Een integraal risicomanagementsysteem: Transparant en efficient

De managementsystemen binnen een organisatie worden gekenmerkt door twee soorten elementen: specifiek en gemeenschappelijk. Gemeenschappelijke elementen zijn onder andere procesbeschrijvingen en flowcharts, documentmanagementtechnieken (onderhoud), interne auditprocedure en management reviews.

Specifieke elementen zijn bijvoorbeeld veiligheidsprocedures, een product recall-procedure, verzamelen van milieudata (zoals CO2-uitstoot) en personeelsgegevens. Vaak kan door integratie overzicht en uniformiteit worden verkregen in het landschap van verschillende managementsystemen en zijn daardoor forse besparingen mogelijk.

Deze besparingen worden enerzijds zichtbaar in ‘harde’ kostenposten: minder IT-kosten en minder externe auditkosten. Het belangrijkste voordeel is echter te halen uit tijdsbesparing voor u en uw medewerkers. De eerste winst ontstaat al bij het up-to-date houden van de documentatie: wijzigingen hoeven nog maar op één plaats te worden bijgehouden.

Daarbij zal er minder tijd nodig zijn voor het begeleiden van verschillende auditors. Integratie kan plaatsvinden door het definiëren van gemeenschappelijke elementen en activiteiten. De elementen kunnen dan eenmalig worden beschreven en op één plaats geborgd, en de activiteiten kunnen eenmalig uitgevoerd gaan worden.

Neem bijvoorbeeld een standaard inkoopproces. Beheersmaatregelen zoals ‘assessments’ (tests) kunnen worden gecombineerd ten behoeve van verschillende managementdoelstellingen en/of audits. Ten eerste wordt duidelijk dat de doelstellingen en risico’s meerdere kwaliteitssystemen raken.

Voor elk van deze managementcontrolesystemen zal in de traditionele situatie een inkoopproces zijn beschreven. Door één flowchart te hanteren waarin het volledige proces wordt gedocumenteerd, kan veel overlap worden voorkomen. Ten tweede toont het voorbeeld dat één beheersmaatregel meerdere risico’s kan afdekken.

De beheersmaatregel ‘verklaring leverancier’ met betrekking tot veiligheid én goede arbeidsvoorwaarden kan bijvoorbeeld ineens worden opgevraagd én geaudit. Ten derde kunnen met een gecombineerde assessment of audit meerdere beheersmaatregelen ineens worden getoetst; in het voorbeeld is te zien dat met één geïntegreerde dossiercontrole de helft van de beheersmaatregelen binnen het inkoopproces al kan worden beoordeeld.

BUSINESSCASE
Een dergelijk traject kan grote gevolgen hebben voor een organisatie, zowel financieel als organisatorisch. Daarom is, voorafgaand aan de integratie van elementen uit risicomanagementsystemen, de uitwerking van een businesscase aan te bevelen.

De businesscase zou allereerst uit moeten wijzen of er nog sprake is van een balans tussen de kosten en baten van de huidige aanwezige systemen. Hierbij onderzoekt men per systeem de kosten.

• Hoeveel uur wordt er besteed aan het up-to-date houden van de documentatie?
• Wat zijn de IT-kosten van de gebruikte databases (licenties, onderhoud)? • Hoeveel uur wordt er besteed aan training van nieuw personeel in het gebruik?
• Hoeveel tijd en kosten worden er besteed aan het auditen van dit managementsysteem?

Ook de baten worden in kaart gebracht: wat leveren deze systemen aan voordelen op? Zijn deze voordelen geanalyseerd en aangetoond, is het onderscheidend vermogen voldoende ten opzichte van de andere systemen? Worden de financiële voordelen bereikt en zijn die berekend? Als blijkt dat de kosten en baten niet meer in balans zijn, wordt er gekeken naar de benodigde investeringen voor een integratietraject:

• redesign of update van de huidige processen
• selectie & implementatie van een nieuwe tool
• definitie van de nieuwe managementinformatie
• training van mensen.

Ten slotte geeft de businesscase inzicht in de financiële en operationele benefits van de toekomstige situatie, na afronding van het integratietraject.

• Controle van de effectiviteit van beheersmaatregelen kan efficiënter uitgevoerd worden.
• Veranderingen behoeven nog slechts op één plaats te worden doorgevoerd. • IT-kosten hoeven maar voor één tool gemaakt te worden.
• Kosten van geïntegreerde audits zijn 50 à 70 procent lager dan kosten voor separate audits.

In de overzichten van investeringen en baten moet rekening worden gehouden met de twee mogelijke methoden van integreren, te weten Greenfield en Migratie. In de volgende paragraaf zullen we dieper op deze mogelijkheden ingaan.

GREENFIELD
Er zijn twee mogelijke methoden of scenario’s om een integratietraject af te leggen. Bij het Greenfield-scenario wordt er een geheel nieuw risicomanagementsysteem ingericht. Deze aanpak bestaat uit vijf stappen:

1. vaststellen van de ambitie van de organisatie. Belangrijk hierbij is te bekijken welke behoeften er bestaan, zowel bij de organisatie als bij de klanten en leveranciers. Deze behoeften vormen de basis voor het bepalen van het spectrum van doelen van het nieuwe systeem. De vraag wordt beantwoord aan welke vereisten de organisatie wil voldoen (ISO-certificaat, SAS 70-verklaring?).

2. opzetten van een nieuw framework. Definieer uitgangspunten en regels voor de ontwikkeling van het nieuwe ontwerp. Hierbij dienen alle doelen in het brede spectrum geraakt te worden. In deze fase zullen ook de gemeenschappelijke doelen en elementen worden onderscheiden van de specifieke elementen. Ook zal er een projectorganisatie moeten worden opgezet met een stuurgroep die besluiten kan nemen over welke doelen en uitgangspunten prioriteit krijgen.

3. selecteren van de tool. Ter ondersteuning van het systeem is een tool nodig. Enkele leveranciers van dit soort tools zijn Oracle, SAP, Bwise & Hyperion, Mavim, Casewise.

4. documenteren van de processen. Dit geschiedt volgens een uniforme werkwijze, een vooraf bepaalde techniek. Deze techniek moet eerst worden afgestemd met alle betrokkenen, waarna alle processen op deze manier worden gedocumenteerd volgens vaste conventies. Gestart wordt met de gemeenschappelijke processen en elementen.

Hierbij is de meeste afstemming tussen betrokkenen nodig. Denk aan de controller, de kwaliteitsmanager, de productiemanager, het hoofd personeelszaken et cetera. Zij kunnen ieder vanuit hun eigen expertise aangeven aan welke eisen de procesbeschrijving moet voldoen. De deelgebieden met specifieke elementen kunnen dan zelfstandig en simultaan door deze functionarissen worden uitgewerkt.

5. implementeren van het risicomanagementproces. De implementatie wordt gekenmerkt door het organisatorisch positioneren van afdelingen/functies en daarbij behorende verantwoordelijkheden, inrichting van processen voor rapportage en incidentmanagement. Verder is het noodzaak om de medewerkers te trainen in het gebruik van het nieuwe proces en systeem.

MIGRATIE
De uitvoer van de Migratie-methode volgt in de basis dezelfde stappen als de Greenfield-methode. Het verschil is dat bij de Migratie-methode niet enkel wordt gekeken naar de behoeften. Bij deze methode is de hoofdzaak een inventarisatie van de aanwezige systemen.
Zowel bij het opzetten van het ‘nieuwe’ raamwerk als bij de selectie van de tool vraagt men zich steeds af: Wat is er al? Hierbij wordt dan een keuze gemaakt welke van de bestaande systemen het best past bij de doelstelling van het geïntegreerde systeem en of de kwaliteit van het materiaal voldoende is voor (verder) gebruik.

Als er in meerdere systemen adequate elementen worden aangetroffen, wordt gekeken naar de gemene delers. In eerste instantie zal de projectgroep (betrokkenen vanuit verschillende disciplines) een keuze moeten maken. Daarbij kunnen ook compliancefactoren de doorslag geven.

De resterende discussiepunten worden voorgesteld aan de stuurgroep. Deze kan op basis van de gedefinieerde uitgangspunten en prioriteiten een besluit nemen over het te volgen traject. De Migratie-methode vervolgt zijn weg met het toevoegen (migreren) van het aanwezige materiaal aan het gekozen systeem, al dan niet nieuw.

Essentieel hierbij is dat eerst de methodiek van documenteren wordt bepaald. Met andere woorden, er moet duidelijkheid zijn welke elementen er per proces worden vastgelegd. Daarna worden de aanwezige elementen gesnoeid, herontworpen, geëlimineerd en gecombineerd. De volgende stap is het inventariseren van de hiaten.

De ontbrekende processen en elementen worden aangevuld om het raamwerk te completeren, zodat daadwerkelijk met de implementatie kan worden gestart. De fundering van het stappenplan bij de Migratie-methode bestaat uit een migratieplan. In dit plan komen onder andere de volgende zaken aan bod:

• analyse van het huidige materiaal (As-is inventarisatie)
• verzameling van behoeften vanuit de organisatie
• overbruggingmethodiek: hierin moet opgenomen zijn op welke wijze(n) de impact van de migratie voor gebruikers geminimaliseerd wordt
• planning: hoeveel tijd mag de migratie gaan kosten, rekening houdend met de complexiteit van de uitvoering
• werkanalyse waarin alle taken chronologisch weergegeven zijn en alle rollen aan de betreffende functies zijn toegewezen
• overige middelen en te voorziene veranderingen van de omgeving
• communicatie- en trainingsplan

De voorkeur voor de Greenfield- dan wel Migratie-methode hangt af van de kwaliteit van het bestaande materiaal, de verwachte mate van weerstand in de organisatie, de gewenste doorlooptijd én (niet het minst belangrijk) de beschikbare projectresources: het budget en de projectmedewerkers.

De Greenfield-methode zal mogelijk sneller uit te voeren zijn, omdat niet met heel veel partijen hoeft te worden afgestemd en bestaand materiaal niet hoeft te worden geanalyseerd. De Migratie-methode kan echter weer een snellere acceptatie van de organisatie opleveren.

Tijdens het integratietraject zal men in beide scenario’s op problemen stuiten. Bij de Migratie-methode zijn er enkele in het oog springende problemen te herkennen. Het eerste probleem bij de integratie is dat er in de organisatie verschillende procesbeschrijvingen bestaan.

Hierbij dient een van de raamwerken als startpunt te worden genomen, de best-fit. Deze best-fit wordt bepaald op basis van de doelstellingen van de integratie en het aanwezige materiaal. Bijvoorbeeld SOX, omdat deze beschrijvingen het meest gedetailleerd zijn, of ISO 9001, omdat in dit raamwerk meer processen zijn beschreven.

Auditors stellen vaak verschillende eisen aan procesbeschrijvingen en testdocumentatie. Betrek daarom vanaf het begin alle verschillende disciplines bij het vaststellen van de conventies (wijze van vastleggen). Classificeer welke elementen van toepassing zijn en zorg dat deze worden opgenomen in de documentatie-templates.

Daarnaast bestaat soms het probleem dat medewerkers van verschillende disciplines niet dezelfde taal spreken. Dit kan storend werken op de samenwerking. Hierbij is het belangrijk om de attitude van mensen meer in overeenstemming te brengen.

Dit kan gedaan worden door het creëren van onderling begrip via gezamenlijke training en door voldoende aandacht te besteden aan teambuilding. Ten slotte ligt er het gevaar dat er verkeerde compromissen tot stand komen.

Dit probleem kan worden vermeden door heldere doelstellingen op te stellen voor het geïntegreerde managementsysteem, die worden gesteund door het topmanagement. Daarbij is evident dat de snelheid van implementatie niet boven de kwaliteit wordt gesteld.

Het belangrijkste pijnpunt bij de Greenfield-methode, de opbouw van een compleet nieuw managementsysteem, is dat men afstand moet doen van de bestaande processen en producten. Medewerkers hechten zeer aan het huidige systeem, met name als zij dat zelf hebben opgebouwd.

Dit zorgt ervoor dat de implementatie van een nieuw systeem stroef kan verlopen. Dergelijke gevoelens zullen nooit helemaal kunnen worden weggenomen. Door begrip te tonen en de voordelen van de verandering voor de betrokkene te benadrukken (tijdsbesparing bijvoorbeeld) kan een dergelijke medewerker wel een beter gevoel krijgen en daardoor zijn bijdrage aan de integratie positief invullen.

Een van de voorwaarden voor het slagen van het integratietraject is ferme besluitvorming door het topmanagement, ook als het gaat om pijnlijke besluiten om te ‘snoeien’ in de ontstane wildgroei. Belangrijk hierbij is dat de besluiten worden onderbouwd met duidelijke doelstellingen.

Een andere voorwaarde is dat er voldoende kennis in huis is van de relevante standaarden en vereisten die gelden in de specifieke context van de organisatie.

Het verdient de voorkeur om hierbij een open relatie aan te houden met externe auditors en certificerende organen, klanten en leveranciers – dit kan helpen bij de zoektocht naar efficiënte oplossingen.