Risicomodellen

Risicomanagementsysteem 

Doel van risicomanagement is om risico’s tijdig te onderkennen, de impact ervan in te schatten zodat medewerkers tijdig kunnen reageren en indien nodig passende maatregelen nemen. Daarmee verhoogd risicomanagement de voorspelbaarheid van de organisatie.

1  Wat is Risicomanagement?

Organisaties zijn omgeven met interne en externe onzekerheden die de realisatie van de doelstellingen in gevaar kunnen brengen. Een organisatie is ‘In Control’ als ze deze onzekerheden onderkent en beheersmaatregelen neemt zodat de kans groter wordt dat de risico’s zich niet gaan voordoen en de organisatie haar doelstellingen behaald. Risicomanagement draagt daarmee direct bij aan de voorspelbaarheid en de realisatie van de doelstellingen van een organisatie.

1a    Voorspelbaarheid

Als eigenaar of bestuurder van een organisatie wil je niet onaangenaam verrast worden door risico’s die zich vanuit het niets voordoen. Risicomanagement helpt bij het op een gestructureerde wijze in kaart brengen van risico’s. Zodat tijdig maatregelen kunnen worden genomen om de risico’s te verkleinen of te vermijden. Het kan dan gaan om allerlei risico’s:

  • het risico van economische neergang
  • Het risico van het niet tijdig verwerken van nieuwe technologieën in de bedrijfsprocessen;
  • Het risico van sterkere concurrentie;
  • Het risico van diefstal of fraude door klanten en/of medewerkers;
  • Het risico van cybercriminaliteit;
  • het risico van onvoldoende personeel;
  • Het risico van ongemotiveerde medewerkers;
  • Het risico van reputatieschade;
  • Het risico van nieuwe wet- en regelgeving.

Let op! Ook bij een effectief risicomanagementsysteem gaan risico’s zich voordoen. Als organisatie heb je immers niet altijd invloed op het gesignaleerde risico. Zo heb je als organisatie geen invloed op een wereldwijde financiële crisis of nieuwe wet- en regelgeving. Het voordeel van risicomanagement is dat je problemen ziet aankomen. Zodat je daarop kunt anticiperen. En daarmee het risico kan verkleinen dan wel helemaal vermijden. 

1b    Soorten Risico’s

Om risico’s te kunnen beheersen en tot een effectief risicomanagementsysteem te komen is het van belang om een het begrip ‘risico’ beter te duiden. Op deze pagina worden de verschillende soorten risico’s kort toegelicht;

  1. Strategische, tactische en operationele risico’s; veelal wordt deze categorisering gebruikt om het soort risico te duiden. Veelal in combinatie met het begrip risicogebieden. Probeer uw risicomanagement risicomanagement risk pngniet allen op de concrete operationele risico’s te richten maar ook op de tactische en strategische risico’s.
  2. Risicogebieden; geven een beeld van de risico’s die een organisatie kan lopen. Risicogebieden zijn die organisatieaspecten waarvan de organisatie denkt dat ze daar risico kan lopen. En fungeren als het ware als een checklist zodat geen risico’s vergeten worden. Denk hierbij aan inkopen, treasury activiteiten, projectmanagement, etc.    
  3. Imago- en financiële risico’s; binnen organisaties die werkzaam zijn in een maatschappelijke context wordt vaak een onderscheid gemaakt tussen imago- en financiële risico’s. Daarmee wordt dan aangegeven dat het risicoprofiel van de organisatie in termen van financiële stabiliteit en een goede reputatie wordt uitgedrukt. 
  4. Bruto en netto risico’s; een bruto risico is de inschatting van een risico zonder daarbij eventueel aanwezige beheersmaatregelen in ogenschouw te nemen. Een netto (rest) risico is het risico waarbij de huidige aanwezige beheersmaatregelen wel in beschouwing worden genomen.
  5. (Niet) beïnvloedbare risico’s; zowel beïnvloedbare als niet beïnvloedbare risico’s maken onderdeel uit van het risicomanagement. Immers ook niet beïnvloedbare risico’s kunnen de continuïteit van uw organisatie bedreigen. En hoewel het risico niet beïnvloedbaar is zijn er waarschijnlijk wel maatregelen die de consequenties van het risico kunnen verkleinen. Voorbeeld van een niet beïnvloedbare risico zijn macro-economische ontwikkelingen.
  6. (Niet) kwantificeerbare risico’s; binnen het risicomanagement wordt onderscheid gemaakt tussen kwantificeerbare en niet kwantificeerbare risico’s. Risico’s die niet kwantificeerbaar zijn worden op een andere wijze gewaardeerd. Zo wordt bijvoorbeeld reputatieschade uitgedrukt in het aantal negatieve persberichten.

In het Raamwerk Risicomanagement worden de verschillende soorten risico’s verder uitgewerkt en met elkaar in relatie gebracht.

1c    Risicobeleid

Om richting te geven aan de risico activiteiten binnen je organisatie raad ik je aan om eerst het risicobeleid van de organisatie op- en vast te stellen. In de praktijk van House of Control worden daarbij veelal de volgende uitgangspunten gehanteerd.

  • Lijnverantwoordelijkheid; risicomanagement is een lijnverantwoordelijkheid en geen speeltje van de staf. De lijn is verantwoordelijk voor het managen van de risico’s. De staf is verantwoordelijk voor opzet, implementatie en onderhoud van het risicomanagementsysteem.
  • Continu proces; risicomanagement is een continu proces. Het uitvoeren van een risicoanalyse is niet hetzelfde als het hebben van een effectief risicomanagementsysteem. 
  • Integraal risicomanagement; integraal wil zeggen dat alle soorten risico’s bij het risicomanagement worden betrokken en (nog belangrijker) dat deze risico’s in onderlinge samenhang worden beschouwd en gewaardeerd.
  • Continu verbeteren; een organisatie kan alleen succesvol zijn als zij continu zoekt naar mogelijkheden om producten, processen en de organisatie efficiënter en effectiever in te richten. Het beheersen van risico’s levert een belangrijke bijdrage aan het verbeteren van de bedrijfsprocessen.  
  • Risicobewustzijn; de effectiviteit van het risicomanagement wordt niet bepaald door de opzet, maar door de betrokkenen die ermee werken. Het ontwikkelen van risicobewustzijn is doorslaggevend van een effectief risicomanagementsysteem.
  • Pragmatisch; om van het hernieuwde risicomanagement een succes te maken is het van belang om de opzet ervan zo simpel mogelijk te houden. En om daar waar mogelijk aan te sluiten bij de al bestaande beheersingsmaatregelen en de reguliere planning & controlcyclus. 
  • risicovisie; in de risicovisie  wordt omschreven waarom er aan risicomanagement wordt gedaan. Denk daarbij bijvoorbeeld aan het waarborgen van de financiële stabiliteit en de bescherming van de reputatie van de organisatie. 
  • Risicobereidheid; met het bepalen van de risicobereidheid wordt aangegeven welke mate van risico acceptabel is voor het behalen van de doelstellingen. Een woningcorporatie heeft dat als volgt beschreven: “Als maatschappelijk ondernemer kiezen wij voor een risico averse en behoudende positie.”
  • Risicomanagementdoelstellingen; door het expliciet formuleren van risicomanagementdoelstellingen wordt in feite het maximaal geaccepteerd risicoprofiel vastgesteld waaraan alle betrokkenen zich kunnen spiegelen. Zo kan het streven naar financiële stabiliteit concreet vorm worden gegeven door liquiditeits- en solvabiliteitsnormen te formuleren.
  • Risicotoleranties; door het opnemen van risicotoleranties geeft het management aan welke risico’s wel of niet gewenst zijn. Veelal worden risicotoleranties gedefinieerd als een maximale afwijking van een specifieke doelstelling. Risico’s met een impact van > 1% van het afdelingsbudget worden gemanaged. Of alle risico’s die de reputatie van de organisatie bedreigen worden per definitie in het managementteam behandeld.
  • Risicostrategie; met behulp van de risicostrategieën wordt aangegeven hoe met bepaalde risico’s wordt omgegaan. Zo heeft een gemeente, waar House of Control met succes een risicomanagementsysteem heeft geïmplementeerd, besloten om alle risico’s die het imago van de gemeente bedreigen per direct op de agenda van het managementeam te plaatsen.
  • Planningshorizon; geeft het tijdsbestek aan van de risico’s die bij het risicomanagement worden betrokken. Veelal ligt de planningshorizon rond de 5 jaar. Gebeurtenissen die zich daarna nog mogelijk kunnen voordoen worden buiten beschouwing gelaten.

2   Risicoanalyse

Als we het hebben over risicomanagement dan maakt de risicoanalyse daarvan een belangrijk onderdeel vanuit. Risicoanalyse gaat in op de wijze waarop je binnen jouw organisatie risico’s identificeert, waardeert en beheerst. Bij een risicoanalyse worden bedreigingen benoemd en in kaart gebracht. Per bedreiging wordt de kans van het optreden ervan bepaald en wordt vervolgens berekend wat als gevolg de schade is die op zou kunnen treden als een bedreiging zich daadwerkelijk voor doet.

2a   Risico’s identificeren

Voor het identificeren van risico’s zijn vele methoden beschikbaar. Risico-identificatie kan op basis van statistische modellen plaatsvinden, self-assessments, scenarioplanning of workshops. In de praktijk van House of Control blijkt dat de workshop de meest gehanteerde methode is. management lean verbeterbord pngEnkele aandachtspunten:

  • Risicogebieden; om de risico-identificatie op een gestructureerde manier te laten verlopen wordt er gebruik gemaakt van risicogebieden. Risicogebieden zijn organisatieaspecten waar  de organisatie risico kan lopen. Risicogebieden fungeren als het ware als een checklist zodat geen risico’s vergeten worden. Denk hierbij aan inkopen, treasury activiteiten, projectmanagement, etc. Het House of Control hanteert voor het identificeren van risicogebieden haar eigen ontwikkelde methodiek onder de naam van ‘House of Control’.
  • Strategische- en tactische risico’s; de neiging bestaat om te focussen op operationele risico’s omdat deze het meest tastbaar zijn. Veelal zijn juist deze risico’s door de inrichting van de primaire processen al afgedekt. Focus daarom bij het identificeren van risico’s op de strategische en tactische risico’s. Tenzij er risico’s worden geconstateerd in de operationele processen waarvoor nog geen beheersingsmaatregelen zijn genomen. 
  • Multidisciplinair; effectiviteit van risico-identificatie wordt groter wanneer ook niet direct betrokkenen bij de workshop aanschuiven. Vraag bijvoorbeeld ook eens een (interne) klant om zijn of haar mening.
  • (Niet) beïnvloedbare risico’s; betrek ook niet beïnvloedbare risico’s bij de risico-identificatie. Hoewel u deze risico’s niet kan beïnvloeden zijn er vaak wel degelijk maatregelen denkbaar die de mogelijke consequenties van het risico kunnen verminderen dan wel kunnen wegnemen.

Nadat de risico’s geïdentificeerd zijn zult u de verschillende risico’s op uniforme wijze moeten waarderen om te bepalen welke risico’s het meest aandacht behoeven.

2b   Risico’s Waarderen

In het risicobeleid geeft de organisatie de risicobereidheid van de organisatie aan. Om de kwalitatieve risicobereidheid meetbaar te maken wordt gebruik gemaakt van waarderingscriteria. Met behulp van de kansmatrix en de impactmatrix worden risico’s op uniforme wijze gewaardeerd. risicomanagementOm vervolgens het risico uit te drukken in een getalswaarde als uitkomst van kans * impact (bijvoorbeeld 4 * 4 = 16). Dit wordt gevisualiseerd in de tolerantiematrix.

Belangrijk onderdeel van de tolerantiematrix is de drempelwaarde. De drempelwaarde geeft aan welke risico’s onder of boven de acceptatiebereidheid van de organisatie vallen. Voor alle risico’s die boven de drempelwaarde vallen moeten er maatregelen worden getroffen. In de figuur hiernaast vallen risico’s met een waarde van 10 en hoger boven de acceptatiebereidheid van de organisatie. Deze risico’s zijn rood gearceerd. Per risico moet bepaald worden hoe de organisatie met de betreffende risico om wil gaan.

2c   Risico-strategieën

Voor het beheersen van risico’s zijn er vier zogenaamde risicomanagement strategieën mogelijk. Per (soort) risico wordt vastgesteld welke strategie gehanteerd gaat worden:

  1. Reduceren; acties inzetten die het risico tot een acceptabel niveau terug brengen. Bijvoorbeeld door werkprocessen anders in te richten. Risicomanagement maakt daarmee een belangrijk onderdeel uit van het kwaliteitsmanagement (het proces van continu verbeteren) binnen een organisatie. 
  2. Vermijden; dit houdt in dat de activiteit waar een risico door ontstaat, wordt beëindigd of op een andere manier vorm wordt gegeven. Of dat voorgenomen beleid vanwege de risico’s niet wordt uitgevoerd. Zo is bij woningbouwcorporaties en zorginstellingen het veelal statutair verboden om overtollige liquide middelen in aandelen te investeren. 
  3. Overdragen; de activiteiten die door het risico geraakt worden, worden (deels) uitbesteed aan een derde partij die daarbij ook de risico’s overneemt. Denk daarbij bijvoorbeeld aan een brandverzekering. Het financiële risico van brand wordt tegen een kleine vergoeding overgedragen aan een andere partij. 
  4. Accepteren; als een risico niet wordt vermeden, verminderd of overgedragen, dan wordt een risico geaccepteerd en zal de eventuele schade middels de weerstandscapaciteit moeten worden afgedekt.

3   Beheersmaatregelen

Nadat is vastgesteld voor welke risico’s welke strategie wordt gevolgd kunnen de maatregelen worden genomen. Het geheel van maatregelen moet leiden tot een effectief stelsel van interne beheersingsmaatregelen. Hieronder zijn de beheersingsmaatregelen op zowel management- als op operationeel niveau en in een optimale mix van zogenaamde harde en zachte maatregelen (hard en soft controls) weergegeven.

Harde Maatregelen
• Meten & Rapporteren
• Risicocommissie
• Werkinstructies
• Risicolimieten
• Administratieve Organisatie
• Auditprocessen
• Systemen

 weegschaal 2

Zachte Maatregelen
• Risicobewustzijn
• Mensen
• Kennis & vaardigheden
• Integriteit
• Kernwaarden
• Vertrouwen & Communicatie
• Beloningen

Nadat de risico’s zijn geïdentificeerd en gewaardeerd worden en de gewenste mix van beheersingsmaatregelen is uitgewerkt is de risicoanalyse afgerond. Afhankelijk van de aard van de bedrijfsprocessen en de dynamiek van de omgeving waarin de organisatie opereert zal er minimaal twee keer per jaar een risicoanalyse uitgevoerd moeten worden.

3a   Administratieve Organisatie

In de administratieve organisatie wordt het stelsel van beheersmaatregelen vastgelegd. De administratieve organisatie is daarmee een afgeleide van de beheersinstrumenten die de bestuurder nodig acht om te kunnen sturen en beheersen. In de administratieve organisatie worden veelal de volgende beheersinstrumenten beschreven/opgenomen.

  • Sturingsfilosofie / Besturingsmodel
  • Missie, visie en strategie
  • Organisatie- en Overlegstructuur
  • Procuratieregeling / Mandateringsregeling
  • Risicomanagementsysteem
  • Procesbeschrijvingen
  • Rollen, taken en verantwoordelijkheden
  • Planning & controlcyclus
  • Verbandscontroles
  • Werkinstructies
  • Vigerende wet- en regelgeving

De administratieve organisatie gaat verder dan alleen de financiële aspecten van een bedrijf. Denk bijvoorbeeld aan het opvragen van een Verklaring Omtrent het Gedrag (VOG) voordat medewerkers worden aangesteld. Dit soort beheersmaatregelen maakt ook onderdeel uit van de administratieve organisatie. De administratieve organisatie vormt het startpunt voor het uitvoeren van audits en interne controles. Klopt het dat inkopen alleen plaatsvinden door medewerkers die daarvoor zijn gemachtigd? En blijkt uit de personeelsdossiers dat alle medewerkers over een VOG beschikken? 

3b   Controles

In het besturingsmodel en de administratieve organisatie (AO) van de organisatie is de opzet van het stelsel van beheersmaatregelen vastgelegd. ao ic werking stelsel beheersmaatregelen pngMet het uitvoeren van audits en interne controles stel je vast of het stelsel van interne beheersmaatregelen werkt zoals het bedoeld is.

  • Audit, een audit is een systematisch en periodiek onderzoek naar de organisatie en haar processen. Bij een audit onderzoek je of de organisatie en haar processen conform wet- en regelgeving, standaarden, normen en doelen worden uitgevoerd. Audits kunnen zich richten op een complete organisatie, maar bijvoorbeeld ook op een specifiek proces binnen een organisatie. Voorbeelden zijn de financial-, de operational-, de IT-, de organisatiebrede- en de Forensic audit. 
  • Procescontroles; sommige bedrijfsprocessen zijn dermate risicovol dat binnen het betreffende bedrijfsproces zelf al controles worden uitgevoerd om vast te stellen of de beheersmaatregelen (gemaakte procesafspraken) nageleefd worden. Zo controleert de salarisadministratie eerst of het afdelingshoofd van een medewerker akkoord is voordat het tot uitbetaling van reiskosten over gaat. En vindt er na een productie-batch steekproefsgewijs een kwaliteitscontrole plaats om vast te stellen of de geproduceerde goederen voldoen aan de gestelde eisen. 
  • Verbijzonderde controles; verbijzonderde controles maken geen onderdeel uit van de reguliere bedrijfsprocessen. Verbijzonderde controles zijn aanvullende controles die veelal door een onafhankelijke AO-IC afdeling worden uitgevoerd. Verbijzonderde interne controles worden uitgevoerd in de processen met de grootste financiële en maatschappelijke risico’s en is bedoeld om foutgevoelige processen te identificeren en de gerelateerde risico’s te beperken. Dat is ook de reden dat verbijzonderde controles veelal plaatsvinden op de financiële- en salarisadministratie en de inkoopafdeling. 
  • Systeemcontroles; het primaire doel van de systeemcontroles is om de organisatie inzicht te verschaffen in de opzet en de werking van het stelsel van beheersmaatregelen, zodat er een uitspraak kan worden gedaan over de aspecten volledigheid, juistheid en tijdigheid van de bestuurlijke informatievoorziening. Veelal worden systeemcontroles door een auditafdeling of kwaliteitsafdeling uitgevoerd. Op basis van een risicoanalyse wordt de opzet en werking van de beheersmaatregelen van de meest risicovolle processen getoetst.

4   Taken & Verantwoordelijkheden

Voor een effectief risicomanagement is het noodzakelijk dat de taken en verantwoordelijkheden binnen het risicoproces zijn vastgelegd. Op basis van de governancestructuur van organisaties onderscheidt House of Control grofweg 5 verdedigingslinies. Op basis waarvan taken en verantwoordelijkheden vastgesteld kunnen worden:

  1. De medewerkers vormen de 1e verdedigingslinie. Medewerkers worden dagelijks geconfronteerd met risico’s en hebben hier ook vaak het beste zicht op. Risicobewustzijn bij de medewerker vormt de eerste en belangrijkste verdedigingslinie.
  2. Het management vormt de 2e verdedigingslinie. Het management is eerstverantwoordelijke voor de feitelijke inrichting van processen, waarbij de risicobereidheid moet worden omgezet in het feitelijk beheersen van de risico’s. Daarbij is het management ook eerstverantwoordelijke voor het identificeren, waarderen en beheersen van risico’s.
  3. De bestuurders vormen de 3e verdedigingslinie. De verantwoordelijkheid van de bestuurder ligt vooral op gebied van het vaststellen, uitvoeren en monitoren van het risicobeleid en de inrichting van het risicomanagementsysteem. Tevens heeft de bestuurder een belangrijke voorbeeldfunctie hoe binnen de organisatie met risico’s wordt omgegaan.
  4. De monitoringsfuncties vormen de 4e verdedigingslinie. Er wordt aanvullende zekerheid verkregen door interne auditors en de externe accountant een toetsende en adviserende rol uit te laten voeren naar het gevoerde risicomanagement.
  5. De toezichthouder vormt de 5e verdedigingslinie. De toezichthouder houdt toezicht op het gevoerde risicobeleid en de opzet en werking van de interne risicobeheersing en controlesystemen.

Het Three lines of Defence Model van het Institute of Internal Auditors (IIA) wordt binnen organisaties vaak gebruikt om taken en verantwoordelijkheden rondom risicomanagement vast te leggen. Wie is binnen de organisatie verantwoordelijk voor het beheersen van de (afzonderlijke) risico’s en heeft de verantwoordelijkheid voor de effectiviteit van het risicomanagementsysteem?

5   Risicomodellen

Risicomanagement is een continu proces van het managen van onzekerheden. Waarbij duidelijk moet zijn wie binnen de organisatie welke taken en verantwoordelijkheden heeft in het risicoproces. In dat geval spreken we van een risicomanagementsysteem. Organisaties zijn vanuit de statuten of governancecode overigens verplicht zorg te dragen voor een effectief risicomanagementsysteem. Bekende risicomodellen zijn:

  1. Enterprise Risk Management (COSO); is het meest gebruikte raamwerk voor het beoordelen en inrichten van risicomanagement. Al meer dan twintig jaar geleden heeft het Committee of Sponsoring coso erm kubusOrganizations of the Treadway Commission (COSO), het Interne Beheersing Geïntegreerd Raamwerk (Internal Control Integrated Framework) uitgevaardigd om ondernemingen en andere organisaties te helpen met het beoordelen en verbeteren van de interne beheersingssystemen.
  2. Three Lines of Defence (IIA); het Three lines Model of Defense model (3LoD-model) van het Institute of Internal Auditors (IIA) wordt als instrument ingezet om risico’s te beheersen en om aan de buitenwereld te laten zien dat je als organisatie ‘in control’ bent. Het model wordt gebruikt om taken en verantwoordelijkheden rondom risicomanagement binnen een organisatie te beleggen. Wie is binnen de organisatie verantwoordelijk voor het beheersen van de (afzonderlijke) risico’s en het stelsel van beheersmaatregelen als geheel?  
  3. Raamwerk Risicomanagementsysteem (House of Control); In het raamwerk wordt op eenvoudige wijze uiteengezet hoe je in 8 stappen kunt komen tot een effectief risicomanagementsysteem. Zodat risico’s tijdig worden onderkend, de impact ervan kan worden ingeschat zodat medewerkers tijdig kunnen reageren en indien nodig passende maatregelen nemen. Begrippen zoals risicobereidheid, risicoanalyse en tolerantiematrix worden hier verder uitgewerkt.
  4. Typologie van Starreveld; de typologie van Starreveld is dé klassieker op het gebied van administratieve organisatie en interne beheersing (AO/IB). Het typologiemodel van Starreveld geeft concrete handvatten hoe je de interne beheersing van een organisatie vorm kan/moet geven. Waarbij de focus van Starreveld ligt op de beheersing van financiële risico’s. De borgen van de volledigheid en juistheid van de opbrengsten en uitgaven staan daarbij centraal. 
  5. Managementcontrolsysteem (MCS); is een verzameling van (beheers)instrumenten die managers inzetten om richting te geven aan de organisatie en haar processen en het beheersen van de risico’s. Daarmee verschaft een managementcontrolsysteem bestuurders één kader voor de aansturing van een organisatie. Het creëren van een managementcontrolsysteem is het zoeken van een balans tussen de verschillende sturingsinstrumenten die een manager tot zijn of haar beschikking heeft.

Andere bekende risicomodellen zijn ISO31000, de Baseline Informatiebeveiliging Overheid (BIO), de Risman methode en het Watermeloen model van Naris.

6   Gratis Risicoscan

Hoe groot is de kans dat jouw organisatie over een ‘bananenschil’ uitglijdt? House of Control biedt een gratis Risicomanagement Scan aan. Op basis van deze scan kun je vaststellen of jouw organisatie beschikt over een effectief risicomanagementsysteem. De scan geeft antwoord op de vraag of jouw organisatie de risico’s beheerst. Op basis van de resultaten van de scan ontvang je direct een gratis advies.

Gratis
15 vragen
Maximaal 8 minuten
Direct Advies!

Start de scan
Deel via Social Media:

Plaats een reactie