Blog Archieven - ARC people

QA: een mogelijke versneller, mits goed georganiseerd

Quality Assurance op projecten: de onafhankelijke vinger aan de pols voor de stuurgroep

Organisaties draaien steeds meer op projecten. Niet alleen omdat er “meer te doen is”, maar omdat strategische veranderingen tegenwoordig vaak juist via projecten en programma’s worden gerealiseerd. Nieuwe wet- en regelgeving, digitalisering, ketensamenwerking, datagedreven werken, kostenreductie, outsourcing, cybersecurity, nieuwe proposities: in veel organisaties loopt de echte koerswijziging niet via de lijn, maar via tijdelijke veranderinitiatieven.

Dat brengt een risico met zich mee dat ik vaak zie: audit- en risk-specialisten zijn van nature sterk op de ‘ongoing’ kant van de organisatie. De vaste processen, de bestaande controls, de operationele performance. Logisch, want daar is veel data, daar zijn herhaling en routines, en daar liggen de klassieke beheersvraagstukken.

Maar juist daardoor kan de ‘change’ kant onderbelicht blijven. En dat is precies waar veel van de grootste risico’s en waardecreatie samenkomen: in de keuzes die nu worden gemaakt over scope, ontwerp, afhankelijkheden, leveranciers, planning en acceptatie. Als je daarop te laat bijstuurt, is herstel vaak duur, pijnlijk en politiek gevoelig.

Een begrijpelijke reflex in projecten is: de deadline is al krap, we moeten vooruit. Dan kan een QA-rol voelen als een controlerende functie die tempo uit het project haalt. Mits goed ingevuld is het juist het tegenovergestelde. Goede QA is geen rem, maar een versneller: door vroeg scherpte te brengen in scope, besluiten, afhankelijkheden en stuurinformatie voorkom je discussie en herstelwerk later. Het doel is niet om het project “netjes” te maken, maar om te zorgen dat de stuurgroep snel en goed kan sturen, juist als de druk toeneemt.

Projecten mislukken zelden door één grote fout. Het gaat vaker om een stapeling van kleine signalen die te lang blijven liggen: scope die langzaam uitwaaiert, besluiten die niet echt landen, afhankelijkheden die onderschat worden, of risico’s die wel op papier staan maar niet worden beheerst.

Juist daarom zie je steeds vaker een Quality Assurance-rol op projecten. Niet als extra projectlaag, maar als onafhankelijke functie die namens de stuurgroep meekijkt of het project nog steeds beheerst en bestuurbaar is.

Wat bedoelen we met Quality Assurance op projecten?

Quality Assurance (QA) op projecten is een onafhankelijke assurance- en adviesfunctie die rapporteert aan de stuurgroep of opdrachtgever en niet aan de projectmanager. Het doel is simpel en kan o.a. de volgende vragen beantwoorden:

Is het project zó ingericht dat succes waarschijnlijk is?
Wordt er aantoonbaar gestuurd op de belangrijkste risico’s, afhankelijkheden en besluiten?
Is de informatievoorziening richting de stuurgroep volledig, eerlijk en tijdig?
Worden afwijkingen vroeg gezien en effectief opgevolgd?

QA is dus geen extra PMO en ook geen uitvoerende rol. Het is een governance-gerichte spiegel: scherp op beheersing, transparantie en besluitvorming.

QA versus QC: de verschillen

In de praktijk merken we dat termen soms door elkaar heen lopen. Daarom wordt hieronder nog even stilgestaan bij een belangrijk onderscheid.

Quality Control (QC) zit ín het project

QC is gericht op de kwaliteit van de projectproducten en activiteiten. Denk aan:

Reviewen van deliverables (ontwerp, requirements, testresultaten).
Naleving van werkwijzen en standaarden binnen het team.
Kwaliteitscriteria, acceptatiecriteria, testdekking.
Proceskwaliteit in de uitvoering (bijvoorbeeld change control, documentatie, sprint discipline).

QC werkt veelal onder verantwoordelijkheid van de projectmanager of binnen het projectteam, soms met een aparte QC lead, afhankelijk van de omvang van het project of programma.

Quality Assurance (QA) staat náást het project en kijkt naar beheersing

QA richt zich niet primair op “is dit document goed”, maar op “is dit project bestuurbaar en onder controle”. Voorbeelden daarvan zijn:

Is er heldere scope en is scopewijziging expliciet besloten?
Is de planning realistisch en gebaseerd op aannames die getoetst worden?
Worden risico’s vertaald naar beheersmaatregelen, owners en opvolging?
Is er één versie van de waarheid over voortgang, issues en afhankelijkheden?
Is escalatie tijdig, of blijft men te lang hangen?

Kort gezegd: QC bewaakt de productkwaliteit, QA bewaakt de projectbeheersing en governance.

QA versus 3e-lijns Internal Audit: de verschillen

Tsjonge, wat een functies en begrippen allemaal. Maar toch goed om even in te gaan op het onderscheid tussen het een en het ander. Daarom wordt hieronder ook nog even stilgestaan bij het onderscheid tussen QA en Internal Audit.

Internal audit is breder en vaak hoger gepositioneerd

Derdelijns internal audit kijkt meestal vanuit het bredere organisatieperspectief:

Governance en control rondom projectportfolio en projectbesturing.
Naleving van policies, frameworks en besluitvormingsstructuren.
Effectiviteit van interne beheersing, ook over meerdere projecten heen.
Lessons learned en structurele verbeteringen.

Internal audit kan ook naar een specifiek project kijken, maar kan daarbij juist de scope verbreden: niet alleen het projectteam kan dan binnen de scope vallen, maar ook de rol van de stuurgroep / het opdrachtgeverschap, de QA-functie, de eventuele rol van de second line, leverancierssturing en de aansluiting op strategische doelen. Heeft Internal Audit die insteek, dan is er sprake van een rolzuivere invulling. De aanbevelingen die daaruit voortkomen, richten zich doorgaans op structurele verbeteringen op organisatieniveau.

In de praktijk zien we echter ook wel dat Internal Audit tijdelijk uit de zuivere derdelijns rol stapt en de QA-rol op zich neemt. Vooral bij de meer betrokken opererende auditfuncties (of de functies die ook al gewend zijn om Risicomanagement erbij te nemen) zien we dat gebeuren.

QA is dichter op de bal en bedoeld om bij te sturen

QA is doorgaans veel meer aanwezig gedurende het project. Deze functie richt zich vooral op het vroegtijdig signaleren van mogelijke knelpunten en het tijdig bijsturen van het project. Daarbij is QA expliciet bedoeld als ondersteuning van de stuurgroep en helpt de stuurgroep haar rol als opdrachtgever goed uit te voeren.

Hoe ziet QA in de praktijk eruit?

Een sterke QA-aanpak is licht genoeg om het project niet te belasten, maar stevig genoeg om echte signalen boven tafel te krijgen. De kunst is om QA zo te organiseren dat het niet bureaucratisch wordt. Een effectieve QA-aanpak is lightweight en risicogericht: korte reviews, scherpe vragen en heldere conclusies op de punten die er echt toe doen. Geen dikke rapporten, geen herhaling van wat het project al doet, en geen micromanagement.

QA houdt het tempo er onder ander in door:

Alleen te verdiepen als signalen daar aanleiding toe geven.
Observaties te vertalen naar beslispunten voor de stuurgroep.
Afspraken concreet te maken (wie doet wat, wanneer, en wat betekent dat voor scope en planning).
Te zorgen voor één consistent beeld van voortgang en risico’s, zodat er minder ruis en minder statusdiscussie is.

Bij de invulling van QA in de praktijk zien we veelal eenzelfde ritme van werken ontstaan. Daarbij zijn logischerwijs vier belangrijke elementen / fases te onderscheiden.

1) Intake en “control picture”

“Kwaliteit zit aan de voorkant”, die uitspraak geldt ook bij projecten en programma’s. Daarom is het logisch om bij de start van het project al betrokken te zijn en de peilstok te steken in de volgende belangrijke waarborgen voor succes:

Projectdoel, scope, succescriteria, stakeholders.
Governance: rollen, mandaten, besluitvorming.
Belangrijkste risico’s, afhankelijkheden, contracten, leveranciers.
Baseline: planning, budget, kwaliteit, benefits.

Als output van deze eerste fase kan worden opgeleverd: een korte “control picture” voor de stuurgroep, met de belangrijkste aandachtspunten voor de projectbeheersing.

2) Periodieke health checks

Vervolgens wordt van de QA-functie verwacht dat zij periodieke health checks doet. Bijvoorbeeld maandelijks of per fasegate kan er worden gekeken naar:

Voortgang versus baseline en trends.
Risico’s en issues: beweging, ownership, effectiviteit mitigaties.
Scope control: hoeveel change, wat is besloten, wat sluipt erin.
Planning realisme: aannames, resources, afhankelijkheden.
Stuurinformatie: klopt het verhaal, of wordt er gemasseerd.
Besluitvorming: worden besluiten voorbereid, genomen en uitgevoerd.

Als krachtige, doelgerichte output van deze fase zien we doorgaans één pagina met stoplichten, kernobservaties en concrete acties voor stuurgroep en project.

3) Deep dives op risicogebieden

Als er signalen zijn, kan QA gericht verdiepen, op allerlei specifieke thema’s. Op verzoek van de stuurgroep, of op eigen voordracht. Voorbeelden van onderwerpen waarop een deep dive kan plaatsvinden, zijn:

Leveranciersperformance en contractmanagement.
Datamigratie en testaanpak.
Integratie met operatie en change management.
Security en privacy-by-design.
Benefits management en business case.

4) Escalatie en “speak up”

Tenslotte is het cruciaal dat QA de ruimte moet hebben om te escaleren naar de voorzitter van de stuurgroep en/of opdrachtgever als het nodig is, zonder daarbij te kunnen worden belemmerd door de projectmanager.

Wanneer voegt QA het meeste waarde toe?

In de kern dient QA uiteraard waarde toe te voegen aan het project. We zien in de praktijk dat QA vooral effectief is in de volgende situaties:

Grote programma’s of complexe projecten met meerdere leveranciers.
Projecten met hoge druk, veel politiek, of kritieke deadlines.
Transformaties waarbij business, IT en operatie moeten landen.
Projecten met veel afhankelijkheden of onduidelijke scope.
Projecten waar de stuurgroep beperkte tijd heeft en toch grip wil.

Afsluiting: de business case van QA

Een QA-functie op een project of programma wordt soms gezien als extra overhead. In de praktijk is het vaak precies het omgekeerde: QA is een relatief kleine investering die helpt om hoge(re) kosten te voorkomen.

De totale kosten van een project zitten immers niet alleen in het budget van het projectteam. Ze zitten ook in:

Vertraging en doorlooptijdverlenging (met extra inzet van mensen en leveranciers).
Herstelwerk en rework door te late bijsturing.
Scope-uitbreiding zonder expliciete besluitvorming.
Gemiste of uitgestelde benefits.
Extra risico’s rondom compliance, security, datakwaliteit en reputatie.
Frictie tussen business en IT doordat verwachtingen niet worden gemanaged.

Juist op die punten kan QA veel waarde toevoegen, omdat het vroegtijdig zichtbaar maakt waar bestuurbaarheid onder druk staat en waar besluitvorming nodig is. Het voorkomt dat de stuurgroep pas ingrijpt als de opties beperkt en de kosten hoog zijn.

Daarom is QA vaak een no-brainer vanuit kostenperspectief: de investering is meestal een fractie van de totale programma-uitgaven, terwijl één tijdige interventie al kan voorkomen dat een project maanden uitloopt of dat er achteraf kostbare hersteltrajecten nodig zijn.

Als je QA goed positioneert (rapporteren aan de stuurgroep, licht georganiseerd, scherp op de echte beheerspunten), dan koop je met relatief weinig middelen iets wat in veel projecten schaars is: vroeg inzicht, betere besluiten en aantoonbaar meer grip.

Heeft u een project of programma dat een goede QA verdient?

Neem contact met ons op voor een vrijblijvend adviesgesprek. Dan verkennen we gezamenlijk de business case voor QA en de manier waarop het in uw organisatie kan worden vormgegeven.

Quality Assurance Contact

Strategisch risicomanagement, het ondergeschoven kindje (2): procurement

Zoals ik in de vorige blog heb aangegeven, vraag ik via een serie korte blogs aandacht voor verschillende strategische risicothema’s, die wat mij betreft vaker dan één keer per jaar op de agenda zouden moeten staan. Ik schets daarbij een aantal ontwikkelingen en wil zo steeds het belang van een specifiek strategisch risicothema benadrukken.

Heb je de vorige blog(s) in deze serie niet gelezen? Dan zet ik voor de volledigheid nog even kort mijn motivatie voor deze serie uiteen:

Goed risicomanagement is cruciaal om organisatiedoelen effectief te realiseren, waarbij strategisch risicomanagement zich richt op risico’s die de uitvoering van de strategie en de continuïteit of waarde van de organisatie direct kunnen beïnvloeden. In de praktijk krijgt strategisch risicomanagement echter vaak te weinig aandacht en blijft het beperkt tot een jaarlijkse strategische risicoanalyse met de directie. Gezien de snelle opeenvolging van ingrijpende geopolitieke en technologische ontwikkelingen, is die beperkte benadering onvoldoende, omdat de impact van strategische risico’s groot is en zowel bedreigingen als kansen vraagt om voortdurende aandacht en sturing.

Het strategische risico ‘procurement’

In de vorige blog stond het strategische risico van marktconcentratie centraal. Deze keer: het strategische risico rond procurement. Waarom gebruik ik het woord ‘procurement’ en niet simpelweg ‘inkoop’? Met procurement wordt namelijk het volledige strategische inkoopproces bedoeld, en niet alleen het inkopen zelf, wat slechts één onderdeel is van het totale procurementproces. Procurement begint bij het vaststellen van het inkoopbeleid, dat wordt afgeleid van de strategie van de onderneming, en het loopt via leveranciersselectie, contract- en leveranciersmanagement door tot de uiteindelijke inkoop, inclusief voorraadbeheer.

Door de globalisering van de afgelopen decennia zijn grote delen van productie door bedrijven wereldwijd uitbesteed, omdat een ander land c.q. bedrijf bepaalde producten of diensten beter en goedkoper kan maken dan dat een bedrijf dat zelf kan. Dit heeft de wereld veel gebracht; het heeft veel producten goedkoper en toegankelijker gemaakt voor een breder publiek en geleid tot een grote economische groei en welvaart. Het gevolg is wel dat er grote afhankelijkheden zijn ontstaan.

De coronacrisis heeft het bedrijfsleven de risico’s van een global sourcingstrategie pijnlijk duidelijk gemaakt. Verstoringen in de leveranciersketen leidden tot stopzetten van productie aan de klantenkant en overtollige voorraden aan de leverancierskant, met grote economische gevolgen. De (grootste) fietsenfabrikant Accell worstelt tot op de dag vandaag nog met de gevolgen hiervan.

Met alle geopolitieke ontwikkelingen die er nu spelen, zijn nieuwe verstoringen in de leveranciersketen geen irreëel risico. We hebben het recent ook kunnen zien bij de ontwikkelingen rondom chipsleverancier Nexperia, waarbij een conflict tussen China en Nederland over een vestiging van de chipsfabrikant in Nederland leidde tot het stilvallen van leveranties aan onder meer de Duitse automobielindustrie. Het bleek dat veel fabrikanten niet waren voorbereid op een dergelijk conflict, ondanks de lessen die men had kunnen trekken uit de coronacrisis. Kortom, procurement is zeker een strategisch risico dat een organisatie kan maken of breken.

Procurement risico’s: een aantal concrete voorbeelden

Hieronder volgt een korte uitwerking van een aantal concrete voorbeelden van risico’s met betrekking tot procurement.

Een eerste risico is het ontbreken van een strategisch inkoopbeleid. Daarmee bedoel ik het inzichtelijk krijgen en houden van welke inkopen essentieel zijn om de dienstverlening voor een specifieke periode te kunnen continueren, mocht een leverancier wegvallen.

Veel productiebedrijven zijn zo ingericht dat er wordt gewerkt volgens het ‘just in time’ principe, waarbij op basis van economische principes het voorraadbeheer wordt geminimaliseerd. In een geopolitieke stabiele wereld is dit een fantastisch model. In de huidige wereld is dit een gigantisch risico. Het niet inzichtelijk hebben van welke leveranciers cruciaal zijn voor continuering van de productie en welke risico’s kleven aan deze leveranciers (denk aan: locatie, eigenaren etc.), kan leiden tot onaangename risico’s. 90% van alle chips komen uit Taiwan. Ik denk dat het geen gekke aanname is dat de leveranciers van deze chips stil komen te liggen wanneer China Taiwan aanvalt. Ik ben benieuwd hoeveel bedrijven hier nu rekening mee houden.

Bovenstaand risico is vooral gericht op het niet meer beschikbaar hebben van specifieke leveranties. Een ander risico is dat producten wel beschikbaar blijven, maar tegen hele andere prijzen. Denk hierbij aan veranderende importheffingen, valutarisico’s of toegenomen marktmacht van een leverancier door overnames (waardoor betreffende leverancier een soort van monopolypositie verkrijgt). Dit laatste onderwerp is kort benoemd in mijn vorige blog over het strategische risico ‘marktconcentratie’. Een stevige verandering van de inkoopprijs kan een businessmodel volledig onderuit halen.

Een ander risico betreft de compliance, oftewel het naleven van relevante wetgeving. Hoewel het rapport van Draghi de indruk wekt dat Europa voorlopig wat minder nieuwe wetgeving zal invoeren, blijft het niet naleven van wetgeving toch een reëel risico. In relatie tot procurement is er namelijk al veel. Zo is er wetgeving op het gebied van productveiligheid, sanctiewetgeving, mededingingswetgeving (relevant bij gezamenlijke inkoop), IT-wetgeving (NIS2, DORA) die ook geldt voor specifieke leveranciers, IE-wetgeving en zo verder. Je bent als bedrijf meer en meer verantwoordelijk voor de gehele keten, dus ook voor je leveranciers. Dit kan gevolgen hebben voor de keuze in leveranciers en/of de wijze van samenwerken. In ieder geval is de kans reëel dat een en ander leidt tot hogere inkoopprijzen, omdat er meer wordt gevraagd van de leveranciers.

Ook IT is een groot risico, als het om procurement gaat. Bij veel bedrijven is er een koppeling met de IT-systemen van leveranciers om bijvoorbeeld het just in time principe goed te kunnen uitvoeren. Sommige leveranciers hebben door die koppelingen inzage in de voorraden van hun klanten. Hierbij is het essentieel dat de IT van de leverancier a: goed werkt (wordt het juiste besteld en geleverd?) en b: ook zeker goed beveiligd is. Een hack op je eigen IT-infrastructuur door een link met applicaties van een leverancier is een zeer reëel risico.

Bovenstaande lijst met risico’s is zeker niet limitatief. Er zijn nog wel meer risico’s te benoemen maar deze zijn ook afhankelijk van de inkopende en leverende organisatie, wat er ingekocht wordt, hoe je bedrijf is georganiseerd et cetera. Zie bovenstaande opsomming als een aanzet en uitnodiging om een goed strategisch risico-assessment uit te voeren op het gehele procurementproces.

Noodzakelijke maatregelen en actie gewenst

Wat zijn mogelijke maatregelen om te implementeren om bovenstaande risico’s te mitigeren?

Zorg voor een strategisch inkoopbeleid. Relevante aandachtspunten daarbij zijn onder meer het inzichtelijk krijgen van alle strategische inkopen, de mogelijke alternatieven, het helder krijgen van de gehele leveranciersketen (dus ook de kritische subleveranciers), het kennen van de risico’s behorende bij deze strategische leveranciers (locatie, eigenaren, politieke omgeving), voorraadbeheer, etc.
Breng de financiële risico’s in kaart van de strategische leveranciers. Denk hierbij aan valutarisico’s, potentiële importheffingen of dreigingen daartoe, mogelijkheid tot prijsonderhandelingen (is er sprake van een monopolist?).
Bepaal de relevante wetgeving die van toepassing is bij het inkopen. Denk hierbij aan relevante wetgeving van het land waar je inkoopt en waar je naartoe importeert, maar denk ook aan wereldwijde relevante wetgeving zoals bijvoorbeeld de FATCA vanuit de VS.
Beoordeel welke IT-risico’s er spelen bij specifieke leveranciers. Het gaat bijvoorbeeld om het gebruik van IT van leveranciers die aan bepaalde Europese wetgeving moet voldoen, maar ook IT die wordt gebruikt om de inkoop te ondersteunen.

Risicomanagers, wederom doe ik de oproep: ga actief aan de slag met integraal strategisch risicomanagement, ook ten aanzien van het procurementproces. Breng niet alleen de bekende risico’s zoals beschikbaarheid en prijsveranderingen in kaart, maar neem ook compliance, IT-kwesties en alle relevante wet- en regelgeving mee in uw analyse. Door nu tijd te investeren in een breed risico-assessment, kun je jouw organisatie beter wapenen tegen onverwachte ontwikkelingen en structureel hogere inkoopkosten voorkomen.

In een volgende blog volgt er weer een nieuwe suggestie voor een strategisch risicothema van mijn kant.

Meer weten over strategisch risicomanagement?

Wil je meer weten over (strategisch) risicomanagement of gewoon een keer hierover sparren? Neem dan contact met ons op voor een vrijblijvend adviesgesprek. Samen brengen we strategisch risicomanagement naar een hoger niveau met meer toegevoegde waarde.

Risicomanagement Marc van Heese

Strategisch risicomanagement, het ondergeschoven kindje (1): marktconcentratie

Goed risicomanagement is essentieel voor elke organisatie, om haar doelen efficiënt en effectief te kunnen bereiken. Strategisch risicomanagement maakt hier onderdeel vanuit.

Wat is een strategisch risico en strategisch risicomanagement?

Een strategisch risico en strategisch risicomanagement worden als volgt omschreven:

“Strategic risks” are those risks that are most consequential to the organization’s ability to execute its strategies and achieve its business objectives. These are the risk exposures that can ultimately affect shareholder value or the viability of the organization.

“Strategic risk management” then can be defined as “the process of identifying, assessing and managing the risk in the organization’s business strategy, including taking swift action when risk is actually realized.[1]

Het belang versus de realiteit

Ik zie vaak dat strategisch risicomanagement een ondergeschoven kindje is binnen risicomanagement. Het wordt in een organisatie vaak gezien als een verplicht nummer, wat eigenlijk alleen op de agenda van de directie zou moeten staan, als onderdeel van de strategie. Het wordt door de afdelingen Risicomanagement daarom vaak beperkt tot een eenmalige jaarlijkse strategische risicoanalyse (SRA) met de directie.

In een tijd met een enorm aantal grote en elkaar snel opvolgende geopolitieke en technische ontwikkelingen (denk aan artificial intelligence en quantum computing) is een jaarlijkse SRA wat mij betreft onvoldoende. De consequenties van het optreden van deze risico’s zijn namelijk enorm; de beperkte aandacht voor strategisch risicomanagement sluit niet aan op alle bedreigingen (en wellicht ook kansen).

Terugkerende aandacht, voor uiteenlopende thema’s

De komende weken zal ik geregeld een korte blog schrijven met elke keer een ander strategisch risicothema dat wat mij betreft vaker dan één keer per jaar op de agenda zou mogen staan. Ik zal hierin een aantal ontwikkelingen schetsen en daarmee wijzen op het belang van dit strategisch risicothema. Tevens zal ik enkele suggesties doen welke maatregelen eventueel genomen kunnen worden.

Deze week: het strategische risico Marktconcentratie

Het FD van dinsdag 27 januari leek wel een themanummer over marktconcentratie. Op de voorpagina een artikel over het onderzoek over de staat van de markt van de toezichthouder ACM. Strekking van het artikel was: de concurrentie op verschillende markten neemt af, met name door overnames. Grote bedrijven nemen potentiële startups over en belemmeren zo mogelijke concurrentie. Een andere overnametendens komt voort uit de aanpak van private Equity, die vooral actief is in het zogeheten ‘kralen rijgen’: het opkopen van kleinere bedrijven en deze samenvoegen tot een grotere speler met meer marktmacht.

Andere artikelen in diezelfde krant over marktmacht waren de overname van JDE Peet door het Amerikaanse KDP, de marktmacht van Meta, het ingrijpen van de Chinese overheid bij monopoliepraktijken van een reisgigant, de overname door CVC van een Amerikaanse krediet verzekeraar, de overname van een goudbedrijf, de overname van een afbouwgroep, de fusie van Baker Tilly Nederland en België en wellicht vergeet ik er nog een paar.

Een verdere uitwerking

Kortom, marktconcentratie is een hot topic. Deze marktconcentratie brengt voor organisaties verschillende risico’s met zich mee. Hieronder wordt een aantal van die risico’s uitgewerkt.

Het eerste risico is dat een organisatie mogelijk ongewenst een overnamekandidaat wordt. Of je overgenomen kan worden, hangt uiteraard af van vele factoren, zoals of de aandelen openbaar worden verhandeld, of er een beschermingsconstructie is, et cetera. Maar denk niet dat dit alleen speelt bij grotere ondernemingen. Ook bij kleinere ondernemingen die niet publiek verhandelbaar zijn, kan een overname grote gevolgen hebben; gewenste en/of ongewenste gevolgen. Een bod van een overnemende partij kan ongewenste dynamiek veroorzaken binnen een groep aandeelhouders, waarbij de één wel wil verkopen en de ander niet. Het is dus raadzaam om dit onderwerp vooraf op de agenda te hebben staan. Zorg ervoor dat er consensus is binnen de aandeelhouders over of men wil overgenomen worden, tegen welke condities, en door wat voor soort partij. Indien deze vragen nog beantwoord moeten worden: als het bod er ligt, ben je eigenlijk te laat.

Concentratie in jouw markt kan ook betekenen dat jouw positie als organisatie in die markt onder druk komt. Doordat er grote concurrenten ontstaan, met grotere schaalvoordelen waardoor de samengevoegde organisaties bijvoorbeeld goedkoper kunnen produceren, Research & Development kosten beter kunnen spreiden en daardoor mogelijk innovatievere producten kunnen lanceren dan jouw organisatie dat kan. Hiermee kunnen ze jouw organisatie uit de markt werken. Het is dus van belang om als organisatie de ontwikkelingen binnen de markt op het gebied van marktconcentratie nauwlettend te volgen.

Marktconcentratie in de keten kan ook een probleem zijn voor een organisatie. Denk je eens in dat jouw klant steeds groter wordt en meer marktmacht krijgt. De kans is groot dat dit gevolgen heeft in de onderhandelingen over de prijs. Het is dus belangrijk om de ontwikkelingen in jouw klantenportefeuille ten gevolge van overnames goed te monitoren en hierop voorbereid te zijn. Misschien door lange(re) contracten te sluiten of het toevoegen van een soort lock-in in je producten waardoor de afnemer lastiger een stevigere positie kan innemen in de onderhandelingen.

Bovenstaande geldt uiteraard ook voor de leveranciers in de keten. Een eventuele concentratie in de leveranciersketen kan ook leiden tot hogere inkoopprijzen. Dus ook hier geldt dat het van belang is om de ontwikkelingen hierin te monitoren. Zorg als mitigerende maatregel bijvoorbeeld voor het tijdig in kaart brengen van alternatieven voor je huidige leveranciers.

Noodzakelijke maatregelen en actie

Aangezien ontwikkelingen in de markt steeds sneller gaan, Private Equity steeds vaker een nieuwe markt opzoekt om schaalvoordelen te realiseren, ben ik van mening dat het strategische risico van marktconcentratie meer aandacht verdient dan het eenmalig benoemen in de ‘verplichte’ jaarlijkse strategische risicoanalyse.

Als noodzakelijke maatregelen om te implementeren zie ik: monitoring van de eigen markt, de leveranciersmarkt en de klantenmarkt. Ook dient er een visie te worden ontwikkeld op het scenario waarbij je overgenomen wordt dan wel een andere organisatie gaat overnemen. Uiteraard hoop ik dat de afdeling risicomanagement deze visie en maatregelen ook toetst.

Dus, risicomanagers: aan de slag met het strategisch risicomanagement.

Volgende keer een nieuwe suggestie voor een strategisch risicothema van mijn kant.

[1] https://corpgov.law.harvard.edu/2012/08/23/strategic-risk-management-a-primer-for-directors/ NB: in dit artikel staat overigens ook een prima aanpak voor strategisch risicomanagement.

Meer weten over strategisch risicomanagement?

Wil je meer weten over (strategisch) risicomanagement of gewoon een keer hierover sparren?

Neem contact met ons op voor een vrijblijvend adviesgesprek. Samen brengen we strategisch risicomanagement naar een hoger niveau met meer toegevoegde waarde.

Risicomanagement Marc van Heese

De kracht van samenwerking tussen de 3 lijnen

Samenwerking binnen de Three Lines: meer dan structuur

Het three lines model is een bekend concept binnen governance, risicomanagement en compliance. Toch zien we in de praktijk dat samenwerking tussen de drie lijnen vaak nog onvoldoende wordt benut. De ideale inrichting draait niet alleen om heldere rollen en verantwoordelijkheden, maar vooral om effectieve afstemming en gezamenlijke aanpak.

Waarom samenwerking essentieel is

Wanneer de eerste lijn (operationeel management), tweede lijn (risicomanagement en compliance) en derde lijn (interne audit) elkaar versterken, ontstaat een robuust netwerk van checks & balances. Dit voorkomt dubbel werk en zorgt dat risico’s tijdig worden gesignaleerd en beheerst. Samenwerking betekent niet alleen overleg, maar ook het slim inzetten van instrumenten zoals Assurance Mapping.

Assurance Mapping: inzicht en afstemming per risicothema

Assurance Mapping is een krachtig hulpmiddel om per risicothema inzichtelijk te maken:

Welke risico’s spelen er?
Welke beheersmaatregelen en controles zijn al aanwezig?
Wie doet wat (eerste, tweede, derde lijn of zelfs daarbuiten) en welke zekerheden ontlenen we daar al aan?

Door deze mapping ontstaat overzicht en voorkom je overlap in monitoring en toetsing. Het maakt duidelijk waar nog gaten zitten en waar samenwerking nodig is om volledige dekking te realiseren.

Voordoen, samendoen, zelf doen: maatwerk per thema

Niet elk risicothema vraagt dezelfde aanpak. Afhankelijk van de volwassenheid van processen en teams kun je werken volgens het principe:

Voordoen: de tweede of derde lijn neemt het voortouw en laat zien hoe het moet.
Samendoen: samen uitvoeren om kennis en vaardigheden op te bouwen.
Zelf doen: de eerste lijn neemt verantwoordelijkheid, met de andere lijnen als sparringpartner.

Deze aanpak stimuleert groei en eigenaarschap, terwijl de organisatie als geheel sterker wordt in risicobeheersing.

ARC People als partner

Bij ARC People geloven we dat de ideale inrichting van de three lines begint bij samenwerking én vaktechnische scherpte. Met onze GRC-scan brengen we niet alleen de formele structuur in kaart, maar ook de mate van samenwerking en volwassenheid per thema. Vervolgens adviseren we over verbeteringen en begeleiden we de implementatie in co-creatie. Zo realiseren we een inrichting die niet alleen voldoet aan eisen van toezichthouders, maar vooral waarde toevoegt aan uw organisatiedoelen.

Wilt u eens sparren over de ideale samenwerking in the Three lines?

Neem contact met ons op voor een vrijblijvend adviesgesprek. Samen kunnen we hoogstwaarschijnlijk de effectiviteit van de (samen)werking in de Three lines verder verstevigen.

Diensten Contact

Carpetright got IT wrong

Onlangs las ik in het FD dat winkelketen Carpetright failliet is gegaan. Altijd pijnlijk om te lezen: ondernemers die hun nek hebben uitgestoken en personeel dat nu hun baan verliest. Toch ben ik als professional vooral benieuwd naar de oorzaken. Niet uit sensatiezucht, maar om ervan te leren. Was het een gebrek aan marktgevoel, te hoge kosten, onvoldoende digitalisering, of simpelweg pech met de conjunctuur?

Volgens het curatorsverslag waren er twee hoofdredenen: een afgeboekte lening aan de Britse moedermaatschappij én een fout in de omzetregistratie door een nieuw IT-systeem. Juist dat laatste intrigeerde mij. Het systeem was bedoeld om de financiële problemen te verlichten en efficiënter te werken, maar leidde tot een forse fout: omzet werd dubbel geteld. De daadwerkelijke omzet bleek dus lager dan gedacht, met alle gevolgen van dien.

Voorkom fouten bij de implementatie van nieuwe IT systemen

Dit roept de vraag op: hoe voorkom je zulke fouten bij de implementatie van nieuwe IT-systemen? Natuurlijk is het makkelijk praten vanaf de zijlijn, zeker als gezien de tijdsdruk waaronder Carpetright acteerde. Maar juist in het digitale tijdperk is beheersing van essentiële IT-systemen cruciaal. Hoe zorg je dat je de doelen van een implementatie daadwerkelijk realiseert?

Er zijn uiteraard vele maatregelen die je kunt treffen om te zorgen voor de goede implementatie van een nieuw IT systeem. Wanneer je specifiek focust op het beheersen van het risico van onjuiste informatie uit het systeem, noem ik hiervoor de volgende maatregelen:

Start elk IT-project met een heldere IT-risicoanalyse, gericht op de doelstellingen van het systeem. Breng expliciet het risico van onjuiste informatie in kaart en bepaal passende mitigerende maatregelen.
Voer uitgebreide tests uit, gebaseerd op een gedegen testplan en testcases die aansluiten bij de werkelijkheid. Betrek gebruikers bij het testen.
Train medewerkers in het gebruik van het systeem. Neem hen ook mee in het herkennen van risico’s, zodat zij optreden als eerste signaalfunctie. Bewustwording is een belangrijke preventieve maatregel.
Zorg voor een goed nazorgtraject na implementatie. Gebruik data-analyses (bijvoorbeeld door verschillende bronsystemen met elkaar te vergelijken) om fouten en onlogische zaken op te sporen.
Overweeg een onafhankelijke review op het project en het IT-systeem zelf, door bijvoorbeeld goede Quality Assurance in te richten. Dit helpt om blinde vlekken te voorkomen en tijdig bij te sturen.

Voor de betrokken ondernemers is dit allemaal mosterd na de maaltijd. Maar hopelijk helpt het anderen om bij een IT-implementatie extra scherp te zijn op de juistheid van informatie. Zelf zijn wij recent ook overgestapt op een nieuw bronsysteem en dit verhaal is voor mij een extra reden om daar zelf ook nog eens kritisch naar te kijken.

Meer weten over projectbeheersing?

Wil je meer weten over projectbeheersing of gewoon een keer hierover sparren?

Neem contact met ons op voor een vrijblijvend adviesgesprek. Samen tillen we jouw projectbeheersing naar een hoger niveau!

Quality Assurance Marc van Heese

ARC (vak)praat met… Jorg Voeten, Head of Risk & Compliance bij CM.com

Introductie en aanleiding

Jorg Voeten en Sander van Oosten kennen elkaar al geruime tijd. Dit gesprek kwam tot stand na enkele posts van Sander. Daarin schreef Sander over de toegenomen verantwoordelijkheden in ons werkveld en benoemde hij de vele risico’s en de nieuwe wetgeving die op ons afkomen. In dit gesprek gaat Jorg in op de consequenties van deze ontwikkelingen; voor het Risk & Compliance veld in brede zin én voor zijn verantwoordelijke rol als Head of Risk & Compliance bij CM.com.

Loopbaan en ervaring

Jorg heeft een rijke carrière in Risk & Compliance, met eerdere functies bij KPMG, KPN en Exact. Hij denkt dat zijn brede ervaring hem helpt om Risk & Compliance te verbinden met de bedrijfsstrategie: “Ik heb altijd raakvlakken gehad met of ben betrokken geweest bij de business. Ik ben niet een traditionele Risk & Compliance manager, puur acterend vanuit de second line van het three lines model, denk ik. Ik heb een bedrijfskundige achtergrond en ben bij veel operationele processen betrokken geweest.”

Deze combinatie van kennis en praktijkervaring maakt dat hij Risk & Compliance niet als geïsoleerde domeinen ziet. Zijn functie vraagt om zowel overzicht als diepgang, omdat hij voortdurend moet schakelen tussen strategisch beleid en operationele details.

Cultuur en organisatie

CM.com is een fintech-organisatie met vier business units. Jorg rapporteert direct aan de CFO en onderhoudt daarnaast informele lijnen met de CEO en de Raad van Commissarissen (via de audit committee). CM.com heeft een mooie en bijzondere cultuur, die vrijheid en ondernemerschap stimuleert. “Het motto is: doe wat je leuk vindt, doe waar je goed in bent en draag bij”.

Dat vraagt ook om duidelijke kaders, die de vrijheid in perspectief van bijvoorbeeld goed ondernemerschap en wetgeving plaatst. Daar zit af en toe een spanningsveld, want compliance en risicomanagement zijn niet de eerste onderwerpen waar iemand in sales bijvoorbeeld aan denkt. In zijn ogen kan risicomanagement, bijvoorbeeld via ISO-certificeringen, juist een driver voor sales zijn, als trust enabler van de CM.com diensten.

Jorg ziet verschillen in volwassenheid binnen de organisatie, meestal logisch verklaard doordat het een nieuwe of overgenomen business unit betreft. Dit vraagt soms een andere benadering van het Risk & Compliance team.

Minder volwassen teams, of waar nieuwe onderwerpen relevant worden, worden vanuit het Risk & Compliance team meer ondersteund in de implementatie, daar waar het team zich meer richt op testen van de interne beheersing (internal controls) bij meer volwassen teams. Zijn eigen team bestaat uit Risk & Compliance specialisten met diverse achtergronden, en door de hoeveelheid thema’s die er op hen afkomen, is prioriteren essentieel.

Risk & Compliance: what’s in the name?

Als het over Compliance gaat, geeft Jorg aan dat hij Compliance als één van de invalshoeken van Risicomanagement beschouwt, net zo goed als security een invalshoek kan zijn, of de business objectives. “Uiteraard is Compliance meer dan alleen het voldoen aan regels.” Jorg onderstreept het belang van bedrijfswaarden en integriteit. En er komt steeds meer nadruk te liggen op het kunnen aantonen van de kwaliteit van de diensten of het aantoonbaar ‘in control’ zijn ten aanzien van het voldoen aan wetten.

Over accountability zegt Jorg: “De veronderstelling is soms, dat als je Riskmanager bent, dat jij de risico’s managet. In mijn ogen is dat een misvatting. Wij moeten het proces van risico managen faciliteren, de methodologie en het enterprise risk management systeem inrichten, onderhouden en verbeteren, maar de verantwoordelijkheid voor het managen van risico’s ligt bij de business zelf.”

Toenemende regeldruk en innovatie

De toenemende regeldruk, vooral vanuit Europa, vraagt volgens Jorg om slimme, pragmatische keuzes en het zoeken naar synergie tussen verschillende kaders. Jorg ziet dat de groeiende hoeveelheid regelgeving vraagt om meer capaciteit, terwijl die niet altijd beschikbaar is. “Niet alle investeringen in compliance en risk management leveren namelijk direct waarde op (zoals omzetgroei), maar ze kunnen wel essentieel zijn voor het behouden van je “license to operate”; het blijft zoeken naar de juiste balans.”

Innovatie ziet Jorg als een kans voor Risk & Compliance. “Innovatie en compliance kunnen elkaar versterken!” Jorg vertelt dat CM.com er bijvoorbeeld voor heeft gekozen om een AI managementsysteem volgens de ISO-standaard (ISO 42001) in te richten. Door als één van de eersten in Nederland zo’n systeem te implementeren, creëert zijn organisatie een “competitive edge” en een “first mover advantage”. “Dit betekent dat het voldoen aan (nieuwe) regels niet alleen wordt gezien als een verplichting, maar juist als een kans om het product betrouwbaarder, onderscheidender en aantrekkelijker te maken voor klanten”, aldus Jorg. “Een ander voordeel is, dat er door de implementatie van deze ISO-standaard al een flinke stap is gemaakt om aan de AI-Act te gaan voldoen.”

Oplossingen voor toenemende druk

Het omgaan met regeldruk, meer risico’s en groeiende verantwoordelijkheden vraagt om een combinatie van strategische keuzes, pragmatisme, innovatie en samenwerking. Jorg benadrukt dat er niet één gouden oplossing is, maar dat het een samenspel is van verschillende benaderingen die elkaar versterken.

Allereerst is het volgens Jorg essentieel om niet alleen reactief te zijn op nieuwe wet- en regelgeving, maar juist proactief te anticiperen op wat er op de organisatie afkomt. Dit betekent dat je als Risk & Compliance professional voortdurend de ontwikkelingen in het vakgebied volgt, deelneemt aan relevante netwerken en vakgroepen, en actief de dialoog zoekt met collega’s, management en externe partijen.

“Ik denk dat het sowieso voor iedereen in het Risk & Compliance werkveld goed is om aan te sluiten bij of op de hoogte te blijven van ontwikkelingen, bijvoorbeeld via vakgroepen, congressen en nieuwsartikelen”, aldus Jorg. Het is ook leuk en leerzaam om persoonlijk actief bij te dragen aan ontwikkelingen in het werkveld. Zo zit Jorg in een werkgroep van de Online Trust Coalitie (een Publiek Private Samenwerking), om te komen tot “operationalisatie van Europese regelgeving: van individuele vereisten naar een herhaalbaar model”.

Ook is Jorg, namens CM.com, via de Bedrijfsadviesraad als werkveldvertegenwoordiger nauw betrokken bij de ontwikkeling van de Bedrijfskunde opleiding van Avans hogeschool en neemt hij deel als gecommitteerde bij afstudeerzittingen voor Bedrijfskunde en Finance & Control opleidingen.

Een tweede belangrijke mogelijkheid is het zoeken naar synergie en standaardisatie. Jorg beschrijft hoe zijn organisatie werkt aan het in kaart brengen van overlappende eisen uit verschillende wetgevingen en normen, om zo te voorkomen dat dezelfde controlemaatregelen telkens opnieuw moeten worden ingericht.

Door processen en beheersmaatregelen slim te koppelen aan meerdere kaders, wordt het werk efficiënter en overzichtelijker. “Ik geloof er echt in dat je zoveel mogelijk moet proberen om zaken eenmalig, direct goed te implementeren. Eenmaal toetsen zorgt vervolgens ervoor dat je verantwoording kunt afleggen over verschillende kaders en voor verschillende doeleinden.”

Innovatie speelt een steeds grotere rol in het omgaan met regeldruk. Jorg noemt de inzet van AI en automatisering als een manier om sneller en slimmer te werken. AI wordt gebruikt om grote hoeveelheden informatie te verwerken, wetgeving te analyseren en complianceprocessen te ondersteunen. Ook worden er agents gebouwd die medewerkers helpen om snel antwoorden te vinden op compliance-vragen, en worden monitoring- en controlprocessen steeds verder geautomatiseerd.

Tegelijkertijd waarschuwt Jorg dat automatisering alleen werkt als de onderliggende processen voldoende gestandaardiseerd zijn en de data van voldoende kwaliteit is: “Ik geloof er ook in dat wij als tweedelijns team effectiever kunnen worden als de eerste lijn veel meer gaat simplificeren en standaardiseren. Als zij dezelfde werkwijzen gaan hanteren, kunnen wij ook makkelijker geautomatiseerd testwerk gaan doen.”

Een andere mogelijkheid die Jorg benoemt, is het bewust prioriteren en keuzes maken. Niet alles hoeft tegelijk en niet alles kan even diepgaand worden opgepakt. Het is belangrijk om samen met het management expliciet te bepalen welke onderwerpen prioriteit krijgen en welke (tijdelijk) minder aandacht krijgen. Dit vraagt om transparantie en het vastleggen van gemaakte keuzes, zodat achteraf duidelijk is waarom bepaalde risico’s of compliance-eisen wel of niet zijn opgepakt.

Verder benadrukt Jorg het belang van samenwerking, zowel intern als extern. Door kennis en ervaringen te delen met andere organisaties, vakgenoten en externe adviseurs, kun je sneller leren en profiteren van best practices. Ook binnen de eigen organisatie is samenwerking cruciaal: Risk & Compliance is geen solospel, maar vraagt om betrokkenheid van de business, IT, legal, Security en andere afdelingen.

Tot slot: blijf dromen en reflecteren

Als Jorg vooruitkijkt, benoemt hij: “Ik droom ervan dat Risk & Compliance binnen een paar jaar vanzelfsprekendheid zijn geworden in besluitvorming. Dat het niet als ‘moetje’ wordt ervaren en moeite kost, maar dat het de business echt helpt en als zodanig wordt gezien.”

Tot slot noemt Jorg het belang van reflectie en het durven bijstellen van de eigen aanpak. De context verandert namelijk voortdurend, en het is belangrijk om regelmatig stil te staan bij de effectiviteit van de gekozen strategieën. Soms betekent dit dat je moet accepteren dat niet alles perfect kan zijn, en dat het beter is om pragmatisch te handelen dan te streven naar volledige controle.

“Eerlijk naar jezelf durven kijken. Als organisatie, maar zeker net zo belangrijk als persoon. Echt in de spiegel durven kijken en anderen aan jou die spiegel laten voorhouden. Dat is essentieel om keuzes te maken en stappen voorwaarts te zetten. Zonder reflectie is er geen groei”.

Doorpraten over alle ontwikkelingen in Risk & Compliance?

Hartelijk dank voor het lezen van deze bijdrage. Heb je behoefte om door te praten over alle ontwikkelingen die er op ons afkomen….en hoe we daaraan het hoofd kunnen bieden? Neem dan contact op met mij of één van mijn collega’s. Wij staan klaar om eventuele vragen te beantwoorden en je verder te helpen.

Wij streven ernaar om zo snel mogelijk op vragen te reageren. Uiterlijk na één werkdag mag u een reactie verwachten.

Onze diensten Contact

De Cloud Controls Matrix (CCM) als toetsingskader voor interne audits

In een wereld waarin steeds meer organisaties hun data en processen naar de cloud migreren, zijn vragen rondom informatiebeveiliging en compliance rondom Cloud-oplossingen steeds urgenter. Voor internal audit afdelingen is het essentieel om een gestructureerd en erkend toetsingskader te hanteren bij het beoordelen van cloud omgevingen.

De Cloud Security Alliance (CSA) biedt hiervoor een krachtig instrument: de Cloud Controls Matrix (CCM). In deze blog verkennen we hoe je de CCM kunt toepassen in internal audits en welke voordelen dit biedt. Tevens geven we een aantal praktijkvoorbeelden.

Wat is de Cloud Controls Matrix (CCM)?

De CSA Cloud Controls Matrix is een uitgebreide set van beheersingsmaatregelen op het gebied van informatiebeveiliging, specifiek ontwikkeld voor cloud omgevingen. Het raamwerk bevat 197 beheersingsmaatregelen, verdeeld over 17 domeinen, waaronder Governance, Risk Management, Compliance, Applicatiebeveiliging en Identity & Access Management. De CCM maakt gebruik van gangbare normen en frameworks zoals ISO 27001, NIST en GDPR, waardoor het zeer geschikt is voor organisaties die te maken hebben met uiteenlopende compliance vereisten.

Hoe pas je de CCM toe in een audit?

De toepassing van de CCM binnen een auditproces verloopt in grote lijnen als volgt (zie ook figuur 1 hieronder):

Scope bepalen: Stel vast welke cloud toepassingen en -diensten binnen de scope van de audit vallen.
Selectie relevante beheersingsmaatregelen: Selecteer, op basis van het risicoprofiel van de organisatie en de relevante wet- en regelgeving, de interne beheersingsmaatregelen uit de CCM die van toepassing zijn.
Toetsing en interviews: Gebruik de geselecteerde interne beheersingsmaatregelen als leidraad voor documentatie reviews, analyses en interviews met key stakeholders.
Gap-analyse en rapportage: Breng in kaart waar de organisatie voldoet en waar verbetermaatregelen nodig zijn. De CCM maakt het eenvoudig om bevindingen te structureren en te relateren aan erkende normen.

Figuur 1 Cloud audit in 4 stappen met CSA CCM

Wat zijn de voordelen van de CCM?

De CCM biedt verschillende voordelen:

Toegankelijk en overzichtelijk: Ondanks de omvang is de CCM goed gestructureerd en biedt het een praktische indeling, ook voor middelgrote en kleinere organisaties.
Erkenning en aansluiting: Het gebruik van een internationaal erkend framework geeft audits extra waarde richting klanten, leveranciers en toezichthouders.
Flexibiliteit: De CCM is modulair inzetbaar. Dit maakt het mogelijk om te starten met de belangrijkste domeinen en later uit te breiden.
Benchmarking: Door aansluiting bij andere normen kunnen organisaties eenvoudig hun compliance positie vergelijken met bredere standaarden.
Pragmatische adviezen: De genoemde beheersingsmaatregelen bieden goede handvatten om bij bevindingen effectieve adviezen te geven.

Praktijkvoorbeelden:

Cloud opslagdienst bij een accountantskantoor: Tijdens een audit bleek dat een accountantskantoor onvoldoende had geborgd dat klantdata in de cloudomgeving uitsluitend toegankelijk was voor geautoriseerde medewerkers.
Door toepassing van de CCM-domeinen ‘Identity & Access Management’ en ‘Data Security & Privacy’ werd dit risico inzichtelijk gemaakt en zijn er maatregelen geadviseerd, zoals multi-factor authenticatie en periodieke beoordelingen van toegang.
Middelgrote softwareleverancier: Een softwarebedrijf maakte gebruik van een publieke cloud omgeving voor het hosten van klantapplicaties. Met de CCM werd vastgesteld dat het bedrijf geen formeel proces had voor incident management. Door de controls uit het domein ‘Threat and Vulnerability Management’ en ‘Incident Management’ toe te passen, werd een incident response plan opgesteld en periodiek getest.
Zorginstelling met cloudapplicaties: Een zorgorganisatie die patiëntgegevens in een SaaS-oplossing verwerkt, werd geaudit op basis van de CCM-domeinen ‘Compliance’ en ‘Privacy & Data Protection Management’. Hieruit bleek dat het verwerkingsregister onvolledig was en dat verwerkersovereenkomsten niet actueel waren. Met behulp van de CCM werden deze tekortkomingen gestructureerd aangepakt.

Conclusie

De CSA Cloud Controls Matrix biedt interne auditors een krachtig en gestructureerd hulpmiddel bij het toetsen van cloud omgevingen. De matrix maakt risico’s inzichtelijk, helpt prioriteiten stellen en ondersteunt bij het aantoonbaar voldoen aan relevante eisen. Met de opgenomen praktijkvoorbeelden wordt duidelijk hoe toepasbaar en effectief de CCM in de praktijk is.

Meer weten over beheersing van de Cloud?

Ben je benieuwd hoe de CCM kan bijdragen aan het versterken van jouw cloud audits?

Of wil je samen met ons een cloud risk assessment uitvoeren op jouw cloud omgeving? Neem contact met ons op voor een vrijblijvend adviesgesprek of demo van de CSA Cloud Controls Matrix in de praktijk. Samen tillen we jouw cloud security en compliance naar een hoger niveau!

Cloud Risk Assessment Contact

Navigeren door Onzekerheid: De Rol van Internal Audit in een VUCA Wereld

Er waren al veel spanningen in de wereld: de inval van Rusland in Oekraïne in 2022, de dreiging van een oorlog in Azië (China met Taiwan, spanningen in de Zuid-Chinese zee), een richting van politiek (extreem) rechts in Europa, etc. Na de verkiezing van Trump komen daar nieuwe oorlogsdreigingen (Groenland, Iran) en handelsbarrières bovenop. Wat vroeger een zekerheid leek (bijvoorbeeld Amerika is onze vriend) is tegenwoordig op zijn best twijfelachtig. Aanvullend spelen er klimaatrisico’s en onduidelijkheid over Europese wetgeving (zie het CSRD dossier). Kortom de VUCA wereld (Volatility, Uncertainty, Complexity en Ambiguity) is in alle hevigheid losgebarsten. Het is onzekerheid troef in de bestuurskamers van organisaties.

De beroepsverenging (en veel van haar leden) ziet zichzelf graag als trusted advisor van de board. Door niet enkel hindsight en insight te bieden maar wellicht ook foresight. Door niet alleen focus te leggen op bedreigingen, maar ook op kansen. Als er één moment is waarop Internal Audit relevant kan worden als trusted advisor, dan is het toch nu. Alleen focus op ‘standaard’ onderwerpen en processen door Internal Audit is in deze tijd wel wat karig, maar ook zeker risicovol. Je hoort wel eens: je kan met een goedgekeurde jaarrekening failliet gaan. Dus wat is de toegevoegde waarde van een externe accountant? Als de internal auditor in deze tijd niet oplet, kan dit ook voor hem gaan gelden. Dat gevaar is er zeker wanneer de internal auditor vooral de focus legt op de intern gerichte processen. Je kunt dan een situatie hebben waarbij al je uitgebrachte auditrapporten een positief oordeel hebben, terwijl de organisatie ‘in brand’ staat onder invloed van alle externe ontwikkelingen. Dan heb je wellicht toch de verkeerde auditonderwerpen gekozen (of de audits niet goed uitgevoerd, maar daar gaan we maar even niet vanuit).

Macro-economische en geopolitieke onzekerheid staat in de ‘Risk in focus 2025’ op nummer 5 in de lijst van belangrijkste risico’s, volgens de Chief Audit Executives in Europa. Mijns inziens is dit wat laag maar mogelijk ligt dit aan het feit dat de enquête hiervoor al in het eerste half jaar van 2024 is gehouden[1].

Aan welke onderwerpen kun je dan denken, die meer toegevoegde waarde hebben in deze turbulente wereld? En waar zou je dan de accenten op kunnen leggen? Hieronder volgt een aantal suggesties.

In hoeverre de onderwerpen allemaal relevant zijn, is uiteraard afhankelijk van verschillende factoren, zoals de soort organisatie, in welke markten de organisatie actief is, hoe internationaal georiënteerd etc. Onderstaande opsomming zal dan ook niet overal van toepassing zijn.

Risicomanagement

Start met een audit naar (strategisch) risicomanagement. Om onzekerheid het hoofd te bieden en passende maatregelen te kunnen nemen, is een strategische risicoanalyse onontbeerlijk. Internal Audit zou dus een audit kunnen uitvoeren naar het strategisch risicomanagement binnen de organisatie. Relevante vragen in deze audit kunnen zijn: is deze analyse er, wie voert deze uit, wie zijn betrokken en in welke rol, welke externe deskundigheid wordt gebruikt (personen of rapportages), etc. Allemaal vragen die de kwaliteit van de analyse kunnen beïnvloeden.

Inkoop (zekerheid van leveranciers en prijs)

Door alle ontwikkelingen kan het voor sommige in te kopen producten & diensten de vraag zijn of de leveranties wel gegarandeerd zijn en blijven en of de condities wel gelijk blijven. Belangrijke vragen bij een dergelijke audit kunnen zijn: zijn alle strategische inkopen bekend, zijn de criteria voor wat strategisch nog even relevant, zijn de alternatieven in kaart gebracht, zijn er exit-plannen om bij een leverancier weg te kunnen, wat is de invloed van transportkosten op de in te kopen producten, is de gehele keten (en zijn daarmee afhankelijkheden) van het in te kopen product en de daarbij behorende risico’s duidelijk, voldoet de inkoop aan alle in- en externe ESG eisen, etc.

Voorraad

Dit onderwerp borduurt verder op het vorige: zijn de benodigde strategische voorraden bekend, worden deze goed gemonitord, is er bij het voorraadbeheer rekening gehouden met de producten die in ontwikkeling zijn, is er rekening gehouden met sterk fluctuerende vraag in de markt, etc. Voor dienstverleners waarbij de capaciteit sterk afhankelijk is van human resources gelden andersoortige vragen: kan er snel op of af worden geschaald, tegen welke kosten, is er andersoortige expertise nodig, hoe snel kan die eigen worden gemaakt, etc.

Productielocaties

Evident een belangrijk onderwerp, uiteraard heel actueel gezien de handelsbarrières maar ook de fysieke toegang wordt een steeds relevanter thema. Denk aan bijvoorbeeld een oorlog in Taiwan. Toegang tot een productiefaciliteit is dan nagenoeg onmogelijk. Denk bij een audit naar dit onderwerp onder meer aan: welke criteria zijn bepalend voor het openen van een nieuwe productiefaciliteit en worden deze altijd gehanteerd (denk bijvoorbeeld aan toegang tot betaalbare energie), hoe mobiel is een productiefaciliteit (kunnen machines relatief eenvoudig worden weggehaald), is er een markt om de faciliteit eventueel te verkopen indien noodzakelijk?

Lobby

Het beïnvloeden van overheden is van alledag. Dat kan op verschillende manieren: via een eigen lobbyist, door aan te sluiten bij een brancheorganisatie met een eigen lobby, PR etc. Een audit kan beginnen met de vraag of lobbyen relevant en haalbaar is voor de organisatie.

Beleggingen

Sommige organisaties hebben beleggingen behorend bij de primaire dienstverlening (o.a. verzekeraars), sommige organisaties hebben dit vanuit overtollig cash. Met beleggen bedoelen we hier geen strategische deelnemingen (zie het onderwerp Deelnemingen verderop in dit artikel). Door alle ontwikkelingen is het duidelijk dat de beurs zeer volatiel kan zijn. Afgelopen week was er sprake van een echte rollercoaster en het einde is nog niet in zicht. Aandachtspunten voor een audit kunnen zijn: zijn er stresstesten uitgevoerd, zijn de mogelijke gevolgen besproken in de juiste gremia, zijn er wijzigingen doorgevoerd, hoe wordt er gemonitord, kan er snel worden gehandeld, wat zijn de afhankelijkheden hierbij van derde partijen, welke afspraken zijn gemaakt bij fiduciair management, wordt daarover gerapporteerd en wie beoordeelt dit, hoe wordt er gehedged, zijn er beleggingen met margin calls, wordt de complexiteit van het financiële product goed doorgrond. Misschien herinnert u zich nog de collateralized debt obligations (CDO’s, in het Nederlands herverpakte kredieten) uit de kredietcrisis van 2008.

Valutarisico’s

Dit risico spreekt voor zich. Belangrijke punten die hier kunnen spelen zijn: welke valutarisico’s zijn er, welke zijn gehedged en welke niet en hoe, wordt bij inkoop of sales rekening gehouden met valutarisico’s, zijn hier interne richtlijnen voor vastgelegd.

Deelnemingen

Het hebben van deelnemingen kan diverse positieve zaken brengen, zoals het in huis halen van kennis, vergroten van de markt, uitschakelen van concurrentie etc. Maar uiteraard kunnen deelnemingen in deze VUCA wereld ook leiden tot extra risico’s. Bijvoorbeeld doordat de deelneming actief is in een specifiek land en/of een risicovolle mede-aandeelhouder kent uit een land dat op een sanctielijst staat of daarop kan komen te staan. Vergezocht? Er zijn al genoeg bedrijven die hun deelnemingen in Rusland voor een appel en een ei van de hand hebben moeten doen. Aandachtspunten bij deelnemingen zijn onder andere: zijn alle deelnemingen in kaart, zijn alle mede-aandeelhouders bekend, zijn er afspraken gemaakt over toetreding van nieuwe aandeelhouders in de deelneming, welke afdeling monitort deze zaken binnen de organisatie, wat is de maximale financiële impact bij een gedwongen verkoop, wat is het afbreukrisico, etc.

Veiligheid personeel

Mede door de social media kan er razendsnel negatieve berichtgeving ontstaan over bedrijven, met alle mogelijke gevolgen van dien voor de werknemers. Een schokkend voorbeeld daarvan is de recente moord op een bestuurder van een Amerikaanse zorgverzekeraar, die werd beschuldigd van het weinig vergoeden van zorgkosten. Punten van aandacht zijn: is er een analyse gemaakt van mogelijke risicogebieden; denk aan geografische risicogebieden, gevaarlijk klantcontact, naar buiten toe zichtbaar personeel etc. Wordt social media gemonitord (wordt er negatief gesproken over onze organisatie), is er awareness bij relevante medewerkers, is er een PR dan wel marketing afdeling die dit in scope heeft etc. Voorbeeld: militairen die te tracken zijn via een hardloop-app.

Bovenstaande lijst is vast en zeker uit te breiden, zeker als gekeken wordt naar specifieke bedrijfskenmerken. In de eerder genoemde risicoanalyse kan hier dieper op in worden gegaan.

Afhankelijk van het onderwerp en de diepgang van de audit, kan het raadzaam c.q. noodzakelijk zijn om specifieke expertise in te huren om alle relevante risico’s van dat onderwerp boven tafel te krijgen en beheersmaatregelen te kunnen beoordelen. Een matig uitgevoerde audit door gebrek aan kennis voegt maar beperkt waarde toe en kan afbreuk doen aan de reputatie van Internal Audit.

Uiteraard moet er ook aandacht blijven voor het going concern en daarmee de meer reguliere onderwerpen. Maar een kalender met alle processen bekijken in 3 jaar is niet meer afdoende. Er zal meer met een strategische bril naar de auditplanning moeten worden gekeken.

Drs. Marc van Heese RO RE CIA is partner bij ARC People en is onder andere verantwoordelijk partner voor diverse aan ARC People geoutsourcete risk- en auditfuncties.

[1] https://www.iia.nl/SiteFiles/Risk%20in%20Focus%202025.pdf

RTO, RPO: Nieuwe Perspectieven op BCM bij cyberdreigingen

Inleiding

Business Continuity Management (BCM) is een essentieel onderdeel van een robuuste bedrijfsstrategie, waarbij begrippen als Recovery Time Objective (RTO), Recovery Point Objective (RPO) en Maximum Tolerable Downtime (MTD) centraal staan.

Traditioneel worden deze termen bepaald op proces- of dienstniveau, maar is dat altijd de meest effectieve aanpak? In deze blog betogen we dat RPO en RTO beter op applicatieniveau kunnen worden gedefinieerd en dat, in de context van cyberdreigingen, een alternatief zoals Cyber RTO (CRTO) noodzakelijk is.

Ben jij voorbereid op een cyberaanval? En hoe zeker ben je dat je kunt herstellen na zo’n aanval? Lees verder

In deze blog staan we stil bij waarom het niet verstandig is om Cyber Recovery volledig uit te besteden, zelfs als je IT dat wel is. Ook geven we 5 tips over zaken die je écht zelf moet regelen. Lees verder

In deze blog geven we tips over herstellen na een cyberaanval. Tijd om jouw herstelstrategie onder de loep te nemen. Lees verder

Wat moet je precies veiligstellen om zo snel en efficiënt mogelijk te herstellen na een cyberaanval? In de vorige blog stonden we stil bij het type informatie. Nu gaan we dieper in op de vorm waarin die informatie is opgeslagen. Lees verder

Een goede cyber recovery-strategie valt of staat bij de kwaliteit van je tests. Maar wat moet je precies testen en hoe diep moet je gaan? Lees verder

Kun je volledig vertrouwen op je cloudleverancier, of moet je zelf herstelmaatregelen nemen als er een cyberaanval toeslaat? En hoe verschillen de opties tussen SaaS, PaaS en IaaS? Lees verder

Wat is belangrijker in cyber recovery: een waterdicht noodplan of ruimte voor improvisatie bij een onvoorspelbare cyberaanval? Lees verder

Direct herstellen om de schade te beperken, of eerst forensisch onderzoek doen om te achterhalen wat er is gebeurd bij een cyberaanval? Lees verder

Welke concepten zijn er op de markt beschikbaar en welke overwegingen spelen een rol bij de keuze voor een specifieke aanpak? Lees verder

De termen RTO, RPO en MDT worden traditioneel bepaald op proces- of dienstniveau, maar is dat altijd de meest effectieve aanpak? Lees verder

1. Wat betekenen RTO, RPO en MTD?

Om het vraagstuk goed te benaderen, is het belangrijk eerst enkele traditionele BCM-termen te begrijpen:

Recovery Time Objective (RTO): De maximale tijdsduur waarin na een verstoring herstel moet plaatsvinden voordat onacceptabele impact optreedt.
Recovery Point Objective (RPO): De maximale hoeveelheid data (uitgedrukt in tijd) die verloren mag gaan zonder onacceptabele schade.
Maximum Tolerable Downtime (MTD): De absolute maximale tijd dat een proces of dienst buiten werking mag zijn voordat ernstige schade optreedt. Het verschil met RTO is dat MTD een absolute grens weergeeft, terwijl RTO de doelstelling binnen de MTD is om herstel plaats te laten vinden.

Traditioneel worden deze parameters vastgesteld op procesniveau. Maar is dat de meest effectieve benadering?

2. Waarom RPO en RTO op applicatieniveau bepalen?

Hoewel de klassieke BCM-aanpak stelt dat RPO en RTO op procesniveau moeten worden vastgesteld, brengt dit enkele nadelen met zich mee:

Procesgerichte benadering leidt tot suboptimale invulling: Processen bestaan vaak uit meerdere applicaties en systemen met verschillende herstelmogelijkheden.
Hersteloplossingen worden ingericht op technisch niveau, niet op procesniveau: Disaster recovery-oplossingen, zoals back-up- en replicatietechnologie, richten zich op servers en applicaties, niet direct op processen. IT-teams werken met hersteltijden en dataverliesgrenzen per applicatie of andersoortige IT, maar in ieder geval niet per bedrijfsproces.
Efficiënter beheer en betere afstemming met IT-infrastructuur: Door RTO en RPO op applicatieniveau vast te stellen, sluit BCM beter aan op technische herstelstrategieën.

Praktisch voorbeeld: Stel dat een organisatie een RTO van 4 uur vaststelt voor het proces ‘facturatie’. Dit proces maakt echter gebruik van drie applicaties: een ERP-systeem, een database en een documentmanagementsysteem.

Vanuit de procesbenadering stel je dat deze drie applicaties binnen 4 uur hersteld zouden moeten zijn. Een meer fit-for-purpose benadering zou zijn om, binnen de grenzen die de context van proces bepaald (waaronder MTD), per applicatie te bepalen wat zinvol is. Het kan dan gebeuren dat één applicatie binnen 2 uur hersteld is, terwijl een andere 6 uur nodig heeft. Dat hoeft niet erg te zijn, zolang die applicatie die 6 uur nodig heeft geen cruciale rol speelt in het proces. Mogelijk kan het facturatieproces prima op gang komen zonder die ene applicatie.

Een voor het proces cruciale applicatie zal nu eenmaal sneller hersteld moeten zijn dan een applicatie die “nice-to-have” is binnen het proces. Voor zo’n “nice-to-have” applicatie zou zelfs kunnen gelden dat die later wordt hersteld dan de MTD van het proces.

3. RTO en RPO in de context van cyberdreigingen

De traditionele BCM-aanpak is grotendeels gebaseerd op fysieke verstoringen, zoals brand of stroomuitval. In die gevallen kunnen bedrijven uitgaan van voorspelbare herstelparameters. Maar bij cyberincidenten, zoals ransomware-aanvallen, gelden andere spelregels:

Herstel kan dagen tot weken duren vanwege forensisch onderzoek en saneringsmaatregelen.
Het risico bestaat dat herstelpunten (back-ups) zijn gecompromitteerd.
IT-systemen kunnen opnieuw worden aangevallen tijdens het herstelproces.

Dit brengt ons bij het concept van Cyber RTO (CRTO) en eventueel Cyber RPO (CRPO), een meer realistische hersteltijd en herstelpunt specifiek voor cyberdreigingen.

Waar je bij de traditionele RTO in principe direct zou kunnen overschakelen naar een tweede datacenter, vrijwel zonder tijdsverlies, is dat bij een cyberaanval niet mogelijk. Er worden dan andere activiteiten verwacht; activiteiten waar rekening mee gehouden moet worden bij het bepalen van de CRTO:

Tijd voor detectie en initiële containment.
Tijd voor forensisch onderzoek en schoonmaakacties.
Tijd voor gefaseerd herstel en validatie.

Voorbeeld: Een organisatie met een reguliere RTO van 6 uur voor hun CRM-systeem wordt getroffen door ransomware. Forensisch onderzoek en het veiligstellen van de omgeving nemen 48 uur in beslag. Een traditionele RTO is hier niet haalbaar, maar een CRTO van bijvoorbeeld een week kan wél een realistische inschatting geven.

Waarom dit grote verschil tussen 6 uur en een week als onderzoek en veiligstellen 2 dagen kost? Omdat mogelijk niet alleen het CRM-systeem hersteld moet worden, maar ook (alle) onderliggende infrastructuur. Met dit laatste hoeft niet per definitie rekening te worden gehouden bij de traditionele RTO.

Naast de CRTO zou je ook een CRPO kunnen introduceren. Waarom? Waar je bij traditionele BCM rekening kunt houden met goed functionerende back-ups (en clusters), is dat bij cyberincidenten niet per definitie het geval: mogelijk moet je data in je back-ups opschonen wat tot dataverlies kan leiden en je dus een aangepast een enigszins herstelpunt moet hanteren.

Waarom is dit belangrijk?

Bedrijven kunnen beter anticiperen op cyberdreigingen en realistische herstelstrategieën formuleren.
CRTO en CRPO dwingt organisaties na te denken over aanvullende maatregelen, zoals gescheiden back-ups en out-of-band management.

4. Andere relevante, maar meer geavanceerde BCM-termen en hun rol in cyber recovery

Naast RTO, RPO en MTD zijn er andere BCM-termen die relevant zijn, maar ook voor verwarring kunnen zorgen. Hieronder noemen we er een aantal, maar het advies is om in beginsel te blijven bij RPO, RTO en MTD:

Work Recovery Time (WRT): De tijd die nodig is ná technische recovery om operationeel te worden (bijv. testen, gebruikersinstructies). In het kader van cyberaanvallen zou deze gelijk kunnen zijn aan de reguliere WRT, maar aannemelijk is dat niet per se. Afhankelijk van je herstelstrategie (herstellen of opnieuw opbouwen) kan WRT toenemen bij een cyberaanval. De grootste factor in toename zit hem echter in doorlooptijd van forensische testen, opschoning en validaties.

Overigens: Of WRT om de hoek komt kijken voor of na de RTO is niet iedereen het over eens. Het idee is vooral dat men weer aan echt aan het werk kan op het moment dat de WRT erop zit. Stel je de (C)RTO gelijk aan dat moment of aan het moment dat het systeem technisch hersteld is? Dat is vooral de overweging die (ook) gemaakt moet worden bij het bepalen van de (C)RTO.

Service Delivery Objective (SDO): Het minimale niveau van dienstverlening dat na een incident in beginsel geleverd moet worden. Herstel hoeft niet per definitie in te houden dat alle capaciteit die je ter beschikking had ook direct weer geleverd wordt. Daarom is het verstandig een SDO af te stemmen. De tijd die benodigd is om tot de SDO te komen in herstel na een cyberincident kan echter drastisch langer zijn dan de hersteltijd bij een traditioneel incident.
De vraag is dus: Bepaal je de (C)RTO op basis van wanneer de SDO wordt bereikt, stel je de (C)RTO op basis van de 100% performance (business as usual)? De theorie is hierover verdeeld. In feite maakt het ook niet veel uit welke keuze gemaakt wordt, zolang het maar duidelijk is welke keuze is gemaakt.

Door deze termen duidelijk te definiëren en toe te passen kan een organisatie effectiever inspelen op cyberdreigingen en realistische verwachtingen scheppen over herstel na een aanval.

Conclusie

BCM moet mee-evolueren met het dreigingslandschap. Het vaststellen van RTO en RPO op applicatieniveau binnen de context van je bedrijfsprocessen en diensten biedt een realistischer kader voor herstelstrategieën. Daarnaast is CRTO onmisbaar om een effectieve respons op cyberincidenten te waarborgen. Door deze begrippen correct toe te passen, kunnen organisaties beter voorbereid zijn op zowel traditionele als moderne dreigingen.

Neem contact op Vorige blog

Welke oplossingen biedt de markt voor cyber recovery?

Inleiding

Cyberaanvallen worden geavanceerder en gerichter. Preventieve maatregelen helpen, maar kunnen een aanval niet altijd voorkomen. Daarom is de vraag niet meer óf je getroffen wordt, maar wanneer. Zonder een goed cyber recovery-plan is de kans groot dat herstel chaotisch, traag en incompleet verloopt, met grote financiële en operationele schade als gevolg.

Cyber recovery is een strategie die organisaties in staat stelt om na een aanval gecontroleerd en veilig te herstellen zonder het risico te lopen dat ze besmette data terugplaatsen. Verschillende IT-leveranciers bieden inmiddels oplossingen die invulling geven aan cyber recovery. In deze blog bekijken we welke concepten er op de markt beschikbaar zijn en welke overwegingen een rol spelen bij de keuze voor een specifieke aanpak.