In deze blog leg ik het watermeloen model verder uit. Eerder heeft Erik van Marle dit model omschreven in zijn blog “Verschillende implementatiemodellen op een rij en Best Practice Watermeloen+ model”. Met deze aanvullende uitleg weet jij als controller of auditor precies hoe jij dit model kan inzetten voor het risicomanagement binnen jouw organisatie.
Maar eerst; waar komt de term watermeloen model vandaan? De kern ligt in het feit dat veel organisaties onderliggende afdelingen laten rapporteren met stoplichtkleuren; rood, oranje en groen. Het gedrag dat hiermee opgeroepen wordt, is dat iedereen zijn of haar afdeling zo groen mogelijk presenteert; met ons gaat alles goed en wij zijn in control. Maar hoe groener een afdeling zich presenteert hoe meer je moet opletten. Groen van buiten kan heel goed rood van binnen zijn, vandaar te term watermeloen.
Over welke risico’s gaat het
Het gaat hier om de operationele of te voorkomen risico’s van organisaties. Voor de strategische en externe risico’s van de organisaties is een andere aanpak noodzakelijk.
Operationele risico’s zijn risico’s die door de organisatie beïnvloedbaar zijn en hebben te maken met interne processen, mensen en systemen. Door dergelijke risico’s kunnen organisaties in grote problemen komen en bijv. hun licence to operate verliezen. Bij organisaties met veel processen en verschillende processtappen zijn er vooral heel veel operationele risico’s. Hoe houd je het overzicht en hoe haal je de noodzakelijke informatie uit de organisatie? Dat zijn vragen die je je namens de gehele organisatie moet afvragen.
Hoe haal je informatie op
Het watermeloen model richt zich op de wijze waarop de 2e lijn informatie ophaalt bij de eerste lijn. Dit werkt vaak niet goed doordat:
- De 1e lijn een andere focus heeft. De eerste lijn is druk bezig met de business. Mensen binnen de eerste lijn zitten dus vaak niet te wachten op lastige vragen. Als naar risico’s wordt gevraagd zullen zij het liefst globale antwoorden geven of juist risico’s noemen die nu net niet belangrijk zijn.
- Er een gebrek is aan formats en risicodialogen wat vervolgens leidt tot een rommelig risicoprofiel met risico’s rijp en groen door elkaar.
- Er een gebrek is aan kennis over risicomanagement en definities (oorzaak-gebeurtenis-gevolg) waardoor de kwaliteit van hetgeen dat aangeleverd wordt onvoldoende is.
- Er onvoldoende kennis is over de verschillende typen risico’s. Als 1e lijn is het lastig de actualiteiten bij te houden over cyberrisico’s, informatiebeveiliging, fraude, juridisch, privacy en financiën.
Het watermeloen model
Het Watermeloen model richt zich meer op de kwaliteit en volledigheid van bekende risico’s en controls. Deze operationele risico’s en controls worden vastgesteld door de 2e lijn. De 1e lijn zal moeten aangeven welke risico’s al dan niet van toepassing zijn en ook welke controls ‘in place’ zijn. Vervolgens bepalen zij ook of risico’s geaccepteerd worden. Het vraagt dus nadrukkelijk meer voorbereidingstijd van de 2e lijn. Daarbij moet de 2e lijn zeer direct communiceren naar de 1e lijn. De 2e lijn dient keuzes te maken en prioriteiten te stellen met betrekking tot het bepalen van welke risico’s en controls het belangrijkste zijn voor het voorbestaan van de organisatie.
Stappen op weg naar watermeloen model
1 Vaststellen van risk confrol framework;
a. Doelstelling
b. Standaard processen, risico’s en controls.
c. Noodzakelijke reporting intern maar ook extern.
2. Breng processen in beeld. Dit mag op hoofdlijnen zijn.
3. Stel de key risks en key controls per proces. Dit proces vraagt wel een samenwerking van de verschillende 2e lijn activiteiten. Ook moet het een groeimodel zijn waarbij niet elke 2e lijn specialist 100 risico’s en controls wil uitvragen.
4. Begeleiding van de RCF naar de eerste lijn. Dit is een wereld op zich waarbij het in de kern draait om dat de 1e lijn geholpen moet worden. Ook dient er een ritme te ontstaan van informatie ophalen, valideren en rapporteren.
5. Integrale RCF of dashboard. Het integrale beeld zorgt in een bepaalde mate voor groepsdruk binnen de organisatie. De ene afdeling heeft meer controls dan de ander.
Watermeloen+ Model
Een uitbreiding op het Watermeloen model kan door de 1e lijn nog meer informatie te vragen. Hierbij gaat het dan vooral over de assurance van controls. De 1e lijn moet aangeven of ze de controls ook daadwerkelijk getest hebben en of ze evidence kunnen bijvoegen. Hiermee bereiken we een zo goed als volledige In Control Verklaring met benodigd dossier, opgesteld en verantwoord door de 1e lijn. De 2e lijn vervult een duidelijk rol van adviseur en begeleider. De 3e lijn kan een objectief advies geven over opzet, bestaan en werking.