De achterliggende gedachte bij integraal risicomanagement is dat iedere onderneming bestaat om waarde te creëren voor haar aandeelhouders en overige stakeholders. Alle ondernemingen worden geconfronteerd met onzekerheden, en de uitdaging voor het management is om vast te stellen hoeveel onzekerheid acceptabel is, terwijl er gestreefd wordt naar groeiende aandeelhouderswaarde.
Onzekerheid biedt zowel risico’s als kansen, met de potentie om zowel waarde te verhogen als uit te hollen. Integraal risicomanagement stelt het management in staat om op een efficiënte wijze met deze onzekerheid en de hieraan verbonden risico’s en kansen om te gaan. Aanvullend draagt integraal risicomanagement eraan bij om de capaciteit om waarde te creëren te versterken.
Het uitvoeren van het risicomanagementproces, zoals uitgewerkt in dit boek, is ingericht als een regelkring. Het inrichten van risicomanagement met een regelkring voorziet daarmee niet alleen in de uitvoering van de betreffende risicomanagementactiviteiten, maar ook in de beoordeling en verbetering van de effectiviteit en efficiency daarvan. Hierna worden de zes elementen van het risicomanagementproces afzonderlijk toegelicht.
Inventariseren risico’s
Vertrekpunt van het risicomanagementproces is het inventariseren van gebeurtenissen of acties die het realiseren van organisatiedoelstellingen kunnen bedreigen. Daarbij is het belangrijk steeds zo eenduidig mogelijk vast te stellen wat de fundamentele oorzaken van die risico’s zijn. Op een hoger aggregatieniveau beschouwd kennen bepaalde risico’s namelijk vaak meerdere grondoorzaken die om verschillende beheersmaatregelen vragen. Uit analytisch en praktische overwegingen worden de aldus bepaalde risico’s vaak op basis van hun aard geclusterd. De binnen de ERM-plus-methodiek gehanteerde clustering is die van strategische risico’s en procesrisico’s, waarbij procesrisico’s nader kunnen worden onderverdeeld in financiële, rechtmatigheids- en operationele risico’s. Dit naar analogie van COSO ERM.
De voor winstgevende organisaties relevante risico’s laten zich nagenoeg altijd (ook) uitdrukken in hun verwachte directe en indirecte consequenties voor de winstgevendheid – en daarmee op termijn voor de levensvatbaarheid van die organisaties. Overheidsorganisaties zijn niet winstgericht en kennen daarom, afgezien van budgetrisico’s, ook risico’s waarvan de consequenties zich niet in financiële termen laten uitdrukken. Dat type risico wordt veelal geclusterd onder de noemer bestuurlijke of politieke risico’s. Naar haar aard is deze cluster het meest vergelijkbaar met de cluster strategische risico’s zoals winstgerichte organisaties die kennen.
De voornaamste reden waarom strategische en procesrisico’s idealiter niet uitsluitend afzonderlijk, maar juist integraal moeten worden beschouwd en beheerd, is gelegen in het feit dat er veelal onderlinge afhankelijkheden zijn. Zo kunnen financiële en operationele risico’s aanleiding geven tot politieke risico’s en vice versa.
Daarbij heeft de ervaring geleerd dat de correlaties tussen procesrisico’s enerzijds en strategische risico’s anderzijds vaak sterker zijn dan andersom. Anders gesteld: relatief veel strategische risico’s vinden hun oorsprong in procesrisico’s.
Beoordelen risicoprofiel
Zoals gezegd verdient het de aanbeveling om strategische en procesrisico’s op een integrale wijze te benaderen. De praktijk wijst echter uit dat strategische en procesrisico’s verschillen in termen van abstractieniveau. Zo hebben strategische risico’s veelal betrekking op langetermijndoelstellingen die organisatiebreed worden onderkend.
Procesrisico’s worden op een lager detailniveau geformuleerd. Zo kan op procesniveau het strategische risico ‘ontevreden klanten’ uitmonden in tientallen hieraan gerelateerde risico’s, zoals foutieve levering, slechte service, foutieve facturatie en slechte kwaliteit eindproducten. Dit verschil in detailniveau is gerechtvaardigd
vanuit beheersingsoogpunt. Om inzicht te verkrijgen in het overkoepelende risicoprofiel helpt dit verschil in detailniveau niet en zal hiertoe een consolidatie plaats dienen te vinden. Door procesrisico’s te consolideren op basis van gemeenschappelijke karakteristieken kan een overkoepelend risicoprofiel worden opgesteld.
Dit risicoprofiel biedt het management een overkoepelend inzicht in de bedrijfsrisico’s op geconsolideerd niveau. Aanvullend vergemakkelijkt dit de communicatie en sturing.
Importantie afzonderlijke risico’s
Nadat een overkoepelend risicoprofiel is opgesteld, zal nader ingegaan worden op het bepalen van de importantie van de afzonderlijke risico’s. Het rangschikken van risico’s op hun belang voor de organisatie dient te worden gerelateerd aan de doelstellingen van de organisatie. Daarbij is het vanuit analytisch oogpunt vaak nuttig een risico te beschouwen als het product van het effect van een bepaalde gebeurtenis en de verwachte frequentie waarmee die gebeurtenis zich voordoet (risico = kans x effect). Het is dan belangrijk om ten aanzien van de verwachte frequentie duidelijk aan te geven welke tijdshorizon men hanteert bij de inschatting daarvan. Immers, die kan op korte termijn heel anders zijn dan op de langere termijn.
Ook is het nodig onderling vast te stellen of men de effecten inschat exclusief de (mitigerende) invloed van reeds genomen beheersmaatregelen ten aanzien van dat effect (het ‘bruto-effect’) of juist inclusief die effecten (het ‘netto-‘ of ‘residu-effect’). Mede gezien het feit dat de consequenties van risico’s zich niet in een eenduidige en uniforme ‘meeteenheid’ (zoals geld) laten uitdrukken, geschiedt het aanbrengen van een prioriteitstelling in de risico’s van de organisatie goeddeels op basis van kwalitatieve en subjectieve gronden. Men kan aan dit bezwaar tegemoetkomen door een dergelijke prioriteitstelling te baseren op de consensus daaromtrent van een groep mensen die goed bekend is met de doelstelling en het intern functioneren van de organisatie.
Bepalen risicomanagementstrategie
Nadat een integraal risicoprofiel is bepaald, zal de organisatie nader in dienen te gaan op welke wijze men wenst om te gaan met de geïnventariseerde risico’s. Het uitwerken van uitgangspunten krijgt vorm in de risicostrategie. Voor het omgaan met risico’s onderkennen we vier basisstrategieën, te weten vermijden (‘terminate’), verminderen (‘treat’), overdragen (‘transfer’) en accepteren (‘tolerate’). Het is van cruciaal belang dat het toepassingsgebied en de verantwoordelijkheden voor de diverse soorten risico’s en de daarbij behorende beheersingsmaatregelen zo eenduidig mogelijk worden gedefinieerd. Dit opdat binnen de organisatie voldoende duidelijk is, hoe voor elk risico de taken, verantwoordelijkheden en bevoegdheden intern verdeeld zijn. Het ontbreken van dergelijke eenduidige coördinatie kan er immers gemakkelijk toe leiden dat een bepaald risico ‘tussen wal en schip valt’ of dat een ander risico een onduidelijke, gedeelde taak en verantwoordelijkheid van meerdere organisatieonderdelen wordt. Door het risicomanagementproces kunnen dergelijke inconsistenties, overlappingen en lacunes worden geëlimineerd en kan de implementatie van Enterprise Risk Management werkelijk gestalte krijgen.
Risicostrategie en risicobeleid
De risicostrategie, het toepassingsgebied en de verantwoordelijkheden rondom risicomanagement worden veelal gedocumenteerd binnen het risicobeleid. Binnen het risicobeleid wordt onder meer antwoord gegeven op de volgende vragen:
- Wat moet er gebeuren om de niet-acceptabele risico’s in te dammen of te vermijden: het uitwerken van de gapanalyse naar een verantwoord risicoprofiel? De gapanalyse heeft hierbij betrekking op het verschil tussen ‘werkelijkheid’ en ‘wenselijkheid’.
- Hoe verdelen we de verantwoordelijkheid voor het beheersen van de risico’s over de organisatie en de managers?
- Voldoet ons risicobeheersings- en controlesysteem om het verloop van de risico’s en de effecten van de risicobeheersingsmaatregelen te kunnen monitoren en levert het de juiste managementinformatie op?
- Hoe ziet het activiteitenschema voor het komend jaar eruit en hoe hangt het samen met de planning- en controlcyclus van de organisatie?
- Wie draagt de eindverantwoordelijkheid voor het risicobeheersingsproces?
- Wat zijn de kosten en baten van het risicobeheersings- en controlesysteem?
Nadat de bedrijfsrisico’s zijn geprioriteerd, dienen de risico’s meetbaar te worden gemaakt door middel van indicatoren. Dergelijke indicatoren, ook wel risico-indicatoren genoemd, betreffen operationele parameters om te kunnen komen tot een feitelijke beheersing van risico’s. Op basis van deze indicatoren kan de organisatie
toleranties, uitgedrukt in bandbreedtes of absolute bedragen, ten aanzien van de risico’s vaststellen.
Inrichten beheersingsprocessen
Nadat is vastgesteld op welke wijze de organisatie wenst om te gaan met risico’s, wat hierbij acceptabele toleranties zijn en nadat de verantwoordelijkheden voor die risico’s zijn bepaald, kan – in overleg met de desbetreffende verantwoordelijken – worden bepaald op welke wijze(n) men die risico’s het best beheerst. Afhankelijk van de gekozen risicostrategie gaat de organisatie over op het wel of niet zelf beheersen van risico’s. In het geval van strategische risico’s zal de beheersing met name vorm krijgen door het implementeren van management control. Management control wordt hierbij gedefinieerd als activiteiten van het senior management om strategische risico’s te beperken en om de effectiviteit van besluitvorming en efficiency van de bedrijfsprocessen te promoten. Procesrisico’s worden hierbij beheerst door procescontroles. Procescontroles worden gedefinieerd als handmatige of geautomatiseerde beheersingsmaatregelen die worden uitgevoerd als onderdeel van de verschillende processen in een organisatie.
Monitoren
Als basis voor de evaluatie van de effectiviteit en efficiency moet er regelmatig worden gerapporteerd over de resultaten van de gekozen risicobeheersingsmaatregelen. De frequentie daarvan is mede afhankelijk van de dynamiek van de externe omgeving, alsmede van die van de bedrijfsprocessen zelf.Het verdient aanbeveling ook hier zo veel mogelijk aansluiting te zoeken bij reeds bestaande rapportagesystemen. De rapportages inzake procesrisico’s en strategische risico’s dienen dan ten minste melding te maken van de frequentie en omvang waarmee de gestelde risicotolerantie wordt overschreden, alsmede de corrigerende maatregelen die daarop reeds zijn genomen. De uitkomsten in de risicomanagementrapportages dienen als basis voor de evaluatie van de effectiviteit en efficiëntie van beheersingsmaatregelen.
Continu verbeteren
Het evalueren kan aanleiding geven tot aanpassingen van het beleid en de doelstellingen van de organisatie zelf, alsmede de gekozen risicobeheersingsmaatregelen. Daarmee wordt dan het begin gemaakt met het doorlopen van een volgende cyclus van het groeimodel van Enterprise Risk Management en wordt zeker gesteld dat de organisatie haar vaardigheden op dit gebied permanent blijft verbeteren. Daarbij is het zaak de beschreven zes elementen van het risicomanagementproces zo evenwichtig mogelijk verder te ontwikkelen.
Bron: Handboek Risicomanagement
Door: Urjan Claassen
Het boek: Handboek Risicomanagement
Het Handboek risicomanagement is geschreven voor alle betrokkenen bij dit vakgebied en beschrijft een praktische methodiek voor het inrichten van integraal risicomanagement. Het boek is gebaseerd op de principes van het COSO ERM-model en biedt concrete handvatten voor het identificeren en beheersen van risico’s op strategisch en procesniveau.
