Risicomanagement

RisicomanagementIedereen, zowel organisaties als individuen, houdt zich van oudsher bezig met enige vorm van risicomanagement. Risicomanagement is namelijk niets anders dan het inschatten van de mogelijke gevolgen van een handeling (of juist van het niet uitvoeren van een handeling), en bepalen of we bereid zijn deze gevolgen te accepteren.

De laatste jaren staat risicomanagement in toenemende mate in de belangstelling. Achterliggende reden is een combinatie van (inter)nationale schandalen rondom frauderende organisaties (o.a. Enron, Ahold) en de maatschappelijke roep om meer en transparantere verantwoording (corporate governance). Het doel van risicomanagement in dit kader, is om op een gestructureerde manier zicht te krijgen op de risico’s die een organisatie loopt en te besluiten hoe hier mee wordt omgegaan. Zodanig, dat de organisatie naar haar stakeholders toetsbaar kan verantwoorden dat ze ‘in control’ is.

Wat is risico? Risico is een combinatie van de kans dat zich iets voordoet en de impact daarvan. Ofwel Risico = Kans x Impact. Het is zo goed als onmogelijk om zonder risico’s te werken. Het nemen van risico’s is deel van het dagelijkse leven. Risicomanagement is dan ook niet bedoeld om risico’s uit te sluiten, maar om er voor te zorgen dat je weet wat de belangrijkste risico’s zijn en dat je een bewuste keuze hebt gemaakt in de manier hoe je met die risico’s wilt omgaan.

Wat is risicomanagement? Op een gestructureerde manier omgaan met de risico's. Het bepalen van je risicobeleid (welk risico ben je bereid te lopen?), het inventariseren en analyseren van risico's, het formuleren van maatregelen (verzekeren, extra toezicht, stoppen met bepaalde activiteiten, etc.) en tot slot het monitoren. Risicomanagement is een onderdeel van goed bestuur.

COSO ERM risicomanagement raamwerk

Wereldwijd vormt het COSO ERM model het meest gebruikte raamwerk voor het inrichten en beoordelen van risicomanagement. Het model is in 2004 gepubliceerd en is een vervolg op het in 1992 gepubliceerde model voor interne beheersing; “Internal Control – Integrated Framework”. Het COSO ERM model is een allesomvattend, geïntegreerd model; het richt zich op alle facetten van interne beheersing van een organisatie.

Het meest herkenbaar van het model is wellicht de kubus-illustratie, die alle verschillende facetten van het model weergeeft.

COSO model

Het COSO ERM model bestaat uit acht samenhangende componenten, die op ieder van de vier organisatieniveaus betrekking hebben en gemeenschappelijk een bijdrage leveren aan vier verschillende categorieën organisatiedoelstellingen. Deze organisatiedoelstellingen hebben betrekking op:

  • Het bereiken van de strategische doelstellingen (Strategic)
  • De effectiviteit en efficiëntie van bedrijfsprocessen (Operations)
  • De betrouwbaarheid van de (financiële) informatieverzorging (Reporting)
  • De naleving van relevante wet- en regelgeving (Compliance)

Voor een verdere uitwerking van het model, zie www.coso.org.

Risicomanagement in de praktijk

De praktijk van risicomanagement laat veel verschillen zien. Variërend van een volledig geïntegreerd systeem op strategisch niveau tot en met een gefragmenteerde aanpak van alleen die zaken die (wettelijk) verplicht zijn. Het één is niet noodzakelijkerwijs beter dan het ander. Hoe je binnen je organisatie omgaat met risicomanagement, moet namelijk ook passen bij de organisatie. Het is niet in alle gevallen perse nodig om gebruik te maken van specifieke ondersteunende software of om een aparte functie van risicomanager te introduceren, zolang dit maar wel gebaseerd is op een bewuste afweging.

Wat niet kan, is zeggen dat je aan risicomanagement doet en er vervolgens feitelijk geen invulling aan geven. Van een risicomanagement aanpak is m.i. pas sprake als aan onderstaande voorwaarden is voldaan:

  • Organisatie breed (niet alleen vanuit een financieel perspectief)
  • Gestructureerd (periodieke herijking, vaste rapportagemomenten)
  • Geïntegreerd (verschillende onderdelen worden in onderlinge samenhang bekeken)
  • Eenduidige verantwoordelijkheid (verantwoordelijkheden zijn expliciet benoemd)

Vanzelfsprekend moet dit zijn gekoppeld aan de organisatiedoelstellingen en moet het kunnen worden getoetst door een onafhankelijk interne of externe auditor. En ook dit hoeft niet groter te zijn dan strikt noodzakelijk.

Meer weten? Neem contact op...