U bent hier

Onderneming & Administratie
Risicomanagement3. Risicomanagementbeleid 3.2 Componenten van risicomanagementbeleid
Voor Onderneming & Administratie

3.2 Componenten van risicomanagementbeleid

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: augustus 2016

Het risicomanagementbeleid is een (schriftelijke) uitwerking van de kaders van risicomanagement van een organisatie. Het beleid is in te delen in vier componenten:

  • opzet van de risicomanagementorganisatie;
  • gekozen risicostrategie;
  • risicojaarplan;
  • procedures, instructies en tools.

3.2.1 Opzet van de risicomanagementorganisatie

Binnen deze component bepaalt u de organisatorische aspecten van het risicomanagement. U beschrijft de verantwoordelijkheden van alle interne medewerkers en managers. Bij grotere organisaties kan het voorkomen dat de verantwoordelijkheden van afdelingen en organen als internal audit, compliance, control en het audit committee afzonderlijk zijn beschreven.

bestuur en directie

Het bestuur of de directie is eindverantwoordelijk voor risicobeheersing, stelt het risicomanagementbeleid vast, inclusief de daarin gedefinieerde risicobereidheid, inventariseert, begrijpt en beheerst de strategische risico’s en draagt commitment en belang van risicomanagement proactief uit.

staf- en 
lijnmanagers

Staf- en lijnmanagers zijn verantwoordelijk voor risicomanagement binnen de afdeling. Zij stimuleren als het goed is een gezonde risicocultuur binnen de afdeling, identificeren en rapporteren gewijzigde omstandigheden en risico’s, implementeren en monitoren voldoende effectieve beheersingsmaatregelen.

personeelsleden

Alle personeelsleden begrijpen en werken mee aan risicomanagementprocessen, melden ineffectieve en inefficiënte beheersingsmaatregelen, risico-incidenten en bijna-incidenten. Ook werken ze mee aan door het management geïnitieerde analyse van incidenten.

Welke taken verricht de risicomanager?

De risicomanager stelt het risicomanagementbeleid op en houdt het beleid actueel. Ook moet hij het management faciliteren bij de toepassing van het risicomanagementproces. Hij monitort de juiste en tijdige toepassing van het risicomanagementbeleid en consolideert risicomanagementrapportages vanuit de staf en rapporteert direct daarover aan het bestuur.

Positionering risicomanagementfunctie

functie

onafhankelijkheid

Als er een specifieke functie wordt ingericht voor risicomanagement (een risicomanager of een risicoafdeling), dan wordt ook de positionering van deze functie vastgelegd in het beleid. Bij een kleine organisatie is het logisch de verantwoordelijkheden van de risicomanager onder te brengen bij bijvoorbeeld een directielid of een door de directie benoemde controller. Om het belang en de onafhankelijkheid van risicomanagement in de organisatiestructuur te verankeren is positionering direct onder de directie een goede keuze.

Communicatie- en rapportagelijnen

escalatielijnen

tijdig

indicatie

Ten slotte worden in deze component de communicatie- en rapportagelijnen beschreven. Vaak worden al bestaande rapportagelijnen gebruikt om daarin ook te rapporteren over risico’s, zodat risicomanagement geïncorporeerd raakt in het reguliere planning & controlproces. Er zijn ook organisaties die specifiek rapporteren over risicomanagement. Ook is het belangrijk om de escalatielijnen te bepalen die u kunt gebruiken als bijvoorbeeld in de praktijk risicoadviezen (herhaaldelijk) niet worden opgevolgd. Deze escalatielijnen zorgen ervoor dat bovenliggende managementlagen tijdig worden geïnformeerd bij afwijkingen. U moet specifiek aandacht besteden aan de communicatie over risico-incidenten. Juiste, tijdige en volledige communicatie van incidenten is belangrijk om eventuele schade te beperken en om de juiste maatregelen te treffen ter voorkoming van toekomstige incidenten. Tevens zijn incidenten een indicatie van de mate waarin risicomanagement effectief functioneert.

3.2.2 Gekozen risicostrategie

De risicostrategie beschrijft waarom risicomanagement belangrijk is en hoe risicomanagement door de onderneming wordt toegepast.

Wat is de definitie van risicobereidheid?

Een van de belangrijkste onderdelen van de risicostrategie is de definitie van de risicobereidheid. De definitie moet duidelijk maken welke risico’s wél en welke risico’s niet acceptabel zijn. De definitie van de risicobereidheid moet daarom per risico ‘meetbaar’ zijn. Voor financiële risico’s is dit eenvoudig omdat deze risico’s in geld kunnen worden uitgedrukt. Het meetbaar maken van de andere risicothema’s is lastiger, maar niet onmogelijk. Het definiëren van de risicobereidheid gaat het beste met behulp van een impactschaal, een waarschijnlijkheidsschaal en een zogenoemde heat chart. Zie hoofdstuk 4 over de risicobeoordeling of voor een uitgewerkt voorbeeld hiervan.

Risicostatement

attitude

De risicostrategie begint met een pakkend ‘risicostatement’. Dit risicostatement moet uitstralen wat de (gewenste) attitude is van elke werknemer in de onderneming met betrekking tot risico’s en risicobewustzijn. Vervolgens worden in de risicostrategie de doelstellingen van risicomanagement beschreven.

Classificatiesysteem

In de strategie moet u ook het classificatiesysteem van de risico’s beschrijven. Het classificatiesysteem is een opsomming van een beperkt aantal risicothema’s die goed aansluiten bij de activiteiten van uw organisatie. Denk bijvoorbeeld aan risicothema’s als: strategie, financiën, reputatie, veiligheid, integriteit, IT en kwaliteit.

Risicomanagementmethoden

frequentie

technieken

Het risicomanagementproces moet u in grote lijnen schetsen en u moet bepalen hoe vaak (frequentie) en op welke managementniveaus een risicoassessment moet plaatsvinden. Tevens wordt gekozen welke risicoassessmenttechnieken kunnen of moeten worden gebruikt. Te denken valt aan vragenlijsten / enquêtes, risicoworkshops, procesanalyses, SWOT-analyses (SWOT = strongness, weakness, opportunities and threats) en PESTLE-analyses.

Een PESTLE-analyse is een methode die vanuit verschillende invalshoeken risico’s door externe factoren identificeert. PESTLE staat daarbij voor Political, Economic, Social, Technological, Legal en Environmental.

Monitoren en rapporteren

oprecht

schijn

focus

Ook de concrete afspraken over het monitoren en rapporteren behoren tot de risicomanagementstrategie. Wie monitort wat en wie legt verantwoording af waarover? Sommige ondernemingen verlangen periodiek (bijvoorbeeld jaarlijks) van de managers een ‘in control statement’. Voorstanders hiervan beweren dat dit leidt tot een reductie van kosten, betere prestaties en een bevordering van transparantie naar toezichthouders. Tegenstanders beweren dat de toepassing van ‘in control statements’ leidt tot onnodige extra administratieve lasten en schijnzekerheid. De waarheid ligt waarschijnlijk in het midden. Bij de toepassing van ‘in control statements’ is het belangrijk dat sprake is van een oprechte intentie bij stakeholders om de risico’s goed te beheersen. Dus niet als middel om naar toezichthouders en externe accountants de schijn van beheersing op te houden. Verder moet u niet doorslaan in het aantal risico’s en beheersingsmaatregelen. Focus op de belangrijkste risico’s (key risks) en belangrijkste controls (key controls).

Zorg er voor dat de ‘in control statements’ controleerbaar zijn. Dat betekent dus een verplichte en adequate onderbouwing van de periodieke ‘in control statement’. Geen ‘in control statements’ op basis van het onderbuikgevoel!

Opleiding en training

kennis

Voldoende kennis bij managers en werknemers over risicomanagement is een randvoorwaarde voor een goede risicobeheersing. In de strategie werkt u uit hoe u het kennisniveau op hoogte brengt en houdt. Dit betekent een goed uitgewerkt opleidingsplan.

onderscheid

U kunt ervoor kiezen onderscheid te maken tussen de opleiding aan managers en medewerkers. Managers zijn eindverantwoordelijk voor risicomanagement voor hun afdeling en verdienen een zwaardere training.

Om het opleidingsbudget klein te houden kunt u het ‘train de trainer’ concept toepassen. U kiest er dan voor een aantal medewerkers als ‘ambassadeurs voor risicomanagement’ intensief te laten trainen door externe specialisten. Deze interne ambassadeurs organiseren vervolgens de trainingen voor de rest van uw onderneming.

Risico’s en besluitvorming

afweging

inventariseren

Een ander onderwerp in de risicomanagementstrategie gaat over de besluitvormingsprocessen binnen de onderneming. Dagelijks worden op vele plekken in de organisatie besluiten genomen. Aan veel besluiten gaat een afweging van alternatieven, kosten, baten en risico’s vooraf. Risicomanagement is er voor om deze afwegingen goed te maken. Daarom moet u inventariseren welke belangrijke besluitvormingsprocessen in de organisatie er zijn en welke eisen worden gesteld aan risico-inschattingen en -afwegingen.

Crisismanagement

calamiteit

Risicomanagement biedt geen sluitende garantie dat er zich geen calamiteiten zullen voordoen in de toekomst. In het risicomanagementbeleid kunt u daarom uitwerken hoe uw organisatie omgaat met een crisissituatie of calamiteit.

3.2.3 Risicojaarplan

netvlies

Het is aan te bevelen om in uw beleidsdocument ook een hoofdstuk op te nemen voor het komende jaar. Daardoor blijft risicomanagement op het netvlies van het bestuur. In het jaarplan kunt u de volgende zaken uitwerken:

  • het jaarbudget;
  • de prioriteiten en focusgebieden voor komend jaar;
  • de planning en formatie.

3.2.4 Richtlijnen, procedures en tools

Om het risicomanagementbeleid in de praktijk toe te passen moet u richtlijnen, procedures en tools ontwikkelen en beschikbaar stellen. U kunt daarbij denken aan werkinstructies, opleidings- en trainingsmateriaal, ondersteunende documentatie voor elke fase in het risicomanagementproces (de risicotoolbox), sjablonen, checklists en technische hulpmiddelen. Er zijn inmiddels diverse softwareproducenten die geautomatiseerde tools op de markt hebben gebracht ter ondersteuning van het risicomanagementproces.