Risicomanagement is het proces om risico’s zodanig te beheersen dat meer zekerheid bestaat dat de organisatie haar doelstellingen zal realiseren. Te vaak wordt het geassocieerd met modellen, statistieken en geld. Maar dat is niet terecht. Wat is het dan wel? En wat is de rol van de controller?
De kern van risicomanagement ligt in het maken van inschattingen van toekomstige gebeurtenissen en trendbreuken. Daarbij is het van belang te weten dat besluitvorming niet altijd rationeel is. Mensen maken onverwachte keuzes, waaruit nieuwe onzekerheden voortkomen.
Risicomanagementproces
Wereldwijd bestaan er veel verschillende methoden voor risicomanagement met een aantal processtappen. In Nederland veelgebruikte methoden zijn de NEN-ISO 31000 risicomanagement richtlijn van NEN en de van origine Amerikaanse COSO-ERM-methode. Een derde in Nederland veel toegepaste aanpak is de RISMAN-systematiek, die is ontwikkeld door meerdere Nederlandse organisaties. Deze RISMAN-aanpak wordt sinds 1995 met name veel gebruikt voor risicomanagement binnen projecten.
Kenmerkend is dat vrijwel alle risicomanagementmethoden in grote lijnen hetzelfde zeggen, soms met meer, soms met minder stappen. Gefilterd op de essenties ervan, blijven er zes algemeen toepasbare stappen over:
- Doelen bepalen
- Identificeer risico’s
- Classificeer risico’s
- Beheers de risico’s
- Evalueer
- Monitor
Het stappenplan voor risicomanagement gaat dieper op in op de stappen die u in het risicomanagementproces kunt maken.
In het kader van risicomanagement is het creëren van risicobewustzijn en de risicohouding van medewerkers essentieel. Uiteindelijk van iedereen in de organisatie, maar in eerste instantie van het management. Daarbij is het belangrijk, dat het management zich niet uitsluitend uit in slogans (zoals ‘safety first’), maar juist in het structureren van het risicomanagementproces.
Lees ook: Risicomanagement: 4 valkuilen, 4 oplossingen
Risico’s identificeren: 3 niveau’s
Risicomanagement begint met het identificeren van risico’s. Dit gebeurt op verschillende niveaus in de organisatie: strategisch, tactische en operationeel:
- De risico’s op strategisch niveau vormen een gevaar voor het behalen van de doelstellingen van de organisatie als geheel en zouden de continuïteit van de organisatie in gevaar kunnen brengen.
- Risicomanagement op tactisch niveau gaat over het beheer van risico’s op businessunit- of afdelingsniveau of voor grote projecten. Deze risico’s kunnen het behalen van de doelstellingen van de betreffende businessunit, de afdeling of het project in gevaar brengen.
- Risicomanagement op operationeel niveau is het dagelijkse risicobeheer in de primaire en ondersteunende processen. Dit zijn vooral operationele risico’s (risico’s als gevolg van het falen van mensen, systemen of processen).
Risicomanagement is onlosmakelijk verbonden met de strategie, maar ook met de financiële sturing van een organisatie. Lees hier wat er bij komt kijken om risicomanagement goed te vervlechten in de organisatie, als onderdeel van de planning- en controlcyclus.
Risico’s inventariseren: methoden
Een belangrijke stap in het risicomanagementproces is dus het inventariseren van de risico’s waar de organisatie mee te maken heeft. De uitdaging is om alle relevante risico’s te signaleren, op zowel strategisch, tactisch als operationeel niveau. Vooral de strategische risico’s, die vaak meer toekomstgericht zijn lastig te identificeren.
Om risico’s te identificeren zijn een aantal methoden veelgebruikt:
- workshops kunnen de kennis en ervaring van verschillende mensen bijeenbrengen, nadeel is het risico op groepsdenken;
- gestructureerde interviews of vragenlijsten halen de individuele inzichten en meningen van mensen op, nadeel is het gevaar op tunnelvisie;
- procesanalyse brengt een proces in beeld gebracht en ontleed, deze methode is minder geschikt voor strategiegerelateerde risico’s;
- risico-indicatoren kunnen vroegtijdig ontwikkelingen in bestaande risico’s signaleren, maar zijn niet geschikt om nieuwe risico’s op te pikken;
- datamining en procesmining kunnen statistische verbanden identificeren in grote datasets.
Risico’s classificeren
Niet alle risico’s wegen even zwaar. Twee vragen zijn daarbij belangrijk:
- Hoe groot is de kans dat het risico zich daadwerkelijk voordoet?
- Hoe groot is de impact als het risico zich daadwerkelijk voordoet?
Lees ook: Claudia Heger, concerncontroller COA ‘Risicomanagement gaat steeds meer over imago en draagvlak’
Risico’s beheersen
Of een onderneming risico’s wil nemen of vermijden heeft te maken met de risicobereidheid. Het is belangrijk daar als organisatie goed over na te denken, want het heeft gevolgen voor:
- strategie en besluitvorming (wat doe we wel, wat doen we niet?),
- risicocultuur (gemeenschappelijke normen en waarden over omgaan met risico’s binnen de organisatie),
- risicostrategie (risico’s accepteren, beheersen, vermijden, overdragen of bewust opzoeken?),
- managen verwachtingen stakeholders,
- jaarverslag (communicatie over risico’s hoort onderdeel te zijn van het jaarverslag).
Veel organisaties leggen de beheersing van risico’s vast in een risk management framework. Daarin staan de belangrijkste uitgangspunten voor de beheersing van risico’s in de organisatie, hoe de risk governance is, hoe de riskmanagementcyclus is ingericht, wat de belangrijkste risicocategorieën zijn, welk beleid hiervoor is ontwikkeld en wat de gewenste risicocultuur is.
Risico’s monitoren
Voor de belangrijkste risico’s moet een vorm van permanente monitoring ingericht worden. Een organisatie kan daarbij een set indicatoren gebruiken. Denk daarbij aan: performance-indicatoren, risico-indicatoren en controlindicatoren. Deze kunnen elkaar overlappen. Er zijn veel indicatoren te bedenken, dus kies bij voorkeur indicatoren die:
- relevant zijn;
- meetbaar zijn;
- voorspellende waarde hebben;
- gemakkelijk te monitoren zijn;
- vergelijkbaar zijn (in de tijd of met concurrenten);
- verifieerbaar zijn (betrouwbaarheid).
Lees ook: Maud Bökkerink: ‘Aandacht voor risicomanagement ebt te snel weer weg’
Communicatie en rapporteren
Volgens de richtlijnen van de Raad van de Jaarverslaggeving (RJ400) moet het bestuursverslag in ieder geval de volgende risicocategorieën bevatten:
- strategie,
- operationele activiteiten,
- financiële positie,
- financiële verslaggeving;
- wet- en regelgeving.
Daarnaast moet het bestuursverslag aandacht besteden aan:
- risico’s die in het afgelopen boekjaar een belangrijke impact hebben gehad;
- de risicobereidheid;
- getroffen maatregelen om risico’s te beheersen, of waarom dat achterwege gelaten is;
- verwachte impact van risico’s op de resultaten;
- verbeteringen in het risicomanagementsysteem;
Ook een toelichting op de verankering van het systeem van risicomanagement in de organisatie en de genomen maatregelen (soft controls) ter beïnvloeding van de cultuur, het gedrag en de motivatie van medewerkers is gewenst.
De externe accountant toetst of het bestuursverslag aan deze voorwaarden voldoet.
Heeft de organisatie een in control statement, dan hoort dat ook in het jaarverslag. Voor sommige sectoren is dit zelfs verplicht.
Governance: three lines of defense
Het three lines of defence-model (3LoD-model) is een breed gebruikt model voor het inrichten van risicomanagement en interne beheersing binnenorganisaties. Het is geïntegreerd in governance-codes en in het breed toegepaste COSO-model.
De eerste line of defence ligt bij de business: het bestuur, het management en de proceseigenaren in de organisatie. Zij zijn eindverantwoordelijk voor de keuzes die ze maken en de risico’s die ze daarbij aangaan voor de business. Zij zijn de risico-eigenaren (risk owners) en daarom integraal verantwoordelijk voor de beheersing van de risico’s (inclusief het voldoen aan wet- en regelgeving) binnen hun respectievelijke verantwoordelijkheidsgebieden, processen of activiteiten.
De tweede line of defence ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de business. Deze bestaat dan ook uit de (staf)functies op het gebied van risk & control, die zich richten op het stellen van kaders, het faciliteren en het toetsen van de interne risicobeheersing. Dit zijn specialistische functies op het vakgebied van risicomanagement (inclusief compliance), die onafhankelijk van de eerste lijn functioneren. Zij zijn de sparringpartners van de eerste lijn en ondersteunen de lijnmanagers en proceseigenaren bij de inrichting van het risicomanagement, risicoanalyses, het ontwikkelen van hulpmiddelen, het inrichten van beheersmaatregelen en de managementinformatie.
De derde line of defence voorziet de hoogste leiding, onafhankelijk van de eerste twee lijnen, van zekerheid over de kwaliteit van sturing en beheersing. Deze functie wordt vervuld door de (interne) auditfunctie. Internal audit is dus niet in directe zin verantwoordelijk voor de kwaliteit van het in control zijn van de organisatie, maar wel verantwoordelijk voor de mate waarin ze in staat is de inconsistenties in de opzet en het bestaan van de control frameworks te analyseren en zichtbaar te maken.
Lees ook: De toegevoegde waarde van internal audit
Risicomanagement in de praktijk: risicogestuurd werken
Risicogestuurd werken legt een directe relatie tussen risicomanagement en werkprocessen. Het is het toepassen van de zes generieke risicoprocesstappen in (alle) werkprocessen. Hieronder vallen bijvoorbeeld ook strategievorming, managementprocessen en besluitvormingsprocessen. De zes generieke risicoprocesstappen zijn het gefilterde resultaat van de bekende risicomanagementmethoden.
Evenals elk werkproces bestaat een risicogestuurd werkproces uit opeenvolgende activiteiten. Het is daarmee gewoon een werkproces, alleen wel met één extra aandachtspunt. Dat zijn de risico’s, die gedurende de uitvoering van het werkproces effect kunnen hebben op het doel van het werkproces. In een risicogestuurd werkproces komen die risico’s dankzij het doorlopen van de zes generieke risicoprocesstappen tijdig in beeld. Vervolgens kan een keuze worden gemaakt. Zijn de risico’s acceptabel, of er moeten ze worden verkleind om te voldoen aan de risicotolerantie van de betrokkenen? Hierbij spelen de aspecten risicoperceptie en risicohouding wederom een hoofdrol.
Drie veelvoorkomende voorbeelden van bestaande werkprocessen die eenvoudig risicogestuurd zijn uit te voeren zijn de planning- en controlcyclus, het projectmanagementproces en het kwaliteitsmanagementproces. Vaak houden bedrijven in veel van die processen in de praktijk al rekening met risico’s en worden daarop maatregelen genomen. Echter, in veel van die gevallen wordt er niet expliciet en gestructureerd omgegaan met die risico’s.
Lees ook: Cultuur is het grootste risico voor een onderneming
Risicoleiderschap: wat is het?
Naast de vertrouwde formele leiders, de leidinggevenden, heeft een organisatie ook (veel) informele leiders nodig, de vakinhoudelijke professionals. Beide soorten leiders zijn broodnodig om in een VUCA-omgeving succesvol te zijn, en te blijven. Leiderschap tonen in een VUCA-omgeving is een combinatie van doelgericht werken, diversiteit benutten, durven en vooral doen: actie ondernemen, experimenteren en daarvan leren.
Risicoleiderschap tonen betekent dan ook risicogestuurd werken met waardevolle doelen als focus. Risico’s worden daarbij gesubjectiveerd en gekwalificeerd, waarbij perceptieverschillen expliciet worden beschouwd. De risicoleider gaat bewust met deze risico’s om: hij of zij maakt heldere en uit te leggen keuzes over het al dan niet nemen van het risico, of het treffen van maatregelen. Ook ‘positieve’ risico’s, de kansen, mogelijkheden of opportunities die ontstaan uit onzekerheid, beschouwt een risicoleider nadrukkelijk. Dit bewust omgaan met risico’s gebeurt in bestaande of nieuwe werkprocessen. Dit doet een risicoleider in de eerste plaats zelf, als rolmodel. Wie op deze manier omgaat met onzekerheden, risico’s en kansen in het dagelijkse werk, samen met anderen, toont risicoleiderschap.
Lees ook: Risicoleiderschap: waarom, wat en hoe?
Risicoleiderschap voor de controller
Omgaan met risico’s is van iedereen in de organisatie, niet alleen van de controllers en hun afdeling. Het eigenaarschap voor omgaan met risico’s is een lijnverantwoordelijkheid en geen verantwoordelijkheid van de controller. Waar de controller wél voor verantwoordelijk kan worden gehouden is de mate en wijze van ondersteuning bij het omgaan met risico’s, in alle bestaande activiteiten en processen in de organisatie. Sterker nog, de controller kan een stimulerende voorbeeldrol als risicoleider vervullen. Om zo de organisatie letterlijk en figuurlijk ruimte te bieden in het verantwoord omgaan met onzekerheden, risico’s en kansen, voor het realiseren van ambitieuze doelen in een dynamische en uitdagende omgeving.
Hoe wordt je een risicoleider? Is dat iedereen gegeven, of vraagt dit een speciaal aangeboren talent? Ja, het is iedereen gegeven en nee, er is geen specifiek talent voor nodig. Hoewel de ene persoon er meer aanleg voor heeft dan de andere. Maar met de bereidheid tot wat persoonlijke ontwikkeling kan iedereen in de organisatie risicoleiderschap ontwikkelen.
In het artikel De controller als risicoleider gaat risicomanagementexpert Martin van Staveren hier dieper op in.
Volwassenheidsniveaus binnen risicomanagement
Risicomanagement kan op veel verschillende manieren worden ingericht, zo zal risicomanagement bij een mkb-onderneming anders zijn dan risicomanagement bij een grote onderneming. En risicomanagement bij een bank of verzekeraar zal weer anders zijn dan bij een ‘gewone’ beursgenoteerde onderneming. Van der Weerdt, Jansen en Van Egeraat geven in hun boek Risicomanagement voor bestuurders en toezichthouders een mooi overzicht, uitgaande van 5 volwassenheidsniveaus (figuur 2). Niet iedere organisatie zal streven naar dezelfde mate van professionaliteit in risicomanagement. Een grote organisatie met gemiddelde ambities en een beperkte complexiteit in de organisatie in een stabiele markt kan volstaan met ‘basis op orde’, terwijl een kleine organisatie (10-50 fte) in een zeer dynamische omgeving met grote (groei)ambities juist baat heeft bij een proactief risicomanagement.
Lees ook: Risicomanagement bij mkb-bedrijven: zo pak je het aan
Ad hoc | Oriënterend | Basis op orde | Proactief | Intelligent | |
Omvang | < 10 fte | 10-50 fte | 50-100 fte | 100-250 fte | > 250 fte |
Ambities | stabiel | beperkt ambitieus | gemiddeld | aanzienlijk ambitieus | zeer ambitieus/innovatief |
Complexiteit | overzichtelijk | enigszins complex | gemiddeld | behoorlijk complex | zeer complex |
Figuur 2. Vuistregels voor het bepalen van een passen volwassenheidsniveau (Bron: Risicomanagement voor bestuurders en toezichthouders)
- Ad hoc – de organisatie reageert op risico’s op het moment dat ze zich voor doen. Incidenteel. Er zijn geen rapportages en er wordt niet gemonitord.
- Oriënterend – de organisatie focust vooral op financiële en compliance risico’s. Een beperkte groep mensen in de organisatie houdt zich ermee bezig.
- Basis op orde – de organisatie is nog steeds voornamelijk reactief. Risicomanagement is nog een losstaand iets en ligt vooral bij bestuur, management en control.
- Proactief – de organisatie heeft een gestructureerd risicomanagementproces op alle niveaus binnen de organisatie. Het is een integraal onderdeel van de besluitvorming en belicht zowel kansen als bedreigingen. De risicobereidheid is benoemd, er wordt gebruikgemaakt van scenarioanalyses en er is een koppeling met prestatiemanagement.
- Intelligent – de organisatie heeft risicomanagement geheel geïntegreerd in de besluitvorming en gebruikt het ook om vooruit te kijken. Er is continue en actieve sturing op risico’s op alle niveaus binnen de organisatie.
Lees ook: ‘Het overbodig maken van ons risk team moet onze ambitie zijn’
