U bent hier

Onderneming & Administratie
Risicomanagement8. Monitoren en evalueren8.2 Monitoren en evalueren op twee niveaus
Voor Onderneming & Administratie

8.2 Monitoren en evalueren op twee niveaus

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: augustus 2016

Bij een adequate beheersing van risicomanagement vinden monitoren en evalueren op twee niveaus plaats:

  • Niveau 1: Monitoren en evalueren van een risicomanagementproces.
  • Niveau 2: Monitoren en evalueren van een risicomanagementraamwerk en risicomanagementbeleid.

directie

Het risicomanagementproces vindt meestal op meerdere niveaus in de organisatie plaats, bijvoorbeeld op directieniveau én per lijn- en stafafdeling afzonderlijk (niveau 1).

Op dit niveau 1 worden voor elk van deze risicomanagementprocessen afzonderlijke monitoringacties en evaluaties gepland en uitgevoerd.

overkoepelend

De uitkomsten van de evaluaties van de risicomanagementprocessen in de organisatie (niveau 1) worden mede als input gebruikt voor de evaluatie van het overkoepelende risicomanagementbeleid (niveau 2).

8.2.1 Monitoren van niveau 1 (risicomanagementproces)

effectief

analyseren

identificeren

periodiek

Het monitoren en evalueren van het risicomanagementproces heeft de volgende doelstellingen:

  • vaststellen dat beheersingsmaatregelen effectief functioneren (monitoren);
  • analyseren van oorzaken van niet-effectieve beheersingsmaatregelen en het verbeteren van het stelsel van beheersingsmaatregelen (evalueren);
  • identificeren van wijzigingen (in de context) die aanleiding zijn tot het aanpassen van risico’s in het risicoregister of het daaraan toevoegen van nieuwe risico’s (evalueren);
  • identificeren van mogelijkheden om het risicomanagementproces te verbeteren (evalueren).

Monitoring en evaluatie vinden plaats onder de eindverantwoordelijkheid van de manager van de betreffende lijn- of stafafdeling. Dit is immers de ‘eigenaar’ van het risicoregister van zijn afdeling en verantwoordelijk voor de beheersing van de risico’s.

implementatie

Meestal levert (business) control ook een belangrijke bijdrage aan het monitoren en adviseren van de manager. Het monitoren is uit te splitsen in twee deelgebieden:

  • monitoren van bestaande beheersingsmaatregelen;
  • monitoren van de implementatie van nieuwe maatregelen.

Monitoren van bestaande beheersingsmaatregelen.

Dit deel richt zich op het continu en systematisch bewaken van de effectieve werking van de in het risicoregister opgenomen beheersingsmaatregelen.

eigenaar

uitvoering

Het is belangrijk dat per beheersingsmaatregel vooraf de volgende punten zijn bepaald door de manager, dat wil zeggen zijn vastgelegd in het risicoregister of in het internal control framework:

  • welke medewerker ‘eigenaar’ is van de beheersingsmaatregel;
  • welke werkzaamheden moeten worden uitgevoerd om de effectieve werking van de beheersingsmaatregel te bewaken;
  • wanneer deze werkzaamheden worden uitgevoerd (dagelijks, maandelijks, één keer per kwartaal);
  • wat hiervan moet worden gedocumenteerd.

dilemma

Bij de keuze van de ‘eigenaar’ van de beheersingsmaatregel is sprake van een dilemma:

verantwoording

Aan de ene kant is het wenselijk dat de ‘eigenaar’ zelf verantwoordelijk is en verantwoording aflegt over de toepassing van de beheersingsmaatregel.

onafhankelijk

Aan de andere kant is het van belang dat het monitoren onafhankelijk plaatsvindt. Anders kunt u in een situatie terechtkomen waarbij ‘de slager zijn eigen vlees keurt’.

Sommige organisaties lossen dit dilemma op door een onafhankelijke reviewer te belasten met het onafhankelijk toetsen van de monitoringwerkzaamheden. Dit kan eventueel steekproefsgewijs plaatsvinden. Bij andere organisaties is de ‘eigenaar’ onafhankelijk van de uitvoering van de beheersingsmaatregel.

Per beheersingsmaatregel moet u de conclusie trekken of deze maatregel effectief heeft gefunctioneerd in de voorliggende periode of niet. Bij de niet als effectief beoordeelde maatregelen moet u een toelichting geven.

Monitoren van de implementatie van nieuwe maatregelen

actielijst

Het monitoren van de implementatie van nieuwe maatregelen is geen routinematige en planmatige activiteit, maar wordt gecoördineerd vanuit een checklist. In deze actielijst (geïntegreerd in het risicoregister) staat de beheersingsmaatregel globaal omschreven met een datum van geplande implementatie en een verantwoordelijke actiehouder. Bij het gereed melden van een nieuwe beheersingsmaatregel door de actiehouder dient het volgende te worden opgeleverd:

  • een beschrijving van de nieuwe beheersingsmaatregel;
  • een voorstel voor de monitoringactiviteiten in de toekomst;
  • documentatie waaruit blijkt dat de beheersingsmaatregel in de praktijk daadwerkelijk wordt toegepast (= het bestaan).

De manager kan nog besluiten om ‘een reviewer’ onafhankelijk te laten toetsen (= monitoren) of:

  • de opzet van de maatregel toereikend is. Dit betekent dat wordt getoetst of met de nieuwe maatregel het risico in voldoende mate is verlaagd;
  • de maatregel in de praktijk bestaat in overeenstemming met de beschreven opzet.

akkoord

De manager besluit vervolgens of hij akkoord is met de oplevering. Op basis van dit besluit wordt het risicoregister bijgewerkt. Dat betekent dat de actie als ‘afgerond’ wordt geregistreerd, de nieuwe maatregel wordt toegevoegd (inclusief monitoringactiviteiten in de toekomst) en de hoogte van het nettorisico wordt bijgesteld.

De manager monitort periodiek (één keer per kwartaal) of alle geplande implementatieacties tijdig worden afgerond (action tracking).

8.2.2 Evalueren van niveau 1 (risicomanagementproces)

periodiek

De evaluatie vindt periodiek plaats door de manager met bijvoorbeeld zijn teamleiders, assistent-controllers en andere medewerkers die een belangrijke rol hebben in het risicomanagementproces.

De input voor zo’n evaluatiesessie bestaat onder andere uit:

  • de uitkomsten van de monitoringactiviteiten (bestaande en nieuwe maatregelen);
  • de eigenaren van de beheersingsmaatregelen;
  • de input voor een evaluatie;
  • een overzicht van incidenten en bijna-incidenten (risico- gebeurtenissen);
  • performancerapportages van bedrijfsprocessen.

Op basis van deze input wordt tijdens de evaluatiesessie een antwoord gezocht op vragen als:

  • Wat zijn de oorzaken van niet-effectieve beheersingsmaatregelen?
  • Welke bijsturingsacties dienen te worden genomen om de effectiviteit te verhogen?
  • Zijn er incidenten geweest die aanleiding zijn tot het onderkennen van nieuwe risico’s of het aanpassen van bestaande risico’s in het risicoregister?
  • Zijn deze aanpassingen aanleiding om nieuwe beheersingsmaatregelen te implementeren?
  • Zijn er knelpunten/verbetermogelijkheden ten aanzien van het risicomanagementproces?

evaluatiesessie

De evaluatiesessie kan leiden tot aanpassingen in het risicoregister: nieuwe implementatie-acties, nieuwe risico’s, risico-aanpassingen, contextaanpassingen.

De uitkomsten van de monitoring en evaluatie worden periodiek gerapporteerd aan en besproken met de centrale risicomanagementfunctionaris conform het risicobeleid.

8.2.3 Monitoren op niveau 2 (risicomanagementbeleid)

Het monitoren en evalueren van het risicomanagement- raamwerk en het risicomanagementbeleid, dat wil zeggen niveau 2, heeft de volgende doelstellingen:

  • meten van de naleving van het risicomanagementbeleid en de performance van het risicomanagementframework (monitoren);
  • meten van de voortgang van het risicomanagementjaarplan (monitoren);
  • continue verbetering van risicomanagement op basis van een evaluatie van de effectiviteit van het risicomanagementframework, het risicomanagementbeleid en het risicomanagementjaarplan (evalueren).

Monitoring en evaluatie vinden plaats door de risicomanagementfunctionaris (de vaak gehanteerde functiebenaming is: chief risk officer). Dit is immers de ‘eigenaar’ van het risicomanagementframework.

Rapportages

Het monitoren en evalueren vindt periodiek (bijvoorbeeld één keer per kwartaal) in één of enkele sessies plaats. Tijdens zo’n sessie worden de volgende rapportages en data als input gebruikt:

  • rapportages van managers inzake monitoring en evaluatie van de risicomanagementprocessen;
  • waarnemingen ten aanzien de uitvoering van het risicomanagementproces conform het risicomanagementbeleid;
  • wijzigingen in het risicoregister / internal control framework;
  • ontwikkeling / trend in ernst en aantallen incidenten en bijna-incidenten;
  • de stand van het risicomanagementbudget;
  • status van centrale risicomanagementactiviteiten (trainingen, workshops, actiepunten).

Antwoorden op vragen zoeken en vinden

Op basis van al deze input zoekt u tijdens de monitoring- en evaluatiesessies een antwoord op vragen als:

  • Zijn de monitoring en evaluatie door alle verantwoordelijke managers tijdig uitgevoerd en gerapporteerd?
  • Wat is de trend en ernst ten aanzien van niet-effectieve beheersingsmaatregelen? Zijn er bijvoorbeeld een aantal (bijna-)incidenten geweest en zo ja hoeveel waren dat er per manager?
  • Wat zijn de belangrijkste wijzigingen in het internal control framework (per manager/afdeling)? Zijn er afdelingen die hun deel van het risicoregister afwijkend vaak of weinig aanpassen?
  • Wat is de algehele tendens voor wat betreft de performance van het risicomanagementframework?
  • Zijn aanpassingen nodig in het risicomanagementbeleid en zo ja, welke?

budget

Uit deze evaluaties kunt u afleiden welke afdelingen (waarschijnlijk) het minst in control zijn of welke het risicomanagementbeleid nog niet goed toepassen. Als deze extra begeleiding nodig hebben, vergeet dan ook niet om budget te reserveren!

De uitkomsten van de monitoring en evaluatie moeten uiteindelijk bij de directie terechtkomen. Dat betekent dat u periodiek rapporteert aan en bespreekt met de directie.