De Thematische risicomanagementcyclus
Bij deze cyclus gaat het om een diepteanalyse van een bepaald type risico.
Het is dus geen risicoanalyse naar keten of afdeling, maar naar een thema dat relevant is voor de organisatie
U kunt dan denken aan thema’s als: integriteit, cyber, contractadministratie of incidenten. Uiteraard zijn dit ook weer voorbeelden; ze vormen geen limitatieve opsomming. Het effect is dat men bij deze analyse een ‘duik in het diepe’ neemt. Het is dus geen risicoanalyse naar keten of afdeling, maar naar een thema dat relevant is voor de organisatie.
Een aanleiding kan ook zijn dat er richtlijnen zijn vanuit de sectortoezichthouder om minimaal een keer in de zoveel jaar een diepteanalyse te maken.
Proceskant van risicomanagement
De proceskant van risicomanagement gaat langs vier RAVC-dimensies:
- Risicogovernance: dit is een inrichtingsvraagstuk. Wie doet wat in het samenspel van de lijnen binnen de organisatie?
- Risicostrategie: langs welke risicomanagementmethodologie ontwikkelt u uw risicomanagement; een methodologisch vraagstuk.
- Risicoprocessen: het proces van opzet, bestaan, borging en werking. Dit is een procesmanagementvraagstuk.
- Risicobewustzijn: dit gaat over de intrinsieke motivatie, oftewel een motivatievraagstuk.
Elke organisatie, ongeacht grootte en complexiteit, doorloopt in een bepaalde mate deze vier dimensies. De focus in dit artikel ligt op risicoprocessen.
De proceskant van risicomanagement gaat over het vastleggen van de uitkomsten in een zogenaamde risicocontrolematrix, afgekort RCM. In de RCM worden, afhankelijk van de keuze, de doelstellingen van de afdeling of van de keten opgenomen. Ook vinden we hier de bijbehorende gedefinieerde risico’s terug. De risico’s worden dan vaak gewogen naar kans * impact en gevisualiseerd in een risicokaart. Deze risicokaart is tot op de dag van vandaag een herkenningsinstrument voor het risicomanagementvak.
Risicowegingen
Het meest in het oog springende herkenningspunt van risicomanagement is nog steeds de risicokaart, ook wel heatmap genoemd. Om te komen tot een kans * impact van geïdentificeerde risico’s, is een vaak gehoorde mening dat hieraan een niet-inspirerend administratief proces vooraf gaat. Doordat dit proces van risicowegingen de laatste jaren centraal heeft gestaan, heeft risicomanagement ook een klank van bureaucratisch c.q. administratief gekregen. Het is een proces van georganiseerde paranoïde geworden. Dit is te wijten aan de beoefenaars van het vak en aan sectortoezichthouders. Men is er samen nog onvoldoende in geslaagd om bestuurders mee te nemen in de essentie van kans * impact.
De essentie is namelijk het proces zelf.
Het proces an sich is leidend en niet de vereenvoudigde uitkomst van een weging.
In de praktijk zien we dat risico’s op twee decimalen worden uitgedrukt. Een risico-object is menig malen complexer dan de simpele kans * impact-weging.
De vraag en indeling naar kans * impact is simpelweg niet langer voldoende. Het kunnen inschatten van het zogenaamde risk object is complexer dan een risk assessment doet vermoeden. Het wegen van risico’s met behulp van kans * impact geeft de organisatie veel inzichten. Het creëert op een andere manier toegevoegde waarde dan de huidige aandacht voor de georganiseerde paranoia via ongestructureerde risico-inschattingen. De toegevoegde waarde ligt verscholen in het proces van risicoweging. Het analyseren van dit proces en het expliciteren van de processtappen is cruciaal om inzicht te krijgen in de uitkomsten van de risicoweging en om de uitkomsten van kans * impact op waarde te schatten.
De geëxpliciteerde analyse leert een organisatie:
- een lerende organisatie te worden door het houden van multidisciplinaire dialoogsessies;
- begrip te creëren voor en over de verschillende verantwoordelijkheden in de samenwerkingsketen van de organisatie;
- relativiteitsbepaling van de risico’s in onderlinge samenhang aan te brengen en te begrijpen;
- actieoriëntatie van management te realiseren door prioritering van de risico’s in het besluitvormingsproces;
- begrip te realiseren over waar de huidige control-omgeving versterkt (met nieuwe of andere controls) moet worden of waar beheersmaatregelen ‘ontstapeld’ moeten worden omdat er door de jaren heen gestapeld is;
- allocatie van het risicobudget en/of van andere resources;
- een effectieve visualisatie te creëren om te communiceren over de risico’s en beheersmaatregelen richting stakeholders.
Creëren van een lerende organisatie
Het gestructureerd doorlopen van het proces van risicowegingen, zoals de hierboven beschreven zeven stappen, is een van de kenmerken van een zelflerende en zelfreflecterende organisatie.
Het gestructureerd doorlopen van het proces van risicowegingen is een van de kenmerken van een zelflerende en zelfreflecterende organisatie
Bruto of netto
Er zijn twee denk- en werkprocessen die de organisatie kan doorlopen.
- Het traditionele proces: om de geïdentificeerde risico’s te wegen, wordt vaak het zogenoemde ‘bruto/netto-proces’ doorlopen. Hierbij dient nagedacht te worden over wat het risico is zonder beheersing. Deze wijze van denken is vaak (te) abstract. Ook moet men eerst bepalen welke onderdelen van de organisatie tot de zogenaamde ‘basisconfiguratie’ horen. Dus bij het inclusieve deel van de bruto-definitie. Deze elementen neemt men dan niet mee als beheersmaatregel, omdat ze evident verbonden zijn aan de organisatie of sector. In de praktijk kan dit werkproces voor het nodige onbegrip zorgen.
- Het innovatievere proces: een andere manier van risicoweging en risicocommunicatie is die van ‘netto/bruto-denken’. De stappen die hierbij doorlopen dienen te worden, zijn:
Stap 1: Identificatie van het risico voor een afdeling of keten.
Stap 2: Vaststellen welke doelstelling niet wordt gehaald als dit risico zich voordoet, of in welk proces een mogelijke verstoring optreedt.
Stap 3: Bij het geïdentificeerde risico weegt men (kans * impact) het risico zoals de bestuurder denkt dat het nu is. Dit is het geval als men voor het eerst een risicoafweging maakt.
Stap 4: Vervolgens komt de vraag: met welke beheersmaatregelen hebben de bestuurder en het managementteam rekening gehouden tijdens de risicoweging?
Stap 5: De weging dient opnieuw gemaakt te worden, echter zonder de aangehaalde beheersmaatregelen. De uitkomst is dan het bruto risico.
Door dit proces te doorlopen, wordt het besturingsproces van een bestuurder meer aangesproken en creëert de facilitator meer waarde voor bestuur en management.
Opzet, bestaan, borging en werking
Het proces van bruto/netto- of netto/bruto-denken dient periodiek herhaald te worden in een risicoplanning- en controlcyclus. Immers de wereld is niet statisch en er kunnen verschillen optreden. De vraag is dan in welke mate de beheersmaatregel ook echt gewerkt heeft; wel, niet of deels? In de laatste twee gevallen bestaat het risico dat een doelstelling niet gehaald is. De stap om de effectiviteit van de beheersmaatregel te analyseren, wordt ook wel aangeduid als ‘werking’. De stap om na te denken over welk risico in welk proces voor welke doelstelling men gaat analyseren, wordt ook wel ‘opzet’ genoemd. De naam voor het echt beschrijven van deze stappen is ‘bestaan’ en het borgen van de beheersmaatregelen wordt aangeduid met de term ‘borgen’.
Welke risicolegenda te hanteren?
Een belangrijke vraag die naar voren komt, is hoe de risico’s gewogen moeten worden? Naar welke maatstaven kan men de risico’s waarderen? Met andere woorden: hoe ziet de risicolegenda eruit? In de basis kan men ervoor kiezen om een kwalitatieve of een kwantitatieve legenda te hanteren. Bovenal is het van groot belang dat men zich realiseert dat het proces van risicowegingen essentiëler is dan de versimpelde uitkomst van een weging.
Een kwalitatieve legenda heeft als kenmerk dat het gaat om algemeenheden.
Het voordeel is dat men bij een eerste keer van risicowegingen kennismaakt met een praktische manier om dit te doen. Het nadeel kan zijn dat er geen sprake is van een uniforme interpretatie. Hierdoor zijn wegingen van verschillende bestuurders en managementteamleden niet vergelijkbaar. Alhoewel bij het integraal bespreken van de risicowegingen tussen bestuurder en het management er uniformiteit ontstaat in zienswijze. Dit door de dialoog aan de bestuurstafel.
Bij een kwantitatieve legenda worden zaken nader geconcretiseerd. Het voordeel van een dergelijke kwantificering is dat te allen tijde duidelijk is langs welke criteria de wegingen plaats hebben gevonden. Het nadeel kan zijn dat de uitkomst als belangrijker wordt ervaren dan het proces zelf.
Risicobudget en relativiteit
Bij de uitkomsten van bruto/netto- of netto/bruto-processen is het van belang dat de risico’s in totale samenhang bekeken worden. Immers de risico’s zijn allemaal individueel gewogen.
De samenhang tussen alle risico’s bespreken, is dan ook de volgende stap. Risico’s kunnen een andere weging krijgen indien men ze in onderlinge samenhang bekijkt. Dit is het zogenoemde relativiteitsproces. Omdat alle risico’s dan in onderlinge relativiteit worden gewogen.
Naast het relativiteitsproces is het essentieel om te benadrukken dat het benoemen van een beheersing gelijk staat aan het economisch principe van kosten en opbrengsten. Elke beheersmaatregel kost geld. Het moet daarom ook werken; anders is er geen goede investering gedaan. Dus zijn de beheersmaatregelen in uw organisatie van voldoende kwaliteit en de investering waard? En heeft u uw risicobudget goed gealloceerd?
Nu weer terug naar de risicokaart.
Een risicokaart groeit mee met uw data
Zoals eerder aangegeven, is de risicokaart een belangrijk herkenningsinstrument voor risicomanagement. De vraag die hierbij aan de orde komt, is welke type kaart te hanteren. Een 3-, 5- of 10-puntsschaal. Het gebruik van de risicokaart moet het gedachtegoed achter het wegen van de risico’s reflecteren. Hanteer dan ook een kaart die goed aanvoelt bij het bestuurlijke proces in de organisatie. Er kan ook sprake zijn van een bepaalde mate van gradatie in implementatie.
Stapje voor stapje beter
Stel het is het eerste jaar dat u aan risicowegingen gaat doen. Dan zou een zuivere kwalitatieve legenda volstaan om bekendheid te borgen.
Het gestructureerd doorlopen van het proces van risicowegingen is een van de kenmerken van een zelflerende en zelfreflecterende organisatie
Het jaar erop kiest u dan voor een mix van een kwalitatieve en een kwantitatieve legenda en het jaar daarop voor een zuivere kwantitatieve. Dit kan omdat u dan ook voor drie jaar aan data hebt verzameld; hierop kunt u uw legenda baseren. Welke kaart u ook kiest, het is van essentieel belang dat deze kaart de risicohouding en -bereidheid reflecteert. Daarom kan het niet zo zijn dat u een risicokaart van het internet neemt en deze gebruikt. Deze kan immers nooit uw specifieke risicolandschap, risicohouding en risicobereidheid reflecteren.
Risicocommunicatie
Communicatie over risico’s wordt een van de meest essentiële onderdelen van het vak, zowel vanwege wet- en regelgeving als vanwege de vraag van belanghebbenden. We zien dan ook dat steeds meer richtlijnen van externe toezichthouders hierop gebaseerd zijn. Deze richtlijnen zijn de manier waarop kenbaar gemaakt wordt welke risico’s en kansen een organisatie of stichting heeft. In de richtlijn van jaarrekeningen zien we onder artikel 400:110 al dat organisaties hun belangrijkste risico’s en beheersing moeten gaan rapporteren. De aandacht van accountants, leden van Raad van Toezicht en Commissarissen en anderen is hierop, anno 2019/2020, nog in mindere mate gevestigd. Een ding is zeker: hierin zal de komende jaren verandering gaan optreden. Er dient dan ook minimaal aan de volgende zeven vragen aandacht geschonken te worden:
- Is het risicomanagement doelmatig geweest?
- Wat is het risicoprofiel van de organisatie en heeft deze grote wijzigingen gehad of gaat deze grote toekomstige wijzigingen hebben?
- Wat zijn de belangrijkste risico’s en beheersmaatregelen?
- Wat is qua risicomanagement de wijze van organisatie-inrichting geweest? Zijn er nieuwe inzichten?
- Hoe risicobewust is de organisatie en wordt risicomanagement integraal meegenomen in de besluitvorming?
- Langs welke stappenplan (COSO, ISO of RAVC) heeft u uw risicomanagement ingericht?
- Wat is het oordeel van de Raad van Toezicht op uw risicomanagement?
Wat is uw volgende stap in ontwikkeling?
Het risicomanagementvak is relatief jong, gekeken vanuit de studiegedachte. Bestuurders en leden van managementteams zijn inmiddels al wel bekend met de terminologieën en basisprincipes van risicomanagement. Om de volgende stap te zetten in ontwikkeling, zowel vanuit het vak als in de interactie aan de bestuurstafel, is het van essentieel belang dat men loskomt van deze basisprincipes en kiest voor een risicomanagementsproces dat de legitimiteit van de organisatie echt verder helpt.
Disclaimer
Hoewel deze publicatie met grote zorgvuldigheid is samengesteld, aanvaarden AethiQs B.V. en alle andere entiteiten, samenwerkingsverbanden, personen en praktijken die handelen onder de naam ‘AethiQs’, geen enkele aansprakelijkheid voor de gevolgen van het gebruik van de informatie uit deze uitgave zonder hun medewerking. De aangeboden informatie is bedoeld ter algemene informatie en kan niet worden beschouwd als advies. Januari 2020.
Dit artikel is eerder verschenen in het vakblad: De Actuaris, onder persoonlijke titel van de schrijver.
Het originele artikel leest u op de website van AethiQs.
