Beheersing van risico-identificatie en -beoordeling in een programmaorganisatie

Beheersing van risico-identificatie en -beoordeling in een programmaorganisatie

Een onderzoek naar samenstelling van beheersinstrumenten voor effectieve beheersing van risico-identificatie en –beoordeling in een programmaorganisatie

Auteur: Jochem Schipper

Studentnummer: 1273914

Email: schipper.jochem@gmail.com Telefoon: 06 47 12 63 40

2 Beheersing van risico-identificatie en -beoordeling in een programmaorganisatie

Een onderzoek naar samenstelling van beheersinstrumenten voor effectieve beheersing van risico-identificatie en –beoordeling in een programmaorganisatie

Masterafstudeerwerkstuk Accountancy & Controlling, traject Controlling Rijksuniversiteit Groningen

Faculteit Economie en Bedrijfskunde

Eerste begeleider: Prof. Dr. D.M. Swagerman Tweede begeleider: Dr. E.P. Jansen

Auteur: Jochem Schipper

Studentnummer: 1273914

3 Samenvatting

4

Inhoud

1 INLEIDING 6

1.1 Aanleiding onderzoek 6

1.2 Bereik en relevantie van het onderzoek 7

1.3 Opbouw scriptie 8

2 ONDERZOEKSOPZET 9

2.1 Probleemstelling 9

2.2 Onderzoeksproces 11

3 THEORETISCH KADER 14

3.1 Samenstelling en gebruik van beheersinstrumenten 14

3.2 Identificatie en beoordeling van risico’s 18

3.3 Programmaorganisatie 20

3.4 Beheersing van risico-identificatie en –beoordeling in een programmaorganisatie 21

3.5 Conclusie 31

4 ONTWERP EN METHODE VAN ONDERZOEK 32

4.1 Ontwerp van onderzoek 32

4.2 Dataverzameling 32

4.3 Analyse 34

4.4 Case en samplebeschrijving 37

5 BEHEERSING VAN RISICO-IDENTIFICATIE EN –BEOORDELING IN EEN

PROGRAMMAORGANISATIE IN DE PRAKTIJK 39

5.1 Organisatie van risico-identificatie en –beoordeling in de programmaorganisatie bij FA 39

5.2 Transactiekenmerken van risico informatie 48

5.3 Beheersinstrumenten voor identificatie en beoordeling van risico’s 54

5.4 Samenvatting 59

6 DISCUSSIE EN CONCLUSIE 61

6.1 Samenvatting en discussie onderzoeksresultaten 61

6.2 Conclusies 65

5 Lijst van gebruikte afkortingen en Engelse termen

Engelse termen worden in dit document niet consequent letterlijk vertaald. De reden hiervoor is dat vertaling van Engels jargon de leesbaarheid van de tekst niet vergroot. Voorbeelden zijn Enterprise Risk Management (ERM) en management control system (MCS). In dergelijke gevallen wordt de Engelse term gehandhaafd en worden de woorden in ‘italics’ lettertype weergegeven.

ERM Enterprise Risk Management

COSO The Committee of Sponsoring Organizations of the Treadway Commission PRM Progress Review Meeting

NR Non Recurring

Rec Recurring

MCS Management Control System PMS Program Management Standard FA Fokker Aerostructures B.V.

MT Management Team

PMBOK Project Management Body Of Knowledge PTO Programma Team Overleg

6

1

Inleiding

In deze scriptie wordt verslag gedaan van een onderzoek naar samenstelling van beheersinstrumenten voor risico-identificatie en –beoordeling in een programmaorganisatie1. Dit hoofdstuk geeft de aanleiding voor het onderzoek, het bereik en relevantie van het onderzoek, en de opbouw van de scriptie weer.

1.1

Aanleiding onderzoek

Toenemende innovatie in technologie, internationalisering en toenemend gebruik van ICT (O’Donnell, 2005), kenmerken de complexiteit van bedrijfsvoering in de luchtvaartindustrie. Tegen deze achtergrond vormen twee ontwikkelingen samen aanleiding voor dit onderzoek. De eerste ontwikkeling is een toenemende vraag van vermogensverschaffers naar transparantie ten aanzien van risico informatie en risicobeheersing, voor gebruik bij de beoordeling van bedrijfsresultaten2. De tweede ontwikkeling is dat luchtvaartprogramma’s in de laatste twee decennia kampen met vertragingen en budgetoverschrijdingen. Als gevolg hiervan is programma management een belangrijk punt op de agenda van topmanagement in de luchtvaartindustrie geworden3. Programma management omvat meerdere aandachtsgebieden, waaronder risicomanagement.

Dit onderzoek spitst zich toe op risicomanagement als onderdeel van programma management en in het bijzonder op risico-identificatie en –beoordeling. Vanwege de hierboven beschreven ontwikkelingen heeft risicomanagement ook bij de fabrikant van vliegtuigonderdelen Fokker Aerostructures (hierna te noemen: ‘FA’), een belangrijke plaats op de agenda ingenomen. Binnen het deel van het bedrijf dat georganiseerd is in programma’s, betreft één van de onderwerpen de beheersing van risico-identificatie en -beoordeling. Omdat er, door de aard van de industrie, raakvlakken tussen programma’s onderling zijn, staan gevolgen van gebeurtenissen en risico’s niet op zichzelf. Een zekere mate van gelijke structuur in de organisatie van programma’s, kan zorgen voor uniformiteit in het identificeren en beoordelen van risico’s. Uit de discussie over risicomanagement binnen het bedrijf is de vraag naar voren gekomen hoe risico identificatie en -beoordeling in een programmaorganisatie effectief kan worden beheerst. Vanuit de verantwoordelijkheid van het management voor het resultaat van de onderneming ligt de behoefte aan informatie over beheersing van risico-identificatie en –beoordeling voor de hand, omdat

1

De betekenis van het begrip ‘programmaorganisatie’ komt overeen met die van een projectorganisatie. In hoofdstuk 2 wordt de betekenis van dit begrip verder toegelicht.

2

Een betrouwbare voorspelling van bedrijfsresultaten kan worden geduid als een ‘reporting objective’ zoals beschreven in COSO’s framework for ERM (2004). Voor beursgenoteerde ondernemingen in Nederland is integraal risicomanagement verankerd in de Nederlandse Corporate Governance Code.

3

7 onvoorziene gebeurtenissen vaak grote – financiële – gevolgen hebben voor programmaresultaten. De beschreven ontwikkelingen vormen aanleiding voor dit onderzoek; het empirisch deel heeft plaatsgevonden in de programmaorganisatie van FA.

1.2

Bereik en relevantie van het onderzoek

Veel organisaties worstelen met de inrichting van risicomanagement als onderdeel van de bedrijfsvoering en programmamanagement (Beasley e.a., 2010; Lam, 2006; Hampton, 2009, Verbano en Venturini, 2011). In de luchtvaartindustrie is risicomanagement traditioneel geworteld in de functionele assen van de organisatie (Bradley, 1989; Altavilla, 2002). De trend – gedreven door het hierboven beschreven verlangen naar transparantie en voorspelbaarheid - is echter dat risicomanagement meer integraal, dan per functionele as wordt benaderd (Lawrence, 2009). Daarnaast gaat risicomanagement in deze benadering over anticiperen op risico’s vóórdat problemen zich voordoen, in plaats van te reageren en handelen nadat een gebeurtenis een feit is geworden (O’Donnell, 2005). Met de integrale benadering van risicomanagement wordt verder gestreefd naar het condenseren van risico’s van alle lagen en functionele assen binnen een organisatie tot risico informatie. Het concept waarmee deze benadering wordt beschreven heet ‘Enterprise Risk Management’ (ERM) (COSO, 2004). De effectiviteit van de samenstelling van beheersinstrumenten voor risico-identificatie en –beoordeling kan ondanks deze trend nog niet eenduidig worden bepaald.

1.2.1 Relevantie voor de financiële functie van een organisatie

Binnen het ERM concept staat de kwestie van beheersing van het proces van risico-identificatie en – beoordeling niet op zichzelf. Dit betekent dat meerdere functionele afdelingen in een organisatie moeten steunen op risico informatie. In het licht hiervan wordt ook bij FA de controller4 in zijn rol bij het beoordelen van bedrijfsresultaten en kasstromen, steeds geacht gebruik te maken van risico informatie.

Risico informatie moet worden voortgebracht door identificatie en beoordeling van risico’s. Hoe kunnen financiële resultaten correct worden beoordeeld met behulp van de geïdentificeerde risico’s, als er nog geen duidelijk beeld is over de kwaliteit van de bijdrage van risicoidentificatie en -beoordeling? Er moet vanuit de financiële functie dus een duidelijk beeld zijn van de gewenste beheersinstrumenten en de samenstelling ervan voor risicomanagement, wil de controller gebruik kunnen maken van risicomanagement informatie. De controller moet in staat zijnde samenstelling

4

8 van beheersinstrumenten te kunnen beoordelen vanuit een doelmatigheidsperspectief. Dat betekent dat hij het ontwerp van het management control systeem voor risico-identificatie en – beoordeling moet kunnen beoordelen5.

Dit onderzoek heeft als doel te voorzien in de behoefte van de controller bij FA naar inzicht in effectiviteit van de samenstelling van beheersinstrumenten voor risico-identificatie en-beoordeling. Een belangrijke beperking van de benadering in de moderne literatuur over risicoidentificatie en -beoordeling, is de voorschrijvende aard ervan (Fraser e.a., 2008; Kutsch, 2010). Dit blijkt uit de beschrijving van raamwerken of frameworks, het meten van stages of ERM en het uitwerken van risico-categorieën. Kennis van uitvoering en beheersing van risicomanagement blijft daardoor onderbelicht. Dit onderzoek voorziet in een verklaring van de samenstelling van beheersinstrumenten voor risico-identificatie en –beoordeling. Door een verkennend onderzoek uit te voeren, kan kennis over effectieve samenstelling van beheersinstrumenten voor risico-identificatie en -beoordeling binnen een programmaorganisatie worden vergaard. Het onderzoek past binnen de zoektocht naar doelmatigheid van management control onder invloed van verschillende omstandigheden en factoren (Covaleski e.a., 2003). Het uitgangspunt is dat de literatuur alleen, geen garantie is voor bruikbaarheid van een verklarend model. Er moet dus worden onderzocht of het te ontwikkelen theoretisch model een verklaring geeft voor de gebeurtenissen in de praktijk (in dit geval in bij FA). Op basis van een theoretische samenstelling en onderzoek naar deze samenstelling in de praktijk kan een uitspraak worden gedaan over effectiviteit van beheersinstrumenten voor risico-identificatie en -beoordeling. Deze uitspraak kan vervolgens worden gebruikt bij het beoordelen van de samenstelling van beheersinstrumenten voor van risico-identificatie en -beoordeling binnen een programmaorganisatie.

1.3

Opbouw scriptie

In hoofdstuk 2 wordt de opzet van het onderzoek toegelicht. In hoofdstuk 3 wordt het theoretisch kader verantwoord op basis waarvan de onderzoeksvragen zijn geformuleerd. Hoofdstuk 4 beschrijft de gebruikte onderzoeksmethoden. Hoofdstuk 5 behandelt de resultaten van het onderzoek in de programmaorganisatie van Fokker Aerostructures. In het zesde en laatste hoofdstuk worden op basis van theorie en praktijk conclusies getrokken over de samenstelling van beheersinstrumenten voor identificatie en beoordeling van risico’s in een programmaorganisatie.

5

9

2

Onderzoeksopzet

Dit hoofdstuk behandelt de probleemstelling en opzet van het onderzoek.

2.1

Probleemstelling

De probleemstelling voor dit onderzoek is dat er onvoldoende inzicht is in effectieve samenstelling van beheersinstrumenten voor risico-identificatie en –beoordeling in een programmaorganisatie. Bij het opstellen van de doelstelling van dit onderzoek wordt onderscheid gemaakt tussen het praktijkdoel en het onderzoeksdoel (Baarda e.a., 2009).

2.1.1 Doelstelling

Het praktijkdoel is dat Fokker met de resultaten van het onderzoek de effectiviteit van de huidige samenstelling van beheersinstrumenten voor risico-identificatie en -beoordeling in het kader van risicomanagement in de programmaorganisatie kan beoordelen.

Het onderzoeksdoel is aan te geven welke samenstelling van beheersinstrumenten tot effectieve beheersing van risico-identificatie en –beoordeling in een programmaorganisatie leidt. Alvorens een centrale onderzoeksvraag te formuleren, wordt in de volgende paragraaf het gebied afgebakend waarbinnen deze vraag wordt gesteld.

2.1.2 Afbakening van het probleemgebied

Dit onderzoek vindt plaats vanuit het perspectief van beheersing door een management control6 systeem. De werking van een management control systeem wordt in hoofdstuk 3 uitgelegd. Voor de afbakening van de probleemstelling is het echter van belang het perspectief van een management control systeem voorafgaande aan het onderzoek te beperken. De beperking heeft betrekking op hoe het systeem van beheersinstrumenten voor risico-identificatie en -beoordeling wordt onderzocht. Uit dit onderzoek kunnen aanbevelingen volgen waaruit blijkt dat het systeem zich moet voegen naar een bestaande organisatie, of dat de organisatie zich moet voegen naar het systeem (Markus en Pfeffer, 1983). Dat betekent in het eerste geval dat het systeem voor beheersing van risico-identificatie en -beoordeling moet slagen en zich dus voegen naar alle bestaande, vooral sociale, structuren in de organisatie. In het tweede geval moet de organisatie zelf veranderen wil ze het nieuwe systeem uit kunnen voeren. In dat geval moet er dus rekening worden gehouden met weerstand. Bariff en Galbraith (1978) geven aan dat bij implementatie van systemen vooraf deze keuze gemaakt moet worden. Op deze manier wordt namelijk afgedwongen dat vooraf een keuze voor een perspectief wordt gemaakt, waarmee het werkelijke systeem wordt beoordeeld.

6

10 Voorafgaande aan dit onderzoek is gekozen voor onderzoek van het systeem voor beheersing binnen een bestaande organisatie. Dat betekent voor dit onderzoek dat er geen verandering wordt bestudeerd. Op basis van de bevindingen kunnen uiteraard wel aanbevelingen worden gedaan die op hun beurt aanleiding geven tot verandering.

De keuze voor onderzoek van het systeem in de bestaande organisatie is gemaakt vanwege een aantal redenen. Het vergroot de uitvoerbaarheid van het onderzoek, doordat het bereik wordt beperkt tot onderzoek van het ontwerp van beheersing risico-identificatie en -beoordeling. Verder is in de literatuur nog te weinig bekend over risicomanagement controlsystemen voor het formuleren van een normatieve uitspraak. Dat betekent dat van een eventuele verandering op basis van een normatief model nog geen sprake kan zijn. De laatste reden is dat uit oriëntatie blijkt dat binnen de programmaorganisatie van FA geen sprake is van weerstand tegen het gebruik en invoering van risicomanagement, maar dat de veronderstelde problemen eerder gaan over inzicht in beheersing van het huidige proces7.

Het proces van risico-identificatie en –beoordeling dat wordt bestudeerd vindt plaats in een programmaorganisatie. De beoordeling van risico’s is aan identificatie gerelateerd doordat identificatie van een risico noodzakelijkerwijs voorafgaat aan de beoordeling ervan. Binnen het onderwerp risicomanagement is de keuze gemaakt alleen beheersing van identificatie en beoordeling te onderzoeken. De reden hiervoor is dat identificatie en beoordeling de belangrijkste elementen van risicomanagement zijn voor het voortbrengen van risico informatie. En vanuit de financiële functie van een bedrijf gezien, is nu juist betrouwbare en kwalitatief goede risico informatie essentieel bij de beoordeling van programmaresultaten.

De term ‘programmaorganisatie’ wordt in het kader van dit onderzoek gelijkgesteld met een projectorganisatie op basis van drie aspecten. De gelijkstelling heeft ten eerste betrekking op het tijdelijk aspect waar zowel een programma als een project mee te maken heeft (Project Management Institute, 2008). Ten tweede op de toepassing van kennis en vaardigheden ten behoeve van een gemeenschappelijke doelstelling (Project Management Institute, 2008). En ten derde betreft de gelijkstelling de toepassing van planning voor het initiëren van activiteiten (de Bakker, 2010). Risico-identificatie en –beoordeling hebben in dit onderzoek betrekking op deze aspecten van een programmaorganisatie.

7

11 2.1.3 Vraagstelling

Op basis van het hierboven beschreven probleemgebied luidt de centrale onderzoeksvraag als volgt: Welke samenstelling van beheersinstrumenten moet een organisatie in acht nemen voor effectieve beheersing van risico-identificatie en –beoordeling in een programmaorganisatie?

2.2

Onderzoeksproces

Voor het beantwoorden van de onderzoeksvraag binnen het afgebakend probleemgebied, wordt langs een theoretische en praktische weg naar effectieve samenstelling van beheersinstrumenten gezocht. Eerst wordt een theoretisch model voor beheersing van risico-identificatie en -beoordeling in een programmaorganisatie voorgesteld. Dit model heeft meer het karakter van een ‘zoeklichttheorie’ (Baarda e.a., 2009) waarmee verschijnselen in de praktijk kunnen worden geduid, dan van een normatief model. Vervolgens wordt in de literatuur gezocht naar concretisering van transactiekenmerken van risico informatie. Het begrip ‘transactiekenmerken’ wordt uitgewerkt in hoofdstuk 3. Beheersing van beheersproblemen van risico-identificatie en –beoordeling die op basis van de theorie verwacht worden, wordt vervolgens door middel van dit model geëvalueerd in de praktijk van de programmaorganisatie van FA. Vanwege het gebruik van een zoeklichttheorie wordt in de tweede helft van hoofdstuk 3 en in hoofdstuk 4 extra aandacht besteed aan conceptuele specificatie (Bisbe e.a., 2007). Op basis van evaluatie van samenstelling van beheerinstrumenten in de praktijk wordt de relevantie van het theoretisch model bepaald. Enerzijds is het model dus een resultaat van onderzoek, anderzijds zijn de aanvullingen die afgeleid worden uit de evaluatie van het model in de programmaorganisatie van FA, een resultaat van het onderzoek.

Voor het structureren van het onderzoeksproces zijn vijf deelvragen geformuleerd. De eerste twee deelvragen zijn bedoeld om het theoretisch kader te structureren. De laatste drie deelvragen zijn vragen die in het literatuur- en praktijkonderzoek beantwoord worden.

1. Wat wordt verstaan onder beheersing en hoe wordt hier met beheersinstrumenten invulling aan gegeven?

Met het antwoord op deze vraag wordt aangegeven wat beheersing betekent en onder welke omstandigheden beheersing ontstaat.

2. Wat betekenen risico-identificatie en –beoordeling? Deze vraag wordt opgedeeld in de volgende twee vragen:

12 - Welke betekenis hebben risico-identificatie en -beoordeling voor een

programmaorganisatie?

Met het antwoord op deelvraag 2 wordt het specifieke onderwerp van beheersing vastgesteld.

3. Welke kenmerken heeft de transactie van risico informatie en welke beheersproblemen kunnen op basis van deze kenmerken worden verwacht?

Op basis van een op Transaction Cost Economics theorie gebaseerde theorie van beheersing (Speklé, 2001), wordt de samenstelling van beheersinstrumenten afgeleid van de eigenschappen van de te beheersen activiteiten. Met het antwoord op deelvraag 3 wordenbeheersproblemen benoemd die voorspelbaar in verband staan met de eigenschappen van risico-identificatie en -beoordeling.

4. Hoe kunnen transactiekenmerken en beheersinstrumenten voor risico-identificatie en – beoordeling in de praktijk worden geduid?

Deze vraag heeft als doel tot een model voor beheersing van risico-identificatie en –beoordeling te komen. Dit homomorf model (de Leeuw, 2000) is een product van de zienswijze die voortkomt uit de beantwoording van vraag 1, 2 en 3. Het model wordt vervolgens geconfronteerd met een praktijkvoorbeeld door middel van een case studie binnen de programmaorganisatie van FA aan de hand van de volgende deelvraag.

5. Hoe ziet beheersing van risico-identificatie en -beoordeling binnen de programmaorganisatie van Fokker Aerostructures eruit?

Deelvraag 5 wordt opgedeeld in de volgende vragen:

- Hoe ziet de organisatie van risico-identificatie en –beoordeling eruit?

- Welke beheersproblemen kunnen worden gerelateerd aan risicoidentificatie en -beoordeling?

- Hoe ziet de samenstelling van beheersinstrumenten voor risico-identificatie en – beoordeling eruit?

In figuur 1 wordt het onderzoeksproces schematisch weergegeven.

13 De tweede vraag wordt door middel van literatuuronderzoek naar de definitie van risico en risicomanagement beantwoord.

De derde vraag wordt beantwoord door middel van literatuuronderzoek naar kenmerken van het proces van risico-identificatie en -beoordeling.

De vierde vraag wordt beantwoord door de invloed van de kenmerken op beheersproblemen van risico-identificatie en –beoordeling te analyseren. De analyse leidt tot het antwoord op de vierde vraag in de vorm van een verwachte vorm van beheersing. Zoals aangegeven zal extra aandacht worden besteed aan conceptuele specificatie. Dit gebeurt in hoofdstuk 4. Het antwoord op de vierde deelvraag is een referentiemodel voor beheersing van risico-identificatie en -beoordeling. De toepassing van het model binnen de programmaorganisatie van Fokker Aerostructures wordt onderzocht voor de beantwoording van deelvraag 5.

14

3

Theoretisch kader

In dit hoofdstuk wordt het theoretisch kader verantwoord op basis waarvan samenstelling van beheersinstrumenten voor risico-identificatie en -beoordeling wordt onderzocht. Het doel van het theoretisch kader is verbanden weer te geven tussen samenstelling van beheersinstrumenten, en beheersing van risico-identificatie en –beoordeling in een programmaorganisatie.

3.1

Samenstelling en gebruik van beheersinstrumenten

Samenstelling van beheerinstrumenten wordt in deze paragraaf uitgelegd aan de hand van doelstelling van beheersing en beheersproblemen.

3.1.1 Doelstelling van beheersing

Beheersing wordt in dit onderzoek benaderd vanuit een management control perspectief. Het uitgangspunt voor gebruik van de term ‘management control systeem’ (MCS), is de grootst gemene deler van onderdelen in de definitie8. Deze gemene deler is dat de samenstelling van gedragsmaatregelen, acties en procedures moet bijdragen aan het behalen van doelen die een organisatie stelt.

De doelen in de definitie van een MCS kunnen worden afgeleid uit een palet van doelstellingen van management control. Anthony (1965) beschrijft een deel van dit palet door onderscheid te maken tussen operationele-, tactische- en strategische doelen. Assad (1981) breidt dit palet uit met een transactie verwerkende activiteit. Daarmee voegt hij een informatiemanagement doelstelling aan het palet van Anthony (1965). Analoog aan deze toevoeging kunnen op basis van systeemtheorie (de Leeuw, 2000) andere activiteiten met bijbehorende doelstellingen worden toegevoegd aan het palet. Figuur 2 illustreert een palet van doelstellingen met de verhouding tussen beheersing van hoofddoelen (operationele, tactische en strategische doelen) en subdoelen. In dit palet is risicomanagement control als subdoel toegevoegd aan het palet (paragraaf 3.2 gaat verder in op de betekenis van risicomanagement control). De halve cirkels en de overlappende balk van risicomanagement control in Figuur 2 illustreren de hiërarchische relatie tussen operationele, tactische en strategische management control, en risicomanagement control.

8

15 Figuur 2: Verhouding tussen beheersing van hoofd- en subdoelen

Management control systemen hebben naast bijdragen aan het behalen van strategische, tactische en operationele doelstellingen dus ook als doel bij te dragen aan het behalen van subdoelstellingen zoals risicobeheersing. De specifieke doelstellingen voor beheersing kennen elk hun eigen invulling van maatregelen, acties en procedures, ofwel beheersinstrumenten. Merchant en van der Stede (2003) verklaren deze invulling door beheersing te formuleren als het vermijden van beheersproblemen.

3.1.2 Verklaren van beheersproblemen

Merchant en van der Stede (2003) verdelen het proces van ontwerp van een management control systeem in het vaststellen van een gewenst systeem en een waarschijnlijk systeem. Het verschil tussen de gewenste en waarschijnlijke situatie, het beheersprobleem, kan worden verkleind door de juiste beheersinstrumenten op de juiste manier te gebruiken. Een dominant paradigma voor de verklaring van invulling van het MCS is door gebruik van contingentietheorie (Otley, 1980; Chenhall, 2003). Deze theorie beschrijft dat samenstelling en gebruik van beheersinstrumenten worden bepaald aan de hand door externe factoren. Deze factoren en hun effecten kunnen verschillende vormen aannemen. Eén veelomvattende onderverdeling levert Otley (1980), door deze contextuele variabelen onder te brengen in drie categorieën:

- Effect van technologie

- Effect van organisatiestructuur - Effect van omgeving

De mate waarin een systeem wordt begrepen wordt daarnaast ook gebruikt voor de verantwoording van de samenstelling en het gebruik van beheersinstrumenten. Sinds 1980 zijn onderstaande variabelen veel gebruikt voor het uitdrukken van het begrip van het systeem:

- Inzicht in het transformatieproces (Ouchi, 1979) - Kennis van het transformatieproces (Kirsch, 1996)

16 Een probleem bij de interpretatie van op deze contingenties gebaseerd onderzoek is echter de context specifieke afhankelijkheid. Dat betekent dat feitelijk elke context uniek scoort op bovengenoemde effecten en er dus geen kant en klare ontwerpen voor MCS onder bepaalde omstandigheden klaar staan. Een ander theoretisch perspectief dat beheersing verklaart is Transaction Cost Economics (TCE). Speklé (2001) beargumenteert dat de relatie tussen de inrichting van het MCS en de activiteit die het MCS geacht wordt te beheersen, verklaard wordt door de kenmerken van de betreffende transactie, of activiteit. Het voordeel hiervan is dat de aard van activiteiten meer consistentie vertoont dan de aard van omgevingsfactoren. De kenmerken van activiteiten kunnen op basis van TCE theorie worden uitgedrukt in onzekerheid, asset specificiteit en ex-post informatie asymmetrie (Speklé, 2001). Speklé brengt deze oplossingen onder in vier typen controlvormen9. In theorie is elke type geschikt voor het oplossen van controlproblemen die samenhangen met de specifieke eigenschappen van de betreffende activiteit.

In Figuur 3 worden de benadering volgens de meer klassieke contingentietheorie (rechts) en de TCE benadering (links) schematisch weergegeven. De pijlen tussen de elementen illustreren het verband tussen activiteit, aard van de activiteit, bijbehorende beheers- of controlproblemen en beheersinstrumenten die bijdragen aan de oplossing van deze problemen.

Figuur 3: Perspectief op beheersinstrumenten volgens (Speklé (2001) en Otley (1980))

9

17 Kritiek op modern onderzoek die gebruikt is als argument voor het onderwerp van dit onderzoek, is dat modern onderzoek naar beheersing van risicomanagement stopt bij het in kaart brengen van stages of implementation en het voorschrijven van frameworks. De TCE benadering kan van eenzelfde soort instrumentele benadering worden beticht (Covaleski e.a., 2003). Het is dus zaak naar evenwicht te zoeken in de verklaring van beheersproblemen. Een typische dimensie die voor dit evenwicht kan zorgen is de institutionele omgeving van de activiteit. Williamson (1991) vindt dat deze omgeving een belangrijke rol heeft in de vorming van transactie. De institutionele omgeving wordt uitgedrukt in politieke, sociale en juridische regels (Williamson, 1991). In het kader van dit onderzoek wordt deze specifieke contingentiefactor voor TCE vanwege deze reden toegevoegd aan de verklaring van beheersing. In Figuur 4 wordt deze toevoeging aan het raamwerk van Speklé (2001) geïllustreerd.

Figuur 4: Toevoeging institutionele omgeving aan raamwerk Speklé 3.1.3 Samenstelling en gebruik van beheersinstrumenten

18 beïnvloeden van gedrag van individuen vanuit doelmatigheid (Speklé, 2001). De verschillende classificaties van soorten beheersinstrumenten, zoals onder andere zijn uiteengezet door Chenhall (2003) en Merchant en van der Stede (2003)10, worden gebruikt voor het vinden van beheersinstrumenten bij de transactie die uitgedrukt wordt in activiteiten voor risico-identificatie en –beoordeling.

3.2

Identificatie en beoordeling van risico’s

In paragraaf 3.1 is het begrip beheersing en de betekenis ervan uiteengezet. Terugkerende begrippen in deze uiteenzetting zijn ‘activiteiten’ en ‘doelstelling’. In deze paragraaf wordt de betekenis van deze begrippen uiteengezet aan de hand van een overzicht van definities van risico en de inzet van risicomanagement als beheersingsstrategie.

3.2.1 Begripsvorming van risico-identificatie en -beoordeling

De definitie van een risico is niet eenduidig beschreven in de literatuur (Corvellec, 2010; O’Donnell, 2005; Finucane en Holup, 2006; Fischhoff ea, 1984; Kaplan en Garrick, 1981; Power, 2004 en 2008; Taleb en Pilpel, 2007; Verbano en Venturini, 2011). Identificatie en beoordeling van risico zonder dat het begrip in elk geval bij de betrokken individuen hetzelfde is, heeft echter geen toegevoegde waarde (O’Donnell, 2005; Fischhoff e.a., 1984). Dat is reden voor het eenduidig formuleren van het begrip risico. Fischhoff e.a. (1984) vinden daarnaast dat het definiëren van risico’s in grote mate wordt bepaald door waardeoordelen van betrokkenen. Concluderend kan worden gesteld dat definitie van risico’s op zichzelf dus afhangt van waardeoordelen. In tegenstelling tot een definitie van risico’s kan een procesdefinitie van identificatie en beoordeling eenduidiger worden afgeleid uit de literatuur.

Aan het procesbegrip van risico-identificatie en –beoordeling is meer duiding te geven dan aan de definitie van een risico. Vanuit een holistische, moderne benadering (COSO, 2004, Monohan, 2008), wordt een risico begrepen als een gebeurtenis die het behalen van een bepaalde doelstelling kan beïnvloeden. Dat is een ruim begrip. Een enger begrip dat valt af te leiden uit het spectrum van definities, is het definiëren van een risico als de resultante van kans en impact van een gebeurtenis (Corvellec, 2010; O’Donnell, 2005; Finucane en Holup, 2006; Fischhoff e.a., 1984; Kaplan en Garrick, 1981; Power, 2004 en 2008; Taleb en Pilpel, 2007; Verbano en Venturini, 2011). De overeenkomst tussen de ruime en enge definitie is dat zowel gebeurtenis, kans, als impact respectievelijk moeten

10

19 worden geïdentificeerd en beoordeeld. Dat is in het vervolg van dit onderzoek het doel van het proces van risico-identificatie en –beoordeling.

De uitvoering van identificatie en beoordeling transformeert gebeurtenissen in risico informatie. Deze transformatie kan op verschillende manieren plaatsvinden. Veelal gebeurt dit op basis van het type risico. Het type risico kan worden afgeleid van de aard van de gebeurtenis die ten grondslag ligt aan het risico. Verschillende type risico’s zijn inherente risico’s, zoals renterisico’s en marktrisico’s (Simkins en Fraser, 2007; Mikes, 2007) en zogenaamde ‘rest’ risico’s. Dit laatste type omvat alle risico’s die zouden kunnen gebeuren op institutioneel niveau en zijn in het bijzonder niet kwantificeerbaar (Meulbroek, 2002; Levinsohn and Williams, 2004). Risico identificatie is vervolgens het proces van het ‘vinden, herkennen en beschrijven van risico’s’ (ISO 73, 2009; Collier e.a., 2007). Het maakt, voor dit proces althans, niet uit welke soort risico het betreft. De term die in het kader van dit onderzoek zal worden gebruikt voor het duiden van de doelstelling van dit proces, is het creëren van awareness. In dit theoretisch kader wordt deze doelstelling vereenzelvigd met de subdoelstelling van een MCS (zoals beschreven in paragraaf 3.1.1).

3.2.2 Tekortkoming van een risicomanagement concept als beheersingsstrategie voor

risico-identificatie en -beoordeling

20 een specifiek overzicht van activiteiten voor risico-identificatie en –beoordeling. Dit overzicht is zowel specifiek voor risico-identificatie en –beoordeling, als onderscheidend van de standaard risicomanagement cyclus11. De stappen geïdentificeerd door Chapman (2001) zijn:

- verwerving van kennis; waarbij de bijdrage van deelnemers wordt versterkt wanneer hij of zij grondig begrip heeft van het project voor aanvang van identificatie

- selectie van het kernteam; de breedte van het team bepaalt hoe veelomvattend identificatie van alle mogelijke risico’s zijn

- presentatie van het proces; presentatie van het proces zorgt ervoor dat elke deelnemer identificeert vanuit de dezelfde doelstelling

- identificatie;

- en coderen en verifiëren van risico’s; zodat relaties tussen verschillende risico’s worden gelegd.

Dit overzicht vult het risicomanagement concept op een aantal punten aan. Verwerving van kennis en selectie van een team komen in het COSO concept in eerste instantie niet voor en zijn een belangrijke aanvulling op het creëren van een goede control environment. Verder is selectie van een team waarin alle raakvlakken van een organisatie zijn vertegenwoordigd van belang. Dit blijkt vooral in de volgende paragraaf bij de uiteenzetting van de specifieke kenmerken van een programmaorganisatie. De volgende paragraaf verklaart hoe deze stappen kunnen worden geplaatst binnen wat er in de literatuur met betrekking tot projectmanagement over risicomanagement wordt geschreven.

3.3

Programmaorganisatie

Deze paragraaf gaat in op de positie van risico-identificatie en –beoordeling in de literatuur over projectmanagement. Zoals aangegeven in de probleemafbakening van dit onderzoek wordt de term programma in dit onderzoek vereenzelvigd met de term project.

Risico-identificatie en –beoordeling in een programmaorganisatie wordt in de literatuur geschaard onder Project Risk Management. Risicomanagement wordt binnen de projectmanagement literatuur vooral beschouwd als een middel voor verbetering van besluitvorming, teneinde projectmanagement te verbeteren (Clark e.a., 1990). Jugdev en Müller (2005) onderscheiden naast traditionele projectmanagement doelstellingen (voldoen aan tijd, budget en klantspecificatie) ook het voldoen aan stakeholders verwachtingen. Deze doelstellingen worden in het kader van dit

11

21 onderzoek aangevuld met de eerder afgeleide doelstelling die betrekking heeft op het creëren van awareness. Ook vanuit een financieel perspectief is juist het voorkomen van verrassingen belangrijk als doelstelling. Packendorff (1995) verklaart de doelstelling van projectmanagement door een project te beschouwen als een organisatie, in plaats van als een verzameling taken, die na uitvoering automatisch leiden tot projectresultaat.

Een belangrijk verschil tussen risico-identificatie en –beoordeling in een organisatie van een project en een ‘organisatie’, wordt verklaard door de fase waarin identificatie en beoordeling plaatsvinden. Dit betekent dat een groot deel van de doelstellingen aan het begin van een project opgesteld worden, juist wanneer de onzekerheid het hoogst is (Packendorff, 1995). Twee fases kunnen in het begin van een project worden onderkend, namelijk de offertefase vlak vóór aanvang van een project en de opstartfase vlak ná aanvang van een project (Fukken e.a., 1999). Risico-identificatie en – beoordeling zouden dus in deze fases een meer dan gemiddelde rol moeten spelen.

3.4

Beheersing

van

risico-identificatie

en

–beoordeling

in

een

programmaorganisatie

In de voorgaande paragrafen zijn de begrippen beheersing, en risico-identificatie en –beoordeling uiteengezet. In deze paragraaf wordt deze uiteenzetting gebruikt voor het leggen van een verband tussen de begrippen. Eerst wordt een conclusie getrokken over wat het verband tussen beheersing en risico-identificatie en –beoordeling inhoudt. Vervolgens wordt uiteengezet welke zaken dit verband moet afdekken.

3.4.1 Verband tussen beheersing en risico-identificatie en -beoordeling

Op basis van de voorgaande paragrafen worden de volgende zaken geconcludeerd:

- Vanuit doelmatigheidsperspectief wordt geconcludeerd dat het te beheersen subject geen output is, maar een proces. Op basis van de begripsdefinitie van risico’s en risico-identificatie en –beoordeling kan namelijk worden geconcludeerd dat een uitkomst van identificatie van risico’s op voorhand niet te bepalen is. Daarnaast valt uit de prescriptieve aard van de literatuur met betrekking tot frameworks (COSO, 2004) en stappenplannen (Chapman, 2001) af te leiden dat het proces onderwerp van beheersing moet zijn. Beheersing wordt in het kader van dit onderzoek dus beschouwd als het beheersen van de risico’s die de aard van de activiteiten met zich meebrengt, in plaats van het wegnemen van events die het behalen van de awareness doelstelling bedreigen. - De koppeling van deze procesbenadering aan het concept programmaorganisatie leidt

22 - Binnen het paradigma van contingentiefactoren en bijbehorende contextuele variabelen (paragraaf 3.1.2), maar ook binnen de dimensies van transactiekenmerken ontbreken externe institutionele drijvers voor risicomanagement. Het grootste deel van modern onderzoek naar enterprise risk management heeft betrekking op de determinanten van implementatie van dit concept (Beasley e.a., 2005). In dit theoretisch kader voor beheersing worden deze determinanten onder bepaalde omstandigheden ook als beheerinstrument beschouwd. Ze verschillen met traditionele beheersinstrumenten doordat het gebruik en de inzet ervan niet direct door het management van de organisatie wordt bepaald.12 Onder de determinanten van ERM worden in de literatuur onder andere geschaard: De aanwezigheid van een risk manager, regulatie vanuit de kapitaalmarkt, aanmoediging door de directie (Kleffner e.a., 2003), de aanwezigheid van een Chief Risk Officer en de aanwezigheid van een Big 4 accountant (Beasley e.a., 2005). Tussen deze determinanten en risico-identificatie en –beoordeling in een programmaorganisatie kan geen direct verband worden gelegd. Maar, met deze determinanten als voorbeeld, kunnen op vergelijkbare manier andere institutionele krachten als beheersinstrument worden beschouwd die risico-identificatie en – beoordeling afdwingen. In het vervolg worden deze krachten ‘institutionele beheersinstrumenten’ genoemd (zie figuur 4 in paragraaf 3.1.2 voor de positie van de institutionele omgeving ten opzichte van beheersproblemen). Concluderend, als de doelstellingen van de programmaorganisatie wat betreft risico identificatie in het verlengde liggen van die van risico informatie voor stakeholders, dan kan de inrichting van het MCS voor een project gedeeltelijk worden gebruikt voor beheersing van risico identificatie.

Deze conclusies worden samengevat in Figuur 5 (rechts). De basis voor de samenvatting is het concept voor beheersing uit figuur 4 (links). Het weergegeven kader van beheersing in combinatie met het voorgestelde proces voor risico-identificatie en –beoordeling suggereert een gevoeligheid van beheersinstrumenten voor de transactie van risico informatie. Vanuit het perspectief van TCE theorie is deze gevoeligheid belangrijk want dat betekent dat de beheersinstrumenten een bepaalde schikking moeten vertonen met de beheersproblemen die horen bij de aard van risico-identificatie en –beoordeling. De vraag blijft dan wat de aard van de activiteiten voor risico-identificatie en – beoordeling is. Anders gezegd, welke factoren drijven als het ware de transactiekosten van risico-identificatie en -beoordeling. De volgende twee paragrafen geven een verklaring voor de aard van

12

23 activiteiten voor risico-identificatie en –beoordeling (3.4.2) en de beheersvorm die past bij de deze activiteiten (3.4.3).

Figuur 5: Verband tussen beheersing en risico-identificatie en beoordeling 3.4.2 Beheersproblemen van de transactie van risico informatie

De complexe aard van de activiteiten en de gevolgen daarvan voor beheersproblemen worden in deze paragraaf uiteengezet op basis van drie begrippen. Deze begrippen zijn beheersrisico’s, principes voor ERM en kenmerken van risico-identificatie en –beoordeling. De combinatie van deze begrippen wordt vervolgens gebruikt voor het afleiden van beheersproblemen.

3.4.2.1 Beheersrisico’s

De complexe aard van activiteiten kan op zichzelf als risico worden beschouwd. Het risico wordt dan de kans dat een beheersprobleem optreedt als gevolg van de aard van de activiteit en de gebrekkige match van het beheersinstrument. Er ontstaat op deze manier een beheersrisico. Dit soort risico’s zijn onderdeel van operational audits op de werking van een MCS (Merchant en van der Stede, 2003). Een praktische referentie naar beheersrisico’s van risicomanagement in een programmaorganisatie is de zogenaamde risk repository van een controlerend accountant13. Een

13

24 dergelijke, niet uitputtende, lijst geeft een weergave van wat als beheersrisico’s voor risicomanagement binnen een programmaorganisatie worden beschouwd. Ten aanzien van risico-identificatie en –beoordeling in een programmaorganisatie kunnen de volgende beheersrisico’s uit een risk repository worden afgeleid:

- Informeel risicomanagement proces of géén risicomanagement proces - Inconsistente waardering van risico’s

- Ineffectieve vergelijking van prioriteiten

- Niet alle vlakken van een project worden betrokken in risico-identificatie en – beoordeling

- Uit voorgaande projecten worden geen lessons learned gebruikt - Er is geen sprake van root cause analyse

- Risico tolerantie is niet duidelijk aangegeven - Status van risico’s wordt niet bijgehouden

- Problemen en uitkomsten worden niet gedocumenteerd en gecommuniceerd - Uitkomsten worden niet geëscaleerd uit angst voor afrekening

3.4.2.2 Principes voor ERM

De tweede manier waarop beheersproblemen kunnen worden benoemd is door na te gaan welke beheersproblemen vermeden moeten worden (Merchant en van der Stede, 2003, paragraaf 3.1.2). In het kader van dit onderzoek wordt er vanuit gegaan dat het vermijden van problemen kan worden bewerkstelligd door het hanteren van principes of zogenaamde best practices. Als referentie is hiervoor een uitgebreide studie naar principes voor ERM (Gavan, 2011) gebruikt. Op basis van courante wetenschappelijke literatuur heeft Gavan vijftien principes voor ERM geïdentificeerd. Hij heeft vervolgens het verband tussen de toepassing van deze principes en de financiële prestaties van een geselecteerde groep bedrijven onderzocht. In het kader van onderhavig onderzoek is dit verband niet zozeer relevant, als wel het door Gavan afgeleide overzicht van principes voor ERM. Het overzicht kan als referentie gebruikt worden, maar niet meer dan dat. De reden hiervoor is dat de principes breed kunnen worden uitgelegd naar identificatie en beoordeling. De inverse van de principes wordt gebruikt voor de duiding van beheersproblemen van risico-identificatie en – beoordeling. De tien belangrijkste principes die door Gavan (2011) zijn afgeleid zijn:

1. Benoeming van een risicomanager.

2. Integratie van risicomanagement in primaire bedrijfsprocessen en besluitvorming.

25 4. Gemeenschappelijk gebruik van risico terminologie en standaarden voor risicomanagement. 5. Communicatie van bedrijfsdoelen, risico appetite en toleranties.

6. Begrip van het niveau van verantwoordelijkheid voor risicomanagement. 7. Gebruik van key risk indicators voor het meten en monitoren van risico’s. 8. Integratie van risicomanagement in strategisch planningsproces.

9. Gebruik van technologie ter bevordering van het risicomanagement proces. 10. Integratie van risicomanagement in alle functies en business units.

3.4.2.3 Kenmerken van de transactie door risico-identificatie en -beoordeling

De derde manier voor het benoemen van beheersproblemen is door de kenmerken van de transactie uit te drukken in de dimensies die in TCE (zie paragraaf 3.1.2) worden gebruikt. Daartoe wordt hieronder een overzicht gegeven van factoren die in de literatuur in verband worden gebracht met risico-identificatie en –beoordeling. Deze factoren zijn niet eenduidig af te leiden. Daarom worden in deze paragraaf verschijnselen, die in de literatuur in verband worden gebracht met identificatie en beoordeling van risico’s, gebruikt voor duiding van de kenmerken. Aan de hand van de sneeuwbal methode en thema analyse zijn de volgende onderwerpen gevonden die de aard van de transactie van risico informatie duiden (de gebruikte methode wordt verder verantwoord in hoofdstuk 4). De onderwerpen zijn gerangschikt naar de drie dimensies die de transactie duiden. Complexiteit en onzekerheid

Complexiteit van de transactie van risico informatie kan op basis van de literatuur geduid worden door:

- Scheiding tussen identificatie, beoordeling en management van risico’s

- De invloed van de waarden die verschillende personen in verschillende omstandigheden aan een risico worden hechten

- De veronderstelde aanwezige stille kennis

- De mate waarin de uitvoering van risico-identificatie en –beoordeling door middel van procedures kan worden voorgeschreven

Deze punten worden hieronder toegelicht:

26 toeneemt door meer risico’s, is dat vervolgens een argument voor het ter discussie stellen van de toewijzing van extra middelen aan de drager.

Onzekerheid over de waarde die moet worden beoordeeld veroorzaakt verschillen in hoe individuen gebeurtenissen waarderen en dus risico’s schatten. Corvellec (2010) vindt dat de perceptie van risico’s vooral wordt bepaald door wat managers op waarde schatten. Dat betekent bijvoorbeeld dat de uitkomst van een risk assessment wordt beïnvloed door de subjectieve waardering van gebeurtenissen door managers zelf.

De waarden waaraan wordt gerefereerd hebben invloed op de functionele scheiding tussen risicomanagement en risicobeoordeling. Over het algemeen wordt in de literatuur een gemeenschappelijke stelling ingenomen: in principe moeten risico’s onafhankelijk en waardevrij worden geïdentificeerd en beoordeeld. Echter, een kanttekening bij deze waardevrije14 benadering is dat op die manier bepaalde waarden die van belang zijn voor goede beoordeling van risico’s, niet worden meegenomen. Vareman en Persson (2010) zijn van mening dat politieke belangen tot op een bepaalde hoogte worden meegewogen bij het bepalen van impact van gebeurtenissen. Deze standpunten worden beter vertegenwoordigd als risicomanager en assessor samen de risico’s beoordelen (Vareman en Persson, 2010). Verder loopt de beoordeling van risico’s zonder beoordeling door de risicomanager het gevaar een eenzijdig beeld te geven.

De uitwerking van het begrip ‘waarde’ wordt beperkt tot bovenstaande passage. De volgende stap in de uitwerking zou een epistemologische beschouwing van risico inluiden en die discussie reikt buiten het bereik van dit kader.

Stille, of tacit kennis is zowel belemmerend als bevorderend voor identificatie en beoordeling van informatie (Argyris, 1999). Aan de ene kant is de belemmerende werking dat het verkrijgen en delen van stille kennis moeilijk is. Als deze kennis niet naar boven kan worden gehaald, dan is communicatie over risico’s haast onmogelijk. Arvai (2003) vindt dat identificatie en beoordeling daardoor onvolledig wordt. Aan de andere kant is stille kennis essentieel bij het laten beoordelen van onbekende situaties door individuen. Argyris (1999) geeft verder aan dat stille kennis een manier is voor compensatie van gemiste kennis en vaardigheden door formele training. Uit onderzoek van Maytorena e.a. (2007) blijkt dat stille kennis door ervaring geen belemmering hoeft te zijn voor risico identificatie. Maytorena e.a. (2007) vinden dat identificatie van risico’s verbetert naarmate er meer actief naar informatie wordt gezocht en naar feedback wordt gevraagd, als het opleidingsniveau van het individu hoger is en als er training voor risicomanagement is gevolgd.

14

27 Risicomanagementprocedures en raamwerken zijn voorschrijvend van aard. Het is juist deze voorschrijvende aard in combinatie met het gebrek aan inzicht in beheersing die de beperkte kennis van risicomanagement control illustreren. Het voorschrijven van uitvoering van risicomanagement door procedures werkt averechts. Kutsch en Hall (2010) vinden bijvoorbeeld dat de uitvoering van voorgeschreven risicomanagement wordt beïnvloed door zogenaamde opzettelijke onwetendheid van managers. Irrelevantie van risico informatie met betrekking tot het doel van het programma, besluiteloosheid en het niet voldoende kunnen toepassen van risico informatie kunnen risicomanagement tot een administratieve handeling maken (Kutsch en Hall, 2010). Dit wordt bevestigd in onderzoek (Palay, 1984, 1985) waaruit blijkt dat activiteiten die gekenmerkt worden door hogere complexiteit, niet eenvoudig kunnen worden vastgelegd door middel van contractuele, en daarvan afgeleid procedurele, afspraken.

Asset specificiteit en opportunisme

Asset specificiteit van de transactie van risico informatie wordt in de literatuur geduid door: - Wederzijdse afhankelijkheid tussen gebeurtenissen

- De verdeling van macht door kennis in een organisatie

- Het evenwicht tussen identificatie van risico’s binnen het eigen aandachtsgebied en daarbuiten

Deze punten worden hieronder toegelicht:

Een verschijnsel dat het belang van integrale identificatie benadrukt is wederzijdse afhankelijkheid van gebeurtenissen. Heal en Kunreuther (2007) illustreren wederzijdse afhankelijkheid aan de hand van domino- en watervaleffecten. Die effecten betekenen dat in bepaalde gevallen de impact van één gebeurtenis op zijn beurt weer grote impact kan hebben op een andere gebeurtenis.

Wederzijdse afhankelijkheden bestaan tussen gebeurtenissen en hun impact. Het bestaat ook tussen individuen in een organisatie. Macht is een verschijnsel dat wederzijdse afhankelijkheid tussen individuen duidt. Markus en Pfeffer (1983) vinden dat de verdeling van macht in een organisatie invloed heeft op beheersing van activiteiten. Als basis voor de verdeling van macht gelden de plaats van het individu in de formele hiërarchie, de mogelijkheid specifieke kennis (Williamson, 1981) in te brengen en politieke vaardigheden te gebruiken (Markus en Pfeffer, 1983). Deze factoren vergroten of verkleinen wederzijdse afhankelijkheid. Naast deze factoren kan ambiguïteit van informatie ook invloed hebben op de verdeling van macht.

28 over de missende informatie. Deze verschuiving leidt tot opportunisme. Letens e.a. (2008) verklaren opportunisme door onbalans in identificatie van risico’s. Dat betekent dat tijdens identificatie de aandacht meer uitgaat naar risico’s die voortkomen uit het eigen aandachtsgebied van degene die identificeert, dan daar buiten. Verder blijkt uit hetzelfde onderzoek dat zichtbare risico’s duidelijk sneller worden geïdentificeerd dan onzichtbare risico’s. Dit betekent ook dat overkoepelende risico’s minder snel zullen worden geïdentificeerd en beoordeeld, omdat ze niet voortkomen uit één specifiek aandachtsgebied (Letens e.a., 2008).

Ex post informatie asymmetrie

Ex post informatie asymmetrie van de transactie van risico informatie wordt in de literatuur geduid door:

- De mate waarin andere instrumenten de uitvoering van risico-identificatie en – beoordeling bevorderen

- De mate waarin feedback wordt gegeven op de gerealiseerde performance ten opzichte van het vooraf vastgestelde risicoprofiel

- De mate waarin risico informatie objectief wordt gerapporteerd Deze punten worden hieronder toegelicht:

Risico-identificatie en –beoordeling worden voornamelijk geassocieerd met anticiperen en het in kaart brengen van mogelijke toekomstige gebeurtenissen. Het lijkt daardoor tegenstrijdigde invloed van de mogelijkheid tot beoordeling van informatie achteraf op de beheersing van risico-identificatie en -beoordeling te beschouwen. Verlaging van ex post informatie asymmetrie betekent voor de beheersing van een complex proces echter, dat opgedane inzichten goed en betrouwbaar worden gedeeld (Speklé, 2001). Eerder werd al vastgesteld dat dat voor risico-identificatie en –beoordeling op programmaniveau cruciaal is. Het delen van informatie in ruime zin wordt in literatuur op verschillende manier aangeduid. Echter, omdat het hier gaat over de beoordeling van een proces achteraf, lijken drie verschijnselen geschikt voor duiding van ex post informatie asymmetrie.

29 manier wordt risico informatie niet alleen voortgebracht door identificatie vanaf een nulpunt, maar worden ook lessons learned gebruikt.

Het tweede verschijnsel dat de mogelijkheid tot het achteraf beoordelen van de bijdrage duidt, is feedback. Feedback is een manier van informatie verdelen. Heal en Kunreuther (2007) vinden dat de wederzijdse afhankelijkheid van gebeurtenissen reden is voor het geven van feedback over de werkelijke impact van gebeurtenissen. De informatie over wederzijdse afhankelijkheid is ook in de feedback van belang. Het is namelijk van belangte bepalen wat de impact van de ene gebeurtenis is geweest op de impact van de andere gebeurtenis (Heal en Kunreuther, 2007).

De invloed op de beoordeling van risico informatie achteraf kan worden verdeeld in subjectieve invloed en objectieve invloed. Dat blijkt uit de eerder aangeduide invloed van persoonlijke waardeoordelen op het identificeren en beoordelen van risico’s (subjectieve invloed). De meest objectieve manier van beoordelen wordt echter gevonden door Hwang (2010). Hwang (2010) beschrijft zogenaamde Key Risk Indicators (KRI’s)15. Het gebruik van KRI’s is een maatregel om de aanwezigheid van risico’s objectief aan te geven en deze informatie ook te kunnen delen. Hwang (2010) vindt verder dat voor succesvolle implementatie van deze KRI’s het van belang is dat elk individu dat participeert in identificatie het projectplan begrijpt, en onderschrijft.

De beschreven beheersrisico’s, principes voor ERM en kenmerken van de transactie van risico informatie zijn naast elkaar gelegd en vergeleken. Hieruit zijn aannames afgeleid over de aard van de activiteiten en de verwachte beheersproblemen voor risico-identificatie en –beoordeling. De vergelijking is samengevat in tabel 1. Een uitgebreid overzicht van de vergelijking is terug te vinden in appendix F.

3.4.3 Vorm van beheersing

De samenstelling van beheersinstrumenten wordt in dit theoretisch kader verklaard door de beheersvorm die het meest efficiënt bovenstaande beheersproblemen adresseert (Speklé, 2001). Op basis van de verwachte beheersproblemen van risico-identificatie en –beoordeling uit de voorgaande paragraaf kan een verwachting worden uitgesproken over deze beheersvorm.

Het voert te ver hier alle mogelijke beheersvormen en bijkomende beheersinstrumenten uiteen te zetten. Daarom worden de kenmerken van risico-identificatie en –beoordeling uit paragraaf 3.4.3 eerst uitgedrukt in de transactionele dimensies zodat direct een verwachte beheersvorm kan worden benoemd. De transactie van risico informatie wordt gekenmerkt door:

15

30 - Hoge onzekerheid en lage voorspelbaarheid van de bijdrage van de activiteit

- Hoge asset specificiteit, ofwel specificiteit van de onderliggende onderwerpen en benodigde kennis

- Lage ex post informatieasymmetrie, ofwel beperkte mogelijkheden voor beoordeling van de kwaliteit en waarde van de bijdrage van risico-identificatie en –beoordeling achteraf

aard van activiteiten voor risico-identificatie en beoordeling

verwachte beheersproblemen voor risico-identificatie en – beoordeling

niet eenduidig te definiëren doelstelling van het proces

gebrek aan sturing en doelmatigheid; irrelevante risicomanagementprocedure

waardering van kans en impact van gebeurtenis verschilt per individu

geen sturing en focus op verkeerde activiteiten opportunisme/motivatie: de mate waarin een individu zijn/haar kennis en persoonlijk waardeoordeel meeweegt tijdens risico-identificatie en beoordeling is onvoorspelbaar risico's zijn gerelateerd aan specifieke

individuen en

verantwoordelijkheidsgebieden

geen gemeenschappelijk en onderbouwd beeld achteraf ten aan zien van de bijdrage van de activiteit

risico's komen voort uit verschillende categorieën gebeurtenissen

opportunisme tijdens identificatie en beoordeling, geen volledig beeld van risico's

identificatie en beoordeling van risico's gaat samen met actief informatie zoeken

gebrek aan sturing en doelmatigheid van de activiteiten geen gemeenschappelijk en onderbouwd beeld achteraf ten aanzien van de bijdrage van de activiteit

risico-identificatie en -beoordeling hebben een basis in gedeelde inzichten en kennis van individuen

geen gemeenschappelijk en onderbouwd beeld achteraf ten aan zien van de bijdrage en kwaliteit van de activiteit risico informatie is een complex

proces met steeds veranderende uitkomsten

geen gemeenschappelijk en onderbouwd beeld achteraf van de uitkomst van het proces

opportunisme en wisselende weergave van de verwachte werkelijkheid

geen sturing de integratie van risico-identificatie

en -beoordeling in andere processen vertroebelt informatie

geen gemeenschappelijk en onderbouwd beeld achteraf ten aanzien van de bijdrage van de activiteit

risico-identificatie en -beoordeling zijn een afgeleide van advies en informatie van de top van een organisatie

geen sturing en focus op verkeerde activiteiten

31 De beheersvorm die op basis van deze kenmerken de beheersproblemen lijkt te adresseren komt het meest in de buurt van een exploratieve beheersvorm (Speklé, 2001). Deze vorm manifesteert zich door (Speklé, 2001):

- Ontbreken van vastgestelde uitkomsten

- Delen en samenvoegen van inzichten die tijdens het proces ontstaan (dit kan zowel over het proces zelf gaan als over de informatie die door het proces wordt gegenereerd) - Een hoge mate van betrokkenheid van experts

De invulling van een vergelijkbare vorm van beheersing door beheersinstrumenten wordt in hoofdstuk 4 geoperationaliseerd.

3.5

Conclusie

In dit hoofdstuk is een theoretisch kader verantwoord aan de hand waarvan de invulling van beheersing van risico-identificatie en –beoordeling in een programmaorganisatie kan worden verklaard. Gebaseerd op een TCE benadering van beheersing van risico-identificatie en –beoordeling zijn een aantal beheersproblemen afgeleid. Het argument van dit kader is dat een beheersvorm voor risico-identificatie en –beoordeling deze beheersproblemen moet adresseren door het gebruik van beheersinstrumenten.

32

4

Ontwerp en methode van onderzoek

Nadat het theoretisch kader is verantwoord, wordt in dit hoofdstuk het ontwerp en de aanpak van zowel het literatuur- als het empirisch deel van het onderzoek beschreven. Tevens wordt deelvraag 4 over de duiding van transactiekenmerken in dit hoofdstuk beantwoord.

4.1

Ontwerp van onderzoek

In deze paragraaf wordt het ontwerp van het onderzoek besproken. Voor het zoeken naar antwoorden op de onderzoeksvragen is gekozen voor een kwalitatieve onderzoeksmethode. De gebruikte methode kan worden beschreven als een kwalitatieve case studie (Yin, 1994). De verschijnselen binnen de case worden onderzocht door middel van interpretatie van verschijnselen (Baker, 1997). Dit betekent dat gebruik wordt gemaakt van een kwalitatief beeld van de onvoorspelbare bijdragen van een selecte groep individuen binnen de organisatie. In dit onderzoek is dat de bijdrage van beheersinstrumenten aan beheersing van risico-identificatie en -beoordeling. Omdat het theoretisch raamwerk is opgesteld op basis van interpretatie van de theorie, wordt het onderzoek uitgevoerd op basis van vraagstelling in plaats van het opstellen van hypothesen. Het onderzoek betreft verschijnselen in de werkelijkheid van een organisatie. De grens tussen de verschijnselen, namelijk beheersinstrumenten voor identificatie en beoordeling van risico’s, en de te onderzoeken activiteiten is echter niet eenduidig. Dat is een voorwaarde voor het uitvoeren van case studie onderzoek (Yin, 1994). De dataverzameling heeft plaatsgevonden middels literatuuronderzoek en empirisch onderzoek.

4.2

Dataverzameling

In deze paragraaf worden de gebruikte methoden voor dataverzameling voor zowel het theoretisch deel als het praktisch deel van het onderzoek beschreven.

4.2.1 Literatuuronderzoek

33 dat zonder management control geen onderzoeksresultaten over gedragsmatige aspecten van risicomanagement zijn gekomen. Echter, ook met inbegrip van management control werden geen onderzoeksresultaten over beheersmaatregelen voor risicomanagement gevonden. Uiteindelijk resteerde een lijst van artikelen waarin risico-identificatie en -beoordeling direct dan wel indirect worden onderzocht. De validatie van deze lijst schuilt in het wetenschappelijk gehalte dat wordt toegedicht aan de gebruikte wetenschappelijke tijdschriften, waaronder Risk Analysis, Journal of Risk Research en Journal of Risk and Uncertainty.

4.2.2 Empirisch onderzoek

34 onvoldoende zekerheid gesteld kan worden of deze afkomstig is van respondenten met een min of meer gelijk beeld van risicomanagement.

4.3

Analyse

Voor de analyse van de kwalitatieve data wordt een formatief referentiemodel gebruikt. De reden voor een formatief model is dat voor het gebruik van een reflectief model een volledig beeld moet bestaan van de indicatoren van de constructen (Bisbe e.a., 2007). Eén van de constructen in het onderzoek is de vorm van beheersing van risico-identificatie en –beoordeling. Onderdeel van de probleemstelling is juist dat er nog geen eenduidig overzicht is van indicatoren van beheersing van risico-identificatie en –beoordeling. Op basis van het literatuuronderzoek is vanwege dit gebrek aan overzicht in hoofdstuk 3 een verkenning van indicatoren verantwoord.

4.3.1 Opstellen van referentiemodel

Voor het onderzoeken van de constructen van de beheersvorm van risico-identificatie en – beoordeling is gezocht naar indicatoren, die samen de te onderzoeken constructen definiëren. Indicatoren zijn in dit onderzoek observeerbare factoren. De te duiden constructen zijn de kenmerken van de transactie van risico informatie en de beheersinstrumenten. Voor het operationeel maken van de transactiekenmerken van de activiteiten waren geen indicatoren in de literatuur voorhanden. De meest gebruikte constructen in empirisch onderzoek naar TCE (Shelanski en Klein, 1995) worden gemeten via schalen in surveys, zoals complexiteit en arbeid specifieke kennis. De variabelen in een transactie zijn echter moeilijk te generaliseren door hun case specificiteit. Daarnaast is de definitie van transactiekenmerken niet eenduidig, wat voor verwarring bij respondenten kan zorgen (Shelanski en Klein, 1995). Dat laatste is in dit onderzoek voorkomen, door in interviews eerst de definitie van risicomanagement te bespreken en zotot overeenkomstige interpretatie van de definitie te komen.

35 De verkregen data zijn vervolgens geordend naar thema’s. Deze thema’s zijn geformuleerd zowel op basis van het theoretisch raamwerk als op thema’s die zich hebben gevormd tijdens het praktijkonderzoek.

4.3.2 Indicatoren voor transactiekenmerken van risico-identificatie en -beoordeling

Voor het duiden van de kenmerken van risico-identificatie en –beoordeling in termen van de transactiedimensies worden de volgende indicatoren gebruikt. Deze indicatoren zijn afgeleid uit het literatuuronderzoek in hoofdstuk 3.

Indicatoren voor het duiden van onzekerheid en complexiteit, ofwel de mate waarin de bijdrage van de activiteit voorspelbaar en programmeerbaar is:

- De eenduidigheid van de doelstelling van het proces

- De verschillen in waardering van kans en impact per individu of groep in de organisatie - De verschillen in ontstaansgronden van risico’s

Indicatoren voor het duiden van asset specificiteit:

- Variatie in waardering van kans en impact per individu of groep in de organisatie

- Een relatie tussen risico’s en specifieke individuen met hun verantwoordelijkheidsgebied - Variatie in ontstaansgronden van risico’s

- Activiteit in deling van gedeelde inzichten en kennis over gebeurtenissen - Mate van veranderende uitkomsten van risico-identificatie en –beoordeling - De verweving van risico-identificatie en –beoordeling in andere beheersprocessen Indicatoren voor het duiden van ex post informatie asymmetrie:

- Activiteit van zoeken van informatie voor risico-identificatie en –beoordeling - Inzichten en kennis over gebeurtenissen kunnen achteraf worden gedeeld - Variatie in uitkomsten van risico-identificatie en -beoordeling

4.3.3 Indicatoren voor de beheersvorm: gebruik van beheersinstrumenten

De volgende indicatoren worden gebruikt voor het duiden van gebruikte beheersinstrumenten. De indicatoren zijn per kenmerk van de transactie opgeschreven. Daardoor kunnen er per kenmerk overlappingen zijn van indicatoren. De indicatoren zijn tot stand gekomen op basis van:

36 - Een analyse van de verwachte beheersproblemen. Daarbij is er vanuit gegaan dat een

beheersinstrument de inverse is van een beheersprobleem. Voor beheersinstrumenten die gerelateerd worden aan hoge complexiteit:

- Zo concreet mogelijk doelen stellen, en daar gebeurtenissen aan relateren. - Een risk assessment voor het vastleggen van de projectdoelen.

- Een proces flow analyse om alle betrokken individuen het proces te laten begrijpen. - Continue identificatie en beoordeling van gebeurtenissen.

- Onderscheid tussen inherente en residu risico’s.

- Nadruk op kwalitatieve beoordeling: Beoordeling op basis van nominale en ordinale waarden omwille van begrijpelijkheid van kans en impact.

- Geen expliciete opdracht tot risico-identificatie en –beoordeling. - Frequente ad hoc informatie.

Voor beheersinstrumenten die gerelateerd worden aan hoge asset specificiteit:

- Een procedure of in ieder geval een aanwezigheidsplicht bij georganiseerde risk assessments, ter beperking van opportunisme.

- Samenstellen van een multidisciplinair kernteam.

- Een gefaciliteerde workshop waarbij individuen cross functioneel samenwerken.

- Een consistente manier voor de administratie van industrie specifieke gebeurtenissen en uit deze database kunnen putten.

- Continue identificatie van gebeurtenissen. - Nadruk op kwalitatieve beoordeling:

o Beoordeling op basis van nominale en ordinale schalen omwille van de eenvoud. o En de kwaliteit van de beoordeling hangt af van de specifieke kennis van

betrokken individuen.

- Onderbrengen in budgettering met nadruk op allocatie van budget.

Voor beheersinstrumenten die gerelateerd worden aan lage post hoc informatieasymmetrie:

- Een questionnaire zoals export compliance training waarbij deelname wordt geadministreerd en niet vrijblijvend is.

- Gebruik van leading event indicators, of key risk indicators.

- Loss event data tracking voor de informatievoorziening aan individuen. - Continue identificatie van gebeurtenissen.