2.2 Primaire risicomanagementprocessen

aandacht

De primaire risicomanagementprocessen zijn erop gericht alle niet acceptabele risico’s te beheersen binnen de kaders van het risicomanagementbeleid. Ook hierbij is sprake van een cyclisch karakter van processen om te garanderen dat kwaliteitsverbetering continu onder de aandacht is. Nogmaals ‘Plan-Do-Check-Act’ dus! Het organisatiebestuur voert een risicomanagementproces uit op organisatieniveau. Daarnaast worden de primaire risicomanagementprocessen ook afzonderlijk door (staf-) afdelingen, businessunits en operationele afdelingen gevolgd, liefst een aantal keer per jaar.

2.2.1 Het risicobeoordelingsproces

De risicobeoordeling (of risk assessment) is in te delen in drie stappen:

• identificatie;
• analyse;
• evaluatie.

evaluatie

In de eerste stap, ‘identificatie’ worden risico’s geïnventariseerd en geregistreerd. Bij stap twee, ‘analyse’ worden de risico’s geanalyseerd. Het resultaat hiervan is de risicoweging in termen van impact en waarschijnlijkheid. Tenslotte wordt in stap drie, ‘evaluatie’ besloten welke risico’s acceptabel zijn en welke risico’s niet acceptabel zijn. De in het risicomanagementbeleid gedefinieerde risicobereidheid is daarbij leidend.

2.2.2 De risicobehandeling

eindresultaat

De risicobehandeling (of risk treatment) gaat verder met het eindresultaat van het risicoassessmentproces. Per risico bepaalt u wat een passende reactie of respons is op het risico. Een risicoreactie is daarbij niet hetzelfde als een interne beheersingsmaatregel. Een reactie kan namelijk bijvoorbeeld ook zijn om een risico volledig te vermijden door af te zien van een bepaalde bedrijfsactiviteit. Het proces van risicobehandeling bestaat ook uit drie stappen:

• alternatieven;
• besluit;
• implementatie.

inventarisatie

besluit

Omdat er meestal meerdere alternatieven zijn om risico’s te verkleinen met elk een eigen kostenplaatje en impact, start stap 1 (‘alternatieven’) met een inventarisatie van de alternatieven. Per alternatief worden de kosten en de impact op het risico uitgewerkt. Belangrijk is om hierbij niet alleen de eenmalige kosten op te tellen, maar ook de kosten die nodig zijn om het alternatief in stand te houden. Sommige alternatieven kunnen een negatieve impact hebben op andere risico’s! Op basis van een bedrijfseconomische afweging wordt het meest gunstige alternatief (of een combinatie van alternatieven) in een implementatievoorstel uitgewerkt. In stap 2 (‘besluit’) besluit een daartoe gemandateerd persoon of orgaan over het implementatievoorstel. In stap 3 (‘implementatie’) wordt de risicoreactie daadwerkelijk toegepast in de praktijk. In deze stap bepaalt u ook op welke wijze de effectiviteit van de risicoreactie zal worden gemonitord.

2.2.3 Evalueren en rapporteren

effectiviteit

verantwoording

Ten slotte evalueert u de effectiviteit van het (primaire) risicomanagementproces. Het is aan te bevelen om dit altijd voorafgaand aan periodieke risicorapportagemomenten in te plannen. Geef dit voldoende tijd en aandacht. Bij de evaluatie van het (primaire) risicomanagementproces moet u kijken naar het verloop van het risicobeoordelingsproces en naar de effectiviteit van de (nieuw) getroffen maatregelen. Het kan immers voorkomen dat een beheersingsmaatregel in de praktijk niet goed wordt toegepast of dat een risicoreactie toch niet heeft geleid tot een voldoende resultaat. Neem ook kennis van zaken als het verloop van bedrijfsprocessen en daarbij opgetreden incidenten, ontwikkeling in klanttevredenheid of klachten. Maak dus gebruik van informatiebronnen en signalen die inzicht kunnen geven in de effectiviteit van het risicomanagementproces. De evaluatie kan leiden tot verbeteringen in het risicomanagementbeleid, de risicomanagementtools, technieken en templates en het (primaire) risicomanagementproces. Na de evaluatie legt u periodiek schriftelijk verantwoording af over risicomanagement. Deze verantwoording dient in het besturingsproces als input voor het ‘meten en monitoren’.