Strategisch risicomanagement voor organisaties

Tekst groter

Strategisch risicomanagement voor organisaties

Risicomanagement kan binnen een drietal toepassingsgebieden worden uitgevoerd. In deze sectie wordt ingegaan op de inrichting van strategisch risicomanagement binnen organisaties.

Organisaties die hun kans op het halen van organisatiedoelstellingen willen vergroten, kunnen expliciet risicomanagement invoeren. Daarnaast kan bij het expliciet en gestructureerd nemen van (strategische) beslissingen risicomanagement als onderbouwing dienen.

In de diverse gedragscodes (zoals bv. Sarbanes-Oxley, code Tabaksblat of codes voor de publieke sector) speelt risicomanagement een belangrijke rol. In de codes wordt aangestuurd op een toegesneden risicomanagementmodel waarmee een overzicht gegeven kan worden van (veranderende) risico’s en ingestelde beheersmaatregelen. Van organisaties wordt steeds meer geëist dat een goede controle aanwezig is en bewust met risico’s wordt omgegaan. Door middel van risicomanagement kan transparant over de risico’s worden gerapporteerd aan de organisatie zelf, de Raad van Bestuur, de Raad van Commissarissen en/of mogelijk de buitenwereld. Dat gaat verder dan het opnemen van risico’s in een planning en control cyclus.

Tekst groter

Doel strategisch risicomanagement

Met het implementeren van strategisch risicomanagement wordt beoogd risico’s in de organisatie beter te beheersen en op een verantwoorde, transparante en expliciete wijze met risico’s om te gaan.

Met het implementeren van strategisch risicomanagement wordt een aantal zaken beoogd:

  • betere beheersing van risico’s
  • op verantwoorde, transparante en expliciete wijze met risico’s omgaan.

Dit wordt bereikt door:
Continu risico’s expliciet te maken en te beheersen. Door het introduceren van risicomanagement zullen risico’s geregeld, met vastgestelde tussenpozen, geïnventariseerd en besproken worden. Op deze wijze blijven de risico’s ‘up to date’ en is er een voortdurende aandacht voor de beheersing ervan bij het (top)management. Dit biedt tevens de mogelijkheid om risico’s te rapporteren aan de organisatie en controlerende instanties.

Risicobewustzijn te creëren in de organisatie
Door de introductie van risicomanagement worden de verschillende risico’s ‘in de hoofden’ van het management en medewerkers voor iedereen inzichtelijk gemaakt. Hierdoor kan een gelijk beeld bestaan over de belangrijkste risico’s en ontstaat een sterk risicobewustzijn.

Bewust en pro-actief (in plaats van reactief) met risico’s om te gaan bij strategievorming en uitwerkingen daarvan
Door het benoemen en uitvoeren van beheersmaatregelen voordat risico’s daadwerkelijk zijn opgetreden, wordt het mogelijk pro-actief met risico’s om te gaan. Hierdoor worden de mogelijke (negatieve) gevolgen van een risico ingeperkt, in plaats van dat wordt afgewacht tot het risico optreedt en er dan pas actie ondernomen wordt om de gevolgen te beperken. Door het uitvoeren van een risicoanalyse worden risico’s en beheersmaatregelen niet op een willekeurige, maar op een gestructureerde wijze geïnventariseerd. Hierdoor zal een completer beeld van de risico’s ontstaan; de kans dat risico’s over het hoofd worden gezien wordt hiermee gereduceerd.

Onderdeel van (strategisch) risicomanagement is een risicoanalyse.

Risicoanalyse

Strategisch risicomanagement begint met een risicoanalyse. Een risicoanalyse kan worden gebruikt voor:

Inzichtelijk maken van risico’s/risicovolle processen
De risicoanalyse richt zich op het inzichtelijk maken van de belangrijkste risico’s. Om deze risico’s aan te pakken worden vervolgens maatregelen in kaart gebracht. Een eenmalige inventarisatie van de risico’s is echter niet voldoende. Voor een betere beheersing van risico’s zal de stap naar risicomanagement gezet moeten worden, waarbij de uitgevoerde risicoanalyse als eerste stap geldt.

Het onderbouwen van strategische keuzes
Het uitvoeren van een risicoanalyse kan helpen om te komen tot een strategische keuze of de haalbaarheid van een strategisch plan aan te tonen. Hierbij kan tevens gekozen worden om risico’s (gedeeltelijk) te kwantificeren.

Tekst groter

Uitgangspunten strategisch risicomanagement

Uitgangspunten van risicomanagement zijn dat het moet aansluiten bij de bestaande werkwijze, de zeggenschap volgt en de verantwoordelijkheid is van iedere medewerker.

Risicomanagement moet aansluiten bij de bestaande werkwijze

Risicomanagement dient zoveel mogelijk aan te sluiten bij de bestaande werkwijze binnen de organisatie. Dit betekent in eerste instantie dat rapportage en communicatie over de risico’s expliciet gekoppeld dient te worden aan de bestaande communicatie- en rapportagestructuur.

Risicomanagement volgt de zeggenschap

Dit betekent dat de verantwoordelijkheid voor een risico daar ligt waar ook de verantwoordelijkheid ligt van de activiteit waar het risico betrekking op kan hebben. Met andere woorden, iedereen in de organisatie is verantwoordelijk voor het signaleren van en treffen van maatregelen voor de risico’s die binnen diens verantwoordelijkheid vallen. De eindverantwoordelijkheid voor risico’s ligt bij het topmanagement.

Risicomanagement wordt de verantwoordelijkheid van iedere manager

Belangrijk is dat de implementatie van risicomanagement gebaseerd is op het uitgangspunt, dat de managers zelf hiervoor verantwoordelijk worden gemaakt. Risicomanagement kan dus niet geheel worden uitbesteed aan een derde partij. Wel kan een derde partij hierbij ondersteunen.

Tekst groter

Stap 1 t/m 5 binnen strategisch risicomanagement

Stappen in risicomanagement bestaan uit het uitvoeren van een integrale risicoanalyse, het vaststellen van beheersmaatregelen, het implementeren van beheersmaatregelen, het evalueren van beheersmaatregelen en het uitvoeren van een update van de risicoanalyse.

Stap 1: uitvoeren integrale risicoanalyse

De eerste stap is het inzichtelijk maken van de actuele stand van zaken met betrekking tot de risico’s. Dit gebeurt door het uitvoeren van een integrale risicoanalyse. Deze risicoanalyse kan worden uitgevoerd volgens de RISMAN-methode en bestaat uit een aantal onderdelen.

Stap 2: vaststellen van beheersmaatregelen

Vanaf dit punt gaat de risicoanalyse over in risicomanagement. Na de inventarisatie van beheersmaatregelen worden in deze stap de maatregelen daadwerkelijk vastgesteld. Het resultaat van deze stap is een lijst met daarin achtereenvolgens opgenomen:

  • het risico
  • de vastgestelde beheersmaatregel
  • de verantwoordelijke persoon of organisatieonderdeel.

Belangrijk bij het vaststellen van beheersmaatregelen is dat dit SMART (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdsgebonden) gebeurt. Ook dient duidelijk onderscheid te worden gemaakt tussen maatregelen die risico’s op het strategisch niveau beheersen en maatregelen voor risico’s op het tactisch niveau.

Stap 3: implementeren van beheersmaatregelen

Nadat beheersmaatregelen zijn vastgesteld, dienen deze ook daadwerkelijk geïmplementeerd te worden in de organisatie. Hiervoor ligt de eindverantwoordelijkheid in dit geval bij het topmanagement. Door het in acht nemen van de uitgangspunten van risicomanagement (Risicomanagement moet aansluiten bij de bestaande werkwijze, Risicomanagement volgt de zeggenschap, Risicomanagement wordt de verantwoordelijkheid van iedere manager) worden de maatregelen op een effectieve manier geïnitieerd. Daarop volgend ligt de verantwoordelijkheid voor de daadwerkelijke beheersing bij het lijnmanagement van de afdeling waar het risico aanwezig is.

Stap 4: evalueren van beheersmaatregelen

Onderdeel van het cyclische proces van risicomanagement is het evalueren van beheersmaatregelen. Door op gezette tijden de maatregelen te evalueren wordt duidelijk of risico’s daadwerkelijk beheerst worden of dat aanvullende maatregelen nodig zijn om ze te beheersen. Bij het evalueren van beheersmaatregelen wordt gekeken of de maatregelen daadwerkelijk volgens plan zijn uitgevoerd, de maatregelen het verwachte effect hebben en of de bijbehorende risico’s afnemen.

Stap 5: uitvoeren update van de risicoanalyse

Naast dat de effectiviteit van beheersmaatregelen moet worden gecontroleerd, kunnen de risico’s zelf ook veranderen in de tijd. Door een breed scala aan oorzaken kunnen risico’s wegvallen of minder belangrijk worden, of juist opnieuw ontstaan. Daardoor is de actualisatie van de risico’s in de vorm van een risico-update nodig. Op gezette tijden is het noodzakelijk de gehele risicoanalyse opnieuw uit te voeren. Veranderingen in de organisatie en, met name ook, de omgeving maken dit noodzakelijk.

Tekst groter

Definieer doel van de risicoanalyse

Afhankelijk van het beoogde gebruik van de resultaten wordt het doel van de analyse vastgesteld.

Voorbeelden van doelen voor de risicoanalyse zijn het ‘inzichtelijk maken van risicovolle processen/belangrijkste risico’s binnen processen’ of het ‘onderbouwen van een strategische keuze’.

Tekst groter

Vaststellen Ongewenste Top Gebeurtenissen

Veelal zal het ‘niet halen van strategische organisatiedoelstellingen’ in ieder geval tot de meest onwenselijke gebeurtenissen (OTG) behoren. Dit wordt doorvertaald naar afdelingsniveau. 

In bijna alle gevallen hebben bedrijfsdoelstellingen te maken met continuïteit, kwaliteit, omzet en imago. Het niet halen van doelstellingen zal een uiterst ongewenste situatie zijn. Een dergelijke gebeurtenis wordt een “OTG”, een Ongewenste Top Gebeurtenis genoemd. Veelal zal het ‘niet halen van organisatiedoelstellingen’ in ieder geval tot de meest onwenselijke gebeurtenissen behoren. De OTG’s zijn bepalend voor de risico’s die worden geïnventariseerd. De risico’s leiden in dat geval tot de ongewenste top gebeurtenissen.

Door de OTG’s op strategisch niveau (stap II) te vertalen naar OTG’s voor afdelingen (stap III) wordt de risico-inventarisatie op tactisch niveau voorbereid. De ongewenste topgebeurtenissen per afdeling zijn een afgeleide van de strategische OTG’s naar de activiteiten van de afdeling.

Indien de risicoanalyse enkel gebruikt wordt voor het onderbouwen van strategische keuzes heeft dit gevolgen voor de definitie van de OTG. Deze zal in dat geval meer toegespitst zijn op het niet halen van het beoogde effect van de strategische keuze.

Tekst groter

Uitvoeren risico-inventarisatie op strategisch en tactisch niveau

In de risico-inventarisatie op strategisch niveau worden risico’s geïnventariseerd die kunnen leiden tot de OTG’s op strategisch niveau. Deze richt zich op twee niveaus.

Indien de risicoanalyse als doel heeft bepaalde strategische keuzes te onderbouwen, kan de eerste inventarisatie voldoende zijn. Indien het doel ‘beter beheersen van risico’s en risicovolle processen’ is of bijvoorbeeld ‘het zoeken naar diepere oorzaken van risico’s, dient verder gegaan te worden met de inventarisatie op tactisch niveau.

In de inventarisatie op tactisch niveau worden de risico’s geïnventariseerd die kunnen leiden tot de op afdeling gespecificeerde OTG’s. Na de inventarisatie volgt wederom een prioritering. Hiermee worden de belangrijkste risico’s die volgen uit de afdelingen verkregen. Per afdeling wordt een aparte inventarisatie uitgevoerd.

Tekst groter

In kaart brengen beheersmaatregelen

Gekoppeld aan de meeste belangrijke risico’s worden in deze stap beheersmaatregelen voor de risico’s geïnventariseerd. Deze kunnen dienen om daadwerkelijk te starten met het actief beheersen van de risico’s.

Beheersmaatregelen kunnen worden gezocht in het Vermijden, Overdragen, Verminderen en Accepteren van het risico. Hierbij spelen zaken als de invloed op risico’s, de grootte van de gevolgen, de kans van optreden en de risicohouding van de organisatie een belangrijke rol.
 
In onderstaand figuur is een overzicht te zien van de totale risicoanalyse.

Tekst groter

Deelnemers van de risicoanalyse

De deelnemers aan de risicoanalyse bepalen voor een belangrijk deel de kwaliteit van de analyse. Bij het inventariseren van risico’s wordt daarnaast gewerkt met een aantal vooraf vastgestelde invalshoeken.

De risico’s die aanwezig zijn binnen een bedrijf komen voort uit de activiteiten binnen alle afdelingen. Om een volledig beeld te verkrijgen van de risico’s, daar vervolgens een juiste prioritering aan te geven en tenslotte reële beheersmaatregelen te inventariseren is een ‘goede doorsnede’ nodig van het betrokken organisatiedeel.

Voor de risico-inventarisatie op strategisch niveau is het van belang dat iedere persoon die een significante bijdrage heeft aan het topmanagement van het bedrijf of in ieder geval betrokken is bij de strategievorming en besturing van het bedrijf aanwezig is.

Bij de inventarisaties per afdeling dient de deelnemersgroep per keer te veranderen. De risico’s komen voort uit de werkzaamheden van de mensen uit de desbetreffende afdeling. Voor deze inventarisatie is het belangrijk dat naast het verantwoordelijke directielid een goede doorsnede van (de top van) de desbetreffende afdeling aanwezig is.

Gebruik invalshoeken

Bij het formuleren van risico’s heerst het gevaar dat deelnemers sterk inzoomen op hun eigen vakgebied. Hierdoor kan een eenzijdig beeld ontstaan en mist de samenhang tussen de risico’s. De kracht van een goede risicoanalyse ligt echter juist in het verkrijgen van een volledig beeld van alle risico’s. Door het kijken naar risico’s vanuit verschillende invalshoeken bij de risicoanalyses worden de deelnemers aan de analyse geholpen breder te kijken dan hun standaard werkveld, waardoor een compleet beeld van de risico’s wordt verkregen. Dit helpt de risico’s op een bepaald vlak goed en inhoudelijk bloot te leggen. Ook buiten het vakgebied van een bepaalde deelnemer kunnen grote risico’s liggen.

Tegelijkertijd zorgt het gebruik van invalshoeken voor een groter risicobewustzijn binnen de organisatie. Inzicht in risico’s op andere vlakken en in de relaties tussen de verschillende risico’s voorkomt een geïsoleerde benadering van specifieke risico’s.

Bij de risico-inventarisatie op strategisch niveau (top-down) spelen veelal organisatorische risico’s een grote rol. Voor de inventarisatie op tactisch niveau zijn de risico’s met name verbonden aan de specifieke activiteiten van de afdeling. Voor beide inventarisaties wordt dezelfde set invalshoeken gehanteerd (Politiek/Bestuurlijk, Juridisch/Wettelijk, Organisatorisch, Technisch, Financieel, Extern), welke is afgeleid van de standaard set invalshoeken van de RISMAN methodiek. De invalshoeken fungeren slechts als denkraam.

Tekst groter

Verschillende rollen in organisaties

Rollen in risicomanagement zijn onder meer inhoudelijk, ondersteunend, aanjagend en beslissend. Ten aanzien van risicomanagement worden verschillende rollen onderkend.

Inhoudelijk

Deze rol houdt in dat de medewerkers inhoudelijk de risico’s in kaart brengen en bedenken welke maatregelen getroffen kunnen en gaan worden. Dit is voor de top-down inventarisatie het topmanagement en voor de bottom-up inventarisaties de medewerkers van de verantwoordelijke afdelingen.

Ondersteunend

Naast de inhoudelijke beheersing van de risico’s zal het proces van risicomanagement zelf moeten worden beheerst. Veelal wordt dan ook gekozen om naast de inhoudelijke verantwoordelijkheid voor risico’s een ondersteuningsfunctie ten behoeve van risicomanagement in te stellen die voor de gehele organisatie (instrumentele) ondersteuning biedt, zoals het verzorgen van integrale rapportages.

Aanjager

Tevens zal een persoon binnen de organisatie de rol van ‘risico-aanjager’ op zich moeten nemen. Aan deze persoon is het de taak het gedachtegoed van risicomanagement te verspreiden en risicomanagement te stimuleren bij de diverse verantwoordelijken. Ook zal hij/zij de kwaliteit moeten bewaken bij de wijze waarop/de methode waarmee risico’s en maatregelen worden geïnventariseerd en uitgevoerd. Bij Strategisch Risicomanagement is het van belang dat dit een belangrijk persoon in de organisatie is. Dit kan, in het geval van strategisch risicomanagement, iemand van de top van de organisatie zijn.

Beslisser

Binnen de organisatie dient de beslissingsstructuur voor het risicomanagement helder vast te liggen. Het topmanagement gaat over de coördinatie, prioritering vanuit organisatiebreed/strategisch perspectief, de vaststelling van de beheersmaatregelen op strategisch niveau en het goedkeuren van de rapportages. Het lijnmanagement (vanuit de verschillende afdelingen) gaat over de prioritering en het vaststellen van maatregelen op afdelingsniveau.

Tekst groter

Informatie en rapportage

Door het gebruiken van risicomanagement kan te allen tijde adequaat en actueel gerapporteerd worden over risico’s.

Veelal worden voornamelijk financiële rapportages gebruikt in organisaties. De meerwaarde van het toepassen van risicomanagement volgens de RISMAN methode, zoals Twynstra Gudde dat voorstelt, is dat ook breder gekeken wordt naar risico’s en wordt ingegaan op de daadwerkelijke beheersing van de risico’s. Overeenkomstig kan tevens over het gehele risicomanagement gerapporteerd worden.

Informatie en rapportage over risico’s is een belangrijk aspect. Organisaties dienen te allen tijde een actueel overzicht hebben van de risico’s, bijbehorende beheersmaatregelen en de verantwoordelijkheden daarvoor. Door het toepassen van risicomanagement op een juiste manier is deze informatie continu beschikbaar. Met een actuele risico database kunt u in uw rapportage structuur altijd een actueel overzicht van risico’s en beheersmaatregelen opnemen. Twynstra Gudde kan u hierin verder ondersteunen door een digitale risico database te (laten) implementeren.