Risicomanagement is onlosmakelijk verbonden met de strategie, maar ook met de financiële sturing van een organisatie. Wat komt erbij kijken om risicomanagement goed te vervlechten in de organisatie, als onderdeel van de planning- en controlcyclus?
In de strategie formuleren we doelstellingen die de organisatie wil realiseren. Risico’s zijn gebeurtenissen die het realiseren van de doelstellingen moeilijker of onmogelijk maken. Risicomanagement is daarom essentieel in de sturing en beheersing van de organisatie, zodat we onze doelstellingen kunnen realiseren. Risicomanagement is niet iets wat we ‘apart’ kunnen zetten; om de risico’s effectief en efficiënt te beheersen, moet risicomanagement ‘vervlochten’ worden in de aansturing van de organisatie, als onderdeel van de gehele planning- en controlcyclus (zie figuur 1).

De reguliere beleidscyclus van een organisatie start met het formuleren van de doelstellingen die zij wenst na te streven. Om de verbinding tussen de beleidscyclus en het proces van risicomanagement te leggen, kan gebruik worden gemaakt van de zogenaamde risicomanagementachtbaan (zie figuur 1). Deze is afgeleid van de beleids8baan van Rigo, ontwikkeld in 2004 om woningcorporaties te ondersteunen bij het vormgeven en implementeren van vastgoedsturing.
E-learning Planning & Control
De e-learning Planning en control-cyclus vertaalt de vaak abstracte theorie in concrete handvatten om de planning en control-cyclus te verbeteren. Na het volgen van deze e-learning bent u in staat om:
- uit te leggen hoe de kwaliteitscirkel van Deming werkt;
- de toegevoegde waarde van iedere fase van de planning en control-cyclus toe te lichten;
- de basisprincipes van de planning en control-cyclus uit te leggen;
- een toelichting op de planning en control-kalender te geven;
- de taken en bevoegdheden in de planning en control-cyclus te benoemen;
- een stappenplan om op onderliggende drivers te sturen op te stellen.
Strategische risico’s bepalen
Het startpunt van zowel de strategische sturing als risicomanagement zijn de doelstellingen van de organisatie, volgend uit het ondernemingsplan of de missie. Bij de gekozen strategie horen onzekerheden: de strategische risico’s. Deze moeten in kaart worden gebracht voor de strategie uitgerold kan worden. Deze strategische risico’s kunnen we bepalen aan de hand van een generiek raamwerk van risico’s en risicocategorieën waarmee een organisatie geconfronteerd kan worden.
Risicobereidheid vaststellen
Een belangrijke stap in risicomanagement is het formuleren van de risicobereidheid van de organisatie in relatie tot de gesignaleerde risico’s en het vertalen daarvan naar concreet beleid, kaders en richtlijnen. De risicobereidheid van een organisatie geeft uitdrukking aan de aard en omvang van de risico’s die ze bereid is aan te gaan bij het realiseren van haar bedrijfsdoelstellingen. De risicobereidheid kan (onder andere) uitgedrukt worden in financiële termen, zoals een minimaal noodzakelijk geachte rentedekkingsgraad, solvabiliteit, liquiditeit, of leencapaciteit.
De risicobereidheid heeft vaak ook een kwalitatieve dimensie, waarmee de organisatie uitdrukking kan geven aan aspecten als de reputatie van de organisatie.
Beleid, afwegingskaders en richtlijnen uitwerken (het tactische afwegingskader)
Vanuit de geïdentificeerde strategische risico’s en de vastgestelde risicobereidheid werkt de organisatie relevant beleid, afwegingskaders en richtlijnen uit ter beheersing van de risico’s. Dit zijn bij voorkeur geen afzonderlijke beleidsdocumenten, kaders of richtlijnen, maar deze worden zo veel als mogelijk geïntegreerd in bestaand beleid. Te denken valt aan financiële sturingskaders, afwegingskaders voor investeringen, risicomanagementbeleid, personeelsbeleid en het treasurystatuut. Daarnaast zijn er beleid en richtlijnen die gericht zijn op de beheersing van specifieke risico’s, zoals een informatiebeveiligingsbeleid of een fraude- en integriteitsbeleid.
Operationele risico’s identificeren en beheersmaatregelen treffen
Op het operationele niveau heeft de organisatie processen ingericht voor haar primaire activiteiten. Binnen de operationele processen kunnen zich verschillende risico’s manifesteren, van administratieve fouten, vertraging in de uitvoering van activiteiten en storingen in de ICT-omgeving tot interne of externe fraude. Het is van belang om bij de uitvoering van de processen de risico’s te onderkennen en voldoende maatregelen (key controls) te treffen om de risico’s te beheersen. Het opstellen van zogenaamde risk & control frameworks kan daarbij helpen. Ook dit hoeft geen activiteit op zich te zijn; deze kan heel goed geïntegreerd worden in bestaande activiteiten van organisaties om te komen tot een betere sturing en beheersing.
Risico’s bewaken en rapporteren
Voor een effectieve sturing is het hebben van kwalitatief goede informatie van belang. Dat geldt ook voor de beheersing van risico’s. Risicomanagement is gebaat bij een systematiek van rapporteren op basis van een eenduidige set parameters en indicatoren: de key performance-indicatoren (kpi’s) en key risk-indicatoren (kri’s).
Risicomanagement evalueren en herijken
Voor het evalueren van het risicomanagement kan de organisatie vaak steunen op reeds aanwezige informatiebronnen. Ook hier geldt dat integratie met de reguliere beleidscyclus gewenst en mogelijk is. Naast de reguliere interne rapportages valt daarbij te denken aan de management letter van de accountant of externe inspectierapporten. In sommige gevallen is er een specifieke beoordeling nodig, zoals een diepgaande audit op de beheersing van de IT-omgeving, een analyse van de gevolgen van eventuele ‘stresssituaties’ (bijvoorbeeld een scherpe stijging of daling van de rente) of een beoordeling van eventuele frauderisico’s. Op basis van deze bronnen kan de organisatie het risicomanagement periodiek evalueren en herijken waar nodig, waarmee de cyclus rond is.
In control statement
Het werken met een in control statement kan helpen om het risicomanagement effectief te borgen in de organisatie. Een in control statement (of in-controlverklaring) is een verklaring dat de hoogste leiding ‘in control’ is.
In control kunnen we definiëren als: de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden.
In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de troffen tekortkomingen van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen. In control betekent dus niet dat er geen risico’s zijn en er niets fout kan gaan, maar wel dat de organisatie de risico’s goed in beeld heeft.
Organisaties die werken met in control statements ter ondersteuning van het risicomanagement, laten ook managers lager in de organisatie een verklaring afleggen. Hierdoor wordt het eigenaarschap voor risicomanagement onderstreept en het bewustzijn van het belang van het hebben van actueel inzicht in de beheersing versterkt.
Het in-control statement is nadrukkelijk onderdeel van de code-Tabaksblat, die is geïntroduceerd na het Enron-schandaal in 2001 en de affaire-Ahold in 2002.
Auteurs: Carla van der Weerdt-Norder, Alice Jansen-van den Tillaart, Frank van Egeraat
Bron: Risicomanagement voor bestuurders en toezichthouders, Management Impact 2020.
Finance Academy E-learning
Leeromgeving Finance Academy E-learning bevat cursussen met een breed scala aan onderwerpen die voor controllers van belang zijn. Met het platform kunt u uw leerdoelen verwezenlijken en kennis vergaren om op de toekomst voorbereid te zijn volgens de nieuwe richtlijn voor Permanente Educatie.