Risicomanagement software: nuttig of nutteloos?

Waarmee moet een organisatie rekening houden bij het selecteren van een risicotool, is de centrale vraag in deze blog.

Risicomanagement maakt in organisaties langzamerhand nadrukkelijker en gestructureerder onderdeel uit van de beheerste- en integere bedrijfsvoering. Door deze ontwikkeling zien we ook dat de vraag naar risicomanagement software toeneemt, net als het aantal partijen die deze software ontwikkelen.

In deze blog geven wij aan de hand van drie fasen een antwoord op de centrale vraag.

Fase 1: Wanneer is een organisatie klaar voor de selectie en implementatie van risicomanagement software?
Fase 2: Waarom een risicomanagement tool, als organisatievraagstuk.
Fase 3: Hoe kan worden bepaald in hoeverre software aansluit op het risicomanagement raamwerk van de organisatie?

Fase 1: Wanneer is een organisatie klaar voor de selectie en implementatie van risicomanagement software?

Het antwoord op deze vraag is gelegen in een goede aansluiting tussen de eigen doelstellingen en het eigen risicomanagementraamwerk enerzijds én software anderzijds is essentieel. Daarom ligt het voor de hand dat een organisatie eerst een adequaat risicomanagementraamwerk in opzet en bestaan heeft, en vervolgens een daarbij passende risicomanagement software selecteert.

Wilt u risicomanagement dat geleid wordt door de inrichting van een tool, waarbij de software leidend is of de eigen doelstelling en visie, en dus niet de systeemarchitectuur van een tool?

Fase 2: Waarom een risicomanagement tool?

Er zijn organisatievraagstukken die vooraf écht beantwoord moeten worden in onze visie alvorens na te denken over tooling. Wij hanteren hiervoor een 7-stappen denk- en werkmodel:

1: Welke toegevoegde waarde gaat de tooling opleveren ten opzichte van nu?
2: Welke business case ligt ten grondslag aan de aanschaf van tooling, denkend vanuit total cost of ownership?
3: Hoe draagt tooling bij aan risicobewustzijn in de organisatie?
4: Wie gaat deze tooling dan gebruiken, en voor welke activiteiten?
5: Past het aanschaffen van de software in de IT-architectuur en het IT-beveiligingsbeleid?
6: Moet het systeem stand alone staan of ook kunnen integreren met andere bestaande systemen?
7: Waar wil de organisatie mee starten als het gaat om de verschillende domeinen binnen het risicomanagementraamwerk en waar wil men dan naar toe groeien?

Fase 3: Hoe kan worden bepaald in hoeverre software aansluit op het risicomanagementraamwerk (inrichting en operationalisatie daarvan) van de organisatie?

Een organisatie zal een goed beeld moeten hebben van het eigen risicomanagementraamwerk, om te kunnen bepalen in hoeverre risicomanagement software hierop aansluit. De Risk Appetite Value Chain (RAVC)© methodologie heeft een gestructureerd denk- en werkmodel vanuit vier kwadranten die het risicomanagementraamwerk in kaart kunnen brengen:

RAVC-Kwadranten De functionaliteit van de software dient aan te sluiten op de operationalisatie van de inrichting (niet limitatieve opsomming)
Governance
Inrichtingsvraagstuk		 De software dient alle actoren in het risicomanagementraamwerk te helpen bij hun rolinvulling.
Strategie
Methodologisch vraagstuk		 De software in staat is het strategische normenkader van het bestuur voor performance- en risicomanagement te integreren. Denk aan strategische doelstellingen, risicohouding, risicobereidheid en risicotolerantie.
Processen
Implementatie vraagstuk

De software de verschillende onderdelen van de planning- en controlcyclus ondersteunen. Denk dan bijvoorbeeld aan:

  • Meetbaar maken van (strategische) doelstellingen,
  • Meetbaar maken van de risicohouding, risicobereidheid en risicotoleranties
  • Inventariseren van risico’s en beheersmaatregelen
  • Inschatten van risico’s
  • Prioriteren van risico’s en beheersmaatregelen
  • Monitoren van risico’s en beheersmaatregelen
  • Rapporteren over risico’s en beheersmaatregelen
  • Het melden en opvolgen van relevante gebeurtenissen, issues, incidenten
  • Audit op risicomanagement
Bewustzijn Cultuurvraagstuk De software dient bij te dragen aan het versterken van de risicocultuur vanuit gedrag, leiderschap en houding in de organisatie. Er moet sprake zijn van risicosensitiviteit: zelfstandig blijven nadenken over kansen en risico’s. Daarnaast dient het zelflerend en zelfreflecterend vermogen te worden bevorderd.

Samenvattend

Het is van belang dat de software het risicoraamwerk volgt en niet andersom. De valkuil is namelijk dat het systeem leidend wordt in plaats van de eigen wens en visie en een nutteloos systeem aangeschaft wordt. Dit kan worden geëxpliciteerd door het toepassen het RAVC denk- en werkmodel.

 

Disclaimer
Hoewel deze blog met grote zorgvuldigheid is samengesteld, aanvaarden AethiQs B.V. en alle andere entiteiten, samenwerkingsverbanden, personen en praktijken die handelen onder de naam ‘AethiQs’, geen enkele aansprakelijkheid voor de gevolgen van het gebruik van de informatie uit deze uitgave zonder hun medewerking. De aangeboden informatie is bedoeld ter algemene informatie en kan niet worden beschouwd als advies.

7 lessons learned

7 lessons learned

Hoe creëert u het comfort dat u de goede dingen doet, en die ook goed doet?

Alle blogs