Risico Management


Risico management behelst het minimaliseren van de kans dat risico’s optreden en/of het beheersbaar maken van het effect van opgetreden risico’s.

Analoog aan de overige dienstverlening kijkt Delta Procurement door de ‘risico management bril’ naar de virtuele driehoek: (inkoop)processen, systemen en de organisatie. Via zogenaamde Proces Risico Analyses (PRA’s) en Systeem Risico Analyses (SRA’s) brengen we voor u de risico’s en gewenste maatregelen in kaart.

 

 

Procesrisico’s

liggen bijvoorbeeld in de sfeer van het ontbreken van procedures:

• Wanneer moet een factuur geparafeerd worden?
• Vanaf welk bedrag MOET er via het corporate inkoopsysteem ingekocht worden en wat zijn de eventuele uitzonderingen hierop?

Óf als gevolg van ondeugdelijk contract management:

• Ontbreken van een contract management systeem met als gevolg geen duidelijk zicht op looptijden, opzegtermijnen, annexes,
ontbindende voorwaarden etc
• Ontbreken van eigen inkoopvoorwaarden

Systeemrisico’s

richten zich veelal op autorisatievraagstukken, user management, back-up faciliteiten etc. Vaak zie je binnen eenzelfde organisatie grote verschillen tussen hoe ERP applicaties en zogenaamde business applicaties zijn georganiseerd c.q. worden beheerd. Die laatste groep applicaties krijgt veel minder ‘aandacht’ en de interfaces tussen beide groepen van systemen worden te vaak niet adequaat bewaakt.

Organisatorische risico’s

zijn vaak het gevolg van niet eenduidig doorgevoerde functiescheiding (SOD), slecht geïmplementeerde positie-rolmodellen, niet of niet-consequent doorgevoerde RA(S)CI etc.

Om risico’s met betrekking tot functiescheiding te categoriseren zetten wij in een matrix alle procesrollen tegen mekaar af, waarbij we de risico’s op basis van conflicterende procesrollen, onderverdelen naar laag, hoog en verboden.

Onze ervaring leert bovendien dat systeem- en organisatorische risico’s vaak aan elkaar gerelateerd zijn. Zo moet het uitgerolde procesmodel 1:1 doorvertaald zijn naar je systeemgeving (user management en autorisatiebeheer).