Risicomanagement bij de VREG netwerk organisatiebeheersing 09/06/2016
Risicomanagement VREG VREG: Vlaamse Regulator van de Elektriciteits- en gasmarkt Reguleren, controleren en transparant maken Opgericht in VTE, dotatie 5 miljoen euro Gestart met “globale” risico-analyse in 2008 Ism externe consultant Centraal document met 40-tal risico’s 3 jaar opvolging en uitvoering acties op basis hiervan
Risicomanagement VREG Nieuwe risico-analyse Intern opgestart in 2011 Ondersteuning door Audit Vlaanderen (pilootproject) Centraal document op met 70tal risico’s Per risico link met strategische en operationele doelstellingen, kernprocessen, thema’s organisatiebeheersing, taken. Risico-inschatting (impact / waarschijnlijkheid) Per proces oplijsting van bestaande beheersmaatregelen Risicohouding (verbeteren, accepteren, optimaliseren, opvolgen) Nieuwe beheersmaatregelen (actiepunten) Verantwoordelijke per risico
Risicomanagement VREG Sindsdien jaarlijkse actualisatie van dit document Nagaan nieuwe risico’s / risico’s die zijn verdwenen Nieuwe beheersmaatregelen aanvullen en risico-inschatting eventueel aanpassen Bepalen actiepunten voor komend jaar
Risicomanagement VREG Organisatie-audit VREG 2016 Volgens nieuwe methodologie, rekening houdend met evaluatie risicomanagement Toelichting over aanpak risico-analyse 2012 en risicomanagement VREG + overmaken bijhorende documenten Analyserapport Per onderdeel van risico-management: Beschrijving huidige situatie Maturiteitsinschatting en motivatie Verbeterpunten om hogere maturiteit te halen (als nog geen niveau 3) Korte samenvatting in volgende slides
Betrokkenen risico-analyse Aanpak VREG: Directie Aantal sleutelfiguren (IT, financiën en personeel) Ook input meegenomen van veiligheidsconsulent, bedrijfsrevisor,… Opmerkingen Audit Vlaanderen Gezien omvang van de organisatie voldoende zekerheid dat proceseigenaars betrokken zijn (niveau 4) Om niveau 5 te bereiken: Raad van Bestuur meer betrekken Nog meer interne en externe specialisten
Risico-identificatie Aanpak VREG: Risico’s verzamelen vanuit diverse oefeningen: SWOT per strategische doelstelling Zelfevaluatie organisatiebeheersing Brainstorms met directie over risico’s Risico’s uit andere oefeningen (BCM-plan, evaluatie organisatiestructuur, documenten voor Raad van Bestuur ivm manier waarop welbepaalde risico’s onder controle werden gehouden, specifiek onderzoek naar manier waarop fraudeprocessen in belangrijkste kernproces onder controle werden gehouden) Jaarlijks discussie en beoordeling op directieraad of er risico’s moeten toegevoegd worden of geschrapt worden
Risico-identificatie Opmerking Audit Vlaanderen: Niveau 2: Wel consolidatie risico’s en voldoende uitgebreid Maar te intuïtief, nood aan gestructureerd kader Bevat link met doelstellingen, maar link werd pas gelegd na identificatiefase Om te verbeteren tot niveau 3: Gestructureerde risicoclassificatie gebruiken als basis voor risico- analyse Daarbij vertrekken vanuit strategische en operationele doelstellingen (risicocascade)
Risico-evaluatie Aanpak VREG: Risico’s worden ingeschaald in redelijke beperkte schaal: hoog-midden-laag. Eerder intuïtief, geen onderliggende onderbouwing Opmerking Audit Vlaanderen: Niveau 2 omdat evaluatie risico’s na discussie en in consensus binnen directieraad Niveau 3 indien betere uitwerking onderbouwing schalen en periodieke evaluatie
Risicostrategie Aanpak VREG: Risico’s plaatsen op “heat map” met vier kwadranten, met mogelijke houdingen: verbeteren, opvolgen, accepteren, optimaliseren. Validatie door directieraad van deze houding en de te nemen acties. Opmerking Audit Vlaanderen Voldoende gedragenheid binnen directie over risicostrategie (niveau 3). Om niveau 4 te bereiken nood aan meer communicatie over de strategie naar alle niveaus van de organisatie.
Risicorespons Aanpak VREG Actiepunten uit de risico-analyse worden meegenomen in het ondernemingsplan, met aanduiding verantwoordelijke voor uitvoering. Opvolging vooruitgang via instrument voor monitoring uitvoering ondernemingsplan. Opmerking Audit Vlaanderen Niveau 4 wegens niet alleen monitoring uitvoering actiepunten, maar ook tussentijdse rapportering over vooruitgang, met bijsturing als nodig.
Beheersmaatregelen Aanpak VREG Per proces worden de beheersmaatregelen opgelijst en wordt beoordeeld of deze voldoende zijn om risico te beheersen. Als dat niet zo is worden nieuwe beheersmaatregelen gedefinieerd. Ook duidelijkheid over wie verantwoordelijk is voor bepaalde beheersmaatregel. Opmerking Audit Vlaanderen Niveau 3 omdat de beheersmaatregelen zijn gedocumenteerd en gecommuniceerd. Verbetering naar niveau 4 mogelijk als ook test van operationele effectiviteit.
Onze ervaringen Risicomanagement VREG: Al enige ervaring Structurele aanpak opgebouwd Risicomanagement op maat van onze organisatie Audit risicomanagement VREG door Audit Vlaanderen: Geen verrassingen, verbeterpunten worden door ons ook zo aangevoeld Constructief, we kunnen ermee aan de slag
Vlaamse Regulator van de Elektriciteits- en Gasmarkt gratis telefoon ‘Andere vraag’ Facebook: VREG Schrijf u in op onze nieuwsbrief op