4. Risicomanagement is een onderdeel van verzekeren
Voor risicomanagers is dit vloeken in de kerk. Risicomanagement is het proces van risico-inventarisatie, analyses en het treffen van (beheers-)maatregelen. Verzekeren is daarbij een van de laatste mogelijkheden na het treffen van verschillende vormen van mitigerende maatregelen.
5. Risicomanagement is statisch en eenmalig
Misvatting die wel eens wil ontstaan is dat risicomanagement een eenmalig of jaarlijkse exercitie is en daardoor als statisch wordt beschouwd. Voor organisaties die zich bevinden op het eerste volwassenheidsniveau van M_o_R klopt dat wel. Maar echt risicomanagement mag dat nog niet worden genoemd. Want volwassen risicomanagement gaat over het continu inventariseren, analyseren (kwalitificeren) en beheersen van risico’s (zgn. Deming-cycle).
6. Risicomanagement is een speeltje van planning en control
Wanneer risicomanagement vanuit een financiële verplichting, bijvoorbeeld in wet- en regelgeving, ingezet wordt is het vaak vanzelfsprekend dat de implementatie terecht komt bij Compliance, Control of Financiën. Hiermee ligt de focus al snel op controle en toezicht en het benoemen van financiële risico’s. Door verbreding van het team dat regelmatig bezig is met risicomanagement is het vaak goed mogelijk risicomanagement uit deze hoek te krijgen en zo ook een grotere toegevoegde waarde te krijgen.
7. Risicomanagement betekent alleen informatie ophalen
Voor veel medewerkers betekent het betrokken zijn bij risicomanagement dat zij een of twee maal per jaar een uitnodiging ontvangen voor een bijeenkomst of risico-expertsessie om het risicoprofiel te actualiseren. Om betrokkenheid bij het onderwerp te houden, en daarmee ook sneller nieuwe risico´s boven tafel te krijgen, is het van belang dat zij ook weten wat er met de aangeleverde gegevens gebeurt. Het delen van successen en ontwikkelingen tijdens het risicomanagementproces levert veel draagvlak op om in de toekomst risico’s en incidenten te blijven melden.
8. Risicomanagement doen we al
Als laatste de misschien wel meest genoemde reactie van organisaties die weerstand bieden bij het inrichten van risicomanagement is: ‘Risicomanagement doen we toch al!’ En deels klopt dat. Want de mens is in de basis veel bezig om zijn onzekerheden weg te managen. Ook bepaalde afdelingen zijn impliciet bezig om risico’s het hoofd te bieden. Maar omdat iemand een risico ziet en daarvoor een verzekering heeft afgesloten, wordt er nog niet gedaan aan risicomanagement. Vergelijking: doordat iemand een bonnetje heeft en die in een map heeft opgeborgen kan nog niet worden gezegd dat de organisatie zijn administratie op orde heeft. Kortom,, bij risicomanagement gaat het om het proces van inventarisatie, analyse en beheersing van de risico’s.
[1] CER Driehoek= Commercie, Efficiency en Risicobeheersing.
[2] M_o_R = Management of risk
Bron: Dit artikel is ontleend aan het artikel Valkuilen en dooddoeners bij de implementatie van risicomanagement van Nederlands Adviesbureau voor Risicomanagement en het boek Ga Niet Langs Af van R.H.A. van Asch en M.A. Dorresteijn (2010)