RISICOMANAGEMENT. Wat voegt risicomanagement toe?

Transcriptie

1 RISICOMANAGEMENT Risicomanagement ondersteunt op een gestructureerde manier het behalen van doelstellingen en het opleveren van projectresultaten. Dit kan door risico s expliciet te maken, beheersmaatregelen aan risico s te koppelen en door deze beheersmaatregelen uit te voeren en deze te monitoren. Wat voegt risicomanagement toe? Continu risico s expliciet maken en beheersen Door het introduceren van risicomanagement zullen risico s geregeld, met vastgestelde tussenpozen, geïnventariseerd en besproken worden. Op deze wijze worden de risico s levend gehouden en is er een voortdurende aandacht voor de beheersing ervan. Risicoalertheid creëren Door de introductie van risicomanagement worden de verschillende risico s voor de betrokkenen inzichtelijk gemaakt. Dit bevordert het risicobewustzijn van de betrokkenen. Pro-actief met risico s omgaan in plaats van reactief Het is mogelijk pro-actief met risico s om te gaan door beheersmaatregelen vroegtijdig te benoemen en uit te voeren. Dus: vóórdat de risico's optreden. Dit is beter dan af te wachten tot het risico optreedt en dan pas actie te ondernemen om de gevolgen te beperken. Bewust met risico s omgaan en bijbehorende beheersmaatregelen afwegen Door het uitvoeren van een risicoanalyse worden risico s en beheersmaatregelen niet op een willekeurige, maar op een gestructureerde wijze geïnventariseerd. Hierdoor zal een completer beeld van de risico s ontstaan. De kans dat risico s over het hoofd worden gezien wordt hiermee gereduceerd. Risicomanagement kan de volgende drie gebieden toegepast worden: : Strategisch Hierbij worden de risico s die van invloed kunnen zijn op het halen van doelen binnen organisaties expliciet gemaakt en beheerst.

2 Programma s Hierbij worden voor een programma de risico s die van invloed kunnen zijn op het programma expliciet gemaakt en beheerst Projecten Hierbij worden per project de risico s die van invloed kunnen zijn op het project expliciet gemaakt en beheerst. Inventariseren van risico's Risicomanagement start met een risicoanalyse. Hierin worden gestructureerd risico s geïnventariseerd en geprioriteerd. Daarbij wordt expliciet aandacht gegeven aan de mogelijke oorzaken van risico s. Deze oorzaken zijn onder meer te vinden in het politieke/bestuurlijke, organisatorische, juridische, technische, financiële, ruimtelijke of maatschappelijke terrein. Met behulp van deze risico analyse kunnen de maatregelen met hun effecten worden bepaald om deze risico's aan te pakken. Na het inventariseren van deze maatregelen voor de belangrijkste risico s en het vaststellen van deze maatregelen, zorgt goed Risicomanagement ervoor dat de maatregelen ook daadwerkelijk uitgevoerd en geëvalueerd worden. Daarnaast hoort tevens regelmatig een update van de risico s plaats te vinden. Doel risicomanagement Met het implementeren van risicomanagement wordt een aantal zaken beoogd: Continu risico s expliciet maken en beheersen Door het introduceren van risicomanagement zullen risico s geregeld, met vastgestelde tussenpozen, geïnventariseerd en besproken worden. Op deze wijze worden de risico s levend gehouden en is er een voortdurende aandacht voor de beheersing ervan. Risicoalertheid creëren Door de introductie van risicomanagement worden de verschillende risico s in de hoofden van de medewerkers voor iedereen inzichtelijk gemaakt. Hierdoor kan een gelijk beeld bestaan over de belangrijkste risico s en ontstaat bij de medewerkers een sterk risicobewustzijn. Pro-actief met risico s omgaan in plaats van reactief Door het benoemen en uitvoeren van beheersmaatregelen voordat risico s daadwerkelijk zijn opgetreden, wordt het mogelijk pro-actief met risico s om te gaan, in plaats van dat wordt afgewacht tot het risico optreedt en er dan pas actie ondernomen wordt om de gevolgen te beperken. Bewust met risico s omgaan en bijbehorende beheersmaatregelen afwegen Door het uitvoeren van een risicoanalyse worden risico s en beheersmaatregelen niet op een willekeurige, maar op een gestructureerde wijze geïnventariseerd. Hierdoor zal een completer beeld van de risico s ontstaan; de kans dat risico s over het hoofd worden gezien wordt hiermee gereduceerd.

3 Uitgangspunten risicomanagement. Risicomanagement moet aansluiten bij de bestaande werkwijze Risicomanagement dient zoveel mogelijk aan te sluiten bij de bestaande werkwijze binnen de organisatie of het project. Dit betekent in eerste instantie dat de risico s expliciet aan de orde moeten komen binnen de bestaande communicatie- en rapportagestructuur. Risicomanagement volgt de zeggenschap Dit betekent dat de verantwoordelijkheid voor een risico daar ligt waar ook de verantwoordelijkheid ligt van het werk waar het risico betrekking op kan hebben. Met andere woorden, iedereen is verantwoordelijk voor het signaleren van en treffen van maatregelen voor de risico s die binnen diens verantwoordelijkheid vallen. De eindverantwoordelijkheid voor risico s ligt bij het management. Hierbij kan gedacht worden aan de Raad van Bestuur of aan de overall projectleider. Risicomanagement wordt de verantwoordelijkheid van iedere medewerker Belangrijk is dat de implementatie van risicomanagement gebaseerd is op het uitgangspunt, dat de medewerkers zelf hiervoor verantwoordelijk worden gemaakt. Risicomanagement kan dus niet geheel worden uitbesteed aan een derde partij. Wel kan een derde partij hierbij ondersteunen. De stappen binnen risicomanagement Risicomanagement kan worden gezien als een cyclisch proces dat bestaat uit een aantal stappen. Het beschreven proces geldt voor risicomanagement voor projecten. Voor strategisch risicomanagement en risicomanagement voor programma s is het beschreven basisproces verder uitgebreid. Stap 1: uitvoeren integrale risicoanalyse De eerste stap is het inzichtelijk maken van de stand van zaken op een bepaald moment. Dit gebeurt door het

4 uitvoeren van een integrale risicoanalyse. Deze risicoanalyse kan worden uitgevoerd volgens de RISMANmethode en bestaat uit een aantal stappen. Vaststellen doel Door vast te stellen waar de risicoanalyse op gericht is (wat het doel is), wordt in de terminologie van de risicoanalyse de ongewenste topgebeurtenis vastgesteld. Een ongewenste topgebeurtenis is die situatie waarvan de projectleider of opdrachtgever niet wil dat deze zich voordoet. In kaart brengen risico s Tijdens de risicoanalyse worden de risico s aan de hand van o.a. de volgende invalshoeken in kaart gebracht, zodat een integraal beeld wordt verkregen (bij elke risicoanalyse wordt opnieuw bekeken welke invalshoeken daadwerkelijk van toepassing zijn): politiek/bestuurlijk financieel/economisch juridisch/wettelijk technisch organisatorisch geografisch/ruimtelijk maatschappelijk. Vaststellen belangrijkste risico s Het vaststellen van de belangrijkste risico s kan op veel manieren. Twee veel gebruikte methoden zijn: het verdelen van punten over de lijst met risico s voor de individuele risico s de kans van optreden en het gevolg van optreden apart beoordelen met getallen.

5 In kaart brengen beheersmaatregelen In essentie is een aantal maatregelen mogelijk: vermijden. Hierbij wordt de kans/mogelijkheid van optreden van een bepaald risico opgeheven; het risico wordt vermeden verminderen. Hierbij wordt beoogd de oorzaak of het gevolg van het risico te verkleinen. Indien getracht wordt de oorzaak te verkleinen wordt deze maatregel vooraf uitgevoerd. Bij een gevolggerichte maatregel is het echter zo dat men van te voren nadenkt over de maatregelen en eventuele voorbereidingen treft, maar dat men de daadwerkelijke maatregel pas treft op het moment dat het risico optreedt overdragen. Overdragen van een risico leidt niet direct tot het wegnemen van het risico, maar wel tot een risicovermindering omdat verwacht of afgesproken wordt dat een andere partij in staat zal zijn het risico te managen of te dragen accepteren. Er kan ook voor worden gekozen om een risico te accepteren. Vaak houdt dit in dat je hiervoor extra geld opneemt in je raming of dat je de planning aanpast. Stap 2: vaststellen van beheersmaatregelen Uit de risicoanalyse is voor de belangrijkste risico s een aantal mogelijke beheersmaatregelen naar voren gekomen. Het managementteam of de projectleiding besluit welke maatregelen hiervan daadwerkelijk worden genomen. Dit gebeurt op basis van een inschatting van enerzijds het verwachte effect van de beheersmaatregel en anderzijds de kosten of inspanning die de beheersmaatregel vergt. Tevens wordt vastgesteld wie de beheersmaatregelen daadwerkelijk gaat uitvoeren en/of wie verantwoordelijk is voor de uitvoering. Het resultaat is een lijstje met daarin achtereenvolgens opgenomen: het risico de vastgestelde beheersmaatregel de verantwoordelijke persoon. Stap 3: implementeren van beheersmaatregelen De verantwoordelijke personen zorgen er vervolgens voor dat de maatregelen daadwerkelijk worden genomen. Stap 4: evalueren van beheersmaatregelen Op regelmatige basis dient te worden gekeken of de beheersmaatregelen zijn uitgevoerd en of de maatregelen het gewenste effect hebben gehad. Stap 5: uitvoeren update van de risicoanalyse Na de evaluatie van de beheersmaatregelen moet een update worden gemaakt van de lijst met risico s, zoals die oorspronkelijk is voortgekomen uit de risicoanalyse. Dit houdt in dat wordt bekeken welke risico s nog steeds optreedbaar zijn en welke niet. Ook worden mogelijke nieuwe risico s geïnventariseerd en toegevoegd aan de lijst.

6 Verschillende rollen bij risicomanagement Bij risicomanagement kunnen verschillende rollen worden onderkend: Inhoudelijk Deze rol houdt in dat de medewerkers inhoudelijk de risico s in kaart moeten brengen en bedenken welke maatregelen getroffen zullen worden. Ondersteunend Naast de inhoudelijke beheersing van de risico s zal het proces van risicomanagement zelf moeten worden beheerst. Veelal wordt dan ook gekozen om naast de inhoudelijke verantwoordelijkheid voor risico s een ondersteuningsfunctie ten behoeve van risicomanagement in te stellen die voor het gehele project of de organisatie (instrumentele) ondersteuning biedt. Aanjager Tevens zal een persoon binnen de organisatie de rol van risicoaanjager op zich moeten nemen. Aan deze persoon is het de taak het gedachtegoed van risicomanagement te verspreiden en risicomanagement te stimuleren bij de diverse verantwoordelijken. Ook zal hij/zij de kwaliteit moeten bewaken bij de wijze waarop/de methode waarmee risico s en maatregelen worden geïnventariseerd en uitgevoerd.

7 STRATEGISCH RISICOMANAGEMENT VOOR ORGANISATIES Risicomanagement kan binnen een drietal toepassingsgebieden worden uitgevoerd. In deze sectie wordt ingegaan op de inrichting van strategisch risicomanagement binnen organisaties. Organisaties die hun kans op het halen van organisatiedoelstellingen willen vergroten, kunnen expliciet risicomanagement invoeren. Daarnaast kan bij het expliciet en gestructureerd nemen van (strategische) beslissingen risicomanagement als onderbouwing dienen. In de diverse gedragscodes (zoals bv. Sarbanes-Oxley, code Tabaksblat of codes voor de publieke sector) speelt risicomanagement een belangrijke rol. In de codes wordt aangestuurd op een toegesneden risicomanagementmodel waarmee een overzicht gegeven kan worden van (veranderende) risico s en ingestelde beheersmaatregelen. Van organisaties wordt steeds meer geëist dat een goede controle aanwezig is en bewust met risico s wordt omgegaan. Door middel van risicomanagement kan transparant over de risico s worden gerapporteerd aan de organisatie zelf, de Raad van Bestuur, de Raad van Commissarissen en/of mogelijk de buitenwereld. Dat gaat verder dan het opnemen van risico s in een planning en control cyclus. Doel strategisch risicomanagement Risicomanagement Met het implementeren van strategisch risicomanagement wordt een aantal zaken beoogd: betere beheersing van risico s op verantwoorde, transparante en expliciete wijze met risico s omgaan. Dit wordt bereikt door: Continu risico s expliciet te maken en te beheersen Door het introduceren van risicomanagement zullen risico s geregeld, met vastgestelde tussenpozen, geïnventariseerd en besproken worden. Op deze wijze blijven de risico s up to date en is er een voortdurende aandacht voor de beheersing ervan bij het (top)management. Dit biedt tevens de mogelijkheid om risico s te rapporteren aan de organisatie en controlerende instanties.

8 Risicobewustzijn te creëren in de organisatie Door de introductie van risicomanagement worden de verschillende risico s in de hoofden van het management en medewerkers voor iedereen inzichtelijk gemaakt. Hierdoor kan een gelijk beeld bestaan over de belangrijkste risico s en ontstaat een sterk risicobewustzijn. Bewust en pro-actief (in plaats van reactief) met risico s om te gaan bij strategievorming en uitwerkingen daarvan Door het benoemen en uitvoeren van beheersmaatregelen voordat risico s daadwerkelijk zijn opgetreden, wordt het mogelijk pro-actief met risico s om te gaan. Hierdoor worden de mogelijke (negatieve) gevolgen van een risico ingeperkt, in plaats van dat wordt afgewacht tot het risico optreedt en er dan pas actie ondernomen wordt om de gevolgen te beperken. Door het uitvoeren van een risicoanalyse worden risico s en beheersmaatregelen niet op een willekeurige, maar op een gestructureerde wijze geïnventariseerd. Hierdoor zal een completer beeld van de risico s ontstaan; de kans dat risico s over het hoofd worden gezien wordt hiermee gereduceerd. Onderdeel van (strategisch) risicomanagement is een risicoanalyse. Risicoanalyse Strategisch risicomanagement begint met een risicoanalyse. Een risicoanalyse kan worden gebruikt voor: Inzichtelijk maken van risico s / risicovolle processen De risicoanalyse richt zich op het inzichtelijk maken van de belangrijkste risico s. Om deze risico s aan te pakken worden vervolgens maatregelen in kaart gebracht. Een eenmalige inventarisatie van de risico s is echter niet voldoende. Voor een betere beheersing van risico s zal de stap naar risicomanagement gezet moeten worden, waarbij de uitgevoerde risicoanalyse als eerste stap geldt. Het onderbouwen van strategische keuzes Het uitvoeren van een risicoanalyse kan helpen om te komen tot een strategische keuze of de haalbaarheid van een strategisch plan aan te tonen. Hierbij kan tevens gekozen worden om risico s (gedeeltelijk) te kwantificeren. UITGANGSPUNTEN STRATEGISCH RISICOMANAGEMENT Risicomanagement moet aansluiten bij de bestaande werkwijze Risicomanagement dient zoveel mogelijk aan te sluiten bij de bestaande werkwijze binnen de organisatie. Dit betekent in eerste instantie dat rapportage en communicatie over de risico s expliciet gekoppeld dient te worden aan de bestaande communicatie- en rapportagestructuur. Risicomanagement volgt de zeggenschap Dit betekent dat de verantwoordelijkheid voor een risico daar ligt waar ook de verantwoordelijkheid ligt van de activiteit waar het risico betrekking op kan hebben. Met andere woorden, iedereen in de organisatie is verantwoordelijk voor het signaleren van en treffen van maatregelen voor de risico s die binnen diens verantwoordelijkheid vallen. De eindverantwoordelijkheid voor risico s ligt bij het topmanagement. Risicomanagement wordt de verantwoordelijkheid van iedere manager Belangrijk is dat de implementatie van risicomanagement gebaseerd is op het uitgangspunt, dat de managers zelf hiervoor verantwoordelijk worden gemaakt. Risicomanagement kan dus niet geheel worden uitbesteed aan een derde partij. Wel kan een derde partij hierbij ondersteunen.

9 WAT IS STRATEGISCH RISICOMANAGEMENT? Strategisch risicomanagement richt zich op de risico s die van invloed kunnen zijn op het behalen van strategische doelstellingen van een organisatie door deze risico s expliciet te maken en te koppelen aan beheersmaatregelen. Het strategisch risicomanagement een risicoanalyses op twee niveaus in een organisatie: top-down; vanuit de directie of het managementteam bottom-up; vanuit de verschillende afdelingen van de organisatie. Allereerst worden risico s op een heldere en eenduidige manier expliciet benoemd en geprioriteerd. Vervolgens worden voor de belangrijkste risico s beheersmaatregelen geïnventariseerd en een keuze voor de beheersing voorbereid. Op deze manier worden risico s, die kunnen leiden tot het niet halen van de organisatiedoelstellingen op een gestructureerde manier beheerst. Dit alles dient te gebeuren in een continu en regelmatig proces waarbij het management op elk moment een goed overzicht en inzicht heeft in de (stand van zaken van) risico s. Hierover kan transparant worden gerapporteerd aan de organisatie zelf, de Raad van Bestuur, de Raad van Commissarissen en/of mogelijk de buitenwereld. Strategisch risicomanagement is geen geïsoleerde activiteit, uitsluitend voor het topmanagement. Door de afhankelijkheid van de onderliggende organisatie en het feit dat de oorzaken van de risico s veelal in alle delen van de organisatie liggen, is een integrale aanpak noodzakelijk. Bij het uitvoeren van een volledige, strategische risicoanalyse dient vanuit twee richtingen geredeneerd te worden; top-down en bottom-up. Hierdoor wordt goed gekeken naar de match tussen de strategische doelstellingen en de risico s in de onderliggende organisatie. Daarnaast kan tevens inzicht verworven worden in de vraag of de hoogste strategische doelstellingen voldoende zijn belegd in de onderliggende organisatie. Dit is opzichzelfstaand al een nuttige uitkomst van een analyse op strategisch niveau en kan bijdragen aan het goed inrichten van de organisatie. Strategisch risicomanagement heeft echter niet als doel om de vertaling van strategie naar de inrichting van de organisatie te maken. Het risicomanagement wordt in vijf stappen uiteengezet, waarbij vooral voor de implementatie van risicomanagement in hoge mate een klant specifieke invulling gehanteerd wordt. STAP 1 T/M 5 BINNEN STRATEGISCH RISICOMANAGEMENT Stap 1: uitvoeren integrale risicoanalyse De eerste stap is het inzichtelijk maken van de actuele stand van zaken met betrekking tot de risico s. Dit gebeurt door het uitvoeren van een integrale risicoanalyse. Deze risicoanalyse kan worden uitgevoerd volgens de RISMAN-methode en bestaat uit een aantal onderdelen. Stap 2: vaststellen van beheersmaatregelen Vanaf dit punt gaat de risicoanalyse over in risicomanagement. Na de inventarisatie van beheersmaatregelen worden in deze stap de maatregelen daadwerkelijk vastgesteld. Het resultaat van deze stap is een lijst met daarin achtereenvolgens opgenomen:

10 het risico de vastgestelde beheersmaatregel de verantwoordelijke persoon of organisatieonderdeel. Belangrijk bij het vaststellen van beheersmaatregelen is dat dit SMART (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdsgebonden) gebeurt. Ook dient duidelijk onderscheid te worden gemaakt tussen maatregelen die risico s op het strategisch niveau beheersen en maatregelen voor risico s op het tactisch niveau. Stap 3: implementeren van beheersmaatregelen Nadat beheersmaatregelen zijn vastgesteld, dienen deze ook daadwerkelijk geïmplementeerd te worden in de organisatie. Hiervoor ligt de eindverantwoordelijkheid in dit geval bij het topmanagement. Door het in acht nemen van de uitgangspunten van risicomanagement (Risicomanagement moet aansluiten bij de bestaande werkwijze, Risicomanagement volgt de zeggenschap, Risicomanagement wordt de verantwoordelijkheid van iedere manager) worden de maatregelen op een effectieve manier geïnitieerd. Daarop volgend ligt de verantwoordelijkheid voor de daadwerkelijke beheersing bij het lijnmanagement van de afdeling waar het risico aanwezig is. Stap 4: evalueren van beheersmaatregelen Onderdeel van het cyclische proces van risicomanagement is het evalueren van beheersmaatregelen. Door op gezette tijden de maatregelen te evalueren wordt duidelijk of risico s daadwerkelijk beheerst worden of dat aanvullende maatregelen nodig zijn om ze te beheersen. Bij het evalueren van beheersmaatregelen wordt gekeken of de maatregelen daadwerkelijk volgens plan zijn uitgevoerd, de maatregelen het verwachte effect hebben en of de bijbehorende risico s afnemen. Stap 5: uitvoeren update van de risicoanalyse Naast dat de effectiviteit van beheersmaatregelen moet worden gecontroleerd, kunnen de risico s zelf ook veranderen in de tijd. Door een breed scala aan oorzaken kunnen risico s wegvallen of minder belangrijk worden, of juist opnieuw ontstaan. Daardoor is de actualisatie van de risico s in de vorm van een risico-update nodig. Op gezette tijden is het noodzakelijk de gehele risicoanalyse opnieuw uit te voeren. Veranderingen in de organisatie en, met name ook, de omgeving maken dit noodzakelijk. DEFINIEER DOEL RISICOANALYSE Afhankelijk van het beoogde gebruik van de resultaten wordt het doel van de analyse vastgesteld. Voorbeelden van doelen voor de risicoanalyse zijn het inzichtelijk maken van risicovolle processen/belangrijkste risico s binnen processen of het onderbouwen van een strategische keuze. TOP ONGEWENSTE GEBEURTENISSEN In bijna alle gevallen hebben bedrijfsdoelstellingen te maken met continuïteit, kwaliteit, omzet en imago. Het niet halen van doelstellingen zal een uiterst ongewenste situatie zijn. Een dergelijke gebeurtenis wordt een OTG, een Ongewenste Top Gebeurtenis genoemd. Veelal zal het niet halen van organisatiedoelstellingen in ieder geval tot de meest onwenselijke gebeurtenissen behoren. De OTG s zijn bepalend voor de risico s die worden geïnventariseerd. De risico s leiden in dat geval tot de ongewenste top gebeurtenissen.

11 Door de OTG s op strategisch niveau (stap II) te vertalen naar OTG s voor afdelingen (stap III) wordt de risicoinventarisatie op tactisch niveau voorbereid. De ongewenste topgebeurtenissen per afdeling zijn een afgeleide van de strategische OTG s naar de activiteiten van de afdeling. Indien de risicoanalyse enkel gebruikt wordt voor het onderbouwen van strategische keuzes heeft dit gevolgen voor de definitie van de OTG. Deze zal in dat geval meer toegespitst zijn op het niet halen van het beoogde effect van de strategische keuze. UITVOEREN RISICO-ANALYSE OP STRATEGISCH EN TACTISCH NIVEAU In de risico-inventarisatie op strategisch niveau worden risico s geïnventariseerd die kunnen leiden tot de OTG s op strategisch niveau. Indien de risicoanalyse als doel heeft bepaalde strategische keuzes te onderbouwen, kan de eerste inventarisatie voldoende zijn. Indien het doel beter beheersen van risico s en risicovolle processen is of bijvoorbeeld het

12 zoeken naar diepere oorzaken van risico s, dient verder gegaan te worden met de inventarisatie op tactisch niveau. In de inventarisatie op tactisch niveau worden de risico s geïnventariseerd die kunnen leiden tot de op afdeling gespecificeerde OTG s. Na de inventarisatie volgt wederom een prioritering. Hiermee worden de belangrijkste risico s die volgen uit de afdelingen verkregen. Per afdeling wordt een aparte inventarisatie uitgevoerd. PRIOTEREN EN SAMENVOEGEN De resultaten van de inventarisaties worden allereerst geprioriteerd. Door de resultaten van de risicoinventarisaties op de twee verschillende niveaus vervolgens samen te voegen wordt inzicht verkregen in de bijdrage van de verschillende afdelingen aan de risico s op strategisch niveau. Daarnaast wordt duidelijk welke risico s op strategisch niveau geen oorzaken hebben liggen in de risico s in de afdelingen. De risico s worden bij iedere inventarisatie geprioriteerd. Bij de prioritering van de risico s worden allereerst een bepaald aantal punten verdeeld door deelnemers aan de analyse. Vervolgens worden voor de belangrijkste risico s eventueel een nadere prioritering gedaan. Door tenslotte een overall prioritering aan te brengen wordt een breed gedragen lijst met belangrijkste risico s verkregen die de meeste bedreiging vormen voor de organisatie als geheel. Dit geheel is weergegeven in onderstaand figuur.

13 IN KAART BRENGEN BHEERSMAATREGELEN Gekoppeld aan de meeste belangrijke risico s worden in deze stap beheersmaatregelen voor de risico s geïnventariseerd. Deze kunnen dienen om daadwerkelijk te starten met het actief beheersen van de risico s. Beheersmaatregelen kunnen worden gezocht in het Vermijden, Overdragen, Verminderen en Accepteren van het risico. Hierbij spelen zaken als de invloed op risico s, de grootte van de gevolgen, de kans van optreden en de risicohouding van de organisatie een belangrijke rol. In onderstaand figuur is een overzicht te zien van de totale risicoanalyse.

14 DEELNEMERS VAN DE RISICO ANALYSE De deelnemers aan een risicoanalyse bepalen voor een belangrijk deel de kwaliteit van de analyse. De risico s die aanwezig zijn binnen een bedrijf komen voort uit de activiteiten binnen alle afdelingen. Om een volledig beeld te verkrijgen van de risico s, daar vervolgens een juiste prioritering aan te geven en tenslotte reële beheersmaatregelen te inventariseren is een goede doorsnede nodig van het betrokken organisatiedeel. Voor de risico-inventarisatie op strategisch niveau is het van belang dat iedere persoon die een significante bijdrage heeft aan het topmanagement van het bedrijf of in ieder geval betrokken is bij de strategievorming en besturing van het bedrijf aanwezig is. Bij de inventarisaties per afdeling dient de deelnemersgroep per keer te veranderen. De risico s komen voort uit de werkzaamheden van de mensen uit de desbetreffende afdeling. Voor deze inventarisatie is het belangrijk dat

15 naast het verantwoordelijke directielid een goede doorsnede van (de top van) de desbetreffende afdeling aanwezig is. Gebruik invalshoeken Bij het formuleren van risico s heerst het gevaar dat deelnemers sterk inzoomen op hun eigen vakgebied. Hierdoor kan een eenzijdig beeld ontstaan en mist de samenhang tussen de risico s. De kracht van een goede risicoanalyse ligt echter juist in het verkrijgen van een volledig beeld van alle risico s. Door het kijken naar risico s vanuit verschillende invalshoeken bij de risicoanalyses worden de deelnemers aan de analyse geholpen breder te kijken dan hun standaard werkveld, waardoor een compleet beeld van de risico s wordt verkregen. Dit helpt de risico s op een bepaald vlak goed en inhoudelijk bloot te leggen. Ook buiten het vakgebied van een bepaalde deelnemer kunnen grote risico s liggen. Tegelijkertijd zorgt het gebruik van invalshoeken voor een groter risicobewustzijn binnen de organisatie. Inzicht in risico s op andere vlakken en in de relaties tussen de verschillende risico s voorkomt een geïsoleerde benadering van specifieke risico s. Bij de risico-inventarisatie op strategisch niveau (top-down) spelen veelal organisatorische risico s een grote rol. Voor de inventarisatie op tactisch niveau zijn de risico s met name verbonden aan de specifieke activiteiten van de afdeling. Voor beide inventarisaties wordt dezelfde set invalshoeken gehanteerd (Politiek/Bestuurlijk, Juridisch/Wettelijk, Organisatorisch, Technisch, Financieel, Extern), welke is afgeleid van de standaard set invalshoeken van de RISMAN methodiek. De invalshoeken fungeren slechts als denkraam. VERSCHILLENDE ROLLEN IN ORGANISATIES Ten aanzien van risicomanagement worden verschillende rollen onderkend. Inhoudelijk Deze rol houdt in dat de medewerkers inhoudelijk de risico s in kaart brengen en bedenken welke maatregelen getroffen kunnen en gaan worden. Dit is voor de top-down inventarisatie het topmanagement en voor de bottomup inventarisaties de medewerkers van de verantwoordelijke afdelingen. Ondersteunend Naast de inhoudelijke beheersing van de risico s zal het proces van risicomanagement zelf moeten worden beheerst. Veelal wordt dan ook gekozen om naast de inhoudelijke verantwoordelijkheid voor risico s een ondersteuningsfunctie ten behoeve van risicomanagement in te stellen die voor de gehele organisatie (instrumentele) ondersteuning biedt, zoals het verzorgen van integrale rapportages. Aanjager Tevens zal een persoon binnen de organisatie de rol van risico-aanjager op zich moeten nemen. Aan deze persoon is het de taak het gedachtegoed van risicomanagement te verspreiden en risicomanagement te stimuleren bij de diverse verantwoordelijken. Ook zal hij/zij de kwaliteit moeten bewaken bij de wijze waarop/de methode waarmee risico s en maatregelen worden geïnventariseerd en uitgevoerd. Bij Strategisch Risicomanagement is het van belang dat dit een belangrijk persoon in de organisatie is. Dit kan, in het geval van strategisch risicomanagement, iemand van de top van de organisatie zijn.

16 Beslisser Binnen de organisatie dient de beslissingsstructuur voor het risicomanagement helder vast te liggen. Het topmanagement gaat over de coördinatie, prioritering vanuit organisatiebreed/strategisch perspectief, de vaststelling van de beheersmaatregelen op strategisch niveau en het goedkeuren van de rapportages. Het lijnmanagement (vanuit de verschillende afdelingen) gaat over de prioritering en het vaststellen van maatregelen op afdelingsniveau. INFORMATIE EN RAPPORTAGE Veelal worden voornamelijk financiële rapportages gebruikt in organisaties. De meerwaarde van het toepassen van risicomanagement volgens de RISMAN methode, zoals Twynstra Gudde dat voorstelt, is dat ook breder gekeken wordt naar risico s en wordt ingegaan op de daadwerkelijke beheersing van de risico s. Overeenkomstig kan tevens over het gehele risicomanagement gerapporteerd worden. Informatie en rapportage over risico s is een belangrijk aspect. Organisaties dienen te allen tijde een actueel overzicht hebben van de risico s, bijbehorende beheersmaatregelen en de verantwoordelijkheden daarvoor. Door het toepassen van risicomanagement op een juiste manier is deze informatie continu beschikbaar. Met een actuele risico database kunt u in uw rapportage structuur altijd een actueel overzicht van risico s en beheersmaatregelen opnemen. n.