Inzicht in uw risico’s – any time, any place

Inleiding

Een managementinformatiesysteem van deze tijd maakt direct gebruik van brondata uit de operationele systemen en stelt realtime informatie beschikbaar: ‘any time, any place, any device’. Geen dikke rapporten maar een systeem waarbij de gebruiker zelfstandig kan doorklikken en gedetailleerdere informatie kan ophalen, volledig geautomatiseerd en ook op mobiele devices. U kunt als gebruiker uw informatiebehoefte verkrijgen zonder een IT-afdeling te vragen kostbare en statische rapporten te maken waarvan de doorlooptijd vaak lang is. Wij herkennen deze mogelijkheden in de dashboards die wij voor enkele van onze klanten hebben ontwikkeld en waarbij de mogelijkheden om de informatie te ontsluiten bijna onbegrensd zijn. Centraal in onze ervaringen staat enerzijds de aansluiting tussen de strategie, doelstellingen, kritieke succesfactoren, risico’s en onzekerheden die hiermee verband (kunnen) houden en anderzijds de ontsluiting van de benodigde informatie uit de bronsystemen om te kunnen bepalen waar een organisatie staat. Wij noemen dat ‘closing the loop’. Interessant voor u?

In dit artikel tonen wij u twee voorbeelden van dashboards. Hiermee laten wij zien dat het ontwikkelen van dashboards geen ‘ver-van-uw-bedshow’ hoeft te zijn en dat relatief eenvoudig toegevoegde waarde kan worden gecreëerd met het gebruik van deze dashboards. Hopelijk zetten wij u op deze wijze aan het denken en kunnen wij u behoeden voor een aantal valkuilen.

Case 1: ‘Added Value’ Risk Management Dashboarding bij fast moving consumer goods retailers

Organisaties willen graag wat meer ‘in control’ zijn, maar ze krijgen kippenvel van het idee dat ze compliant moeten zijn. Het voldoen aan geldende wet- en regelgeving en de daaruit voortvloeiende rapportageverplichtingen zou niet moeten leiden tot schade aan de pragmatische en ondernemende cultuur binnen de organisatie en de organisatie zou ook niet moeten worden afgeremd door te veel ingerichte controlemaatregelen. Tegelijkertijd horen we vaak terug dat het de organisatie veel energie en herstelwerk kost om haar organisatie in control te houden en voldoende managementinformatie te verkrijgen.

‘Added Value’ Risk Management Dashboarding zou hierbij kunnen helpen. Hierbij worden gegevens vanuit de bronsystemen (bijvoorbeeld ERP) geladen om vervolgens op verschillende managementniveaus – via dashboards – te worden gepresenteerd.

In deze eerste casus beschrijven we de aanpak en het resultaat van ‘Added Value’ Risk Management Dashboarding zoals we dat recentelijk voor een aantal retailklanten in de fast moving consumer goods hebben uitgewerkt. Deze case beschrijft een situatie waarin wij de betreffende klanten hebben ondersteund om vanuit de belangrijkste risico’s tot een stelsel automatisch gegenereerd dashboards te komen die de bedrijfsrisico’s monitoren. Hiermee wordt inzicht verkregen in de ontwikkelingen van specifieke risicogebieden en de toegevoegde waarde van de daaraan gerelateerde klantactiviteiten.

Uitgangspunten

Gebaseerd op onze ervaringen zijn de volgende uitgangspunten/aannames cruciaal voor een effectief project:

• Focus op de belangrijkste risicogebieden. Deze risicogebieden kunnen worden geïdentificeerd binnen de directie. Voorbeelden hiervan zijn geld- en goederenbeweging, liquiditeit, inkopen, ICT, controls en HR. Het selecteren van afgebakende risicogebieden zorgt voor de gewenste focus in het project.
• Probeer een balans te vinden tussen risico’s, de traditionele harde en de ‘nieuwe’ zachte beheersmaatregelen (soft controls).[Soft controls zijn de niet-tastbare gedragsbeïnvloedende factoren in de organisatie, gericht op het beheersen van het gedrag van medewerkers, zowel gewenst gedrag als ongewenst gedrag. Soft controls bieden de leiding van de organisatie handvatten om een cultuur van vertrouwen in te richten tot op het niveau van het interne risicobeheersings- en controlesysteem.]
• Maak gebruik van uw IT-investeringen. De data worden rechtstreeks uit de belangrijkste (ERP‑)systemen geïntegreerd in de dashboards.

Top-down aanpak

Wij focussen ons bij aanvang van de implementatie van ‘Added Value’ Risk Management Dashboarding allereerst op de belangrijkste strategische risico’s voor de vastgestelde risicogebieden. Hiertoe analyseren wij samen met de organisatie welke gebieden zij initieel als de belangrijkste risicogebieden zien. Vervolgens analyseren wij samen met de organisatie het bestaande beheersingsraamwerk. Ten slotte geven wij op iteratieve wijze de dashboards vorm en inhoud (zie figuur 1).

Figuur 1. Het driestappenplan van risicoassessment tot dashboarding.

Stap 1: Risicoassessment-workshops uitvoeren

Deze stap heeft tot doelstelling de belangrijkste risico’s per risicogebieden vast te stellen. Dit is een belangrijke fase omdat het aantal risico’s de scoping en de diepgang van de dashboards bepaalt. Deze stap bestaat uit drie activiteiten:

1. Vaststellen van de belangrijkste risico’s per risicogebied. Onze ervaring leert dat deze activiteit door een zo hoog mogelijk orgaan binnen de organisatie uitgevoerd dient te worden, bij voorkeur de directie. Door een interactieve en goed voorbereide sessie te organiseren kunnen binnen een korte tijd de risico’s per deelgebied worden geïdentificeerd. Deze vormen de basis voor het dashboard en interne controlesysteem.
2. Vaststellen van de maatregelen die reeds aanwezig zijn en die ontworpen moeten worden. Hiertoe beoordeelt het middelmanagement de risico’s per risicogebied, maakt de risico’s concreet en vult deze aan met de aanwezige en nog gewenste beheersmaatregelen. Op deze wijze is er een duidelijk inzicht in de ‘gap’ tussen de bestaande en de gewenste situatie.
3. Vaststellen van de informatiebehoefte. Voor elk van de beheersmaatregelen wordt vastgesteld in welke systemen deze maatregelen dienen te worden geconfigureerd. In kleinere groepen wordt bepaald welke controls in welke systemen geborgd moeten worden en of voldoende informatie voorhanden is.

Stap 2: Het Internal Control Framework opstellen

Deze stap heeft tot doel de risico’s, beheersdoelstellingen en controls concreet te maken. Hiervoor wordt een risico- en controlmatrix opgesteld per risicogebied.

• Per risicogebied wordt een risico- en controlmatrix opgesteld. Voor elk van de risico’s wordt een uitgebalanceerde set van beheersmaatregelen ontworpen. De beheersmaatregelen bestaan uit (efficiënte) preventieve applicatiecontrols en repressieve manuele controls. Deze beheersmaatregelen worden vertaald in key risk indicators (KRI’s): hoe worden deze beheersmaatregelen gemeten?
• Als de risico- en controlmatrix is opgesteld, dient voor de applicatiecontrols te worden beschreven hoe deze binnen het systeem geconfigureerd worden. Voor de manuele controls dienen de beheersmaatregelen in detail te worden beschreven en te worden geïntegreerd in de bestaande werkinstructies.
• Beschrijf tot slot hoe de KRI’s concreet in het systeem gemeten kunnen worden. Maak de KRI’s SMART en beschrijf de wijze van meten in functionele en technische documentatie.

Stap 3: De risicodashboards ontwikkelen, testen en implementeren

Deze fase heeft tot doel pragmatisch en iteratief toe te werken naar een prototype dashboard.

• Als eerste worden er prototypen ontwikkeld. Onze ervaring leert dat het ontwerpen, ontwikkelen en testen van de dashboards veel tijd kan kosten. Hierdoor bestaat het risico dat het proces momentum verliest. Onze tip is om te werken met prototypen in PowerPoint. Deze prototypen geven de ‘look and feel’ weer en helpen de managers en directie meer gevoel te krijgen bij de mogelijke oplossingen voor het beheersen van de risico’s en de daaraan gerelateerde oorzaken en gevolgen. De prototypen stellen het projectteam in staat de informatiebehoefte nader af te stemmen op de specifieke wensen van de gebruikers. Hierdoor wordt er in de ogen van de gebruikers relatief snel resultaat geboekt en zijn ze betrokken bij de ontwikkeling.
• Prototypen worden vertaald naar concrete dashboards in het Business Intelligence (BI)-landschap. Nu er overeenstemming is over de prototypen, kunnen deze worden vertaald en geïntegreerd in het bestaande BI-landschap worden gerealiseerd om ze vervolgens te laten testen door de business. Aandachtspunten hierbij zijn dat IT-organisaties eisen stellen aan de functionele en technische beschrijving van de dashboards. Daarnaast dient u rekening te houden met eventueel nieuw te ontwikkelen interfaces.
• Richt randvoorwaardelijke beheerprocedures in. Om de integriteit, consistentie en betrouwbaarheid van de dashboards in lijn te houden met onderliggende documentatie dienen er change-managementprocedures ontwikkeld en geïmplementeerd te worden om te bewerkstelligen dat risico- en controlmatrices worden onderhouden en consistentie wordt gewaarborgd tussen de risico- en controlmatrices met de functionele en technische documentatie en de dashboards in de BI-omgeving.

Het resultaat: lang leve de automatisering!

Het resultaat bestaat uit een up-to-date risicobeheersingsraamwerk met reguliere beheersmaatregelen in combinatie met het monitoren van gerelateerde risico’s via een overzichtelijke set van dashboards.

• Voor het monitoren van de reguliere beheersmaatregelen wordt een traditionele workflowtool gebruikt met e-mailalerts. Deze workflowtool zorgt periodiek voor opvolging van en rapportage over de status en de effectiviteit van de werking van deze beheersmaatregelen.
• Voor de KRI’s zijn de dashboards ontwikkeld. Elk onderdeel en niveau in de organisatie (strategisch, tactisch en operationeel) heeft zijn focus gericht op specifieke KRI’s. Per risicogebied is een apart dashboard opgesteld.
• De dashboards geven uiteindelijk het resultaat weer van de KRI’s en de effectiviteit van de beheersmaatregelen. Periodiek worden data geüpload vanuit de toeleverende systemen om de dashboards te voorzien van actuele data.

Figuur 2a. Voorbeeld van een prototype dashboard voor leveranciers.

Figuur 2b. Voorbeeld van een prototype dashboard voor ICT.

Case 2: Compliance dashboarding bij een verzekeraar

Hoe beheerst een verzekeringsmaatschappij haar compliance-, operationele en financiële risico’s?

Vervullen van ontbrekende behoefte

Bestuurders van verzekeringsmaatschappijen staan voor de taak de risico’s van de verzekeringsmaatschappij goed te monitoren, evenals de (financiële) performance. Deze uitdagende tijd vraagt om een continu inzicht in en overzicht van de prestaties en risico’s van een verzekeringsmaatschappij. Een verzekeringsdashboard kan hier een goede oplossing voor zijn, omdat een dashboard alle informatie op een gestructureerde wijze toont en tevens de uitzonderingen die aandacht behoeven eruit laat springen. Iedere bestuurder zou direct inzicht moeten hebben in de mate waarin de door de maatschappij gestelde KPI’s (key performance indicators) en KRI’s (key risk indicator) worden gehaald. Dit blijkt vaak niet het geval.

Bestuurders hebben de wens om eenvoudig en direct inzicht in én overzicht van de performance en risico’s van hun verzekeringsmaatschappij te hebben. Dat staat echter in schril contrast met de overdaad aan informatie binnen een bestuur, die vaak niet uitblinkt in overzichtelijkheid en consistentie. De echt relevante signalen, die opvolging behoeven, zijn vaak niet eenvoudig uit de dikke rapportages te halen. Bovendien zijn de rapportages meestal sterk gericht op het verleden terwijl bestuurders toekomstgerichte beslissingen moeten nemen. De vraag is: waarom beschikken verzekeringsmaatschappijen niet over een dashboard met de belangrijkste actuele stuurinformatie? Daarmee zouden ze beter inzicht kunnen krijgen in de performance van de verzekeringsproducten en de gebieden die verbetering behoeven. In zo’n dashboard kun je dan ook nog klikken op of swipen over iets wat je niet kunt plaatsen en vervolgens de onderliggende details krijgen. En als het nodig is nog kun je nog een keer klikken voor nog gedetailleerdere informatie.

Een managementdashboard of kortweg dashboard is een geaggregeerd totaaloverzicht waaruit duidelijk wordt hoe een organisatie scoort op belangrijke KPI’s of KRI’s, inclusief de uitbestede diensten. Hiermee wordt een einde gemaakt aan de overdaad aan papieren rapporten en overzichtslijsten.

Beschrijving van dashboard en hoe het doel wordt gehaald

Het ontwikkelen van een dashboard voor een verzekeringsmaatschappij kan op verschillende manieren en vanuit verschillende perspectieven. Wij hanteren als startpunt vaak een internationaal KPMG-onderzoek onder verzekeringsmaatschappijen genaamd Evolving Insurance Regulation: Time to get ahead ([KPMG12]). In dit onderzoek staan drie gebieden centraal die ieder grote druk leggen op de managementagenda. Deze gebieden zijn regelgevende druk, operationele druk en consumentendruk. Deze driedeling kan een goed startpunt vormen om vast te stellen welke informatie/inzichten nodig zijn om de huidige status per gebied te kunnen weergeven. Eerst wordt dit op het hoogste niveau in kaart gebracht en vervolgens kan ieder gebied in meer detail worden uitgewerkt. Naast de drie gebieden is er in dit dashboard ook voor gekozen om de belangrijkste KPI’s op te nemen.

Figuur 3a. Het verzekeraarsdashboard met drie perspectieven.

Het voorbeelddashboard in figuur 3a bevat de drie gebieden die de grootste druk leggen op de managementagenda, inclusief voor ieder gebied de stand van zaken op een visuele manier weergegeven. Bovenin worden de belangrijkste operationele kengetallen getoond, zoals het aantal nieuwe polissen en fraudes.

Het goed presteren van verzekeringsmaatschappijen hangt niet alleen af van het aantal producten dat wordt verkocht en het aantal gemelde schades, maar ook van de beleggingsopbrengsten in relatie tot beheerste financiële risico’s. De operationele kosten spelen echter ook een belangrijke rol, mede omdat deze jaarlijks terugkeren. Ten slotte kan het dashboard ook inzicht geven in fraudes, in de mate waarin controls zijn getest en in hoeverre de organisatie compliant is met de geselecteerde wetgeving. Al deze factoren moeten op enig moment terugkomen in het verzekeringsdashboard. Zo ontstaat één dashboard dat het presteren van een verzekeringsmaatschappij vanuit de verschillende perspectieven weergeeft.

Hierna wordt een aantal voorbeelden van een verzekeringsdashboard aangereikt. Belangrijk om te vermelden is dat het één geïntegreerd dashboard betreft waarop je kunt klikken, waardoor je nieuwe, meer gedetailleerde gegevens/inzichten krijgt.

Figuur 3b. Voorbeeld van een operationeel risicodashboard: schadebehandeling.

Het dashboard in figuur 3b geeft de verzekeringsmaatschappij in vier onderdelen weer (productdefinitie, polisacceptatie, prolongatie en schadebehandeling), inclusief de score (groen, oranje en rood) per onderdeel. Als je bijvoorbeeld klikt op ‘Schadebehandeling’, worden twee overzichten getoond. De linkergrafiek geeft de bedragen weer voor de inkomsten (premies) en de uitgaven (schademeldingen) over de laatste twaalf maanden. Voor schademeldingen is ook nog onderscheid gemaakt tussen geaccepteerde schademeldingen en afgekeurde schademeldingen. Als je een bepaalde maand in de grafiek selecteert, worden voor deze maand de aantallen uitgedrukt per product (drill-down).

In de rechtergrafiek worden afgekeurde schademeldingen gepresenteerd. Afgekeurde schademeldingen zijn voor een verzekeringsmaatschappij financieel aantrekkelijk maar zullen bij de consument vaak leiden tot teleurstelling en hem een negatief gevoel kunnen geven (‘Ik heb al die jaren verzekeringspremie betaald; nu heb ik een keer schade en krijg ik niks uitgekeerd!’).

Figuur 3c. Voorbeeld van een complianceverzekeringsdashboard gericht op controls.

Het dashboard in figuur 3c geeft het complianceperspectief weer van het verzekeringsdashboard. Op het hoofddashboard is op de button ‘Regelgevende druk’ gedrukt. Vervolgens krijg je de vier belangrijkste regelgevingen voor een verzekeraar gepresenteerd, inclusief de huidige status. Als je dan vervolgens op bijvoorbeeld ‘ICF / FSA’ (Internal Control Framework / Financial Statement Audit) drukt, krijg je inzage in hoe de proces- en IT-controls scoren over het gehele bedrijf. Daarnaast wordt per soort control gepresenteerd hoeveel van dit soort controls relatief binnen een specifiek label/channel/bedrijfsonderdeel aanwezig zijn. Hiermee wordt inzicht verkregen in de mate waarin op bepaalde controls wordt gesteund binnen een label. Applicatieve controls zijn efficiënter en effectiever dan manuele controls, dus zegt de verdeling ook iets over de efficiëntie van het framework.

Niet iedere control is onderdeel van de FSA, vanwege materialiteit. Echter, een FSA-control die ineffectief is, leidt tot tijdsintensieve additionele werkzaamheden. Daarom is het belangrijk om zowel een FSA- als een ICF-perspectief te hebben over de verschillende labels, zodat het juiste beeld wordt verkregen en gepaste vervolgacties kunnen worden ondernomen.

Figuur 3d. Voorbeeld van een complianceverzekeringsdashboard gericht op functiescheidingen.

Vanwege het belang van functiescheiding is ook continue monitoring op functiedoorbreking in het dashboard opgenomen (zie figuur 3d). Als je drukt op de application control ‘Functiescheiding’, worden de bijbehorende details getoond. In het midden wordt het aantal functiedoorbrekingen getoond in verhouding tot het aantal functiescheidingen. Onder in het dashboard wordt ingezoomd op de functiedoorbrekingen. Per soort functiedoorbreking worden de personen opgesomd en vervolgens worden ook het aantal keer en het bedrag getoond. Doordat het bedrag wordt getoond wordt meteen duidelijk of er sprake is van een schoonheidsfoutje of een mogelijke fraude. Met deze informatie kan dan ook meteen actie worden ondernomen.

Figuur 3e. Voorbeeld van een verzekeringsdashboard over opzeggingen.

Eerder in dit artikel hebben we de bovenkant van het verzekeringsdashboard uitgelegd. Ook hierop kan worden gedrukt zodat meer details worden verkregen. Bijvoorbeeld: als je drukt op het aantal opzeggingen, wordt een figuur getoond die weergeeft om welke redenen klanten een verzekering hebben opgezegd (zie figuur 3e).

Figuur 3f. Voorbeeld van een klantenverzekeringsdashboard.

Naast interne informatie is het ook van belang externe informatie in het dashboard op te nemen, oftewel: hoe ervaart de klant de verzekeringsmaatschappij? Op basis van het Keurmerk Klantgericht Verzekeren (KKV) is een aantal criteria opgeteld die ook worden gepresenteerd in het dashboard (zie figuur 3f). Het overzicht van niet-uitgekeerde schades komt terug in dit gedeelte van het dashboard, omdat deze informatie ook relevant is voor het keurmerk. Daarnaast worden ook reactietijden gepresenteerd en is te zien hoe het label scoort ten opzichte van de markt (zie midden rechts in figuur 3f).

Bevestiging dat initiële behoefte is ingevuld

Samenvattend vinden wij dat dit soort dashboards goed invulling geven aan integraal compliance-, operationeel en klantmanagement. Vanzelfsprekend zijn de getoonde dashboards slechts voorbeelden en is een echt dashboard vele malen uitgebreider. Wanneer u dit soort dashboards gaat gebruiken zal er ongetwijfeld behoefte ontstaan aan andere, betere of nieuwe inzichten waarmee het dashboard kan worden verrijkt. Ook het bewustzijn van en het inzicht in de risico’s zal hierdoor verder toenemen, wat uiteindelijk leidt tot een betere besturing van een verzekeringsmaatschappij.

Conclusie

In dit artikel hebben wij twee voorbeelden van dashboarding behandeld. Deze voorbeelden in verschillende typen organisaties laten zien dat de ontwikkeling en implementatie van dashboards in geweldige mogelijkheden voorziet. Dashboards brengen echter ook een aantal praktische ‘uitdagingen’ met zich mee. Ter afsluiting noemen we een aantal van deze aandachtspunten:

• Commitment in de directie. Stel binnen de directie de vraag waarom zij een project voor het implementeren van dashboards wil starten. Overtuig uzelf van wat de directie via dashboards wil monitoren en hoe dit zich verhoudt tot de strategische doelen en daarmee samenhangende risico’s. Zonder een helder commitment adviseren wij er (voorlopig) niet aan te beginnen. Het is essentieel dat de directie vervolgens actief betrokken is bij de verschillende fasen van het ontwikkel- en implementatietraject voor dynamische monitoring; voor veel organisaties is het loslaten van een centrale leiding een cultuuromslag die duidelijke sponsoring vereist vanuit de directie. In dit artikel is een aantal voorbeelden gegeven in welke fasen de directie betrokken kan worden.
• ‘Close the loop’-principe. Het model wordt top-down afgeleid vanuit de doelstellingen en strategie via de risico’s en beheersmaatregelen. Vervolgens wordt met de source data vanuit de operationele systemen de informatie opgebouwd en ontsloten via dashboards; voor zowel het hoogste als alle onderliggende managementniveaus is van belang dat de relevante personen en ook de relevante informatie beschikbaar zijn.
• Drill-down. De gebruiker kan top-down door de informatiestructuur klikken en inzicht verschaffen in de onderliggende details. U hoeft dus niet meer te wachten op een collega-medewerker voor aanvullende detailinformatie. De gewenste informatie kan immers op elk moment van de dag realtime worden verkregen. Uw rapportages komen dus nooit meer te laat en matchen uw persoonlijke behoefte als gebruiker.
• Integratie met het huidige IT-landschap. De dashboards dienen zo veel mogelijk volledig geïntegreerd te worden in de bestaande IT-oplossingen. Tenzij de bestaande IT-oplossingen niet voldoen, leveren nieuwe oplossingen alleen maar weerstand en hoge kosten op.
• Rapportage via BI-oplossingen. Onze ervaring is dat het merendeel van de data reeds aanwezig is op de betreffende BI-server; voor de dashboards wordt alleen een andere ‘view’ gebruikt. Belangrijk hierbij is dat de toegeleverde data juist zijn en dat er binnen het landschap uniforme datadefinities worden gebruikt. Het ontsluiten van de informatie kan op verschillende devices worden gerealiseerd. En voor de volledigheid: alleen met behulp van deze automatiseringsslag kunt u efficiënt dashboards introduceren en onderhouden.
• ‘Think big, act small and move fast.’ Deze aanpak, die voorschrijft om groot te denken maar klein te beginnen en hieruit successen te vieren en daar vervolgens meteen op door te pakken, staat borg voor een succesvolle implementatie. Concreet betekent dit: selecteer de processen of de risicogebieden met het hoogste risico en werk deze uit. Maak prototypen van de dashboards en bespreek die met de eindgebruikers, want pas dan gaat dit leven op elk niveau in de organisatie. Start met het implementeren van één dashboard. Is dit een succes, ga dan door met de andere. Pak niet te veel dashboards parallel op en vermijd ‘ivoren toren development’, maar ga voor kleine successen en gebruik deze om het succes uit te bereiden.
• Focus op de belangrijkste risicoperformancegebieden. Begin met redeneren vanuit de relevante aandachtsgebieden aan de directietafel. Dit kunnen performance-indicatoren of risicogebieden zijn. Voorbeelden hiervan zijn geld- en goederenbeweging, liquiditeit, inkopen, ICT en HR. Het selecteren van geprioriteerde en afgebakende performancegebieden zorgt voor de gewenste focus in het project.
• Balans in uw activiteiten. Vind bij het gebruik van dashboards een balans tussen de informatiebehoeften, de belangrijkste risico’s, de traditionele harde en de ‘nieuwe’ zachte beheersmaatregelen (soft controls), de monitoring- en rapportageactiviteiten.
• Commitment van de stakeholders. Verzeker u tijdig van commitment van relevante stakeholders. Denk hierbij niet alleen aan het management, maar ook aan de afdelingen die verantwoordelijk zijn voor het leveren van inputdata, de afdeling informatiebeveiliging en de softwareontwikkelingsafdelingen. Betrek alle lagen van de organisatie bij ontwerp, implementatie en testen.