Raamwerk Risicomanagement

Risicomanagement Systeem

Op basis van het Enterprise Risk Management van COSO heeft House of Control een raamwerk ontwikkeld. Het Raamwerk Risicomanagement is in pdf-formaat beschikbaar. Het raamwerk omvat 8 stappen die je moet doorlopen om met succes risicomanagement in jouw organisatie te introduceren of te verbeteren. 

 

1   Uitgangspunten Risicomanagement

2   Risicobeleid

3   Risicoanalyse & Beheersingsmaatregelen

a   Risico-identificatie
b   Risicowaardering & Tolerantiematrix
c   Risicostrategieën
d   Beheersingsmaatregelen

4   Risicobewustzijn

5   Taken & Verantwoordelijkheden

a   Medewerkers
b   Management
c   Bestuurders
d   Monitoringsfuncties
e   Toezichthouders

6   Risicorapportage

7   ICT-ondersteuning?

8   Weerstandsvermogen

 

Stap 1   Uitgangspunten Risicomanagement

De eerste stap in het Raamwerk Risicomanagement is het formuleren van een aantal uitgangspunten over hoe je de risico's wil beheersen. In de praktijk van House of Control worden vaak de volgende uitgangspunten gehanteerd om tot een effectief risicomanagementsysteem te komen:

 

  • Lijnverantwoordelijkheid; risicomanagement is een lijnverantwoordelijkheid en geen speeltje van de staf. De lijn is verantwoordelijk voor het managen van de risico's. De staf is verantwoordelijk voor opzet, implementatie en onderhoud van het risicomanagementsysteem.
 
  • Continu proces; risicomanagement is een continu proces. In het Raamwerk Risicomanagement worden 8 stappen onderscheiden hoe u risicomanagement in uw organisatie kunt verankeren.
 
  • Integraal risicomanagement; integraal wil zeggen dat alle soorten risico’s bij het risicomanagement worden betrokken en (nog belangrijker) dat deze risico’s in onderlinge samenhang worden beschouwd en gewaardeerd.
 
  • Continu verbeteren; een organisatie kan alleen succesvol zijn als zij continu zoekt naar mogelijkheden om producten, processen en de organisatie efficiënter en effectiever in te richten. Het beheersen van risico's levert een belangrijke bijdrage aan het verbeteren van de bedrijfsprocessen.  
 
  • Risicobewustzijn; de effectiviteit van het risicomanagement wordt niet bepaald door de opzet, maar door de betrokkenen die ermee werken. Het ontwikkelen van risicobewustzijn is doorslaggevend van een effectief risicomanagementsysteem.
 
  • Pragmatisch; om van het hernieuwde risicomanagement een succes te maken is het van belang om de opzet ervan zo simpel mogelijk te houden. En om daar waar mogelijk aan te sluiten bij de al bestaande beheersingsmaatregelen en de reguliere planning & controlcyclus. 

 

Stap 2   Risicobeleid

Nadat de uitgangspunten zijn geformuleerd is het vaststellen van het risicobeleid de tweede stap van het Raamwerk Risicomanagement. Dat is nodig om richting te geven aan de risico-activiteiten binnen jouw organisatie. Risicobeleid omvat de volgende aspecten:

 

  • risicovisie; in de risicovisie  wordt omschreven waarom er aan risicomanagement wordt gedaan. Denk daarbij bijvoorbeeld aan het waarborgen van de financiële stabiliteit en de bescherming van de reputatie van de organisatie. 
 
  • Risicobereidheid; met het bepalen van de risicobereidheid wordt aangegeven welke mate van risico acceptabel is voor het behalen van de doelstellingen. Een woningcorporatie heeft dat als volgt beschreven: "Als maatschappelijk ondernemer kiezen wij voor een risico averse en behoudende positie."
 
  • Risicomanagementdoelstellingen; door het expliciet formuleren van risicomanagementdoelstellingen wordt in feite het maximaal geaccepteerd risicoprofiel vastgesteld waaraan alle betrokkenen zich kunnen spiegelen. Zo kan het streven naar financiële stabiliteit concreet vorm worden gegeven door liquiditeits- en solvabiliteitsnormen te formuleren.
 
  • Risicotoleranties; door het opnemen van risicotoleranties geeft het management aan welke risico’s wel of niet gewenst zijn. Veelal worden risicotoleranties gedefinieerd als een maximale afwijking van een specifieke doelstelling. Risico’s met een impact van > 1% van het afdelingsbudget worden gemanaged. Of alle risico’s die de reputatie van de organisatie bedreigen worden per definitie in het managementteam behandeld.
 
  • Risicostrategie; met behulp van de risicostrategieën wordt aangegeven hoe met bepaalde risico’s wordt omgegaan. Zo heeft een gemeente, waar House of Control met succes een risicomanagementsysteem heeft geïmplementeerd, besloten om alle risico’s die het imago van de gemeente bedreigen per direct op de agenda van het managementeam te plaatsen.
 
  • Planningshorizon; geeft het tijdsbestek aan van de risico’s die bij het risicomanagement worden betrokken. Veelal ligt de planningshorizon rond de 5 jaar. Gebeurtenissen die zich daarna nog mogelijk kunnen voordoen worden buiten beschouwing gelaten.

 

Stap 3   Risicoanalyse & Beheersingsmaatregelen

Stap 3 in het Raamwerk Risicomanagement betreft de risicoanalyse. Risicoanalyse gaat in op de wijze waarop je binnen jouw organisatie risico’s identificeert, waardeert en beheerst. Stap 3 van het Raamwerk Risicomanagement, de risicoanalyse, gaat dan ook in op de volgende onderwerpen:

 

a   Risico-identificatie
b   Risicowaardering & Tolerantiematrix
c   Risico-strategieën
d   Beheersingsmaatregelen

 

3a    Risico-identificatie

Voor het identificeren van risico’s zijn vele methoden beschikbaar. Risico-identificatie kan op basis van statistische modellen plaatsvinden, self-assessments, scenarioplanning of workshops. In de praktijk van House of Control blijkt dat de workshop de meest gehanteerde methode is. Enkele aandachtspunten:
 
  • Risicogebieden; om de risico-identificatie op een gestructureerde manier te laten verlopen wordt er gebruik gemaakt van risicogebieden. Risicogebieden zijn organisatieaspecten waar  de organisatie risico kan lopen. Risicogebieden fungeren als het ware als een checklist zodat geen risico’s vergeten worden. Denk hierbij aan inkopen, treasury activiteiten, projectmanagement, etc. Het House of Control hanteert voor het identificeren van risicogebieden haar eigen ontwikkelde methodiek onder de naam van 'House of Control’.
 
  • Strategische- en tactische risico’s; de neiging bestaat om te focussen op operationele risico’s omdat deze het meest tastbaar zijn. Veelal zijn juist deze risico’s door de inrichting van de primaire processen al afgedekt. Focus daarom bij het identificeren van risico's op de strategische en tactische risico’s. Tenzij er risico’s worden geconstateerd in de operationele processen waarvoor nog geen beheersingsmaatregelen zijn genomen. 
 
  • Multidisciplinair; effectiviteit van risico-identificatie wordt groter wanneer ook niet direct betrokkenen bij de workshop aanschuiven. Vraag bijvoorbeeld ook eens een (interne) klant om zijn of haar mening.
 
  • (Niet) beïnvloedbare risico’s; betrek ook niet beïnvloedbare risico’s bij de risico-identificatie. Hoewel u deze risico’s niet kan beïnvloeden zijn er vaak wel degelijk maatregelen denkbaar die de mogelijke consequenties van het risico kunnen verminderen dan wel kunnen wegnemen.
 

Nadat de risico’s geïdentificeerd zijn zult u de verschillende risico’s op uniforme wijze moeten waarderen om te bepalen welke risico’s het meest aandacht behoeven.

 

3b    Risicowaardering & Tolerantiematrix

In het risicobeleid geeft de organisatie de risicobereidheid van de organisatie aan. Om de kwalitatieve risicobereidheid meetbaar te maken wordt gebruik gemaakt van waarderingscriteria. Met behulp van de kansmatrix en de impactmatrix worden risico's op uniforme wijze gewaardeerd. Om vervolgens het risico uit te drukken in een getalswaarde als uitkomst van kans * impact (bijvoorbeeld 4 * 4 = 16). Dit wordt gevisualiseerd in de tolerantiematrix.

Belangrijk onderdeel van de tolerantiematrix is de drempelwaarde. De drempelwaarde geeft aan welke risico's onder of boven de acceptatiebereidheid van de organisatie vallen. Voor alle risico's die boven de drempelwaarde vallen moeten er maatregelen worden getroffen. In de figuur hiernaast vallen risico's met een waarde van 10 en hoger boven de acceptatiebereidheid van de organisatie. Deze risico's zijn rood gearceerd. Per risico moet bepaald worden hoe de organisatie met de betreffende risico om wil gaan.

 

3c    Risico-strategieën

Voor het beheersen van risico's zijn er vier zogenaamde risicomanagement strategieën mogelijk. Per (soort) risico wordt vastgesteld welke strategie gehanteerd gaat worden:
 
  1. Reduceren; acties inzetten die het risico tot een acceptabel niveau terug brengen. Bijvoorbeeld door werkprocessen anders in te richten. Risicomanagement maakt daarmee een belangrijk onderdeel uit van het kwaliteitsmanagement (het proces van continu verbeteren) binnen een organisatie. 
 
  1. Vermijden; dit houdt in dat de activiteit waar een risico door ontstaat, wordt beëindigd of op een andere manier vorm wordt gegeven. Of dat voorgenomen beleid vanwege de risico’s niet wordt uitgevoerd. Zo is bij woningbouwcorporaties en zorginstellingen het veelal statutair verboden om overtollige liquide middelen in aandelen te investeren. 
 
  1. Overdragen; de activiteiten die door het risico geraakt worden, worden (deels) uitbesteed aan een derde partij die daarbij ook de risico’s overneemt. Denk daarbij bijvoorbeeld aan een brandverzekering. Het financiële risico van brand wordt tegen een kleine vergoeding overgedragen aan een andere partij. 
 
  1. Accepteren; als een risico niet wordt vermeden, verminderd of overgedragen, dan wordt een risico geaccepteerd en zal de eventuele schade middels de weerstandscapaciteit moeten worden afgedekt.
 

3d    Beheersingsmaatregelen

Nadat is vastgesteld voor welke risico's welke strategie wordt gevolgd kunnen de maatregelen worden genomen. Het geheel van maatregelen moet leiden tot een effectief stelsel van interne beheersingsmaatregelen. Hieronder zijn de beheersingsmaatregelen op zowel management- als op operationeel niveau en in een optimale mix van zogenaamde harde en zachte maatregelen (hard en soft controls) weergegeven.
 

       Harde Maatregelen

  • Meten en Rapporteren
  • Risicocommissie
  • Werkinstructies
  • Risicolimieten
  • Administratieve Organisatie
  • Auditprocessen
  • Systemen

       Zachte maatregelen

  • Risicobewustzijn
  • Mensen
  • Kennis & Vaardigheden
  • Beloningen
  • Integriteit
  • Cultuur en Waarden
  • Vertrouwen en Communicatie
 
Nadat is vastgesteld hoe de risico's geïdentificeerd en gewaardeerd worden. En de gewenste mix van beheersingsmaatregelen duidelijk is dan is stap 3 van het raamwerk risicomanagement, de risicoanalyse, afgerond. Afhankelijk van de aard van de bedrijfsprocessen en de ontwikkelingen die zich in de omgeving voordoen zal er minimaal twee keer per jaar een risicoanalyse uitgevoerd moeten worden.

 

Stap 4   Risicobewustzijn

Stap 4 in het Raamwerk Risicomanagement is het creëren van risicobewustzijn. Veel risico’s zijn te onderkennen, vast te leggen, te kwantificeren en te beheersen. De praktijk leert echter dan niet het risicomanagementsysteem maar de organisatiecultuur bepalend is voor de wijze waarop met risico’s in een organisatie wordt omgegaan.

Organisaties komen te vaak in het nieuws als gevolg van mismanagement, of nog erger, frauduleus handelen. Dit gaat ten koste van de reputatie van de organisatie. En juist deze reputatie is vaak een belangrijke waarde voor een organisaties. Daarmee vormt de bestuurscultuur naast de organisatiecultuur een risico dat expliciete aandacht vraagt. House of Control adviseert geen zware cultuurtrajecten. In de praktijk blijkt dat de organisatiecultuur door twee factoren kan worden beïnvloed:

 

  1. Kernwaarden; het is de taak voor bestuurders om inhoud te geven aan de organisatiecultuur. De organisatiecultuur moet niet alleen inspirerend zijn. De organisatiecultuur omvat ook de gewenste houding en gedrag. Dit wordt door organisaties veelal vormgegeven door de kernwaarden van de organisatie vast te stellen als drager van de organisatiecultuur.
 
  1. Tone at the top; belangrijke voorwaarde naast het vaststellen van de kernwaarden, is dat de kernwaarden ook als zodanig worden beleefd. Voorbeeldgedrag van bestuurders en management is van essentieel belang voor de juiste organisatiecultuur en risicobewustzijn. Als bijvoorbeeld integriteit een belangrijke waarde is dan is het niet handig als managers wel snoepreisjes accepteren.

 

Voor het creëren van risicobewustzijn is stap 5 van het Raamwerk Risicomanagement, het vastleggen van Taken en Verantwoordelijkheden, een belangrijke voorwaarde.

 

Stap 5    Taken & Verantwoordelijkheden

In stap 5 van het Raamwerk Risicomanagement worden de taken en verantwoordelijkheden van risicomanagement vastgelegd. Op basis van de governancestructuur van organisaties onderscheidt House of Control grofweg 5 verdedigingslinies. Op basis waarvan taken en verantwoordelijkheden vastgesteld kunnen worden:

 
  1. De medewerkers vormen de 1e verdedigingslinie. Medewerkers worden dagelijks geconfronteerd met risico’s en hebben hier ook vaak het beste zicht op. Risicobewustzijn bij de medewerker vormt de eerste en belangrijkste verdedigingslinie.

 
  1. Het management vormt de 2e verdedigingslinie. Het management is eerstverantwoordelijke voor de feitelijke inrichting van processen, waarbij de risicobereidheid moet worden omgezet in het feitelijk beheersen van de risico’s. Daarbij is het management ook eerstverantwoordelijke voor het identificeren, waarderen en beheersen van risico’s.

 
  1. De bestuurders vormen de 3e verdedigingslinie. De verantwoordelijkheid van de bestuurder ligt vooral op gebied van het vaststellen, uitvoeren en monitoren van het risicobeleid en de inrichting van het risicomanagementsysteem. Tevens heeft de bestuurder een belangrijke voorbeeldfunctie hoe binnen de organisatie met risico’s wordt omgegaan.

 
  1. De monitoringsfuncties vormen de 4e verdedigingslinie. Er wordt aanvullende zekerheid verkregen door interne auditors en de externe accountant een toetsende en adviserende rol uit te laten voeren naar het gevoerde risicomanagement.

 
  1. De toezichthouder vormt de 5e verdedigingslinie. De toezichthouder houdt toezicht op het gevoerde risicobeleid en de opzet en werking van de interne risicobeheersing en controlesystemen.
 

Het Three lines of Defence Model van het Institute of Internal Auditors (IIA) wordt binnen organisaties vaak gebruikt om taken en verantwoordelijkheden rondom risicomanagement vast te leggen. Wie is binnen de organisatie verantwoordelijk voor het beheersen van de (afzonderlijke) risico's en heeft de verantwoordelijkheid voor de effectiviteit van het risicomanagementsysteem? 

 

Stap 6   Risicorapportage

In stap 6 van het Raamwerk Risicomanagement staat het rapporteren over risico's centraal. Op basis van de waardering van de risico’s in de tolerantiematrix dient er communicatie plaats te vinden rondom de beheersing van deze risico’s. Hoe hoger de risicoscore des te belangrijker het risico is voor de organisatie. In onderstaande figuur is schematisch weergegeven vanaf welke score risico’s gedeeld dienen te worden met andere niveaus in de organisatie. 

 
  • Risicopiramide; een risico van 25 is de hoogst mogelijke waardering voor een waardering. Dat wil zeggen dat in dat geval de kans dat het risico zich voor gaat doen zeer groot is en dat de consequentie rampzalig is. In dat geval zal de toezichthouder zeker van dit risico moeten afweten.
 
  • Risicolog; alle risico's worden vastgelegd in het risicolog. In het risicolog wordt per risico aangegeven wat de risico inhoudt, wat de impact ervan is en welke maatregelen er worden. Hier vindt u een voorbeeld risicolog . Het risicolog vormt de basis voor de rapportage over de risico's naar de verschillende 'doelgroepen'. 
 
  • Planning & controlcyclus; de rapportage rondom risico’s wordt idealiter gekoppeld aan de reguliere planning & controlcyclus. Immers risico’s zijn direct gerelateerd aan de realisatie van de doelstellingen van de organisatie.

 

Stap 7   ICT-ondersteuning

In stap 7 van het Raamwerk Risicomanagement staat de geautomatiseerde ondersteuning van het risicomanagementproces centraal. Eisen die u aan een dergelijke applicatie mag stellen zijn:

 
  • Mutatiemogelijkheden; de applicatie moet het opvoeren, wijzigen en verwijderen van risico’s ondersteunen waarbij per risico moet worden aangegeven wat het risico inhoudt, wat de oorzaak is, de kans * impact, de eventueel getroffen beheersingsmaatregelen die zijn genomen en de bijbehorende risico-eigenaar.
 
  • Gebruiksvriendelijkheid; of de applicatie ook daadwerkelijk gebruikt gaat worden hangt in hoge mate af van de gebruikersvriendelijkheid van de applicatie.
 
  • Rapportages; de applicatie moet vanuit verschillende perspectieven rapportages kunnen genereren zodat alle partijen op basis van eigen informatiebehoefte worden geïnformeerd.
 

Hoe eenvoudiger hoe beter! In de praktijk blijkt dat applicaties voor risicomanagement tot in perfectie zijn doorontwikkeld. Klinkt aardig maar in de praktijk wordt maar 30% van deze applicatie gebruikt. De rest is ballast die de applicatie gebruikersonvriendelijk maakt. Daarom heeft House of Control met Excel een eenvoudig programma ontwikkeld die het u mogelijk maakt om terug te keren naar de essentie van risicomanagement, namelijk het sturen op risico’s.

 

Stap 8   Risicomanagement & Weerstandsvermogen

In stap 8 van het Raamwerk Risicomanagement wordt de relatie gelegd tussen risico's en het weerstandsvermogen van de organisatie. Het weerstandsvermogen geeft de financiële weerbaarheid van de organisatie weer. Dit is van belang wanneer zich een financiële tegenvaller voordoet. Het weerstandsvermogen bestaat uit middelen waarmee tegenvallers eventueel bekostigd kunnen worden, zoals de algemene en de herwaarderingsreserve.

Het weerstandsvermogen is voldoende als financiële tegenvallers goed opgevangen kunnen worden en het saldo van de weerstandscapaciteit minus risico’s positief is. Het weerstandsvermogen kan door middel van een berekening omgezet worden in een ratio weerstandsvermogen. Het voordeel hiervan is dat men de ratio kan normeren en dus kan beheersen. 

Als u alle 8 stappen van het Raamwerk Risicomanagement heeft doorlopen bent u op de goede weg om te komen tot effectief risicomanagementsysteem. Het Raamwerk Risicomanagement is ook in pdf-formaat beschikbaar.

Deel House of Control via Social Media