Hoe kies je de juiste risicomanagement software? (3)

Een serie blogs over risicotooling.

Waarmee moet een organisatie rekening houden bij het selecteren van een risicotool? Dit keer kijken we naar een manier om te bepalen of de risicotooling voldoende goed aansluit op het risicomanagementraamwerk van de organisatie.

Door Leendert de Rijke. Hij is management consultant bij strategisch adviesbureau AethiQs. Hij adviseert, implementeert, en rationaliseert risicomanagementbeleid en risicotooling.

In de vorige delen zagen we wanneer een organisatie klaar is voor de selectie en implementatie van software voor risicomanagement, kortweg risicotooling, en naar een zevens stappen plan om de juiste risicotooling te kunnen kiezen. De laatste fase is om te bepalen of de gekozen software aansluit om het risicomanagementraamwerk van de organisatie.

Fase 3: Vier modellen om te controleren of de gekozen risicotooling – software voor risicomanagement – past bij je organisatie.

Een organisatie zal een goed beeld moeten hebben van het eigen risicomanagementraamwerk, om te kunnen bepalen in hoeverre risocotooling hierop aansluit. De Risk Appetite Value Chain (RAVC) methodologie geeft een gestructureerd denk- en werkmodel, dat in vier kwadranten het risicomanagementraamwerk in kaart brengt, met per kwadrant de eisen voor de functionaliteit van de risicotooling, die moet aansluiten op de operationalisatie van de inrichting.

Die vier RAVC-kwadranten met de belangrijkste bijbehorende software-eisen zijn:

1. Governance

Het inrichtingsvraagstuk: hoe organiseert de organisatie eigenaarschap, onafhankelijkheid en samenhang in verschillende assurance rollen?

De software dient alle actoren in het risicomanagementraamwerk te helpen bij hun rolinvulling. Denk bijvoorbeeld aan een risico-eigenaar die een beheersmaatregel wil beoordelen, een risicomanager die een integraal risicoprofiel wil genereren, een auditor die een 'audit trail' wil zien.

2. Strategie

Het methodologisch vraagstuk: met welke methodologie (blauwdruk) wordt risicomanagement verbonden met de strategie en performance van de  
organisatie?

De software dient in staat te zijn het strategische normenkader van het bestuur voor performance- en risicomanagement te integreren en de organisatie te helpen gebeurtenissen, kansen, risico's, en beheersmaatregelen te relateren aan dit strategische normenkader. Denk aan strategische doelstellingen, risicohouding, risicobereidheid en risicotolerantie.

3. Processen

Het implementatievraagstuk: worden uw strategische en operationele doelstellingen doelmatig ondersteund door een plan-do-check-act-cyclus?

De software dient verschillende onderdelen van de planning- en controlcyclus van de organisatie te ondersteunen. Denk dan bijvoorbeeld aan:

• meetbaar maken van (strategische) doelstellingen
• meetbaar maken van de risicohouding, risicobereidheid en risicotoleranties van de organisatie
• inventariseren van risico’s en beheersmaatregelen
• inschatten van risico’s en beheersmaatregelen
• prioriteren van risico’s en beheersmaatregelen
• monitoren van risico’s en beheersmaatregelen
• rapporteren over risico’s en beheersmaatregelen (met behulp van een dashboard)
• het melden en opvolgen van relevante gebeurtenissen, issues, incidenten
• audit op risicomanagement

Helpt de software bij het – strategisch – aansturen, monitoren en evalueren van de risicomanagementcyclus? Denk ook aan incidentmelding: kunnen incidenten eenvoudig worden aangemeld en worden deze dan automatisch opgenomen in een incidentenregister? Levert de software rapportages op die het bestuur en management helpen om actiegericht om te gaan met risicomanagement informatie?

4. Bewustzijn

Het cultuurvraagstuk: draagt iedereen in de organisatie bij aan een gezamenlijke risicocultuur en een lerende organisatie?

De software dient bij te dragen aan het versterken van de risicocultuur vanuit gedrag, leiderschap en houding in de organisatie. Een valkuil waaraan software kan bijdragen is het blind varen op lijstjes die worden afgevinkt. Terwijl een checklist relevant kan zijn, dient er bovendien risicosensitiviteit te zijn: zelfstandig blijven nadenken over kansen en risico's. Daarnaast dient het zelflerend en zelfreflecterend vermogen te worden bevorderd.

Einddoel

Vier niveaus van volwassenheid van risicomanagement, zeven stappen om risicotooling te kiezen, en vier manieren om te controleren of het past in de organisatie: met deze drie delen kan elke organisatie zich verzekeren van effectieve risicotooling. Onthoud wel altijd dat de de risicotooling het risicoraamwerk volgt en niet andersom: pas op voor die valkuil waarin de software leidend wordt in plaats van de eigen wens en visie. Dat leidt slechts tot de aanschaf van een nutteloos systeem.

De blogs in deze serie, 'Hoe kies je de juiste risicomanagement software':

• 1: Wanneer is je organisatie klaar voor de selectie en implementatie van risicotooling?
• 2: De 7 stappen om te weten welke risicotooling je organisatie nodig heeft.
• 3: Past de gekozen risicotooling – software voor risicomanagement – bij mijn organisatie? Vier modellen.

Lees ook:  Hoe volwassen is uw risicomanagement?