In de literatuur en in het dagelijks woordgebruik worden verschillende definities en interpretaties van de woorden risico en risicomanagement gebruikt. Voor sommigen heeft risicomanagement een negatieve connotatie; voor anderen klinkt het meer als een combinatie van kansen en onzekerheden. Risicomanagement: wat is het?
De Nederlandse betekenis van het woord ārisicoā is sinds 1525 āgevaar van schade of verliesā; een vrij negatieve betekenis. Het woord ārysigoā had in de zestiende eeuw in het Duits de betekenis ādurven te ondernemen, hoop op economisch succesā. Het Arabische woord ārizqā had de betekenis āhet zoeken van opportuniteit, voordeel of gelukā. Deze twee laatste definities hebben een veel positievere connotatie.
Risicomanagement en onzekerheden
Aangezien wij risicomanagement bekijken als een onderdeel van strategisch management, gaan wij uit van onzekerheden die het behalen van de strategie en doelstellingen kunnen belemmeren. Hierbij zijn zowel de negatieve als de positieve definities van risico relevant. Er is onderscheid te maken tussen pure risicoās (risicoās met alleen een potentiĆ«le negatieve uitkomst) en speculatieve risicoās (kansen/opportuniteiten die ook een potentieel negatief effect hebben). De speculatieve risicoās hebben in aanvang meer aandacht gekregen in boardrooms dan de pure risicoās, omdat er met die laatste niets te winnen valt.
Definitie risico
Wij definiĆ«ren risicoās waarmee een organisatie te maken kan krijgen als volgt:
Risico = een onzekere gebeurtenis die het behalen van de strategie en doelstellingen van een organisatie negatief kan beĆÆnvloeden.
Definitie risicomanagement
De definitie van Risicomanagement in organisaties is dan:
Risicomanagement = het proces om risicoās zodanig te beheersen dat meer zekerheid bestaat dat de organisatie haar doelstelling(en) zal realiseren.
In principe is er een relatie tussen risico en rendement: meer rendement (maatschappelijk, financieel of anderszins) vereist vaak het nemen van meer risico.
Risicomanagement als vak
Het vak risicomanagement wordt vaak geassocieerd met modellen, statistiek en financiƫn. Dat is niet terecht. De kern van het risicomanagement ligt in het maken van inschattingen van toekomstige gebeurtenissen en trendbreuken. Ook is het van belang ons te realiseren dat besluitvorming ten dele niet rationeel is. Mensen maken onverwachte keuzes en hieruit komen nieuwe onzekerheden voort.
Basisproces risicomanagement
Risicomanagement wordt conform de hiervoor gegeven definitie dus gezien als een proces. Het risicomanagementproces kent in de basis zes stappen, die zijn samengevat in de volgende figuur:
- identificeren;
- analyseren;
- evalueren;
- behandelen;
- monitoren & beoordelen;
- communiceren & rapporteren.
Identificeren
Risicomanagement start met het identificeren van risicoās. Dit kan plaatsvinden op verschillende niveaus in de organisatie (strategisch, tactisch, operationeel) en kan betrekking hebben op een breed scala aan risicocategorieĆ«n. Soms beperkt de identificatie zich tot een specifieke risicocategorie, zoals frauderisico of compliance-risico. Het is belangrijk dat het bestuur en de RvC vooral naar de risicoās kijken die het realiseren van de strategie en doelstellingen van de organisatie in gevaar kunnen brengen.
Analyseren
De volgende stap in het risicomanagementproces is het analyseren van de risicoās die geĆÆdentificeerd zijn. Het analyseren van risicoās kan op verschillende manieren, waarbij de analysemethoden grofweg ingedeeld kunnen worden in kwalitatieve methoden en kwantitatieve methoden.
Evalueren
Nadat de risicoās geanalyseerd zijn, moeten de risicoās geĆ«valueerd worden. Daarbij staat de vraag centraal of de risicoās passen binnen de bereidheid van de organisatie om de betreffende risicoās te lopen (risk appetite).
Behandelen
Afhankelijk van de uitkomsten van de evaluatie moet de organisatie een besluit nemen over de wijze waarop ze met de risicoās om wil gaan. Daarbij heeft de organisatie de keuze uit verschillende risicoreacties.
Monitoren & beoordelen
De organisatie moet vervolgens de risicoās en de ontwikkelingen daarin bewaken en periodiek opnieuw beoordelen.
Communiceren & rapporteren
De laatste stap in het risicomanagementproces is het periodiek communiceren en rapporteren over de risicoās. Dit betreft zowel interne rapportages aan de RvC als externe rapportages aan belangenhouders en het brede publiek.
Bron: Risicomanagement voor bestuurders en toezichthouders
Door: Carla van der Weerdt-Norder, Alice Jansen-van den Tillaart, Frank van Egeraat
