Ben je geen lid van Riskworld? en profiteer van de vele extra's!

Sluiten

Registreren

U bevindt zich hier:

/

/

/

Hoe bepaal je de risicobereidheid van een organisatie?

900x

Voeg een nieuwe reactie toe

Beoordeel dit item

1
2
3
4
5

(1 Stem)

Hoe bepaal je de risicobereidheid van een organisatie?

Jouw organisatie identificeert risico’s in de eerste lijn. Natuurlijk, want de werkvloer kent de risico’s het beste. Maar hoe weet de organisatie wanneer hun risico’s te groot, of misschien wel te klein zijn? Wanneer de eerste lijn weet waar de grens ligt, kan de organisatie zélf haar risico’s managen. Daarom stel je een risicobereidheid op. Maar, hoe pak je dat aan? In dit artikel beantwoorden we de vraag: ‘Hoe bepaal je de risicobereidheid van een organisatie?’ Met dit 5 stappenplan kan jij dat ook.

“We hebben geen risicobereidheid”

Ook al heeft een organisatie niets vastgelegd over haar risicobereidheid, het ís er wel. Elke organisatie weegt risico’s af. Twee voorbeelden: een organisatie besluit een initiatief níet te starten, omdat ze te veel risico’s ziet. Een andere organisatie maakt extra budget vrij voor een lopend project. Hiermee kan de organisatie extra beheersmaatregelen uitvoeren zodat projectdoelstellingen tóch gehaald kunnen worden. In beide gevallen was er blijkbaar een grens overschreden. De risico’s bleken buiten hun risicobereidheid te liggen.

Hoe beschrijf je de risicobereidheid?

Risicobereidheid wordt uitgedrukt in tekst, beeld en cijfers.

Risicostatements: Uitspraken waarin een organisatie beschrijft hoe ze om wil gaan met risico’s.
Risicomatrix: In een risicolandschap is ingekleurd bij welke kans en impact risico’s onwenselijk zijn.
Risicolimieten: Meetbare grenzen in bijvoorbeeld euro’s of percentages, die uitdrukken wanneer risico’s te groot worden.

Dit zijn de meest voorkomende, maar niet de enige methoden. Veel organisaties publiceren hoe zij hun risicobereidheid uitdrukken. Online kan je hier voorbeelden van vinden.

Hoe bepaal je de risicobereidheid?

Zelf de risicobereidheid van je organisatie expliciet maken, wordt vaak complex genoemd. Toch is het goed mogelijk dit zélf te doen. Hieronder is stap voor stap beschreven hoe je dit doet:

Stap 1: Inventariseer de huidige risicogrenzen

Risicomanagement start met doelen. Ook bij het bepalen van de risicobereidheid start je met de doelen. Bij de doelen zijn meestal ook KPI’s vastgesteld. Deze KPI’s gaan niet alleen over de prestaties, maar vaak over risico’s of controls van de organisatie. Ze geven informatie over de risicogrenzen die het bedrijf hanteert.

Veel sectoren hebben te maken met regulering en toezicht. De eisen van deze toezichthouders zijn aanknopingspunten bij het bepalen van de risicobereidheid. Bijvoorbeeld de minimale solvabiliteitseis of andere eisen van toezichthouders maken duidelijk welke grens niet overschreden mag worden.

Bekijk de jaarrekening, interne rapportages en het ondernemingsplan met een risicobereidheid-bril. Ook de beoordeling van projectvoorstellen en bronnen als bijvoorbeeld een balanced scorecard zijn waardevol. Je organisatie heeft mogelijk méér over haar risicobereidheid geschreven dan je verwachtte.

De lijst risicogrenzen die je vond, koppel je vervolgens aan de doelen van de organisatie. Zo krijg je inzicht in de risicobereidheid van de organisatie op elk doel. Vorm je ook een beeld van de risicocapaciteit van je organisatie.

Hiermee heb je de uitgangspositie voor de risicobereidheid bepaald.

Lees ook:
Risk Conference 2023

Stap 2: Vraag de risicobereidheid uit

Het hoogste niveau binnen een organisatie bepaalt hoe afgewogen moet worden. Met hen bespreek je hoe groot de risicobereidheid is, hoe groot die zou moeten zijn en welke onderwerpen in de risicobereidheid geraakt moeten worden.

Het Committee of Sponsoring Organizations of the Treadway Commission (hierna: COSO) heeft een waardevol handvat met een set aan vragen opgesteld die je helpen antwoord op bovenstaande vragen te krijgen. Deze vragen vormen een praktische leidraad voor de gesprekken die je met de leden van het directieteam voert. Deze gesprekken met directieleden voer je met drie redenen:

Allereerst vraag je uit hoe ze risico’s wegen, wat gewogen wordt, waar grenzen liggen en welke grenzen ze voor de organisatie eigenlijk nodig achten.
Daarnaast krijg je door deze gesprekken scherp, hoe de verschillende managers ‘in de wedstrijd zitten’. Door de antwoorden te vergelijken wordt de gemene deler zichtbaar, óf juist duidelijk dat de risicohoudingen veel van elkaar verschillen.
Ten slotte kan je in de gesprekken de directieleden of managers inzicht geven in het concept risicobereidheid. Niet iedereen weet wat de bedoeling van een risicobereidheid is, hoe het door hun medewerkers gebruikt kan worden of wat de impact kan zijn op hun werkzaamheden.

Stap 3: Maak een eerste opzet

En dan liggen nu de onderdelen klaar, het is tijd om te gaan puzzelen:

Orde in de chaos

Zoek in alle informatie de gemene deler. Bepaal welke onderwerpen blijkbaar belangrijk zijn voor de organisatie. Daarbij gaat het niet alleen over de doelen zoals de organisatie op zijn website heeft geplaatst, maar bijvoorbeeld ook over ontwikkelingen die invloed hebben op de belangrijkste drivers voor de organisatie. Of misschien bepalen eisen van toezichthouders de ‘licence to operate’. Ook ervaringen in het verleden van de directeur of incidenten binnen het bedrijf in de afgelopen periode kunnen belangrijk zijn.

Maak een keuze. Welke onderwerpen zijn zó belangrijk dat ze in de risicobereidheid moeten terugkomen? Dat zou bijvoorbeeld kunnen zijn, innovatie, reputatie, compliancy, duurzaamheid, financiële positie, klanttevredenheid, etc. Neem de tijd voor deze puzzel. Samenhang, grote lijnen en de kern zijn niet altijd direct duidelijk.

Risk statements

De risicobereidheid van een organisatie bestaat in ieder geval uit risk statements. Liever gebruikt de organisatie ook de andere vormen, maar minimaal formuleert ze risk statements.

Schrijf voor de belangrijkste onderwerpen elk een statement. Voorbeelden van statements vind je ook in het document van COSO en kijk ook eens op de website of in het jaarverslag van gelijksoortige organisaties.

Het statement is bedoeld om medewerkers in de organisatie te laten weten in hoeverre risico’s gelopen mogen worden. Bedenk of je voorzet voor de risk statements werkelijk dat handvat biedt. Is het voor de collega’s duidelijk genoeg?

Risicolimieten

Selecteer de risicogrenzen die je in de risicobereidheid op wil nemen. Ook hier kijk je naar de belangrijkste onderwerpen (de doelen of drivers van de organisatie). Selecteer de KRI’s die je vond in de rapportages, die aansluiten bij je risicobereidheid.

Risicomatrix

Wanneer een organisatie de risicobereidheid gaat vastleggen, gebruikt ze waarschijnlijk al een risicomatrix (ook heatmap of risicolandschap genoemd). Dit betekent dat de kansschaal en impactschaal al vastgesteld zijn. Ook de kleuring van de vakken in de risicomatrix zijn dan bekend. In het risicoregister van je organisatie vind je risico’s waarvan ze weet dat ze niet acceptabel bevonden zijn. Check of deze ook inderdaad in een rood vlak liggen en of die beoordeling in lijn is met de risicostatements die je formuleerde. Wellicht komt het risico ook tot uiting in het overschrijden van een risicogrens. Deze beoordelingen moeten met elkaar in lijn zijn.

Kijk kritisch naar de impactschalen die je gebruikt. Wanneer een financiële schade van € 600.000 net zo onacceptabel is als een gemiddelde klantbeoordeling van 6,0, dan moeten deze beoordelingen tot een zelfde impactklasse leiden. Immers, beiden zouden (bij eenzelfde kans) in het rode deel van de risicomatrix moeten vallen. Pas de verdeling over de verschillende impactklasses aan als dat nodig is.

Het is mogelijk de impactschaal uit te breiden met één of meer onderwerpen, zoals een financiële impactschaal, impactschaal voor reputatieschade, veiligheid ed. Maar, maak het niet té complex. Liever een begrijpelijke risicobereidheid die echt gebruikt wordt in de organisatie, dan een uitgebreide complexe risicobereidheid in een lade.

Check of je financiële schaal past bij de financiële mogelijkheden van de organisatie om de financiële impact van risico’s binnen de risicobereidheid te kunnen dragen. Wanneer de financiële reserves miniem zijn én je weet dat het heel lastig gaat worden aanvullende financiering te verkrijgen, dan zou in de hoogste impactklasse een relatief beperkt euro-bedrag moeten staan.

Stap 4: Doorleef de risicobereidheid met de directie.

Hier staat bewust ‘doorleef’ in plaats van ‘bespreek’. De directeur en het managementteam of de directie moeten met elkaar doorleven ‘hoe ze in de wedstrijd zitten’. Met hen bespreek je onder andere:

Uit de inventarisatie is gebleken waar persoonlijke risicobereidheden verschillen. Wat betekent dit voor de uniforme risicobereidheid die voorligt?
Is jouw vertaling in risk statements, risicolimieten en de risicomatrix goed of ontbreekt een onderwerp of legde je verkeerde accenten?
Is de verdeling binnen impactschalen goed verdeeld? Etc.

Ook kan je testen of de risicobereidheid klopt. Hiervoor kies je een aantal bestaande risico’s en vraag je de managers hoe ze het risico in de matrix ‘plotten’. Ook vraag je hen of ze het risico binnen of buiten de risicobereidheid inschalen. Hiermee toets je of de kleuring in je matrix (nog) klopt, en of de managers voldoende gedeelde risicovisie hebben.

Ook kan je stellingen of casussen gebruiken om de risicobereidheid te testen.

Wanneer de directie het erover eens is dat de (aangescherpte) risk statements, risicolimieten en de risicomatrix goed uitdrukking geven aan de risicobereidheid van de organisatie, kan deze formeel vastgesteld worden.

Stap 5 Implementeren en evalueren

De risicobereidheid wordt eenvoudig een papieren tijger. De implementatie is belangrijk. Het moet handen en voeten krijgen om van waarde te worden. Bijvoorbeeld doordat projectvoorstellen getoetst worden aan de risicobereidheid.

De risicobereidheid is geen document voor de directietafel allen. Het moet de operatie gaan helpen bij risicoafwegingen. Bedenk dus hoe de organisatie geïnformeerd wordt, hoe gemonitord wordt of het risicoprofiel binnen de operatie blijft, wie welke verantwoordelijkheid heeft wanneer risico’s buiten de risicobereidheid liggen etc. Een goed implementatieplan helpt je daarbij.

Ook moet periodiek de risicobereidheid geëvalueerd en bijgesteld worden. Door de risicobereidheid te gebruiken, wordt duidelijk waar eigenlijk andere accenten gelegd hadden moeten worden. Ook kan de financiële positie van de organisatie of strategische richting veranderen, waardoor ook de risicobereidheid moet meebewegen. Dus, evalueren moet.

Zelf doen, of laten doen?

Je kan ook de risicobereidheid laten opstellen met behulp van een interimmer of extern adviesbureau. Wanneer er geen tijd of capaciteit in de organisatie aanwezig is, kan je dit natuurlijk extern aantrekken. Maar, wanneer het wel intern opgepakt kan worden, heeft dit belangrijke voordelen. De kans dat de risicobereidheid een onderdeel wordt van besluitvorming, op verschillende niveaus in de organisatie zal groter zijn.

Als het enigszins kan, probeer het dan zelf te doen.

Gepubliceerd in Riskmanagement

Geschreven op 12 December 2022 door

ir. Maria Dorresteijn

6 artikelen gepubliceerd

Interessant? Deel dit artikel

Getagged onder

risicobewustzijn

Reacties op dit artikel 0 reacties

U kunt geen reactie plaatsen, omdat u niet ingelogd bent

© Copyright 2014 - 2023 Riskworld | Alle rechten voorbehouden | Privacy en veiligheid | Cookies | Disclaimer | Sitemap