In de literatuur en in het dagelijks woordgebruik worden verschillende definities en interpretaties van de woorden risico en risicomanagement gebruikt. Voor sommigen heeft risicomanagement een negatieve connotatie; voor anderen klinkt het meer als een combinatie van kansen en onzekerheden. Risicomanagement: wat is het?
De Nederlandse betekenis van het woord ‘risico’ is sinds 1525 ‘gevaar van schade of verlies’; een vrij negatieve betekenis. Het woord ‘rysigo’ had in de zestiende eeuw in het Duits de betekenis ‘durven te ondernemen, hoop op economisch succes’. Het Arabische woord ‘rizq’ had de betekenis ‘het zoeken van opportuniteit, voordeel of geluk’. Deze twee laatste definities hebben een veel positievere connotatie.
Risicomanagement en onzekerheden
Aangezien wij risicomanagement bekijken als een onderdeel van strategisch management, gaan wij uit van onzekerheden die het behalen van de strategie en doelstellingen kunnen belemmeren. Hierbij zijn zowel de negatieve als de positieve definities van risico relevant. Er is onderscheid te maken tussen pure risico’s (risico’s met alleen een potentiële negatieve uitkomst) en speculatieve risico’s (kansen/opportuniteiten die ook een potentieel negatief effect hebben). De speculatieve risico’s hebben in aanvang meer aandacht gekregen in boardrooms dan de pure risico’s, omdat er met die laatste niets te winnen valt.
Definitie risico
Wij definiëren risico’s waarmee een organisatie te maken kan krijgen als volgt:
Risico = een onzekere gebeurtenis die het behalen van de strategie en doelstellingen van een organisatie negatief kan beïnvloeden.
Definitie risicomanagement
De definitie van Risicomanagement in organisaties is dan:
Risicomanagement = het proces om risico’s zodanig te beheersen dat meer zekerheid bestaat dat de organisatie haar doelstelling(en) zal realiseren.
In principe is er een relatie tussen risico en rendement: meer rendement (maatschappelijk, financieel of anderszins) vereist vaak het nemen van meer risico.
Risicomanagement als vak
Het vak risicomanagement wordt vaak geassocieerd met modellen, statistiek en financiën. Dat is niet terecht. De kern van het risicomanagement ligt in het maken van inschattingen van toekomstige gebeurtenissen en trendbreuken. Ook is het van belang ons te realiseren dat besluitvorming ten dele niet rationeel is. Mensen maken onverwachte keuzes en hieruit komen nieuwe onzekerheden voort.
Basisproces risicomanagement
Risicomanagement wordt conform de hiervoor gegeven definitie dus gezien als een proces. Het risicomanagementproces kent in de basis zes stappen, die zijn samengevat in de volgende figuur:
- identificeren;
- analyseren;
- evalueren;
- behandelen;
- monitoren & beoordelen;
- communiceren & rapporteren.
Identificeren
Risicomanagement start met het identificeren van risico’s. Dit kan plaatsvinden op verschillende niveaus in de organisatie (strategisch, tactisch, operationeel) en kan betrekking hebben op een breed scala aan risicocategorieën. Soms beperkt de identificatie zich tot een specifieke risicocategorie, zoals frauderisico of compliance-risico. Het is belangrijk dat het bestuur en de RvC vooral naar de risico’s kijken die het realiseren van de strategie en doelstellingen van de organisatie in gevaar kunnen brengen.
Analyseren
De volgende stap in het risicomanagementproces is het analyseren van de risico’s die geïdentificeerd zijn. Het analyseren van risico’s kan op verschillende manieren, waarbij de analysemethoden grofweg ingedeeld kunnen worden in kwalitatieve methoden en kwantitatieve methoden.
Evalueren
Nadat de risico’s geanalyseerd zijn, moeten de risico’s geëvalueerd worden. Daarbij staat de vraag centraal of de risico’s passen binnen de bereidheid van de organisatie om de betreffende risico’s te lopen (risk appetite).
Behandelen
Afhankelijk van de uitkomsten van de evaluatie moet de organisatie een besluit nemen over de wijze waarop ze met de risico’s om wil gaan. Daarbij heeft de organisatie de keuze uit verschillende risicoreacties.
Monitoren & beoordelen
De organisatie moet vervolgens de risico’s en de ontwikkelingen daarin bewaken en periodiek opnieuw beoordelen.
Communiceren & rapporteren
De laatste stap in het risicomanagementproces is het periodiek communiceren en rapporteren over de risico’s. Dit betreft zowel interne rapportages aan de RvC als externe rapportages aan belangenhouders en het brede publiek.
Bron: Risicomanagement voor bestuurders en toezichthouders
Door: Carla van der Weerdt-Norder, Alice Jansen-van den Tillaart, Frank van Egeraat
