Risicomanagement nodig? Risicomanagement is een middel om op een gestructureerde manier risico’s in kaart te brengen, te evalueren en – door er pro-actief mee om te gaan – beter te beheersen. De organisatie inventariseert risico’s en de gevolgen van de risico’s en verbindt er maatregelen aan. Door al in een vroeg stadium na te denken over de mogelijke risico’s die de organisatie loopt, wil men deze voorkomen en de eventuele ernstige gevolgen ervan beperken.
Binnen het three lines of defense model bevindt Riskmanagement zich in de tweede lijn. Het is sparringspartner en adviseur van de eerste lijn op basis van onderzoek, analyses, monitoring en controles, maar is geen eigenaar van de risico's en beheersmaatregelen.
U kunt ons inzetten ter begeleiding, ondersteuning of uitvoering van een of meerdere onderdelen van het ERM risicomanagementproces, zoals hieronder beschreven. Verder hebben wij diepgaande kennis van operationele processen en sturingsmodellen binnen banken en verzekeraars. Hierdoor kunnen wij ook expertise leveren op non-financial risk management. Wij zijn bekend met Risk frameworks zoals COSO (ERM), ISO 31000 Riskmanagementrichtlijnen, INK e.d. Het (ERM) risicomanagementproces ziet er kortweg als volgt uit:
Hierbij gaat het om het identificeren van de risico’s eventueel binnen een afgebakende scope. Hierbij kan onderscheid aangebracht worden tussen strategische risico’s en procesrisico’s, afhankelijk van het niveau binnen de organisatie waar de risico’s betrekking op hebben.
Hierbij worden de geïdentificeerde risico’s op basis van kans en impact gekwantificeerd. Hoe minder data en statistische gegevens er zijn, hoe lastiger het vaak wordt om het risico goed in te schatten. Er zijn verschillende technieken en methoden die hier voor ingezet kunnen worden. De meest objectieve zijn statistische analyses. De minst objectieve methodes zijn risk self assessments, waarbij management en medewerkers op basis van eigen ervaring en kennis zelf hun risicoprofiel vaststellen.
Als het risicoprofiel opgesteld is volgt de risicohouding. De risicohouding maakt duidelijk hoeveel risico het verantwoordelijk management wil nemen om waarde te creëren. Vervolgens wordt op basis hiervan een risicostrategie toegepast. De keuze voor de beste strategie is afhankelijk van de kans en impact van het risico. Er zijn 4 basisstrategieën te onderscheiden,
De essentie van deze stap is dat er beheersmaatregelen (controls) worden ontworpen, dat er control-eigenaren worden aangewezen en de maatregelen worden geïmplementeerd. Maatregelen tbv operationele risico’s zullen veelal in procesbeschrijvingen, instructies en applicaties ingebakken worden. Strategische risicomaatregelen richten zich vaker op het besturende proces, bevoegdheden, beloningsstructuren en competenties.
Dit zijn de activiteiten die de effectiviteit van de beheersmaatregelen beoordelen. Binnen organisaties die het three lines of defense model hanteren, kan dit door alle drie de lijnen uitgevoerd worden. De 1e lijn is eigenaar van de controls en kan eigen monitoringsactiviteiten inrichten om op kortcyclische wijze in te kunnen grijpen en bij te sturen indien nodig. De 2e lijn kan van meer afstand monitoren en zich bijvoorbeeld meer richten op key controls en het management voorzien van adviezen en informatie t.a.v. de effectiviteit van beheersmaatregelen. Tot slot kan de 3e lijn (Internal Audit) vanuit een onafhankelijke en objectieve funtie assurance bieden op de effectiviteit van beheersmaatregelen of nog breder het gehele risicomanagementproces.
Niet alle organisaties hebben een zelfde mate van volwassenheidsniveau als het gaat om risicomanagement. Deze stap gaat over het verbeteren van het riskmanagement binnen een organisatie. Dit kan bijvoorbeeld door bewust en expliciet de volwassenheid van riskmanagement vast te stellen en af te zetten tegen vooraf gestelde ambities daarover. Binnen het hoogste volwassenheidsniveau van riskmanagement wordt RM pro-actief toegepast, worden alle lines of defense betrokken, worden er best practices gedeeld, is internal audit-aanpak volledig geïntegreerd en wordt de risicostrategie geëvalueerd.
