4.2 De voorbereiding
4.2.1 Selecteren van de deelnemers
selecteren
specialist
Het eerste punt in de voorbereiding is het selecteren van de deelnemers aan de risicobijeenkomsten. De samenstelling van deze groep moet een goede afspiegeling zijn van de organisatie. Een breed georiënteerde samenstelling dus, bestaande uit bijvoorbeeld managers, controllers en beleidsmedewerkers. Betrek daarnaast ook eventuele specialisten. Als uw onderneming bijvoorbeeld te maken heeft met complexe juridische factoren, betrek dan een juridisch specialist bij het identificeren van de risico’s. Betrek een IT-deskundige als sprake is van een complexe automatiseringsomgeving.
4.2.2 Maak een context of referentiekader
Voor de risico-identificatie is een grondige kennis vereist van de organisatie, haar activiteiten en omgeving. Het is daarom van belang om in de voorbereiding de interne en externe omgeving van de organisatie goed in beeld te brengen.
schema of figuur
Visualiseer deze omgevingen in een schema of figuur.
Interne omgeving
Denk bij de ‘interne omgeving’ aan:
- Strategie (missie, organisatiedoelstellingen, ketendoelstellingen, afdelingsdoelstellingen).
- Intern beleid op het gebied van bijvoorbeeld veiligheid en informatiebeveiliging.
- Bedrijfsprocessen:
- Governance (taken en verantwoordelijkheden, cultuur en gedrag, overlegstructuren, managementinformatie, kpi’s, besturingsprocessen).
- Ketens en primaire processen (bijvoorbeeld: inkoop, productieplanning, productie, verkoop, magazijnbeheer).
- Ondersteunende processen (HRM, IT, resourcemanagement, administratie).
- Systemen (businessapplicaties, cloudtoepassingen, technische (IT-) systemen).
Externe omgeving
stakeholders
wetgeving
Denk bij de ‘externe omgeving’ aan:
- Externe stakeholders (zoals concurrenten, financiers, toezichthouders, de fiscus, milieugroeperingen, consumentenorganisaties).
- Juridisch (bijvoorbeeld: privacywetgeving, fiscale wetgeving, veiligheidsvoorschriften, productaansprakelijkheid).
- Financieel (economisch getijde, valutakoersen, rente en inflatie, gedrag van klanten, verwachte schaarsten op inkoopmarkt en dergelijke).
- Technologie (productinnovaties, IT-ontwikkelingen).
- Demografie (samenstelling bevolking qua leeftijd, achtergrond, opleiding).
- Politiek (stromingen, actuele wetsvoorstellen).
4.2.3 Stappen bij de risico-identificatie
processtappen
Risico’s worden in enkele workshops geïdentificeerd door de geselecteerde deelnemers. Hierbij zijn een aantal achtereenvolgende processtappen te onderscheiden.
Stap 1: toelichting risicomanagement
toelichting
De facilitator begint de eerste workshop met het toetsen of de groep compleet is. Hij stelt vast dat alle geselecteerde deelnemers aanwezig zijn en stelt de vraag: ‘Zijn jullie de juiste groep mensen voor het uitvoeren van de risicobeoordeling?’ Als de groep compleet is, licht de facilitator het risicomanagementproces en -beleid toe. De volgende onderwerpen komen daarbij aan de orde:
- De doelstellingen van risicomanagement.
- Taken en verantwoordelijkheden.
- Het risicomanagementproces, methode en tools.
- Definities van bijvoorbeeld brutorisico, nettorisico, de risicobereidheid van de organisatie en de risicothema’s.
- De doelstelling en werkwijze van de risico beoordeling.
Het is belangrijk dat de groep zich realiseert dat het belangrijk is volledig te zijn bij de risicoidentificatie. Een risico dat niet wordt geïdentificeerd, komt namelijk niet aan de orde in het verdere verloop van risicomanagement!
brainstorm
De boodschap van de facilitator is: identificeer in deze fase maar zoveel mogelijk risico’s, zonder te letten op de grootte van het risico. Brainstorm er maar lekker op los!
brut0risico’s
Verder is het belangrijk om de nadruk te leggen dat het om brutorisico’s gaat. De deelnemers wordt gevraagd de aanwezige beheersingsmaatregelen in deze fase te vergeten. Hoe moeilijk dit voor sommigen ook is. In een latere fase, bij de risicoanalyse, worden de beheersingsmaatregelen pas weer van belang en wordt het nettorisico ingeschat.
Stap 2: toelichting contextmodel
contextmodel
De tweede stap in een risicoworkshop is een toelichting van het contextmodel dat is voorbereid. Sta daarbij geruime tijd stil bij de missie en de doelstellingen van de organisatie. Want risico’s zijn de onzekere gebeurtenissen die impact hebben op deze doelstellingen.
aanpassing
Iemand uit de groep of de facilitator zelf licht de context toe en stelt de deelnemers in de gelegenheid vragen te stellen en opmerkingen te maken. Het contextmodel wordt eventueel aangepast. Iedere deelnemer moet de context begrijpen en onderschrijven.
Stap 3: risico-identificatie
De volgende stap is de identificatie van de risico’s. U kunt dit centraal doen of in groepjes.
Ga bijvoorbeeld een aantal keren in wisselende groepjes uiteen waarbij elk groepje telkens een ander deel van de context als uitgangspunt neemt. Elke deelnemer moet uiteindelijk de integrale context doorlopen hebben.
consolideren
Consolideer de verschillende risico’s gezamenlijk met alle deelnemers en verwijder de dubbele risico’s die bestaan. Toets daarbij integraal of de risico’s voldoen aan de risicodefinitie. Er moet dus bij elk risico sprake zijn van een onzekere gebeurtenis die impact heeft op het behalen van één of meerdere doelstellingen. Stel ook vast op welk risicothema de risico’s betrekking hebben, zoals financieel, reputatie, veiligheid, integriteit en kwaliteit. Deze vaste thema’s zijn voorgeschreven in het risicobeleid. De risico’s worden hiermee geclassificeerd. Deze exercitie is ook een toets of alle thema’s uit het risicobeleid voldoende aandacht hebben gekregen.
Stap 4: risico’s registreren
checklist
risicoregister
Elk risico uit de derde stap moet u gedetailleerd vastleggen. Het is handig om daarvoor een voorgedefinieerde checklist te gebruiken zodat u geen informatie vergeet. De verzameling van alle geregistreerde risico’s wordt een risicoregister genoemd.