IT loves Risk Management

 
17 oktober 2016

PRESENTATIE KARIN VAN BAARDWIJK – Head of Group Information Services Robeco

Karin van Baardwijk was Head Of Operational Risk Management bij Robeco en werd gepromoveerd tot CIO. Daarmee kwamen zaken als governance, risk en compliance plotseling in een ander perspectief te staan. Veel IT’ers hebben moeite met het risicomanagement, maar omgekeerd zijn er ook de nodige vooroordelen. De start van haar job als CIO was het begin van een doorbraak in die wat moeizame relatie.

Bij haar overstap van risicomanagement naar IT viel het Van Baardwijk op dat er een behoorlijke kloof bestond tussen die twee werelden. Risicomanagement ziet IT als een “lastige” afdeling: altijd goed voor het creëren van veel risico’s, en meestal te laat met het betrekken van risicomanagement. Omgekeerd waren er ook vooroordelen: risicomanagers zijn vooral goed in procesdenken en richten zich enkel op de interne beheersingskant van IT, maar missen het echte inzicht in IT. Waar kunnen risicomanagement en IT elkaar versterken? Bij uitstek zijn IT’ers het meest geschikt om hun eigen risico’s te identificeren. Maar hoe zorg je ervoor dat hier voldoende tijd voor wordt genomen? De reguliere aanpak van risico-identificatie, risk assessments, et cetera gaat hierbij niet helpen, dus maak het vooral een beetje leuk. Bij Robeco hebben we dit gedaan middels een pre-mortem. Hoe trek je nu lessen uit fouten zonder dat de patiënt is overleden zoals bij een post-mortem het geval is? Een verhuizing van het bedrijf was de aanleiding om risico’s in kaart te brengen. Van Baardwijk ging daarbij uit van een worst case scenario: stel je voor dat de verhuizing op een totale mislukking zou zijn uitgelopen, en is vanuit dat perspectief gaan terugredeneren: kunnen we bij voorbaat bedenken wat ons succes in de weg heeft gestaan? Deze oefening bracht allerlei mogelijke faalfactoren aan de orde, zoals de overgang naar een ander telefoniesysteem, de logistiek van de migratie zelf en het werken met bring your own device. De oefening bracht variabelen aan het licht waar ver voorafgaand aan de echte verhuizing nog op kon worden bijgestuurd. Daarbij is met name gekeken naar de onomkeerbaarheid van risico’s. De opbrengst van deze oefening was groot.

Bij uitstek zijn IT’ers het meest geschikt om hun eigen risico’s te identificeren

De kloof tussen risicomanagement en IT was echter nog niet gedicht. Van Baardwijk ging op directieniveau na hoe de besluitvorming tot stand kwam. Zit IT aan tafel of staat IT eigenlijk slechts op het menu? In het laatste geval word je gegeten, vooropgesteld dat je wordt gekozen. Als je aan tafel zit, kan je in ieder geval de IT-agenda sturen, kennis en kunde inbrengen en goede vragen stellen. Van Baardwijk geeft aan dat het voor een RvC best lastig is te bepalen welke vragen je moet stellen aan de directie als het gaat om de sourcing strategie of risk appetite bij IT. Ze had echter het geluk dat in de Raad van Commissarissen een RvC-lid aanwezig was met affiniteit met IT. Goed samenwerken met dit RvC-lid hielp om de beeldvorming over IT te verbeteren, daarnaast organiseerde Van Baardwijk permanente educatiesessies voor de overige leden van de RvC. Met andere woorden, met creatieve oplossingen kom je als CIO verder.

Van Baardwijk breekt een lans voor tijdige en open communicatie. Risicomanagers vinden altijd wel tien obstakels, waardoor je niet van A naar B kunt komen. Hen eerder betrekken, ze meenemen in de reis die je gaat maken, vergroot de kans op begrip en verkleint de tegenstelling.

Hoe je vorm geeft aan de risicomanagement-rol binnen je IT organisatie is bepalend voor het succes van de samenwerking. Tussen jou en je succes op IT gebied staan vele risico’s, dan kan je er maar beter voor zorgen dat je deze risico’s tijdig hebt gezien en kan bijsturen als het nog zin heeft!

Karin van Baardwijk sprak op Outsourcing Performance Day 2016.