Tag: Corporate

When McKinsey Comes to Town

The Hidden Influence of the World’s Most Powerful Consulting Firm

Walt Bogdanich and Michael Forsythe | 2022, Penguin Books

An explosive expose of the world’s most prestigious and successful management consultancy. ‘Panoramic, meticulously reported and ultimately devastating’ Patrick Radden Keefe, author of Empire of Pain McKinsey, earns billions advising almost every major corporation and countless governments, including Britain’s, the USA’s and China’s.

It boasts of maximising efficiency while making the world a better place. Its millionaire partners and alumni network go on to top jobs in the world’s most powerful organisations. And yet, shielded by non-disclosure agreements, its work remains largely secret – until now. In this propulsive investigation, two prize-winning journalists reveal the reality. McKinsey’s work includes ruthless cost-cutting in the NHS, incentivising the prescription of opioids and executing Trump’s immigration policies (the ones that put children in cages).

Meanwhile, its vast profits derive from a client roster including the coal and tobacco industries and some of the world’s most unsavoury despots. McKinsey proudly insists it is a values-led organisation.

When McKinsey Comes to Town is a parable of values betrayed: a devastating portrait of a firm whose work has often made the world more unequal, corrupt, and dangerous.

*A The Times Best Book of 2022. ‘A story of secrecy, delusion and untold harm’ Observer ‘Astonishing … makes you so angry you want to chuck rocks at its offices’ Sunday Times ‘Every page made my blood boil’ Joseph E. Stiglitz, Nobel laureate.

Nørby Committee’s Report

Copenhagen Stock Exchange | 2001

Following the release of the Cadbury report in 1992, Denmark formulated their recommendations for good corporate governance. In 2001 The Nørby Committee’s Report on Corporate Governance in Denmark was published.

“Over the past 15-20 years, the international arena has witnessed a significant public debate about which major principles should be employed to govern companies. The general term for these principles is corporate governance, a concept that is difficult to translate into Danish. In our opinion the concept can be defined as:

“The goals, according to which a company is managed, and the major principles and frameworks which regulate the interaction between the company’s managerial bodies, the owners as well as other parties, who are directly influenced by the company’s dispositions and business (in this context jointly referred to as the company’s stakeholders). Stakeholders include employees, creditors, suppliers, customers and the local community.””

The report formulates the recommendation (p. 15, part 2 of the report) to build risk management as an integral part of good governance.

“Efficient risk management is a prerequisite for the board being able to perform the tasks for which it is responsible in the best possible way. Thus it is important that the board ensures that there are appropriate systems for risk management in place and, moreover, ensures that such systems meet the requirements of the company at any time. The purpose of risk management is: 

  • To develop and maintain an understanding within the organisation of the company’s strategic and operational goals, including identification of the critical success factors. 
  • To analyse these possibilities and challenges, which are connected with the realisation of the above goals and to analyse the risk of these goals not being met. 
  • To analyse the most important activities of the company in order to identify the risks attached hereto.

Risk management also focuses on procedures for damage control, the formation of contracts, safety at work, environmental issues and safeguarding physical values. It is recommended that the board ensures that the management establishes efficient risk management systems and that the board continuously follows up on these in order to ensure that they always work efficiently in the light of the company’s requirements. As required, but at least once a year, the board should evaluate the company’s risk management and by establishing the risk policy, decide on the company’s risk-taking including insurance, currency and investment policies. 

The risk management system must define the risk and describe how this risk is eliminated, controlled or hedged on a continuous basis. In that connection the board should consider how any collaboration with the company’s external audit could contribute to the risk management and to what extent the internal audit could be part of the risk management.”

Bibliography

Nørby Committee (2001) Corporate Governance in Denmark: recommendations for good corporate governance in Denmark. Copenhagen: Copenhagen Stock Exchange.

This publication is part of Ecosystem City: Lessons from the Forest

Wat zou Harrie doen?

Risicomanagement in de gemeente Haarlem

Gemeente Haarlem | 2017

Wij stellen je graag voor aan Harrie. HARRIE staat voor: HAaRlems RIsicomanagement Expertisenetwerk. Harrie is een dynamisch kennisnetwerk op het gebied van risicomanagement, dat getrokken wordt door onze risico-coördinatoren en concerncontrol. Iedereen die zich bezig houdt met risicomanagement kan zich hierbij aansluiten. Wie meer wil weten over risicomanagement of het invoeren daarvan, kan een beroep doen op Harrie, want Harrie wil graag dat we binnen de gemeente bewust omgegaan met risico’s.

In dit boekje hanteert Harrie een aantal uitgangspunten. Hierin zijn de basisprincipes van risicomanagement verwerkt. Voor wie concreet met risicomanagement aan de slag wil, licht Harrie alle stappen toe die doorlopen moeten worden in het cyclische proces van risicomanagement. Voor alle stappen geeft Harrie een aantal geschikte methodieken en enkele praktische adviezen.

Voor diegenen die graag willen weten hoe je risico management kunt verankeren in je project of organisatie, reikt Harrie een model aan dat gebaseerd is op de ISO 31000 norm die we hanteren in de Richtlijn Risicomanagement. Hierin heeft Harrie ook een aantal vragen opgenomen waarmee je op hoofdlijnen kunt bepalen of je de juiste condities hebt gecreëerd voor effectief risicomanagement. Mocht je in de praktijk vastlopen, dan zijn die vragen tegelijk een handig hulpmiddel om te achterhalen hoe dat komt.

Dit boekje is geen handboek risicomanagement. Doel van het boek is tweeledig: er voor zorgen dat we in Haarlem bewust omgaan met risico’s en spraakverwarring voorkomen door het creëren van een gemeenschappelijke taal. Voor dat laatste heeft Harrie in de bijlage een begrippenlijst bijgevoegd. Wie meer wil weten, wordt door Harrie doorverwezen naar relevante vakliteratuur, websites, opleidingen of naar Harrie zelf.

Harrie neemt daarmee wel een risico, want hoe meer Harrie er in slaagt om risicomanagement te stimuleren, hoe meer er een beroep op hem zal worden gedaan. Harrie neemt dit risico bewust.

Download Harrie

Risicomanagement: Wat zou Arie doen?

Gemeente Amsterdam | 2010

ARIE staat voor: Amsterdams RIsicomanagement Expertisenetwerk. Arie is een dynamisch kennisnetwerk op het gebied van risicomanagement. Iedereen die
zich bezig houdt met risicomanagement kan zich hierbij aansluiten. Wie meer wil weten over risicomanagement of het invoeren daarvan, kan een beroep doen op Arie, want Arie wil graag dat we binnen de gemeente bewust omgegaan met risico’s.

In dit boekje hanteert Arie een aantal uitgangspunten. Hierin zijn de basisprincipes van risicomanagement verwerkt. Voor wie concreet met risicomanagement aan de slag wil, licht Arie alle stappen toe die doorlopen moeten worden in het cyclische proces van risico­ management. Voor alle stappen wordt een aantal geschikte methodieken en enkele praktische adviezen aangereikt.

Voor diegenen die graag willen weten hoe je risicomanagement kunt verankeren in je project of organisatie, reikt Arie in hoofdstuk 5 een model aan dat gebaseerd is op de ISO 31000 norm. Hierin heeft Arie ook een aantal vragen opgenomen waarmee je op hoofdlijnen kunt bepalen of je de juiste condities hebt gecreëerd voor effectief risicomanagement. Mocht je in de praktijk vastlopen, dan zijn die vragen tegelijk een handig hulpmiddel om te achterhalen hoe dat komt.

Dit boekje is geen handboek risicomanagement. Doel van het boek is tweeledig: er voor zorgen dat we in Amsterdam bewust omgaan met risico’s en spraakverwarring voorkomen door het creëren van een gemeenschappelijke taal. Voor dat laatste heeft Arie in de bijlage een begrippenlijst bijgevoegd.

Wie meer wil weten, wordt door Arie doorverwezen naar relevante vakliteratuur, websites, opleidingen of naar Arie zelf. Arie neemt daarmee wel een risico, want hoe meer Arie er in slaagt om risicomanagement te stimuleren, hoe meer er een beroep op hem zal worden gedaan. Arie neemt dit risico bewust.

Download Arie

The State of Organizations 2023

Ten shifts transforming organizations

By Patrick Guggenberger, Dana Maor, Michael Park, and Patrick Simon | 2023, McKinsey

Business leaders around the world are currently addressing not only economic volatility, geopolitical instability, and the lingering effects of the COVID-19 pandemic but also a range of organizational shifts that have significant implications for structures, processes, and people. The shifts include complex questions about how to organize for speed to shore up resilience, find the right balance between in-person and remote work models, address employees’ declining mental health, and build new institutional capabilities at a time of rapid technological change, among others.

To help CEOs and their leadership teams consider such questions, we have launched McKinsey’s The State of Organizations 2023 report. The report is an account of an ongoing research initiative that seeks both to pinpoint the most important shifts that organizations are grappling with and to provide some ideas and suggestions about how to approach them.

Read more

Risicomanagement, meer dan de som der delen

Frank van Kuijck en Rein-Aart van Vugt | Deloitte, 2010

De rol die gemeenten en provincies (hierna gemeenten) in onze samenleving innemen, is gecompliceerd. Dat kun je zien aan het aantal relaties dat gemeenten hebben. Denk bijvoorbeeld aan de partijen die betrokken zijn bij de ontwikkeling van een project.

De complexiteit wordt ook gecreëerd door de extra taken en vernieuwingen waar gemeenten in de voorbije jaren mee te maken hebben gekregen, zoals de Wet Maatschappelijke Ondersteuning, Wet op de grondexploitaties of wijziging Wet ruimtelijke ordening.

Voor de komende jaren staan er bovendien nog een aantal decentralisaties van taken van de Rijksoverheid en provincies naar de gemeenten voor de deur. En dan is daar de krediet-, Euro- en economische crisis nog bovenop gekomen.

Deze situatie levert tal van uitdagingen en kansen op. Het vraagt om een fris en dynamisch lokaal bestuur en aanpassing van en bezinning op de gebaande paden en de toekomst. Politiek leiderschap staat nu centraal en heeft als belangrijk fundament adequaat toegepast risicomanagement.

Een verplichting?

Sinds de invoering van het Besluit Begroting en Verantwoording (BBV) in 2004 zijn gemeenten verplicht verantwoording af te leggen rondom een aantal belangrijke thema’s. Gemeenten moeten onder meer aandacht besteden aan het weerstandsvermogen, de inventarisatie van de risico’s en het beleid rondom risico’s en weerstandscapaciteit. Dit vraagt om een dynamisch en permanent aanwezig systeem van risicomanagement, omdat de weergave (tenminste) bij zowel de begroting als de jaarstukken moet worden gepresenteerd. De doelstelling van de wetgever is het permanent verkrijgen van een beter inzicht in de financiële positie.

De worsteling

Na de invoering van het BBV worstelden gemeenten met het vormgeven van de verplichtingen vanuit de paragraaf weerstandsvermogen. Geluiden die klonken, waren:

  • We kunnen toch niet alles voorzien, we hebben geen glazen bol.
  • Veel risico’s zijn niet te kwantificeren.
  • Wie moet nu wat doen in het gehele proces en is verantwoordelijk voor het bewaken van de risico’s?
  • Risicomanagement is iets van financiën in relatie tot de verslaggeving, de, lijnmanagers moeten vooral bezig zijn met het realiseren van beleid en activiteiten.
  • Het op zoek gaan naar risico’s en het treffen van maatregelen zorgt eerder voor verlamming dan dat het zorgt voor versnelling.
  • Wat moet de omvang zijn van het weerstandsvermogen?
  • Weer iets nieuws.

Het zijn allemaal relevante opmerkingen en vragen. Toch bieden risico-inventarisaties ook veel antwoorden. Hoewel veelal nog financieel getint geven risico-inventarisaties prioriteit aan de berekening van een gekwantificeerd risico binnen een bepaalde bandbreedte. Dat biedt een bemoedigende start. Bovendien, wanneer een organisatie zich in een vroeg stadium bewust is van de risico’s en de noodzaak ziet hierop te reageren, dan is een groot deel van de winst al binnen. Het draait dus om gedrag, bewustzijn en reageren. Echter, gedrag beïnvloeden is een lastige taak. We doen hieronder een aantal handreikingen.

In het BBV staat een aantal begrippen centraal

  • Risico’s. Een kans op een gebeurtenis die een (negatief dan wel positief) effect heeft op de continuïteit van de bedrijfsvoering en het realiseren van de doelstellingen van de organisatie.
  • Beheersmaatregelen. Het stelsel van maatregelen en procedures die worden genomen om de onderkende risico’s te ondervangen dan wel om opkomende risico’s te signaleren en het effect hiervan te beperken.
  • Weerstandscapaciteit. Het geheel van middelen en mogelijkheden om niet begrote, onvoorziene en (mogelijk) substantiële kosten te dekken. Deze capaciteit kan zowel incidenteel alsook structureel zijn.
  • Weerstandsvermogen. De mate waarin de financiële tegenvallers kunnen worden opgevangen. Hierbij wordt de capaciteit afgezet tegen de risico’s die worden gelopen.
  • Risicomanagement. Het identificeren en kwantificeren van risico’s en het bepalen van activiteiten die de kans van optreden en/of de gevolgen van risico’s beheersbaar houdt.

Een eenduidige en logische zaak

Wil je vooruit komen en kansen benutten dan gaan onzekerheden en risico’s hierbij gepaard. Belangrijk is dat alle partijen dit erkennen en daar op anticiperen. Dat betekent risico’s tijdig signaleren, maatregelen treffen, leren van nieuwe omstandigheden en zorgen dat ons gedrag evolueert. Het is daarbij cruciaal dat er tussen gemeenteraad, college en het ambtelijk apparaat duidelijke afspraken en verantwoordingslijnen bestaan over de verschillende fasen van het proces van risicomanagement.

Good governance

Daarnaast komt good governance om de hoek kijken. Dat draait om relaties en spelregels. Het gaat om vier pijlers.

  1. Sturen. Is duidelijk geformuleerd wat het risicoprofiel is wat de gemeenteraad wenst te accepteren en hoe zij geïnformeerd wenst te worden over de ontwikkeling hiervan?
  2. Beheersen. Welke maatregelen heeft het college en de ambtelijke top getroffen om identificatie van risico’s mogelijk te maken, in te spelen op de risico’s door het treffen van beheersmaatregelen en alert te zijn op veranderingen?
  3. Verantwoorden. Op welke wijze en met welke periodiciteit wordt inzicht gegeven in de ontwikkeling van de risico’s, de effecten van de maatregelen, effect van niet voorziene risico’s, doelbereik en het werken binnen de gestelde kaders?
  4. Toezicht houden. Nagaan of het systeem van risicomanagement effectief (en efficiënt) is.

Uiteindelijk doel

De reden dat gemeenten risico’s in kaart willen brengen, is om uiteindelijk maatschappelijke doelstellingen te realiseren. Door het kwantificeren van de risico’s krijg je inzicht in de financiële polsstok voor het aangaan van (nieuwe) activiteiten en het analyseren van de ontwikkelingen. Daarnaast moet het de risico’s beperken, zodat de doelstellingen binnen een acceptabel risicoprofiel worden gerealiseerd. Dan ontstaat de adaptieve organisatie in optima forma.

Belangrijk is dat een gemeente weet te reageren op nieuwe situaties die zijn ontstaan door gewijzigde activiteiten, zoals een nieuwe samenwerking, verandering van wetgeving, aanpassing van contracten of uitvoering van (nieuw) beleid, maar zeker ook de gewijzigde externe verslechterde (markt-) omstandigheden in de vastgoedsector (huizen- en bedrijfspandenmarkt) en de gevolgen van de economische crisis.

Dat betekent het erkennen van de risico’s en het treffen van adequate maatregelen. Het is dan van belang een mix te hebben in hard controls en soft controls. Hard controls zijn het beste te omschrijven als meetbare afspraken en richtlijnen waarvan wordt vastgesteld dat deze nageleefd zijn. Het meten gebeurt vaak objectief, omdat het afgesproken spelregels zijn binnen een organisatie. Soft controls zijn te zien als een beheersingsmaatregel dat ingrijpt op c.q. appelleert aan het persoonlijk functioneren van de medewerkers.

Deze maatregelen zijn van invloed op motivatie, loyaliteit, integriteit, inspiratie en normen en waarden van medewerkers. Een goede balans tussen de beide typen resulteert in een ‘perfect match’.

Duidelijke werkwijze en draagvlak

Naast een duidelijk en herkenbaar proces van risicomanagement, een adequate governance-cyclus en een goede mix van hard- en soft controls zijn belangrijke overige ingrediënten voor een goede implementatie, duidelijke werkwijze en draagvlak. We hebben nog enkele waardevolle tips:

  • Zoek een risicomanagementmethode die bij uw organisatie past.
  • Zorg dat medewerkers in de lijnorganisatie verantwoordelijk worden gemaakt voor het inschatten van, beheersen van en verantwoording afleggen over risico’s. Draagvlak van vooral de directie en het college van burgemeester en wethouders voor het concept zijn hierbij onontbeerlijk.
  • Organiseer een kennissessie waar het onderwerp verder uitgediept wordt en de toegevoegde waarde inzichtelijk wordt gemaakt.
  • Begin eenvoudig met bijvoorbeeld een pilot.
  • Een essentiële basis voor draagvlak is een voldoende robuuste projectorganisatie.
  • Als laatste raden we aan om de belasting van de organisatie zoveel mogelijk te beperken en aan te laten sluiten bij reeds bestaande initiatieven, concepten en systemen

Tot slot

Het serieus invullen van risicomanagement is geen optelsom van de risico’s. Risicomanagement is daarnaast meer dan het financieel kwantificeren en identificeren van risico’s. En het is geen statische eenmalige exercitie. Het is een belangrijke driver voor het realiseren van doelstellingen, het benutten van kansen en de ontwikkeling van een organisatie.

Wanneer men uitgaat van de eigen kracht en observaties, blijft de organisatie alert en de instrumenten en werkmethoden actueel. Bovendien creëert deze manier van werken vertrouwen en transparantie zeker in deze turbulente en moeilijke financiële tijden. Het gaat om het maken van keuzes. Dat is leiderschap.

Dit essay is met instemming van de auteurs opgenomen in het e-boek Publiek Risico: Essays.

Risk Culture: Under the Microscope Guidance for Boards

The Institute of Risk Management | 2012

Richard Anderson, Chairman of The Institute of Risk Management: “For over 25 years the Institute of Risk Management has provided leadership and guidance to the emerging risk management profession with a unique combination of academic excellence and practical relevance. The Institute’s profile continues to grow internationally with heightened interest in the management of risk across government, public and business domains. 

This board guidance on risk culture is our latest contribution to thought leadership in the field. The continuing parade of organisational catastrophes (and indeed some notable successes) demonstrates that frameworks, processes and standards for risk management, although essential, are not sufficient to ensure that organisations reliably manage their risks and meet their strategic objectives. What is missing is the behavioural element: why do individuals, groups and organisations behave the way they do, and how does this affect all aspects of the management of risk?

“Problems with risk culture are often blamed for organisational difficulties but, until now, there was very little practical advice around on what to do about it.”

Problems with risk culture are often blamed for organisational difficulties but, until now, there was very little practical advice around on what to do about it. This paper seeks to give guidance in this area, drawing upon the wealth of practical experience and expert knowledge across the Institute. It aims to provide advice to organisations wanting greater understanding of their own risk cultures and to give them some practical tools that they can then use to drive change. It should be of interest to board members, executive and non-executive, risk professionals, HR professionals, regulators and academics.

Risk_Culture_IRM 2012

tekst

This short document summarises our approach to risk culture for those working at board level. There is also a longer companion document – Risk Culture: Resources for Practitioners – which covers the detailed thinking behind the concepts and models that we have found to be useful. This remains a developing area and we do not consider that we have written the last word on the subject – we expect to see more models and tools and in particular sector and issue-specific work emerging in the future.”

This publication is part of the web-book Public Risk Canon

Nieuw model helpt gemeenten bij risicomanagement

Ignacio Jose Cienfuegos Spikin | 2013

Over de zoektocht naar de volwassenheid van het vak risicomanagement

Risicomanagement is een trend in bijna elke sector. Publieke organisaties zoals gemeenten blijven achter op dit terrein, maar zij hebben nu een nieuw hulpmodel in handen. De uit Chili afkomstige Ignacio Cienfuegos Spikin, in 2013 gepromoveerd aan de Universiteit Twente, onderzocht de status van risicomanagement bij gemeenten. Hij toetste een door hem ontwikkeld ‘Risk maturity model’ bij 72 gemeenten. “Het model biedt waardevolle informatie aan besluitvormers”.

Regulering vereist dat gemeenten in hun begroting en jaarrekening een paragraaf opnemen over financiële weerstand om mogelijke ongedekte risico‘s op te vangen. Om te voldoen aan dit besluit moeten gemeenten ten minste een methode hebben om ongedekte risico‘s te identificeren en ze moeten maatregelen noemen om de risico‘s te beheersen. Niettemin, gemeenten in Nederland ondervinden enkele problemen bij de implementatie van de risicomanagementpraktijk.

“Risk maturity modellen zouden kunnen bijdragen aan de taak om de invoering van risicomanagementpraktijken objectief te beoordelen. Echter, na een evaluatie van bestaande risk maturity modellen komen we tot de conclusie dat de bestaande modellen enkele beperkingen hebben. Ze zijn bijvoorbeeld minder geschikt voor Nederlandse gemeenten, omdat ze veelal focussen op projectrisicomanagement. Wij ontwikkelden daarom een nieuw ‘Risk maturity model”, vertelt Ignacio Cienfuegos Spikin.

Developing a risk maturity model
In navolging van de trend bij organisaties in bijna elke andere sector, zijn ook publieke organisaties als gemeenten de laatste decennia begonnen met de ontwikkeling van risicomanagementbewustzijn. Verbonden met de druk van een meer veeleisende omgeving en incidenten die deze organisaties hebben ervaren, heeft dit proces geleid tot de ontwikkeling van speciale standaarden en het ontwerp van soorten risicomanagementbeleid door centrale overheden. 

Nederlandse gemeenten hebben een bijzonder Besluit over risicomanagement, wat een innovatieve case oplevert voor de publieke context. Deze regulering vereist dat gemeenten in hun begroting en jaarrekening een paragraaf opnemen over financiële weerstand om mogelijke ongedekte risico‘s op te vangen. Om te voldoen aan het Besluit moeten de gemeenten ten minste een methode hebben om ongedekte risico‘s te identificeren en moeten ze de maatregelen noemen om de risico‘s te beheersen. Niettemin, er is enig empirisch bewijs dat er op wijst dat de gemeenten in Nederland enkele problemen ondervinden bij de implementatie van de risicomanagementpraktijk (Boorsma en Haisma, 2005). 

Stellingen
Hoewel er niet een algemeen aanvaarde methodologie is om management praktijken neutraal te meten (Ibbs and Kwak, 2000), stellen wij dat risk maturity modellen zouden kunnen bijdragen aan de taak om de invoering van risicomanagement-praktijken objectief te beoordelen. Echter, na een evaluatie van bestaande risk maturity modellen kwamen we tot de conclusie dat de bestaande modellen enkele beperkingen hebben. 

Ten eerste schatten wij dat ze niet geschikt zijn voor Nederlandse gemeenten omdat de meeste modellen focussen op projectrisicomanagement. Bovendien stellen wij dat in het algemeen de maturity modellen niet corresponderen met de integrale benadering van risicomanagement. Voorts stellen wij dat de meeste risk maturity modellen de zogenaamde risk management cyclus niet in hun structuur verwerken. Tot slot stellen wij dat de bestaande risk maturity modellen een gebrek aan theoretische reflectie op hun maturity concepten hebben en dikwijls niet gevalideerd zijn (Wendler, 2012), waarbij zij hun aanbevelingen voornamelijk baseren op ervaringen van deskundigen.

Opzet
Derhalve hebben wij in dit PhD onderzoek aan de beperkingen van de risk maturity modellen gedaan, daar wij menen dat zo een model een geschikt instrument kan zijn voor de beoordeling van risicomanagementproces in Nederlandse gemeenten, waarbij ook de implementatie van de best practices in risicomanagement door deze organisaties kan worden beïnvloed. 

Voor de constructie van een herzien risk maturity model hebben we de ontwerpgeoriënteerde methode gekozen, waarbij eerst de belangrijkste variabelen voor het voorgestelde model op deductieve wijze worden geïdentificeerd. Ten einde de evolutionaire logica voorondersteld in risk maturity modellen te verklaren en de beloften van deze modellen om te meten, hebben we de theorie gebruikt gemaakt van organisatieverandering en organizational learning. 

De toepassing van het verbeterde risk maturity model via een steekproef van 72 gemeenten leverde enkele interessante bevindingen en empirische steun voor de constructvaliditeit van ons model. Voor de vijf opeenvolgende fasen binnen ons model zijn afzonderlijke schalen geconstrueerd welke gebaseerd zijn op een groot aantal verschillende items, gemeten via een vragenlijst. Op basis hiervan is tevens een overallscore voor risk maturity geconstrueerd (op een schaal van 1 tot 5). Bevindingen 

    • Uit het empirisch onderzoek blijkt dat er tussen de gemeenten grote verschillen in risk maturity bestaan met een minimum van 1.7 en maximum van 4.5 (en een gemiddelde score van 3.3). 
    • Geconcludeerd is dat de onderzochte gemeenten nog ver verwijderd zijn van de best practices van risicomanagement, vooral wanneer het gaat om het ruimere integrale perspectief, wat voornamelijk veroorzaakt wordt door beperkingen in hun feedback mechanismen (Argyris and Schön, 1978).
    • Voorts ontdekten we in ons sample een patroon dat er op wijst dat grotere gemeenten een hogere risk maturity score hebben, en dus meer geavanceerde risicomanagementpraktijken hebben geïmplementeerd.
    • Tevens vonden we dat de deelnemers aan het empirisch onderzoek hogere scores hebben in de eerste fasen of dimensies van ons model (risicomanagement doel, risico identificatie, en risico analyse en meting) terwijl ze lagere scores laten zien bij de latere fasen (risico beslissing en beheersing, en implementatie en feedback).
    • Voorts vonden we empirisch dat de dimensies of deelprocessen een evolutionair patroon vertonen dat elk van de fasen van het model als voorvereiste ziet voor de volgende fasen. Deze bevinding is daarom ook interessant omdat, hoewel in de literatuur wordt gesteld dat in risicomanagement een logisch gedefinieerde volgorde moeten worden gevolgd ( doelformulering, identificatie, inschatting, beslissing en beheersing, implementatie en feedback), daar niet wordt gesteld dat elke fase van de risicomanagement cyclus een voorwaarde is voor de vervulling van de volgende fase.
    • Ook analyseerden we mogelijke samenhangen tussen organisatorische arrangementen (lidmaatschap van de Expert Kring van het Ministerie voor Binnenlandse Zaken en Koninkrijksrelaties, van Public Risk Management Organisatie (PRIMO), en de aanwezigheid van een risicomanager in de organisatie) en de risk maturity score. We concludeerden dat die variabelen ook een (positieve) invloed hebben op de risk maturity score. Deze laatste bevinding spoort met wat gesteld wordt in het theoretische deel van het onderzoek: daar is allereerst verondersteld dat de deelneming van gemeenten in de Expert Kring en in PRIMO gezien zou kunnen worden als een bron van risk management kennis. We volgden hierbij wat de literatuur over organizational learning suggereert, namelijk dat netwerkverbindingen toegang kunnen verschaffen tot informatie en stromen van kennis (Schulz, 2001) door de interactie met peers, wat aanpassingsveranderingen bevordert (Kraatz, 1998). Daarbij hebben we beargumenteerd dat de aanwezigheid van een interne specialist in de gemeente op het gebied van risk management zou kunnen bijdragen aan de ontwikkeling van uniforme opvattingen van de risicomanagement discipline (de organisatietheorie in use) (Huber, 1991). Ook hebben we en detail twee extreme gevallen in onze dataset geanalyseerd, daarbij zorgvuldig de ingevoerde risicomanagement praktijken beschrijvend, waarbij ze als immature respectievelijk mature organisatie zijn gekarakteriseerd.

Toegevoegde waarde

Wij stellen dat deze studie een aantal bijdragen levert aan de wetenschap en de praktijk. Door het doel van het meten van de implementatie van risk management praktijken hebben we getracht om de risk maturity modellen aan te passen en te verbeteren. Dat leidde tot het onderzoek van enkele theoretische stellingen bedoeld om de problemen gevonden in de literatuur op te lossen. Zoals ook genoemd door Wendler (2012), die een systematisch lieratuuroverzicht over maturity modellen heeft gemaakt, meer dan de helft van de gepubliceerde artikelen in het veld volgt een conceptuele onderzoeksopzet (welke de maturity ontwikkeling beschrijft), maar faalt in de theoretische reflectie en empirische toetsing van de voorgestelde modellen. 

Onze eerste wetenschappelijke bijdrage is de bestudering en interpretatie van de logica van risk maturity modellen, en het identificeren van theorieën die hun logica kunnen onderbouwen. Daarbij hebben we in ons model ook de verschillende fasen van de risk management cyclus geïncorporeerd als voorwaarde voor dit evolutionaire leerproces. Tot slot hebben we ons voorgestelde maturity model empirisch gevalideerd voor een sample van Nederlandse gemeenten, waarbij de risicomanagement praktijken, welke zijn geïmplementeerd in Nederlandse gemeenten, zijn verwerkt. Als gevolg heeft deze studie de gaten gevonden in de relevante literatuur gevuld, wat een relevante bijdrage aan het veld geeft. 

Toepassing
Hoewel het voorgesteld risk maturity model een methode in onwikkeling blijft welke additionele verbeteringen behoeft, kan ons voorgestelde model een geschikte methode zijn voor de diagnose van risicomanagementpraktijken van Nederlandse gemeenten, alsook bijdragen aan de correcte implementatie van de discipline door deze lokale organisaties. 

Het voorgestelde risk maturity model en de data verkregen bij de empirische toepassing kunnen waardevolle informatie verschaffen aan besluitvormers, niet alleen in Nederlandse gemeenten, maar ook in provincies en waterschappen die ook risicomanagementpraktijken moeten invoeren. Deze organisaties kunnen de resultaten van deze studie relevant achten als benchmarking mechanisme (zich vergelijkend met vergelijkbare organisaties), maar ook voor de evaluatie van het beleid dat publiek risicomanagement reguleert. 

Zo kan ons onderzoek een bijdrage leveren aan de verdere discussie over de benadering van de weerstandsparagraaf: hoewel deze benadering voldoende zou kunnen zijn om Nederlandse gemeenten te behoeden voor een majeure financiële tegenvaller ten gevolge van een onvoorziene gebeurtenis, hoeft de benadering niet de invoering van een ruimer perspectief op risicomanagement te stimuleren. Ω

Download dissertatie Cienfuegos – Developing a Risk Maturity Model.

Bibliografie

Argyris, C. and Schön, D. (1978) Organizational learning: A theory of action perspective. Reading, Mass: Addison Wesley.

Boorsma, P. and Haisma G. (2005) ‘Research on Public Risk Management with special references to Dutch Municipalities‘. Paper for the COE conference at Twente University. Unpublished.

Huber, G.P. (1991) Organizational Learning: The Contributing Processes and the Literatures. Organization Science, Vol.2, No.1, Special Issue: Organizational Learning: Papers in Honor (and by) James G. March, pp.88-115.

Ibbs, C.W. and Kwak, Y.H. (2000) Assessing Project Management Maturity. Project Management Journal, Vol. 31, No. 1, 32–43.

Kraatz, M. (1998) Learning by Association? Interorganizational Networks and Adaptation to Environmental Change. The Academy of Management Journal, Vol.41, pp.621-643.

Schulz, M. (2001) The uncertain relevance of newness: Organizational learning and knowledge flows. Academy of Management Journal, 44(4), 661– 682.

Wendler, R. (2012)  The maturity of maturity model research: A systematic mapping study. Information and Software Technology 54 (2012) 1317-1339.

Noot

Dit artikel betreft de Nederlandse samenvatting van het proefschrift (pdf). Zijn promotor is prof. dr. Peter B. Boorsma, assistent-promotor is prof. dr. Harry van der Kaap, Twente Universiteit. De werkzaamheden zijn uitgevoerd bij het Institute for Innovation and Governance Studies, Faculty of Management and Governance, University of Twente, Enschede. Copyright © 2013 by Ignacio Cienfuegos. All rights reserved. ISBN:978-94-6203-497-6  Persbericht Twente Universiteit.