Acceptatie: een positieve houding en motivatie krijgen om te besluiten tot innovatie. 4. Verandering: daadwerkelijk invoeren van de innovatie.

5. Behoud van verandering: integratie van innovatie in bestaande routines en verankering in de organisatie.

Grol en Wensing (2001) vinden tijdens hun onderzoek meerdere theorieën op het gebied van implementatie van innovaties. Bij bestudering van deze theorieën valt de schrijvers op dat verandering of implementatie als een stapsgewijs proces wordt benaderd en dat er een grote overeenkomst is in de stappen van verschillende theorieën. Ook bij onderzoek naar aanvaarding van innovatie door Damanpour en Schneider (2006) valt op dat het proces een aantal algemene stappen kent. Zij onderkennen de fasen, initiation, adoption en implementation.

Op basis van de hiervoor genoemde benadering zal het implementatieproces in dit rapport de volgende vijf fasen kennen: ontdekkingsfase (1), overtuigingsfase (2), acceptatiefase (3), implementatiefase (4) en de borgingsfase (5).

3.3 Beschrijving van de implementatiefase

Ontdekkingsfase

De ontdekkingsfase kan op twee manieren geactiveerd worden. De organisatie ervaart een situatie, waarbij men een innovatie als nodig ervaart. Maar dit proces kan ook andersom verlopen, waarbij men kennis krijgt van de innovatie en vervolgens de behoefte wordt gecreëerd. Het startpunt van het ontdekken van een innovatie kan dus zowel liggen bij

bewustwording van een behoefte als bij de bewustwording van de innovatie. Beide manieren zorgen er voor dat de organisatie gemotiveerd raakt in het verzamelen van informatie over de innovatie. De organisatie creëert hiermee kennis over het bestaan van de innovatie. Tevens zal de organisatie informatie vergaren over hoe de innovatie toegepast kan worden.

Bewustwording van de innovatie leidt echter niet gelijk tot de daadwerkelijke toepassing ervan. Dit komt doordat de innovatie niet in alle gevallen als relevant worden beschouwd voor de situatie van de organisatie (Rogers, 1995). Kortom, in deze fase krijgt de organisatie weet van de innovatie en dient het idee te krijgen dat het relevant kan zijn voor de eigen situatie.

Overtuigingsfase

In de overtuigingsfase draait het om het feit of de organisatie een positief of negatief gevoel heeft bij de innovatie. Rogers (1995) spreekt hierbij over selectieve perceptie van individuen. Van belang in deze fase is hoe de adoptie-eenheid de informatie ontvangt en interpreteert. De organisatie gaat opzoek naar informatie waarmee men de innovatie kan evalueren. Van belang hierbij is dat men kan vaststellen wat de consequenties zijn van de innovatie. Op basis van deze informatie ontstaat een positieve of negatieve houding ten aanzien van de innovatie.

Acceptatiefase

In de acceptatiefase worden daadwerkelijk acties ondernomen om de innovatie door te voeren in de organisatie. De daadwerkelijk beslissing tot adoptie ligt dan ook in deze fase. Waar mogelijk wordt op kleine schaal de innovatie getest, zodat bij tevredenheid de innovatie kan worden geaccepteerd. Rogers (1995) geeft hierbij aan dat het ook mogelijk is dat op basis van testen door andere eenheden tot acceptatie kan worden gekomen. In deze fase dient de

organisatie te besluiten of de innovatie in haar situatie een werkbare oplossing is.

Implementatiefase

In de implementatiefase wordt de innovatie volledig in gebruik genomen door de organisatie. Hierbij wordt de innovatie aangepast aan de specificaties van het object waarvoor de

innovatie is bedoeld. Modificatie van de innovatie is sterk aanwezig in deze fase (Rogers, 1995). Van belang is dat de adoptie-eenheid erin slaagt om de innovatie aan te laten sluiten bij haar context. Dit vereist een actieve participatie van de adoptie-eenheid (Roger, 1995).

Borgingsfase

De organisatie heeft kunnen vaststellen dat de innovatie daadwerkelijk voordelen heeft. De innovatie maakt de verwachte voordelen bij gebruik door adoptie-eenheid waar. Hierdoor ontstaat integratie in de dagelijkse processen. De innovatie wordt een routine binnen de huidige situatie van de organisatie. Tot slot wordt de innovatie gepromoot aan andere in de organisatie (Rogers, 1995).

3.4 Conclusie

Uit dit hoofdstuk is op te maken dat het implementatieproces in dit onderzoek de volgende vijf fasen kent: ontdekkingsfase (1), overtuigingsfase (2), acceptatiefase (3), implementatiefase (4) en de borgingsfase (5). De ontdekkingsfase, overtuigingsfase en acceptatiefase kunnen als mentale fasen worden getypeerd. Terwijl de overige twee fasen de daadwerkelijke implementatie bevatten.

4 Kwaliteitsbepalende factoren

In het voorgaande hoofdstuk is duidelijk geworden wat onder implementatie wordt verstaan. Aangekomen in dit hoofdstuk zal de volgende deelvraag beantwoord worden: “Welke kwaliteitsbepalende factoren beïnvloeden de implementatie van risicomanagement?”

Uit literatuurstudie is niet gebleken dat er empirisch onderzoek bestaat omtrent de randvoorwaarden van risicomanagement. Derhalve is tijdens de literatuurstudie gekozen voor een bredere benadering van een risicomanagementsysteem als informatiesysteem. Tijdens de studie is de implementatie van informatiesystemen geanalyseerd, zoals kwaliteitssystemen, ERP-systemen etc. Uit de literatuur (o.a. Droogsma (2009), Drew et al. (2005) en Wardhani et al. (2009)) is gebleken dat voor veel systemen globaal een zestal factoren te definiëren zijn die het succes of de kwaliteit van het systeem beïnvloeden. De zes factoren zijn de volgende: cultuur (1), leiderschap (2), informatiesystemen (3), alignment (4), structuren (5) en personeel (6). In dit onderzoek worden de voorgaande zes factoren gezien als ‘kwaliteitsbepalende’ factoren.

Voor het begrip kwaliteit is in dit rapport gebruik gemaakt van de definitie van Crosby (1979, p.16): “conformance to requirements”. Op basis van voorgaande is in dit onderzoek de volgende definitie voor kwaliteitsbepalende factoren gedefinieerd.

“Factoren die het voldoen aan vereisten inzichtelijk en meetbaar maken en het proces van risicomanagement mogelijk beïnvloeden.”

De kwaliteitsbepalende factoren zijn per paragraaf uitgewerkt in dit hoofdstuk. Hierbij is de factor allereerst gedefinieerd vanuit de literatuur. Vervolgens zijn de factoren specifieker gemaakt door vanuit de literatuur de indicatoren te benoemen. Tot slot is in de resumerende paragraaf aangegeven waarom de factoren effect hebben op risicomanagement.

4.1 Cultuur

Over het begrip cultuur bestaan ontzettend veel ideeën en invalshoeken. Een van Nederlands bekendste auteurs op het gebied van cultuur is Geert Hofstede. Hofstede heeft in zijn

onderzoeken en publicaties veel bijgedragen aan ideeën over cultuurverschillen op nationaal niveau. Derhalve is in dit onderzoek gekozen om de definitie voor het begrip cultuur van Hofstede (1993, p.16) te hanteren.

“Cultuur is de collectieve mentale programmering die de leden van één groep of categorie mensen onderscheidt van die van andere.”

Hofstede kenmerkt een cultuur altijd als een collectief verschijnsel, in meerdere of in mindere mate gedeeld door een bepaalde groep mensen. Een essentiële opmerking die hij hierbij plaatst is de volgende: “cultuur is aangeleerd en niet aangeboren”(Hofstede, 1993, p.16). Om het begrip cultuur enigszins ‘meetbaar’ te maken zijn in de literatuur een aantal modellen terug te vinden. Een model dat goed aansluit bij het onderwerp risicomanagement is die van Deal en Kennedey (1982). Deal en Kennedy onderkennen een viertal organisatieculturen, waarbij de dimensies ‘mate van risico’ en ‘snelheid van feedback’ worden onderscheiden.

Snelheid van feedback

Snel Langzaam Veel Macho culture The bet-your company culture

Mate van

risico Weinig Play hard culture The process culture Figuur 5: Cultuurtypen volgens Deal en Kennedy (1982)

De cultuur kan hierbij worden gezien als een systeem dat ervoor zorgt hoe mensen veelal behoren te reageren op een situatie. Castelarhorst (2005 in: Droogsma, 2009) identificeert een aantal aspecten van cultuur, waarbij het reageren op risico’s negatief wordt beïnvloed. Het gaat hierbij om de volgende aspecten: niet ethische gedragingen, interne rivaliteit, intolerantie ten opzichte van fouten, hoge risico voorkeur, geheimzinnigheid en achtervolgen van critici. Kortom uit het voorgaande is af te leiden dat het in dit onderzoek gaat om de wijze waarop men in de organisatie tegen risico’s aankijkt.

4.2 Leiderschap (managementstijl)

De factor leiderschap kent net als cultuur diverse modellen en ideeën. In de eerste plaats is het van belang om onderscheid te maken tussen de begrippen leiderschap en management. In dit onderzoek wordt leiderschap gedefinieerd conform de beschrijving van Pascoe-Samson (2006, p.63).

“Leiderschap betreft de gave van iemand, gebaseerd op persoonlijke eigenschappen, anderen ertoe te brengen hem of haar vrijwillig te volgen.”

Het begrip management kan met behulp van de definitie van Uit Beijerse (1999, p.99) worden geduid.

“Management is the strategy-driven motivation and facilitation of people, aimed at reaching the organizational goals.”

Uit de voorgaande definities kan worden opgemaakt dat bij leiderschap een bepaalde vorm van vrijwilligheid aanwezig is. Terwijl management meer sturend van aard is. Hoewel dit verschil qua definitie duidelijk is, kan dit mogelijk in de praktijk minder duidelijk zijn. Het is waarschijnlijk dat een bepaalde vorm van leiderschap de managementstijl mogelijkerwijs beïnvloedt en andersom. Derhalve gaat dit onderzoek er vanuit dat leiderschap zowel ‘vrijwillig’ als ‘sturend’ van aard kan zijn.

In het realiseren van effectief risicomanagement vervuld het management een voorbeeldfunctie. De kernwaarden van de organisatie behoren niet alleen op papier aanwezig te zijn, maar moeten ook uitgedragen worden. Volgens Simons (1995) worden overtuigingen met betrekking tot kernwaarden serieus genomen wanneer dit ook zichtbaar is in het handelen van het management.

Drew et al. (2006) zijn van mening dat het uitdragen van risicomanagement door het management op een aantal wijze versterkt kan worden. De teamsamenstelling heeft invloed op de mate waarop de organisatie risicomanagement toepast. Hierbij is het van belang dat de organisatie zorgt voor voldoende balans in competenties en ervaring op het gebied van

risicomanagement binnen executive teams. Maar ook de onderwerpen ontwikkeling en coachen van executives spelen een belangrijke rol.

4.3 Informatiesystemen

Het begrip is in tweeën te knippen tot de begrippen ‘informatie’ en ‘systeem’. Romney en Steinbart (2009, p.27) definiëren het begrip informatie als volgt: “is data that have been organized and processed to provide meaning to a user”. Het begrip systeem definiëren zij als: “a set of two or more interrelated components that interact to achieve a goal”(Romney en Steinbart, 2009, p.26). De voorgaande twee definities leiden tot de onderstaande definitie van een informatiesysteem.

“Een geheel van onderling afhankelijke componenten dat zorgt voor een dusdanige ordening en bewerking van data, waarbij relevantie ontstaat voor de gebruiker.”

Op basis van deze definitie wordt duidelijk dat informatiesystemen in de volle breedte gebruikt kunnen worden voor risicomanagement. Hierbij kan bijvoorbeeld gedacht worden aan planning & control systemen, maar ook kwaliteitssystemen. In de empirie zullen derhalve legio mogelijkheden bestaan om te dienen als informatiesysteem voor risicomanagement. Met behulp van informatiesystemen dienen organisaties instaat te zijn om vast te stellen of de risico´s voldoende worden beheerst.

4.4 Alignment

Met betrekking tot alignment wordt in voorgaand onderzoek (o.a. Droogsma, 2009, p.265; Drew et al, 2006, p.133). de definitie van Labovitz (2005) gebruikt.

“Alignment is een situatie waarin mensen, key-processen en strategie optimaal samenwerken als een tandem.”

Het afwezig zijn van alignment komt volgens Droogsma (2009) voor bij grote organisaties. In deze organisaties is de bureaucratie zover doorgevoerd dat medewerkers de relatie tussen de procedures, hun werk en de strategische doelstellingen van de organisatie niet meer zien. Een goede alignment draagt volgens Droogsma (2009) en Drew et al. (2006) bij aan het oplossen

van conflicten tussen functies en het identificeren en oplossen van overtollige overlap van functies en verantwoordelijkheidsgebieden, maar ook gaps in verantwoordelijkheden.

Mogelijke indicatoren die de factor alignment kunnen verklaren worden ook in eerdere onderzoeken beschreven. Allereerst beschrijft Kasurinen (2002) een belangrijke indicator. Volgens de auteur is de overeenstemming tussen de organisatiedoelen en de benodigde technologie om de doelen te behalen van wezenlijk belang.

Ten tweede onderkennen Bradford en Florin (2003) het belang van Alignment. Deze auteurs beschrijven dat consensus met betrekking tot de doelen van de organisatie belangrijk is. Ook Umble et al. (2003) kent een soortgelijke indicator als Bradford en Florin. Umble et al. beschrijven als indicator dat binnen de organisatie iedereen de strategische doelen van de organisatie goed begrijpt. Verder is volgens een onderzoek van Kamiya et al. (2006 in: Droogsma, 2009) het van belang dat binnen de organisatie een duidelijke begripsduiding bestaat ten aanzien van risicomanagement.

4.5 Structuren

In dit onderzoek wordt met het begrip structuren primair gedoeld op de organisatiestructuur. Voor het definiëren van structuur is daarom gebruik gemaakt van de definitie van Mintzberg (1993, p.2).

“The structure of an organization can be defined simply as the sum total of the ways in which it’s labor is divided into distinct tasks and then its coordination is achieved among

these tasks.”

De structuur behoort ervoor te zorgen dat helder is in de organisatie door wie op welke risico´s gereageerd behoort te worden. Hierbij is met name van belang dat functionarissen die de strategische processen beïnvloeden en daarmee samenhangende risico’s verantwoordelijk zijn voor risicomanagement. Emanuels en De Munnik (2006) spreken in dit geval van grote betrokkenheid van executives bij risicomanagement.

Naast de mogelijkheid tot het delegeren van verantwoordelijkheden omtrent risicomanagement dient de structuur ook te zorgen voor communicatie. Bij het opzetten van

de structuur dient rekening te worden gehouden met de mogelijkheid om blijvend effectief te communiceren. Uit onderzoek van Droogsma (2009) blijkt dat de rapportagestructuur een proxy kan zijn voor de effectiviteit van risicomanagement. De medewerkers dienen geïnformeerd te blijven omtrent de bijdrage die hun acties hebben op het realiseren van de doelen. Het gaat hierbij niet alleen om de doelen van de betreffende functionaris, maar ook in relatie tot de doelen van de organisatie als geheel.

4.6 Personeel

De werking van een systeem valt of staat met de bijdrage van het personeel. Het gaat niet alleen om de werknemers die middels een arbeidsovereenkomst werkzaam zijn. Maar ook overige medewerkers. In deze paragraaf hanteren we de volgende definitie voor het begrip personeel.

“Alle werknemers waarmee de organisatie een arbeidsovereenkomst heeft gesloten alsmede alle overige medewerkers zoals uitzendkrachten, gedetacheerden etc.”9

Ten eerste gaat het voor de factor ‘personeel’ om de betrokkenheid van het personeel bij risicomanagement. Het belang van deze factor wordt onder andere onderkent door Wardhani et al. (2009) en Tari (2005). In beide onderzoeken wordt de indicator gezien als kwaliteitsbepalend voor de ontwikkeling van een Quality Management System (QMS).

Ten tweede is het belangrijk dat er een werkbare relatie bestaat tussen het vakjargon wat de medewerkers kennen en het vakjargon van risicomanagement. Het belang wordt onder andere onderkent in de onderzoeken van Kasurinen (2002) en Droogsma (2009).

Tot slot kan de ‘risicoperceptie’ vanuit het onderzoek van Droogsma (2009) worden opgenomen. Droogsma merkt op dat de risicoperceptie zorgt voor alignment. Deze uitspraak wordt in dit onderzoek geheel ondersteund. Het personeel kan met behulp van trainingen en educatie meer bekend worden met risicomanagement. Hierdoor zal een meer evenwichtige risicoperceptie gecreëerd kunnen worden. Functionarissen weten hierdoor hoe te handelen in een onverwachte situaties, dat zal leiden tot effectiever risicomanagement. Aan de hand van

9 _{http://www.pzo.nl/}

het Joharivenster (figuur zes) kan bewustwording en bekwaamheid met risicomanagement in de organisatie worden weergegeven (De Dreu, 2009).

Figuur 6: Joharivenster toegepast op risicomanagement (De Dreu, 2009)

4.7 Resumerend

In dit onderzoek is verondersteld dat de implementatie van een risicomanagementsysteem primair niet veel af zal wijken van een ‘ander’ informatiesysteem. De zes factoren die in de voorgaande paragrafen behandeld zijn dragen allemaal bij aan de kwaliteit van risicomanagement. De factoren behoren niet los van elkaar gezien te worden, maar zijn als onderling afhankelijk te beschouwen. Een aantal onderzoeken ondersteunen deze uitspraak, zoals Droogsma (2009), Drew et al. (2005) en Wardhani et al. (2009). Tevens zijn tijdens literatuurstudie een aantal onderzoeken die deze uitspraak deels onderschrijven, onder andere Tari (2005) en Kasurinen (2002). Een deel van deze onderzoeken is niet gericht op de content risicomanagement. Echter, de resultaten zijn mogelijk wel te generaliseren en daarmee toch toepasbaar voor de implementatie van een risicomanagementsysteem. In deze paragraaf zal per factor in het kort worden aangegeven waarom een factor effect heeft op risicomanagement. In de bijlage is een overzicht opgenomen omtrent de mogelijke ontwikkeling van de factoren (Bijlage drie, tabel zes).

Cultuur

Cultuur heeft te maken met de wijze waarop men binnen de organisatie gewend is om met risico’s om te gaan. Het behoort de organisatie ervoor te behoeden dat intern onevenwichtige besluiten worden genomen. Zoals Hofstede opmerkt is cultuur niet aangeboren maar aangeleerd. Hieruit kan worden opgemaakt dat cultuur de gedragingen van medewerkers beïnvloedt en daarmee de effectiviteit van risicomanagement.

Leiderschap

In paragraaf 4.2 is reeds naar voren gekomen dat leiderschap van belang is in relatie tot de cultuur, door de voorbeeldfunctie van het management. Het support van het management ten aanzien van risicomanagement is dan ook van belang. Beasley et al. (2005) komen in hun studie tot de conclusie dat organisaties met support van het topmanagement verder zijn met risicomanagement. Daarnaast komen Wardhani et al. (2009) tot de conclusie dat niet alleen support van het topmanagement effect heeft, maar ook het middelmanagement en meer ervaren medewerkers. Hieruit kan worden opgemaakt dat de factor leiderschap bijdraagt aan de ontwikkeling van risicomanagement.

Informatiesystemen

Systemen worden volgens Droogsma (2009) en Drew et al. (2005) gebruikt voor beheersing van risico’s. Wardhani et al. (2009) vinden in hun onderzoek een positieve relatie tussen effectieve informatiesystemen en de implementatie van kwaliteitssystemen. Derhalve gaat dit onderzoek er vanuit dat systemen die ook effectief worden beoordeeld leiden tot een beter beheersing en daarmee meer gevorderd risicomanagement.

Alignment

Het belangrijkste in deze is dat in de organisatie duidelijkheid bestaat omtrent de procedures, de rol van de betrokken functionarissen en de relatie met de doelstellingen van de organisatie. Helderheid en consensus omtrent de doelstelling van de organisatie dragen hier voor namelijk aan bij (o.a. Bradford en Florin (2003), Umble et al. (2003)).

Structuren

Structuren worden beïnvloed door cultuur, aldus Hofstede (1993). Een bureaucratische cultuur zal leiden tot een meer centrale organisatie met strakke delegatie. Een structuur die daardoor meer gericht is op controle heeft weer impact op de motivatie van mensen. Dit is te verklaren vanuit de crowding theorie van Freys. Veel control zal ten koste gaan van het plezier van de medewerkers en daarmee daalt de intrinsieke motivatie (Cools, 2005, p.106). Vanuit het perspectief van risicomanagement is het van belang dat de organisatie er in slaagt verantwoordelijkheden helder te hebben. Daarnaast behoort rekening te worden gehouden met communicatie mogelijkheden om te zorgen dat iedereen binnen de organisatie tijdig op de hoogte is van de gelopen risico’s.

Personeel

De uiteindelijke besluitvorming ligt veelal toch nog bij de mensen. Het is daarom terecht dat de risicoperceptie een aandachtspunt behoort te zijn voor organisaties. Door middel van bijvoorbeeld training en coachen kan een evenwichtige risicoperceptie worden gecreëerd. Ook hiervoor geldt dat het personeel weet hoe te handelen tijdens onverwachte situaties. Wanneer een organisatie hierin slaagt zal dit leiden tot een effectiever systeem voor risicomanagement.

5 Maturity model risicomanagement

Het ontwikkelen van een maturity model komt in dit hoofdstuk aanbod. De volgende vraag is hierbij leidend geweest: “Hoe ziet een maturity model voor risicomanagement eruit?”

Allereerst zal het implementatieproces (hoofdstuk 3) in een risicomanagement context worden geplaatst. Waarna een samenvatting wordt gegeven van de maturity modellen van de Big four. Vervolgens zijn de modellen geanalyseerd en tot slot is de totstandkoming van de aspecten voor risicomanagement weergegeven.

5.1 Beschrijving van fase risicomanagement

Toepassing van de risicomanagement context op het implementatieproces (hoofdstuk 3) leidt tot de volgende fasen voor implementatie van risicomanagement.

Fase I: Ontdekkingsfase

Vanuit de optiek van hoofdstuk twee kent risicomanagement primair een top-down aanpak. In deze fase zal daarom voornamelijk activiteit van het topmanagement en senior management worden verwacht. In deze fase zal het strategisch beleid (vertaling van missie en visie) een belangrijk proces zijn voor het topmanagement. Het senior management houdt zich in deze fase bezig met doorvertaling van het strategisch beleid naar tactisch niveau en operationeel niveau. Tijdens deze fase wordt voor de organisatie het risicoprofiel geformuleerd, waarbij de risicobereid en -tolerantie een grote rol spelen.

Fase II: Overtuigingsfase

In de overtuigingsfase draait het vooral om de diverse adoptie-groepen aan te sporen om haar perceptie omtrent risicomanagement te delen. Een effectieve wijze om dit te bewerkstelligen is om de adoptie-groepen actief te betrekken bij ontwikkeling van risicomanagement. In deze fase kunnen veelal identificatie van processen omtrent risicomanagement en werking hiervan een rol spelen. Voornamelijk de afwijkingen ten opzichte van de huidige werkwijze zullen hierbij aan het licht komen.

Fase III: Acceptatiefase

In deze fase gaat het erom dat men uiteindelijk consensus bereikt op de voorgestelde werkmethode van risicomanagement. Met behulp van training en testrondes kan de attitude van de adoptie-eenheden worden gevormd. De voorkeur zal er aangegeven kunnen worden