Riskmanagement: detailrisico's consolideren

Integraal risicomanagement is een organisatiebrede aangelegenheid. Alle onderdelen van een organisatie zijn bij de risicomanagementcyclus betrokken. Afhankelijk van het hiërarchische niveau van betrokkenheid kan de mate van detail verschillen. Zo zal een proceseigenaar de gedetailleerde procesrisico’s nauwgezet volgen en de interne beheersing daarop aanpassen. Op directieniveau zal risicomanagement veel meer op hoofdlijnen worden gevolgd en zullen procesrisico’s op een geconsolideerd niveau worden beoordeeld. De focus ligt daar vooral op strategische risico’s.

Om consistentie aan te brengen tussen risicomanagement op directieniveau en op lagere hiërarchische niveaus is het van belang om de detailrisico’s te consolideren in een organisatiebreed risicoprofiel. De voordelen van het organisatiebreed consolideren van risico’s zijn:

Beter inzicht: geconsolideerde risico’s geven alle betrokkenen een beter inzicht in de achtergronden, oorzaken en gevolgen van risico’s. Individuele risicomanagementverantwoordelijkheden kunnen beter in een organisatiebreed perspectief worden geplaatst;
Efficiëntie en besluitvorming: door risico’s te consolideren kan de efficiëntie van het risicomanagementproces worden verbeterd en de kwaliteit van besluiten worden verhoogd;
Simplificatie en rapportage: geconsolideerde risico’s simplificeren de weerbarstige praktijk op lagere niveaus. Managementrapportages en communicatie over risico’s worden daardoor effectiever;
Allocatie: geconsolideerde risico’s dragen bij aan een efficiënte en effectieve allocatie van middelen.

Consolidatie risico niet eenvoudig

Het consolideren van risico’s is geen eenvoudige taak. Doordat individuele risico’s kunnen worden beïnvloed door een veelvoud aan factoren, is het lastig om tot een eenduidig profiel van geconsolideerde risico’s te komen. Zo zal het risico ‘fluctuatie in rentevoet’ beïnvloed worden door externe factoren, zoals inflatie en ontwikkelingen op de aandelenbeurs, maar ook door interne factoren, zoals solvabiliteit, liquiditeit en verstrekte onderpanden. De ervaring heeft geleerd dat er, los van de genoemde ‘correlatieproblemen’, enkele elementaire punten te onderscheiden zijn bij het consolideren van risico’s:

Het consolideren van risico’s vindt niet na afloop van het identificeren van detailrisico’s plaats, maar gedurende het identificatieproces.
De mate van consolidatie hangt samen met wie het geconsolideerde risico gaat beheersen. Dit hangt nauw samen met de diverse verdedigingslinies van risicomanagement, de lines of defense. Zo zullen operationele medewerkers in verdedigingslinie 1a veel behoefte hebben aan specifieke informatie. Directieleden in de verdedigingslinies 1b en 1c willen het risico op een geconsolideerd niveau volgen.
De onderliggende detailrisico’s van het geconsolideerde risico beogen hetzelfde doel te bereiken.
Consolidatie is alleen zinvol als de detailrisico’s onderling verschillen. Het alloceren van een geconsolideerd risico naar meerdere afdelingen levert geen nieuwe detailrisico’s op.

Een integrale toepassing van risicomanagement impliceert dat de organisatiebrede doelstellingen zijn uitgewerkt in geconsolideerde risico’s. Deze geconsolideerde risico’s beïnvloeden de algehele prestaties van het bedrijf en hebben betrekking op zowel het strategische als op het procesniveau. Hierbij is strategisch risicomanagement een verantwoordelijkheid van de hoofddirectie en van het tactisch management. Procesrisico’s zijn een primaire verantwoordelijkheid van het tactische en operationele niveau.

Geconsolideerde risico’s en detailrisico’s

Om deze vertaalslag nader te concretiseren, onderscheiden we enerzijds geconsolideerde risico’s en anderzijds detailrisico’s. Geconsolideerde (strategische of proces)risico’s zijn risico’s die beoordeeld worden door het verantwoordelijk management. Voor geconsolideerde strategische risico’s is dit dus de hoofddirectie en voor geconsolideerde procesrisico’s is dit het tactisch management. Detailrisico’s worden beoordeeld door de operationeel verantwoordelijke. Voor gedetailleerde strategische risico’s is dit het tactisch management dat via afdelingsplannen specifieke opdrachten of taken toegewezen heeft gekregen. Voor gedetailleerde procesrisico’s zijn dit de proceseigenaren. Proceseigenaren dienen de operationele processen zo in te richten dat de detailprocesrisico’s afdoende worden beheerst. De relatie tussen strategisch en procesrisicomanagement is nader verduidelijkt in figuur 6.7.

Figuur 6.7 Relatie strategische risico’s en procesrisico’s

Om risico’s te consolideren zijn twee technieken beschikbaar: de bowtie-analyse en de risicotolerantieanalyse.

Bowtie-analyse

Bij het consolideren van risico’s met behulp van een ‘bowtie-analyse’ wordt gezocht naar een ‘gemeenschappelijke deler’ tussen detailrisico’s door de onderliggende oorzaken te analyseren. Detailrisico’s met gelijksoortige oorzaken hebben hierdoor een positieve of negatieve correlatie. Het management voegt de detailrisico’s samen en bepaalt op welke wijze het geconsolideerde risico het best kan worden beheerst. De risicostrategie wordt daarmee op geconsolideerd risiconiveau bepaald. Ingeval de risicostrategie ‘verzekeren’ wordt toegepast, kan het raadzaam zijn om risico’s op geconsolideerd niveau te verzekeren in plaats van separate verzekeringen op detailniveau. Vooral in het geval dat detailrisico’s onderling een negatieve correlatie vertonen, kan dit resulteren in lagere verzekeringspremies. De reden hiervoor is gelegen in het feit dat een geconsolideerd risico onderlinge diversificatie kent en dat detailrisico’s onderling negatieve correlaties kunnen hebben. Als gevolg hiervan is de schade van een geconsolideerd risico kleiner dan de optelsom van de schades van de gekoppelde detailrisico’s.

Risicotolerantieanalyse

Handboek Risicomanagement

Integratie van risico- en prestatiemanagement

Een tweede techniek die gebruikt kan worden om tot geconsolideerde risico’s te komen is de ‘risicotolerantieanalyse’. In tegenstelling tot de risico-oorzaakbenadering staat in deze techniek niet de oorzaak van het risico centraal maar de bovenliggende (strategische of proces)doelstelling. De risicotolerantie vormt hierbij de maximaal toegestane afwijking van de (strategische of proces)doelstelling. In geval van een bottom-upbenadering worden detailrisico’s hierbij geconsolideerd op basis van het gemeenschappelijke effect. Dit gemeenschappelijke effect vormt de basis voor het formuleren van het geconsolideerde risico en wordt uitgedrukt in termen van risicotolerantie. In een top-downbenadering worden de risicotolerantie van de strategische of procesdoelstelling nader gespecificeerd in specifieke ‘detailrisicolimieten’. Deze risicolimieten hebben betrekking op detailrisico’s. Een dergelijke vertaling heeft sterke gelijkenis met de wijze waarop productnormen worden vertaald in procesnormen. Bron: Handboek Risicomanagement Door: Urjan Claassen

Consolidatie risico niet eenvoudig

Geconsolideerde risico’s en detailrisico’s

Bowtie-analyse

Risicotolerantieanalyse

Besluitvorming in groepsverband: denkfouten

Procesdoelstellingen en risicomanagement

Het bedrijfsmodel, wat is het?

Het Coso enterprise risk management (ERM) framework (2004)

Enterprise Risk Management (ERM), wat is het?

Handboek Risicomanagement (tweede druk)

Risicomanagement in de praktijk

Boom Management Podcast: Customer Experience met Jean-Pierre Thomassen

Brochure Strategisch veranderen en samenwerken bij maatschappelijke opgaven 2024

Boom Management Podcast: Klaar voor elke crisis met Tom Compaijen

Consolidatie risico niet eenvoudig

Geconsolideerde risico’s en detailrisico’s

Bowtie-analyse

Risicotolerantieanalyse

Mis nooit meer de nieuwste inzichten met de gratis nieuwsbrief van Boom Management!