Risicoanalyse / Risicomanagement

Stap 3 in het Raamwerk Risicomanagement betreft de risicoanalyse. Risicoanalyse gaat in op de wijze waarop u risico’s kunt identificeren, waarderen en beheersen. Stap 3 van het Raamwerk Risicomanagement, de risicoanalyse gaat dan ook in op de volgende onderwerpen:
 

1   Risico-identificatie

2   Risicowaardering & Tolerantiematrix

3   Risico-strategieën

4   Beheersingsmaatregelen

 

ad 1    Risico-identificatie

Voor het identificeren van risico’s zijn vele methoden beschikbaar. Risico-identificatie kan op basis van statistische modellen plaatsvinden, self-assessments, scenarioplanning of workshops. In de praktijk van House of Control blijkt dat de workshop de meest gehanteerde methode is. Enkele aandachtspunten:
 
  • Risicogebieden; om de risico-identificatie op een gestructureerde manier te laten verlopen wordt er gebruik gemaakt van risicogebieden. Risicogebieden zijn organisatieaspecten waar  de organisatie risico kan lopen. Risicogebieden fungeren als het ware als een checklist zodat geen risico’s vergeten worden. Denk hierbij aan inkopen, treasury activiteiten, projectmanagement, etc. Het House of Control hanteert voor het identificeren van risicogebieden haar eigen ontwikkelde methodiek onder de naam van 'House of Control’.
  • Strategische- en tactische risico’s; de neiging bestaat om te focussen op operationele risico’s omdat deze het meest tastbaar zijn. Veelal zijn juist deze risico’s door de inrichting van de primaire processen al afgedekt. Focus daarom bij het identificeren van risico's op het in kaart brengen van de strategische en tactische risico’s. Tenzij er natuurlijk grote risico’s worden geconstateerd in de operationele processen.
  • Multidisciplinair; effectiviteit van risico-identificatie wordt groter wanneer ook niet direct betrokkenen bij de workshop aanschuiven. Vraag bijvoorbeeld ook eens een (interne) klant om zijn of haar mening.
  • (Niet) beïnvloedbare risico’s; betrek ook niet beïnvloedbare risico’s bij de risico-identificatie. Hoewel u deze risico’s niet kan beïnvloeden zijn er vaak wel degelijk maatregelen denkbaar die de mogelijke consequenties van het risico kunnen verminderen dan wel kunnen wegnemen.
 
Nadat de risico’s geïdentificeerd zijn zult u de verschillende risico’s op uniforme wijze moeten waarderen om te bepalen welke risico’s het meest aandacht behoeven.  
 

ad 2    Risicowaardering & Tolerantiematrix

In het risicobeleid geeft de organisatie de risicobereidheid van de organisatie aan. Om de kwalitatieve risicobereidheid meetbaar te maken wordt gebruik gemaakt van waarderingscriteria. Met behulp van de kansmatrix en de impactmatrix wordt een individueel risico op uniforme wijze beoordeeld. Om vervolgens het risico uit te drukken in een getalswaarde als uitkomst van kans * impact (bijvoorbeeld 4 * 4 = 16). Dit wordt gevisualiseerd in de tolerantiematrix.

Belangrijk onderdeel van de tolerantiematrix is de drempelwaarde. De drempelwaarde geeft aan welke risico's onder of boven de acceptatiebereidheid van de organisatie vallen. Voor alle risico's die boven de drempelwaarde vallen moeten er maatregelen worden getroffen. In de figuur hiernaast vallen risico's met een waarde van 10 en hoger boven de acceptatiebereidheid van de organisatie. Deze risico's zijn rood gearceerd. Per risico moet bepaald worden hoe de organisatie met de betreffende risico om wil gaan.

 

ad 3    Risico-strategieën

Voor het beheersen van risico's zijn er vier zogenaamde risicomanagement strategieën mogelijk. Per (soort) risico wordt vastgesteld welke strategie gehanteerd gaat worden:
 
  1. Reduceren; acties inzetten die het risico tot een acceptabel niveau terug brengen. Bijvoorbeeld door werkprocessen anders in te richten.
  2. Vermijden; dit houdt in dat de activiteit waar een risico door ontstaat, wordt beëindigd of op een andere manier vorm wordt gegeven. Of dat voorgenomen beleid vanwege de risico’s niet wordt uitgevoerd.
  3. Overdragen; de activiteiten die door het risico geraakt worden, worden (deels) uitbesteed aan een derde partij die daarbij ook de risico’s overneemt. Denk daarbij bijvoorbeeld aan een brandverzekering. Het financiële risico van brand wordt tegen een kleine vergoeding overgedragen aan een andere partij. 
  4. Accepteren; als een risico niet wordt vermeden, verminderd of overgedragen, dan wordt een risico geaccepteerd en zal de eventuele schade middels de weerstandscapaciteit moeten worden afgedekt.
 

ad 4   Beheersingsmaatregelen

Nadat duidelijk voor welke risico's welke strategie wordt gevolgd kunnen de maatregelen worden genomen. Het geheel van maatregelen moet leiden tot een effectief stelsel van interne beheersingsmaatregelen. Hieronder zijn de beheersingsmaatregelen op zowel management- als op operationeel niveau en in een optimale mix van zogenaamde harde en zachte maatregelen (Hard en Soft controls) weergegeven.
 

       Harde Maatregelen

  • Meten en Rapporteren
  • Risicocommissie
  • Werkinstructies
  • Risicolimieten
  • Administratieve Organisatie
  • Auditprocessen
  • Systemen

       Zachte maatregelen

  • Risicobewustzijn
  • Mensen
  • Kennis & Vaardigheden
  • Beloningen
  • Integriteit
  • Cultuur en Waarden
  • Vertrouwen en Communicatie
 
Nadat is vastgesteld hoe de risico's geïdentificeerd en gewaardeerd worden. En de gewenste mix van beheersingsmaatregelen is vastgesteld dan is stap 3 van het Raamwerk Risicomanagement, de risicoanalyse, voltooid. En kunt u verder met stap 4 van het Raamwerk, het Risicobewustzijn.
 
 
 
 

Deel House of Control via Social Media