Om organisatiedoelstellingen te verwezenlijken is het beheersen van risico’s cruciaal. Een goed gestructureerd beleid voor risicomanagement is daarmee een belangrijk aandachtspunt voor uw organisatie om goed afgewogen risico’s te nemen. Deze afwegingen dragen bij aan het concurrerende vermogen van uw organisatie, creëren kansen én uw organisatie kan beter reageren op onverwachte gebeurtenissen.
Naast hard controls is het gedrag van mensen een van de belangrijkste onderdelen binnen risicomanagement en heeft het grote invloed op het reilen en zeilen van de organisatie. Oorzaken van incidenten of misstanden worden gevonden in de cultuur van een organisatie en het gedrag van mensen. Daarmee is effectief risicomanagement onlosmakelijk verbonden met cultuur en gedrag.
Risicocultuur | Risicocultuur is de manier waarop risico's deel uitmaken van de organisatiecultuur en hoe de organisatie reageert op interne en externe uitdagingen.
Entity level controls | Begeleiding vanuit de organisatie naar bedrijfsdoelstellingen die gedrag van medewerkers in een organisatie beïnvloeden. Meestal zichtbaar in charters, beleid, procedures en risico- en controlematrices.
Cultuurdrijvers | Stimuli die het gedrag van medewerkers beïnvloeden.
Gedrag | De kans op gewenst gedrag neemt toe en de risico's nemen af naarmate de cultuurelementen meer ingebed zijn in de cultuur van de organisatie.
Prestaties | Uiteindelijk is de som van het gedrag van werknemers in de organisatie bepalend voor de feitelijke prestaties van de organisatie en het behalen van bedrijfsdoelstellingen.
Het KPMG Risicocultuurmodel (soft controls)
Uitgebreid wetenschappelijk onderzoek van KPMG naar 150 schendingen binnen organisaties toont aan dat er acht cultuurdimensies (ook wel soft controls) zijn die gedrag van medewerkers beïnvloeden: Helderheid, Voorbeeldgedrag, Betrokkenheid, Uitvoerbaarheid, Transparantie, Bespreekbaarheid, Aanspreekbaarheid en Handhaving. Hoe meer deze kenmerken aanwezig zijn binnen een organisatie, hoe groter de kans op gewenst gedrag en hoe kleiner de kans op incidenten. Aanvullend wetenschappelijk onderzoek dat wij uitvoerden toont aan dat bij organisaties waarbinnen de acht cultuurdimensies zijn verankerd, het aantal incidenten daalt met gemiddeld 35%. Zware incidenten zoals corruptie of grootschalige fraude laten een nog sterkere daling zien.
Het meten en verbeteren van de risicocultuur
KPMG heeft een geïntegreerde en bewezen aanpak voor het meten en verbeteren van de risicocultuur en het risicobewustzijn binnen organisaties.
1. Definiëren | Maak het HELDER
Begin met het definiëren van de gewenste risicocultuur. Wij stemmen samen met u de risicostrategie af op de organisatiestrategie. Het definiëren van de gewenste risicocultuur kan worden gedaan door middel van interviews met management en focusgroepsessies met medewerkers en management. Daarnaast voeren wij reviews uit op uw entity level controls en frameworks om vast te stellen welke stappen al zijn ondernomen op het gebied van risicocultuur.
2. Meten | Maak het BEKEND
In de tweede fase staat het meten van de cultuurdimensies centraal om te bepalen wat het huidige niveau is van de mate waarop risicocultuur binnen de organisatie is ingebed. Dit wordt gedaan door middel van documentenanalyses, grondoorzakenanalyses van incidenten, de risicocultuurthermometer (gevalideerde vragenlijst op basis van het wetenschappelijke cultuurmodel), focusgroepsessies en/of diepte-interviews. Op basis van het volwassenheidsmodel is het mogelijk om te bepalen waar u staat als organisatie en hoe zich dit verhoudt tot de gewenste risicocultuur.
3. Verbeteren | Maak het ECHT
In de derde fase van de aanpak wordt een roadmap opgesteld om de gewenste risicocultuur te bereiken. Dit zal worden gedaan in samenwerking met de medewerkers van de organisatie en daarin worden kaders voor een succesvolle verandering opgesteld. Voorbeelden van activiteiten die onderdeel kunnen zijn van dit plan zijn trainingen van medewerkers in de eerste, tweede en derde lijn, het aanpassen van beleid en procedures, en het opnemen van een onderdeel risicobewustzijn in de onboarding van nieuwe medewerkers.
4. Implementeren | Maak het WAAR
De vierde fase van de aanpak gaat over het implementeren van de roadmap. Hierbij worden maatstaven voor succes opgesteld die bepalen wanneer deze verschillende onderdelen succesvol zijn geïmplementeerd.
5. Monitoren | Maak het BLIJVEND
In de laatste fase ligt de focus op monitoring. De voortgang op het verbeteren en implementeren van het risicocultuurmodel staat centraal en de ontwikkeling van de risicocultuur wordt structureel gemeten. Hierbij wordt er bijvoorbeeld gekeken of risicocultuur structureel is verankerd in de governance, het beleid en de procedures van uw organisatie en onderdeel is van grondoorzaakanalyses van incidenten.
De toegevoegde waarde van structurele aandacht voor risicocultuur zal duidelijk zijn, doordat er minder incidenten zullen plaatsvinden, een toegenomen risicobewustzijn zal ontstaan en doordat risicocultuur een wezenlijk onderdeel van de strategie van uw organisatie zal zijn.
Waarom KPMG
KPMG Forensic bestaat in Nederland sinds 1993 en heeft een wereldwijd netwerk van professionals dat is gespecialiseerd in het verlenen van diensten om klanten te ondersteunen in het bereiken van het hoogst mogelijke integriteitsniveau. Tegelijkertijd helpen wij klanten met het beheersen van de kosten en risico’s voortkomend uit geschillen, onderzoeken en handhaving door onze ondersteuning op het gebied van preventie, detectie en response op fraude, misbruik en vormen van wangedrag.
Ons team omvat ervaren professionals op het gebied van boekhouding, (feiten)onderzoek, risicomanagement, technologie, integriteit en compliance. Deze disciplines werken nauw samen om uw vragen zo passend mogelijk te beantwoorden. Wij ondersteunen organisaties met oplossingen op maat. Met onze jarenlange ervaring zijn wij doeltreffend in de ondersteuning die wij leveren aan organisaties en kunnen wij de gewenste inzichten bieden, ook in zeer complexe en/of gevoelige (bestuurlijke) casuïstiek.
