Blog Archives

Quality Assurance op projecten: de onafhankelijke vinger aan de pols voor de stuurgroep

Organisaties draaien steeds meer op projecten. Niet alleen omdat er “meer te doen is”, maar omdat strategische veranderingen tegenwoordig vaak juist via projecten en programma’s worden gerealiseerd. Nieuwe wet- en regelgeving, digitalisering, ketensamenwerking, datagedreven werken, kostenreductie, outsourcing, cybersecurity, nieuwe proposities: in veel organisaties loopt de echte koerswijziging niet via de lijn, maar via tijdelijke veranderinitiatieven.

Dat brengt een risico met zich mee dat ik vaak zie: audit- en risk-specialisten zijn van nature sterk op de ‘ongoing’ kant van de organisatie. De vaste processen, de bestaande controls, de operationele performance. Logisch, want daar is veel data, daar zijn herhaling en routines, en daar liggen de klassieke beheersvraagstukken.

Maar juist daardoor kan de ‘change’ kant onderbelicht blijven. En dat is precies waar veel van de grootste risico’s en waardecreatie samenkomen: in de keuzes die nu worden gemaakt over scope, ontwerp, afhankelijkheden, leveranciers, planning en acceptatie. Als je daarop te laat bijstuurt, is herstel vaak duur, pijnlijk en politiek gevoelig.

Een begrijpelijke reflex in projecten is: de deadline is al krap, we moeten vooruit. Dan kan een QA-rol voelen als een controlerende functie die tempo uit het project haalt. Mits goed ingevuld is het juist het tegenovergestelde. Goede QA is geen rem, maar een versneller: door vroeg scherpte te brengen in scope, besluiten, afhankelijkheden en stuurinformatie voorkom je discussie en herstelwerk later. Het doel is niet om het project “netjes” te maken, maar om te zorgen dat de stuurgroep snel en goed kan sturen, juist als de druk toeneemt.

Projecten mislukken zelden door één grote fout. Het gaat vaker om een stapeling van kleine signalen die te lang blijven liggen: scope die langzaam uitwaaiert, besluiten die niet echt landen, afhankelijkheden die onderschat worden, of risico’s die wel op papier staan maar niet worden beheerst.

Juist daarom zie je steeds vaker een Quality Assurance-rol op projecten. Niet als extra projectlaag, maar als onafhankelijke functie die namens de stuurgroep meekijkt of het project nog steeds beheerst en bestuurbaar is.

Wat bedoelen we met Quality Assurance op projecten?

Quality Assurance (QA) op projecten is een onafhankelijke assurance- en adviesfunctie die rapporteert aan de stuurgroep of opdrachtgever en niet aan de projectmanager. Het doel is simpel en kan o.a. de volgende vragen beantwoorden:

• Is het project zó ingericht dat succes waarschijnlijk is?
• Wordt er aantoonbaar gestuurd op de belangrijkste risico’s, afhankelijkheden en besluiten?
• Is de informatievoorziening richting de stuurgroep volledig, eerlijk en tijdig?
• Worden afwijkingen vroeg gezien en effectief opgevolgd?

QA is dus geen extra PMO en ook geen uitvoerende rol. Het is een governance-gerichte spiegel: scherp op beheersing, transparantie en besluitvorming.

QA versus QC: de verschillen

In de praktijk merken we dat termen soms door elkaar heen lopen. Daarom wordt hieronder nog even stilgestaan bij een belangrijk onderscheid.

Quality Control (QC) zit ín het project

QC is gericht op de kwaliteit van de projectproducten en activiteiten. Denk aan:

• Reviewen van deliverables (ontwerp, requirements, testresultaten).
• Naleving van werkwijzen en standaarden binnen het team.
• Kwaliteitscriteria, acceptatiecriteria, testdekking.
• Proceskwaliteit in de uitvoering (bijvoorbeeld change control, documentatie, sprint discipline).

QC werkt veelal onder verantwoordelijkheid van de projectmanager of binnen het projectteam, soms met een aparte QC lead, afhankelijk van de omvang van het project of programma.

Quality Assurance (QA) staat náást het project en kijkt naar beheersing

QA richt zich niet primair op “is dit document goed”, maar op “is dit project bestuurbaar en onder controle”. Voorbeelden daarvan zijn:

• Is er heldere scope en is scopewijziging expliciet besloten?
• Is de planning realistisch en gebaseerd op aannames die getoetst worden?
• Worden risico’s vertaald naar beheersmaatregelen, owners en opvolging?
• Is er één versie van de waarheid over voortgang, issues en afhankelijkheden?
• Is escalatie tijdig, of blijft men te lang hangen?

Kort gezegd: QC bewaakt de productkwaliteit, QA bewaakt de projectbeheersing en governance.

QA versus 3e-lijns Internal Audit: de verschillen

Tsjonge, wat een functies en begrippen allemaal. Maar toch goed om even in te gaan op het onderscheid tussen het een en het ander. Daarom wordt hieronder ook nog even stilgestaan bij het onderscheid tussen QA en Internal Audit.

Internal audit is breder en vaak hoger gepositioneerd

Derdelijns internal audit kijkt meestal vanuit het bredere organisatieperspectief:

• Governance en control rondom projectportfolio en projectbesturing.
• Naleving van policies, frameworks en besluitvormingsstructuren.
• Effectiviteit van interne beheersing, ook over meerdere projecten heen.
• Lessons learned en structurele verbeteringen.

Internal audit kan ook naar een specifiek project kijken, maar kan daarbij juist de scope verbreden: niet alleen het projectteam kan dan binnen de scope vallen, maar ook de rol van de stuurgroep / het opdrachtgeverschap, de QA-functie, de eventuele rol van de second line, leverancierssturing en de aansluiting op strategische doelen. Heeft Internal Audit die insteek, dan is er sprake van een rolzuivere invulling. De aanbevelingen die daaruit voortkomen, richten zich doorgaans op structurele verbeteringen op organisatieniveau.

In de praktijk zien we echter ook wel dat Internal Audit tijdelijk uit de zuivere derdelijns rol stapt en de QA-rol op zich neemt. Vooral bij de meer betrokken opererende auditfuncties (of de functies die ook al gewend zijn om Risicomanagement erbij te nemen) zien we dat gebeuren.

QA is dichter op de bal en bedoeld om bij te sturen

QA is doorgaans veel meer aanwezig gedurende het project. Deze functie richt zich vooral op het vroegtijdig signaleren van mogelijke knelpunten en het tijdig bijsturen van het project. Daarbij is QA expliciet bedoeld als ondersteuning van de stuurgroep en helpt de stuurgroep haar rol als opdrachtgever goed uit te voeren.

Hoe ziet QA in de praktijk eruit?

Een sterke QA-aanpak is licht genoeg om het project niet te belasten, maar stevig genoeg om echte signalen boven tafel te krijgen. De kunst is om QA zo te organiseren dat het niet bureaucratisch wordt. Een effectieve QA-aanpak is lightweight en risicogericht: korte reviews, scherpe vragen en heldere conclusies op de punten die er echt toe doen. Geen dikke rapporten, geen herhaling van wat het project al doet, en geen micromanagement.

QA houdt het tempo er onder ander in door:

• Alleen te verdiepen als signalen daar aanleiding toe geven.
• Observaties te vertalen naar beslispunten voor de stuurgroep.
• Afspraken concreet te maken (wie doet wat, wanneer, en wat betekent dat voor scope en planning).
• Te zorgen voor één consistent beeld van voortgang en risico’s, zodat er minder ruis en minder statusdiscussie is.

Bij de invulling van QA in de praktijk zien we veelal eenzelfde ritme van werken ontstaan. Daarbij zijn logischerwijs vier belangrijke elementen / fases te onderscheiden.

1) Intake en “control picture”

“Kwaliteit zit aan de voorkant”, die uitspraak geldt ook bij projecten en programma’s. Daarom is het logisch om bij de start van het project al betrokken te zijn en de peilstok te steken in de volgende belangrijke waarborgen voor succes:

• Projectdoel, scope, succescriteria, stakeholders.
• Governance: rollen, mandaten, besluitvorming.
• Belangrijkste risico’s, afhankelijkheden, contracten, leveranciers.
• Baseline: planning, budget, kwaliteit, benefits.

Als output van deze eerste fase kan worden opgeleverd: een korte “control picture” voor de stuurgroep, met de belangrijkste aandachtspunten voor de projectbeheersing.

2) Periodieke health checks

Vervolgens wordt van de QA-functie verwacht dat zij periodieke health checks doet. Bijvoorbeeld maandelijks of per fasegate kan er worden gekeken naar:

• Voortgang versus baseline en trends.
• Risico’s en issues: beweging, ownership, effectiviteit mitigaties.
• Scope control: hoeveel change, wat is besloten, wat sluipt erin.
• Planning realisme: aannames, resources, afhankelijkheden.
• Stuurinformatie: klopt het verhaal, of wordt er gemasseerd.
• Besluitvorming: worden besluiten voorbereid, genomen en uitgevoerd.

Als krachtige, doelgerichte output van deze fase zien we doorgaans één pagina met stoplichten, kernobservaties en concrete acties voor stuurgroep en project.

3) Deep dives op risicogebieden

Als er signalen zijn, kan QA gericht verdiepen, op allerlei specifieke thema’s. Op verzoek van de stuurgroep, of op eigen voordracht. Voorbeelden van onderwerpen waarop een deep dive kan plaatsvinden, zijn:

• Leveranciersperformance en contractmanagement.
• Datamigratie en testaanpak.
• Integratie met operatie en change management.
• Security en privacy-by-design.
• Benefits management en business case.

4) Escalatie en “speak up”

Tenslotte is het cruciaal dat QA de ruimte moet hebben om te escaleren naar de voorzitter van de stuurgroep en/of opdrachtgever als het nodig is, zonder daarbij te kunnen worden belemmerd door de projectmanager.

Wanneer voegt QA het meeste waarde toe?

In de kern dient QA uiteraard waarde toe te voegen aan het project. We zien in de praktijk dat QA vooral effectief is in de volgende situaties:

• Grote programma’s of complexe projecten met meerdere leveranciers.
• Projecten met hoge druk, veel politiek, of kritieke deadlines.
• Transformaties waarbij business, IT en operatie moeten landen.
• Projecten met veel afhankelijkheden of onduidelijke scope.
• Projecten waar de stuurgroep beperkte tijd heeft en toch grip wil.

Afsluiting: de business case van QA

Een QA-functie op een project of programma wordt soms gezien als extra overhead. In de praktijk is het vaak precies het omgekeerde: QA is een relatief kleine investering die helpt om hoge(re) kosten te voorkomen.

De totale kosten van een project zitten immers niet alleen in het budget van het projectteam. Ze zitten ook in:

• Vertraging en doorlooptijdverlenging (met extra inzet van mensen en leveranciers).
• Herstelwerk en rework door te late bijsturing.
• Scope-uitbreiding zonder expliciete besluitvorming.
• Gemiste of uitgestelde benefits.
• Extra risico’s rondom compliance, security, datakwaliteit en reputatie.
• Frictie tussen business en IT doordat verwachtingen niet worden gemanaged.

Juist op die punten kan QA veel waarde toevoegen, omdat het vroegtijdig zichtbaar maakt waar bestuurbaarheid onder druk staat en waar besluitvorming nodig is. Het voorkomt dat de stuurgroep pas ingrijpt als de opties beperkt en de kosten hoog zijn.

Daarom is QA vaak een no-brainer vanuit kostenperspectief: de investering is meestal een fractie van de totale programma-uitgaven, terwijl één tijdige interventie al kan voorkomen dat een project maanden uitloopt of dat er achteraf kostbare hersteltrajecten nodig zijn.

Als je QA goed positioneert (rapporteren aan de stuurgroep, licht georganiseerd, scherp op de echte beheerspunten), dan koop je met relatief weinig middelen iets wat in veel projecten schaars is: vroeg inzicht, betere besluiten en aantoonbaar meer grip.

Heeft u een project of programma dat een goede QA verdient?

Neem contact met ons op voor een vrijblijvend adviesgesprek. Dan verkennen we gezamenlijk de business case voor QA en de manier waarop het in uw organisatie kan worden vormgegeven.

Quality Assurance Contact

Zoals ik in de vorige blog heb aangegeven, vraag ik via een serie korte blogs aandacht voor verschillende strategische risicothema’s, die wat mij betreft vaker dan één keer per jaar op de agenda zouden moeten staan. Ik schets daarbij een aantal ontwikkelingen en wil zo steeds het belang van een specifiek strategisch risicothema benadrukken.

Heb je de vorige blog(s) in deze serie niet gelezen? Dan zet ik voor de volledigheid nog even kort mijn motivatie voor deze serie uiteen:

Goed risicomanagement is cruciaal om organisatiedoelen effectief te realiseren, waarbij strategisch risicomanagement zich richt op risico’s die de uitvoering van de strategie en de continuïteit of waarde van de organisatie direct kunnen beïnvloeden. In de praktijk krijgt strategisch risicomanagement echter vaak te weinig aandacht en blijft het beperkt tot een jaarlijkse strategische risicoanalyse met de directie. Gezien de snelle opeenvolging van ingrijpende geopolitieke en technologische ontwikkelingen, is die beperkte benadering onvoldoende, omdat de impact van strategische risico’s groot is en zowel bedreigingen als kansen vraagt om voortdurende aandacht en sturing.

Het strategische risico ‘procurement’

In de vorige blog stond het strategische risico van marktconcentratie centraal. Deze keer: het strategische risico rond procurement. Waarom gebruik ik het woord ‘procurement’ en niet simpelweg ‘inkoop’? Met procurement wordt namelijk het volledige strategische inkoopproces bedoeld, en niet alleen het inkopen zelf, wat slechts één onderdeel is van het totale procurementproces. Procurement begint bij het vaststellen van het inkoopbeleid, dat wordt afgeleid van de strategie van de onderneming, en het loopt via leveranciersselectie, contract- en leveranciersmanagement door tot de uiteindelijke inkoop, inclusief voorraadbeheer.

Door de globalisering van de afgelopen decennia zijn grote delen van productie door bedrijven wereldwijd uitbesteed, omdat een ander land c.q. bedrijf bepaalde producten of diensten beter en goedkoper kan maken dan dat een bedrijf dat zelf kan. Dit heeft de wereld veel gebracht; het heeft veel producten goedkoper en toegankelijker gemaakt voor een breder publiek en geleid tot een grote economische groei en welvaart. Het gevolg is wel dat er grote afhankelijkheden zijn ontstaan.

De coronacrisis heeft het bedrijfsleven de risico’s van een global sourcingstrategie pijnlijk duidelijk gemaakt. Verstoringen in de leveranciersketen leidden tot stopzetten van productie aan de klantenkant en overtollige voorraden aan de leverancierskant, met grote economische gevolgen. De (grootste) fietsenfabrikant Accell worstelt tot op de dag vandaag nog met de gevolgen hiervan.

Met alle geopolitieke ontwikkelingen die er nu spelen, zijn nieuwe verstoringen in de leveranciersketen geen irreëel risico. We hebben het recent ook kunnen zien bij de ontwikkelingen rondom chipsleverancier Nexperia, waarbij een conflict tussen China en Nederland over een vestiging van de chipsfabrikant in Nederland leidde tot het stilvallen van leveranties aan onder meer de Duitse automobielindustrie. Het bleek dat veel fabrikanten niet waren voorbereid op een dergelijk conflict, ondanks de lessen die men had kunnen trekken uit de coronacrisis. Kortom, procurement is zeker een strategisch risico dat een organisatie kan maken of breken.

Procurement risico’s: een aantal concrete voorbeelden

Hieronder volgt een korte uitwerking van een aantal concrete voorbeelden van risico’s met betrekking tot procurement.

Een eerste risico is het ontbreken van een strategisch inkoopbeleid. Daarmee bedoel ik het inzichtelijk krijgen en houden van welke inkopen essentieel zijn om de dienstverlening voor een specifieke periode te kunnen continueren, mocht een leverancier wegvallen.

Veel productiebedrijven zijn zo ingericht dat er wordt gewerkt volgens het ‘just in time’ principe, waarbij op basis van economische principes het voorraadbeheer wordt geminimaliseerd. In een geopolitieke stabiele wereld is dit een fantastisch model. In de huidige wereld is dit een gigantisch risico. Het niet inzichtelijk hebben van welke leveranciers cruciaal zijn voor continuering van de productie en welke risico’s kleven aan deze leveranciers (denk aan: locatie, eigenaren etc.), kan leiden tot onaangename risico’s. 90% van alle chips komen uit Taiwan. Ik denk dat het geen gekke aanname is dat de leveranciers van deze chips stil komen te liggen wanneer China Taiwan aanvalt. Ik ben benieuwd hoeveel bedrijven hier nu rekening mee houden.

Bovenstaand risico is vooral gericht op het niet meer beschikbaar hebben van specifieke leveranties. Een ander risico is dat producten wel beschikbaar blijven, maar tegen hele andere prijzen. Denk hierbij aan veranderende importheffingen, valutarisico’s of toegenomen marktmacht van een leverancier door overnames (waardoor betreffende leverancier een soort van monopolypositie verkrijgt). Dit laatste onderwerp is kort benoemd in mijn vorige blog over het strategische risico ‘marktconcentratie’. Een stevige verandering van de inkoopprijs kan een businessmodel volledig onderuit halen.

Een ander risico betreft de compliance, oftewel het naleven van relevante wetgeving. Hoewel het rapport van Draghi de indruk wekt dat Europa voorlopig wat minder nieuwe wetgeving zal invoeren, blijft het niet naleven van wetgeving toch een reëel risico. In relatie tot procurement is er namelijk al veel. Zo is er wetgeving op het gebied van productveiligheid, sanctiewetgeving, mededingingswetgeving (relevant bij gezamenlijke inkoop), IT-wetgeving (NIS2, DORA) die ook geldt voor specifieke leveranciers, IE-wetgeving en zo verder. Je bent als bedrijf meer en meer verantwoordelijk voor de gehele keten, dus ook voor je leveranciers. Dit kan gevolgen hebben voor de keuze in leveranciers en/of de wijze van samenwerken. In ieder geval is de kans reëel dat een en ander leidt tot hogere inkoopprijzen, omdat er meer wordt gevraagd van de leveranciers.

Ook IT is een groot risico, als het om procurement gaat. Bij veel bedrijven is er een koppeling met de IT-systemen van leveranciers om bijvoorbeeld het just in time principe goed te kunnen uitvoeren. Sommige leveranciers hebben door die koppelingen inzage in de voorraden van hun klanten. Hierbij is het essentieel dat de IT van de leverancier a: goed werkt (wordt het juiste besteld en geleverd?) en b: ook zeker goed beveiligd is. Een hack op je eigen IT-infrastructuur door een link met applicaties van een leverancier is een zeer reëel risico.

Bovenstaande lijst met risico’s is zeker niet limitatief. Er zijn nog wel meer risico’s te benoemen maar deze zijn ook afhankelijk van de inkopende en leverende organisatie, wat er ingekocht wordt, hoe je bedrijf is georganiseerd et cetera. Zie bovenstaande opsomming als een aanzet en uitnodiging om een goed strategisch risico-assessment uit te voeren op het gehele procurementproces.

Noodzakelijke maatregelen en actie gewenst

Wat zijn mogelijke maatregelen om te implementeren om bovenstaande risico’s te mitigeren?

• Zorg voor een strategisch inkoopbeleid. Relevante aandachtspunten daarbij zijn onder meer het inzichtelijk krijgen van alle strategische inkopen, de mogelijke alternatieven, het helder krijgen van de gehele leveranciersketen (dus ook de kritische subleveranciers), het kennen van de risico’s behorende bij deze strategische leveranciers (locatie, eigenaren, politieke omgeving), voorraadbeheer, etc.
• Breng de financiële risico’s in kaart van de strategische leveranciers. Denk hierbij aan valutarisico’s, potentiële importheffingen of dreigingen daartoe, mogelijkheid tot prijsonderhandelingen (is er sprake van een monopolist?).
• Bepaal de relevante wetgeving die van toepassing is bij het inkopen. Denk hierbij aan relevante wetgeving van het land waar je inkoopt en waar je naartoe importeert, maar denk ook aan wereldwijde relevante wetgeving zoals bijvoorbeeld de FATCA vanuit de VS.
• Beoordeel welke IT-risico’s er spelen bij specifieke leveranciers. Het gaat bijvoorbeeld om het gebruik van IT van leveranciers die aan bepaalde Europese wetgeving moet voldoen, maar ook IT die wordt gebruikt om de inkoop te ondersteunen.

Risicomanagers, wederom doe ik de oproep: ga actief aan de slag met integraal strategisch risicomanagement, ook ten aanzien van het procurementproces. Breng niet alleen de bekende risico’s zoals beschikbaarheid en prijsveranderingen in kaart, maar neem ook compliance, IT-kwesties en alle relevante wet- en regelgeving mee in uw analyse. Door nu tijd te investeren in een breed risico-assessment, kun je jouw organisatie beter wapenen tegen onverwachte ontwikkelingen en structureel hogere inkoopkosten voorkomen.

In een volgende blog volgt er weer een nieuwe suggestie voor een strategisch risicothema van mijn kant.

Meer weten over strategisch risicomanagement?

Wil je meer weten over (strategisch) risicomanagement of gewoon een keer hierover sparren? Neem dan contact met ons op voor een vrijblijvend adviesgesprek. Samen brengen we strategisch risicomanagement naar een hoger niveau met meer toegevoegde waarde.

Risicomanagement Marc van Heese

Goed risicomanagement is essentieel voor elke organisatie, om haar doelen efficiënt en effectief te kunnen bereiken. Strategisch risicomanagement maakt hier onderdeel vanuit.

Wat is een strategisch risico en strategisch risicomanagement?

Een strategisch risico en strategisch risicomanagement worden als volgt omschreven:

“Strategic risks” are those risks that are most consequential to the organization’s ability to execute its strategies and achieve its business objectives. These are the risk exposures that can ultimately affect shareholder value or the viability of the organization.

“Strategic risk management” then can be defined as “the process of identifying, assessing and managing the risk in the organization’s business strategy, including taking swift action when risk is actually realized.[1]

Het belang versus de realiteit

Ik zie vaak dat strategisch risicomanagement een ondergeschoven kindje is binnen risicomanagement. Het wordt in een organisatie vaak gezien als een verplicht nummer, wat eigenlijk alleen op de agenda van de directie zou moeten staan, als onderdeel van de strategie. Het wordt door de afdelingen Risicomanagement daarom vaak beperkt tot een eenmalige jaarlijkse strategische risicoanalyse (SRA) met de directie.

In een tijd met een enorm aantal grote en elkaar snel opvolgende geopolitieke en technische ontwikkelingen (denk aan artificial intelligence en quantum computing) is een jaarlijkse SRA wat mij betreft onvoldoende. De consequenties van het optreden van deze risico’s zijn namelijk enorm; de beperkte aandacht voor strategisch risicomanagement sluit niet aan op alle bedreigingen (en wellicht ook kansen).

Terugkerende aandacht, voor uiteenlopende thema’s

De komende weken zal ik geregeld een korte blog schrijven met elke keer een ander strategisch risicothema dat wat mij betreft vaker dan één keer per jaar op de agenda zou mogen staan. Ik zal hierin een aantal ontwikkelingen schetsen en daarmee wijzen op het belang van dit strategisch risicothema. Tevens zal ik enkele suggesties doen welke maatregelen eventueel genomen kunnen worden.

Deze week: het strategische risico Marktconcentratie

Het FD van dinsdag 27 januari leek wel een themanummer over marktconcentratie. Op de voorpagina een artikel over het onderzoek over de staat van de markt van de toezichthouder ACM. Strekking van het artikel was: de concurrentie op verschillende markten neemt af, met name door overnames. Grote bedrijven nemen potentiële startups over en belemmeren zo mogelijke concurrentie. Een andere overnametendens komt voort uit de aanpak van private Equity, die vooral actief is in het zogeheten ‘kralen rijgen’: het opkopen van kleinere bedrijven en deze samenvoegen tot een grotere speler met meer marktmacht.

Andere artikelen in diezelfde krant over marktmacht waren de overname van JDE Peet door het Amerikaanse KDP, de marktmacht van Meta, het ingrijpen van de Chinese overheid bij monopoliepraktijken van een reisgigant, de overname door CVC van een Amerikaanse krediet verzekeraar, de overname van een goudbedrijf, de overname van een afbouwgroep, de fusie van Baker Tilly Nederland en België en wellicht vergeet ik er nog een paar.

Een verdere uitwerking

Kortom, marktconcentratie is een hot topic. Deze marktconcentratie brengt voor organisaties verschillende risico’s met zich mee. Hieronder wordt een aantal van die risico’s uitgewerkt.

Het eerste risico is dat een organisatie mogelijk ongewenst een overnamekandidaat wordt. Of je overgenomen kan worden, hangt uiteraard af van vele factoren, zoals of de aandelen openbaar worden verhandeld, of er een beschermingsconstructie is, et cetera. Maar denk niet dat dit alleen speelt bij grotere ondernemingen. Ook bij kleinere ondernemingen die niet publiek verhandelbaar zijn, kan een overname grote gevolgen hebben; gewenste en/of ongewenste gevolgen. Een bod van een overnemende partij kan ongewenste dynamiek veroorzaken binnen een groep aandeelhouders, waarbij de één wel wil verkopen en de ander niet. Het is dus raadzaam om dit onderwerp vooraf op de agenda te hebben staan. Zorg ervoor dat er consensus is binnen de aandeelhouders over of men wil overgenomen worden, tegen welke condities, en door wat voor soort partij. Indien deze vragen nog beantwoord moeten worden: als het bod er ligt, ben je eigenlijk te laat.

Concentratie in jouw markt kan ook betekenen dat jouw positie als organisatie in die markt onder druk komt. Doordat er grote concurrenten ontstaan, met grotere schaalvoordelen waardoor de samengevoegde organisaties bijvoorbeeld goedkoper kunnen produceren, Research & Development kosten beter kunnen spreiden en daardoor mogelijk innovatievere producten kunnen lanceren dan jouw organisatie dat kan. Hiermee kunnen ze jouw organisatie uit de markt werken. Het is dus van belang om als organisatie de ontwikkelingen binnen de markt op het gebied van marktconcentratie nauwlettend te volgen.

Marktconcentratie in de keten kan ook een probleem zijn voor een organisatie. Denk je eens in dat jouw klant steeds groter wordt en meer marktmacht krijgt. De kans is groot dat dit gevolgen heeft in de onderhandelingen over de prijs. Het is dus belangrijk om de ontwikkelingen in jouw klantenportefeuille ten gevolge van overnames goed te monitoren en hierop voorbereid te zijn. Misschien door lange(re) contracten te sluiten of het toevoegen van een soort lock-in in je producten waardoor de afnemer lastiger een stevigere positie kan innemen in de onderhandelingen.

Bovenstaande geldt uiteraard ook voor de leveranciers in de keten. Een eventuele concentratie in de leveranciersketen kan ook leiden tot hogere inkoopprijzen. Dus ook hier geldt dat het van belang is om de ontwikkelingen hierin te monitoren. Zorg als mitigerende maatregel bijvoorbeeld voor het tijdig in kaart brengen van alternatieven voor je huidige leveranciers.

Noodzakelijke maatregelen en actie

Aangezien ontwikkelingen in de markt steeds sneller gaan, Private Equity steeds vaker een nieuwe markt opzoekt om schaalvoordelen te realiseren, ben ik van mening dat het strategische risico van marktconcentratie meer aandacht verdient dan het eenmalig benoemen in de ‘verplichte’ jaarlijkse strategische risicoanalyse.

Als noodzakelijke maatregelen om te implementeren zie ik: monitoring van de eigen markt, de leveranciersmarkt en de klantenmarkt. Ook dient er een visie te worden ontwikkeld op het scenario waarbij je overgenomen wordt dan wel een andere organisatie gaat overnemen. Uiteraard hoop ik dat de afdeling risicomanagement deze visie en maatregelen ook toetst.

Dus, risicomanagers: aan de slag met het strategisch risicomanagement.

Volgende keer een nieuwe suggestie voor een strategisch risicothema van mijn kant.

[1] https://corpgov.law.harvard.edu/2012/08/23/strategic-risk-management-a-primer-for-directors/ NB: in dit artikel staat overigens ook een prima aanpak voor strategisch risicomanagement.

Meer weten over strategisch risicomanagement?

Wil je meer weten over (strategisch) risicomanagement of gewoon een keer hierover sparren?

Neem contact met ons op voor een vrijblijvend adviesgesprek. Samen brengen we strategisch risicomanagement naar een hoger niveau met meer toegevoegde waarde.

Risicomanagement Marc van Heese

Cooperation within the Three Lines: more than structure

The three lines model is a well-known concept within governance, risk management and compliance. Yet in practice, we see that cooperation between the three lines is often still underused. The ideal set-up is not only about clear roles and responsibilities, but especially about effective coordination and a joint approach.

Why collaboration is essential

Wanneer de eerste lijn (operationeel management), tweede lijn (risicomanagement en compliance) en derde lijn (interne audit) elkaar versterken, ontstaat een robuust netwerk van checks & balances. Dit voorkomt dubbel werk en zorgt dat risico’s tijdig worden gesignaleerd en beheerst. Samenwerking betekent niet alleen overleg, maar ook het slim inzetten van instrumenten zoals Assurance Mapping.

Assurance Mapping: insight and alignment by risk theme

Assurance Mapping is a powerful tool to provide insight by risk theme:

• What are the risks involved?
• What management measures and controls are already in place?
• Who does what (first, second, third line or even beyond) and what certainties do we already derive from them?

This mapping creates an overview and prevents overlap in monitoring and review. It makes clear where there are still gaps and where cooperation is needed to achieve full coverage.

Do before, do together, do yourself: customization by theme

Not every risk issue requires the same approach. Depending on the maturity of processes and teams, you can work according to the principle:

• Voordoen: de tweede of derde lijn neemt het voortouw en laat zien hoe het moet.
• Samendoen: samen uitvoeren om kennis en vaardigheden op te bouwen.
• Zelf doen: de eerste lijn neemt verantwoordelijkheid, met de andere lijnen als sparringpartner.

This approach encourages growth and ownership, while strengthening the organization as a whole in risk management.

ARC People as a partner

Bij ARC People geloven we dat de ideale inrichting van de three lines begint bij samenwerking én vaktechnische scherpte. Met onze GRC-scan brengen we niet alleen de formele structuur in kaart, maar ook de mate van samenwerking en volwassenheid per thema. Vervolgens adviseren we over verbeteringen en begeleiden we de implementatie in co-creatie. Zo realiseren we een inrichting die niet alleen voldoet aan eisen van toezichthouders, maar vooral waarde toevoegt aan uw organisatiedoelen.

Would you like to spar about the ideal collaboration in the Three lines?

Please contact us for a no-obligation consultation. Together we can most likely further strengthen the effectiveness of the (cooperation) in the Three lines.

Services Contact

I recently read in the FD that the Carpetright retail chain has gone bankrupt. It's always painful to read about entrepreneurs who have stuck their necks out and employees who are now losing their jobs. Nevertheless, as a professional, I am particularly curious about the causes. Not out of sensationalism, but to learn from it. Was it a lack of market awareness, excessive costs, insufficient digitization, or simply bad luck with the economic climate?

According to the trustees' report, there were two main reasons: a loan to the British parent company that had been written off, as well as an error in sales registration due to a new IT system. Exactly the latter intrigued me. The system was intended to alleviate the financial problems and work more efficiently, but led to a serious error: turnover was counted twice. So the actual turnover turned out to be lower than expected, with all its consequences.

Prevent errors when implementing new IT systems

This begs the question: how do you avoid such mistakes when implementing new IT systems? Of course, it's easy to talk from the sidelines, especially given the time pressure under which Carpetright was acting. But especially in the digital age, mastery of essential IT systems is crucial. How do you ensure that you actually achieve the goals of an implementation?

There are obviously many measures you can take to ensure the proper implementation of a new IT system. If you focus specifically on managing the risk of incorrect information coming from the system, I would mention the following measures for this purpose:

• Start every IT project with a clear IT risk analysis focused on the objectives of the system. Explicitly identify the risk of incorrect information and determine appropriate mitigating measures.
• Conduct comprehensive testing, based on a thorough test plan and test cases that match reality. Involve users in testing.
• Train employees on how to use the system. Also include them in recognizing risks so that they act as the first signal function. Awareness is an important preventive measure.
• Provide a good post-implementation follow-up process. Use data analysis (for example, comparing different source systems) to identify errors and illogicalities.
• Consider an independent review of the project and the IT system itself, by setting up proper Quality Assurance, for example. This helps prevent blind spots and make timely adjustments.

For the entrepreneurs involved, this is all mustard after the meal. But hopefully it will help others to be extra keen on the accuracy of information during an IT implementation. We ourselves recently switched to a new source system and this story is an extra reason for me to take a critical look at it myself.

Want to know more about project management?

Want to learn more about project management or just spar about it?

Contact us for a no-obligation consultation. Together, we will take your project management to the next level!

Quality Assurance Marc van Heese