Maak gebruik van de aanwezige Risk Taxonomy
Voor een adequate risicobeheersing worden risico’s vaak geclassificeerd en ingedeeld naar typologie middels een Risk Taxonomy. Voorbeelden van risicoclassificaties zijn strategische risico’s, kredietrisico’s, integriteitsrisico’s en operationele risico’s.
Een belangrijke architectuurkeuze is of de duurzaamheidsrisico’s een aparte risicotype vormen, of onderdeel zijn van de al bestaande risicotypes. De praktijk leert dat wanneer er gekozen wordt om duurzaamheidsrisico’s als een apart risicotype te definiëren, de beheersing van dit nieuwe risico type minder snel tot volwassenheid kan worden gebracht. Duurzaamheidsrisico’s worden dan bijvoorbeeld niet als strategische risico’s geclassificeerd, gerapporteerd en beheerst, maar als een nieuw risicotype dat nog onderaan de ladder moet beginnen.
Wanneer een geïntegreerde benadering wordt gekozen kunnen de duurzaamheidsrisico’s meeliften op de al ingerichte beheersprocessen en wordt de beperkte aandacht en kennis van duurzaamheidsrisico’s als ook het kwantificeren van duurzaamheidsrisico’s versneld ingelopen door senior management. Al met al is er dan ook veel voor te zeggen om daar waar het niet tot significante nadelen leidt, de duurzaamheidsrisico’s onder te brengen bij de bestaande risicotypes.
Zorg dat duurzaamheid onderdeel wordt van de RAS
Een van de pijlers van Enterprise Risk Management is het kwantificeren van de risicobereidheid van een onderneming en het beheersen van de impact van risico’s binnen een gedefinieerde bandbreedte. We spreken dan over de Risk Appetite Statement (RAS) .
De RAS wordt jaarlijks vastgesteld voor ieder risicotype op basis van de nieuwe bedrijfsstrategie/-doelen. Dit is een verankerd proces wat veel belangstelling heeft van de regelgever en waar de Management Board verantwoordelijk voor is. Wanneer duurzaamheid is geïntegreerd in de Risk Taxonomy, vindt het jaarlijks bepalen van de risicobereidheid en het beheersen van de duurzaamheidsrisico’s automatisch aan de MB-tafel plaats.
Belangrijk bij de RAS is dat deze gedefinieerd wordt met meetbare grenzen. Gedurende het jaar vindt besluitvorming plaats op basis van bijgehouden uitnutting van de RAS: de risico impact die al is genomen en de te verwachten impact o.b.v. voorspellende KRI (Key Risk Indicatoren) rapportages.
Duurzaamheid opnemen in de RAS in combinatie met duurzaamheid KRI’s is een van de risico-instrumenten die waarde toevoegen voor een risico-eigenaar die hiermee verantwoordelijkheid kan nemen. Er wordt vaak gezegd dat een manager geen risico-eigenaar wil zijn. Ervaring leert dat risico-eigenaren wel verantwoordelijkheid willen nemen, maar dit niet doen wanneer ze geen tools hebben en enkel lijdzaam moeten toekijken middels achteraf registrerende managementrapportages (en uiteindelijk de schuld krijgen).
Combineer 2e lijns risicoactiviteiten in 1 Risk Management Cycle
De 2e lijns risicoactiviteiten worden meestal periodiek uitgevoerd middels een beheerscyclus. Veelal hebben 2e lijns disciplines een eigen beheerscyclus waarin o.a. het uitvoeren van assessments in de business centraal staat. De business wordt hierdoor veelvuldig geconfronteerd met deelname aan tijdrovende en vaak overlappende activiteiten als workshops, testing & monitoring en management rapportages.
Voor een geïntegreerde aanpak van de 2e lijns activiteiten in 1 beheerscyclus is vaak in de business veel draagvlak. Dit bespaart veel tijd en komt de kwaliteit ten goede wanneer b.v. risico-inschattingen door alle relevante 2e lijns experts samen met de 1e lijn business verantwoordelijke worden geanalyseerd.
Een Risk & Control Self Assessment (RCSA) is hiervoor het geëigende instrument. Wanneer duurzaamheid is geïntegreerd in de Risk Taxonomy en de Risk Appetite, is opname van de duurzaamheidsrisico’s en -controls in de Risk & Control Registers een kleine stap voorwaarts en snel te maken. Deze Risk & Control Registers staan centraal in een RCSA waardoor het vanzelfsprekend wordt om duurzaamheid in de assessments volwaardig op senior managementniveau te analyseren en mitigerende maatregelen met elkaar af te spreken waardoor ook een verbetercyclus wordt ingezet.
Integreer de 2e lijns Policy Frameworks
Het aanpassen en afstemmen van policy frameworks is meestal een aanzienlijke inspanning met een lang goedkeuringsproces. Het opzetten van een duurzaamheids-policy framework moet dan ook handig worden aangepakt.
Een risk policy framework bestaat doorgaans uit een charter, een framework document, een riskmanagement policy, risk type policies en standaarden/guidelines. Wanneer gebruik wordt gemaakt van de bestaande risico types binnen het bestaande risicomanagementproces met de bestaande risico-instrumenten, maakt dat het opzetten van een kwalitatief duurzaamheids-policy framework een stuk eenvoudiger. Enkel een Duurzaamheid Charter en een Duurzaamheid Policy dienen dan nog te worden ontwikkeld.
Door de risico-instrumenten op standaard/guideline-niveau geïntegreerd te beschrijven (door het risicomanagementproces centraal te stellen) kunnen de diverse risico-instrumenten in 1 document worden beschreven. Dit maakt het voor niet-risk-ingewijden heel praktisch en concreet. Voor senior management betekent het dat het volume aan jaarlijks goed te keuren beleidsdocumenten afneemt omdat er simpelweg minder beleidsdocumenten zijn te onderhouden en deze minder omvattend zijn dan traditioneel.
Download de bijlage
In dit artikel is een overzicht gegeven van de eerste stappen die de introductie en ontwikkeling van een efficiënt volwassen duurzaamheids-risk control framework versneld mogelijk maakt in een organisatie. Bij dit artikel behoort een bijlage met voorbeelden hoe te komen tot een fundament van risico-instrumenten die de korte uiteenzetting uit dit artikel verder verduidelijken.
Foto via Unsplash.
Download bijlagen
Je moet lid zijn van Riskworld om bijlagen te downloaden. Word gratis lid of log in.