Risicomanagement op basis van M_o_R en NEN/ISO 31000 Management Guide
Andere uitgaven bij Van Haren Publishing Van Haren Publishing (VHP) is gespecialiseerd in uitgaven over Best Practices, methodes en standaarden op het gebied van de volgende domeinen: - IT-management, - Enterprise-architectuur - Projectmanagement en - Businessmanagement. Deze uitgaven zijn beschikbaar in meerdere talen en maken deel uit van toonaangevende series, zoals Best Practice, The Open Group series, Project management en PM series. Op de website van Van Haren Publishing is in de Knowledge Base een groot aanbod te vinden van whitepapers, templates, gratis e-books, docentenmateriaal etc. Ga naar www.vanharen.net. Van Haren Publishing is tevens de uitgever voor toonaangevende instellingen en bedrijven, onder andere: ASL BiSL Foundation, CA, Centre Henri Tudor, Gaming Works, Getronics, IACCM, IAOP, IPMA-NL, ITSqc, NAF, Ngi, PMI-NL, PON, Quint, The Open Group, The Sox Institute, TMForum. Onderwerpen per domein zijn: IT (Service) Management / IT Governance ABC of ICT TM ASL BiSL CATS CM CMMI COBIT Frameworx ISO/IEC 27001/27002 ISO/IEC 20000 ISPL IT Service CMM ITIL MOF MSF SABSA Architecture (Enterprise en IT) Archimate TOGAF GEA Business Management EFQM escm ISA-95 ISO 9000 OPBOK SixSigma SOX SqEME Project-, Programmaen Riskmanagement A4-Projectmanagement ICB / NCB MINCE M_o_R MSP TM P3O PMBOK Guide PRINCE2 Voor een compleet overzicht van alle uitgaven, ga naar onze website: www.vanharen.net
Risicomanagement op basis van M_o_R en NEN/ISO 31000 Management Guide Douwe Brolsma en Mark Kouwenhoven
Colofon Titel: Auteurs: Reviewer: Tekstredactie: Illustraties: Uitgever: Risicomanagement op basis van M_o_R en NEN/ISO 31000 Management Guide Douwe Brolsma Mark Kouwenhoven Hans M. Schneider (voorzitter Best Practice User Group NL) Timon Meynen (Meynen Tekstadvies) Ramon Verberne (nthen! BV) Van Haren Publishing, Zaltbommel, www.vanharen.net ISBN: 978 90 8753 656 5 Druk: Eerste druk, eerste oplage, januari 2012 DTP-productie: CO2 Premedia, Amersfoort NL Copyright: Van Haren Publishing, 2012 Voor verdere informatie over Van Haren Publishing, e-mail naar: info@vanharen.net M_o_R, PRINCE2, MSP, MoP, MoV, ITIL en P3O zijn Registered Trade Marks en Registered Community Trade Marks van het Cabinet Office, en zijn geregistreerd bij het U.S. Patent and Trademark Office. Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm, of op welke wijze ook, zonder voorafgaande schriftelijke toestemming van de uitgever. No part of this publication may be reproduced in any form by print, photo print, microfilm or any other means without written permission by the publisher. Hoewel deze uitgave met veel zorg is samengesteld, aanvaarden auteur(s) noch uitgever enige aansprakelijkheid voor schade ontstaan door eventuele fouten en/of onvolkomenheden in deze uitgave.
Voorwoord Wie een Risicoloos bestaan wil leiden, komt tot niets (oud-minister Johan Remkes, 27 augustus 2010, interview Radio 1) Zo gewoon als de termen Risico s en Risicomanagement ons in de oren klinken, zo onbekend, complex en vaak onbegrepen is de wereld die erachter schuilgaat. Net voor de eeuwwisseling vond er een verandering in het denken over risico s plaats. Waar daarvoor Risico s altijd refereerde aan negatieve gebeurtenissen die je succes dwarsbomen, ging men rond die tijd risico s meer zien als onbekende gebeurtenissen die invloed hebben op je succes, en dat kunnen dan ook positieve gebeurtenissen zijn - oftewel 'mogelijkheden' of 'Kansen'. Jammer genoeg blijven veel mensen bij de term Risicomanagement alleen denken aan negatieve zaken. Een organisatie die zijn Risicomanagement volwassen heeft ingericht, blinkt uit in het besef dat Risico s niet uitgesloten kunnen worden. In iedere beslissing schuilt een mate van onzekerheid hoe deze zal uitpakken. De medewerkers in een organisatie met een Risicobewuste cultuur zijn zich hiervan bewust en wegen Bedreigingen af tegen Kansen voordat beslissingen genomen worden. Ze accepteren dat het soms ook mis kan gaan, proberen hier wat van te leren en gaan door zonder elkaar te veroordelen. Er is een aantal zogenaamde frameworks of richtlijnen voor ERM (Enterprise Risk Management) die integraal toepasbaar zijn en organisatiebreed werken: de NEN/ISO 31000-norm voor Risicomanagement, COSO integrated framework en M_o_R (Management of Risk). In dit boek komen deze alle drie aan de orde, maar de meeste aandacht gaat uit naar M_o_R omdat deze methode de meest praktische handvatten geeft en in lijn is met NEN/ISO 31000. Het boek is bedoeld om mensen en organisaties te helpen succesvoller te zijn door het nemen van betere besluiten als gevolg van het toepassen van Risicomanagement. Daarbij wordt alles bekeken in de Nederlandse context, die vaak een internationaal tintje heeft. We hopen dat dit een aanzet kan zijn tot Risicobewuster en proactievere samenwerking in organisaties. December 2011, de auteurs
VI
Inho udsopgave Voorwoord... V Leeswijzer...IX 1 Inleiding en achtergrond...1 1.1 Doel van de richtlijn Management of Risk...3 1.2 Wat is een Risico?...6 1.3 Wat is Risicomanagement?...7 1.4 Waarom is Risicomanagement belangrijk?...8 1.5 Waar in de organisatie wordt Risicomanagement toegepast?...12 1.6 De relatie met interne controle en Corporate Governance...15 2 De principes van Risicomanagement...17 2.1 Inleiding...17 2.2 Principe 1: Sluit aan bij doelstellingen...19 2.3 Principe 2: Past in de context...21 2.4 Principe 3: Betrekt Stakeholders... 25 2.5 Principe 4: Geeft heldere richtlijnen... 27 2.6 Principe 5: Levert informatie voor besluitvorming...32 2.7 Principe 6: Maakt voortdurende verbetering mogelijk...35 2.8 Principe 7: Zorgt voor een ondersteunende cultuur...38 2.9 Principe 8: Creëert meetbare waarde...41 3 De Risicomanagementdocumenten... 45 3.1 De M_o_R-aanpak...47 3.2 Plannen...58 3.3 Registers...62 3.4 Risicovoortgangsrapport...70 4 Het procesmodel van Risicomanagement... 73 Inleiding...73 4.1 Weerstand tegen verandering op grond van Risicomanagement...75 4.2 De processtappen...76 4.3 Communicatie...76 4.4 De context bepalen...79 4.5 De Risico s identificeren...81 4.6 Beoordelen: Schatten... 84
4.7 Beoordelen: Evalueren... 86 4.8 Plannen... 88 4.9 Invoeren... 90 5 Verankeren en reviewen... 93 5.1 De veranderaanpak... 93 5.2 Referentiekaders...95 5.3 Attitude, Behavior en Culture (ABC)... 96 5.4 Aanpakken van weerstand tegen Risicomanagement... 97 5.5 Meten van de waarde...103 Bijlage A Technieken... 107 De context bepalen...109 De Risico s identificeren...113 Beoordelen: Schatten...116 Beoordelen: Evalueren...118 Plannen... 120 Invoeren... 122 Bijlage B Gezondheidscheck en volwassenheidsmodel... 123 Bijlage C De Risicospecialismen... 129 Bedrijfscontinuïteitsmanagement... 129 Incident- (crisis)management... 130 Gezondheid en Veiligheid...131 Beveiliging...131 Financieel Risicomanagement...132 Milieurisicomanagement...132 Reputatierisicomanagement...133 Contractrisicomanagement...133 Bijlage D Andere Risicogerelateerde richtlijnen... 135 D.1 NEN/ISO 31000:2009, Risicomanagement - Principes en richtlijnen...135 D.2 COSO II Enterprise Risk Management - Integrated Framework... 138 D.3 BASEL I/II/III (IFRS)...142 D.4 Commissie-Peters en code-tabaksblat...144 D.5 RISNET en de RISMAN methode...146 Index...149 Over de auteurs...153
Leeswijzer Dit boek gaat over het beheersen van Risico s in organisaties en projecten. Daarbij wordt veel aandacht besteed aan de belangrijkste richtlijnen op het gebied van Risicomanagement. Omdat de methode M_o_R de meest praktische aanpak biedt, hanteren we deze als uitgangspunt in de hoofdstukken 2 t/m 5. Dit boek sluit aan op M_o_R 2010 Edition, zoals beschreven in Management of Risk: Guidance for Practitioners - 2010 Edition. Daarnaast wordt regelmatig verwezen naar de NEN/ISO 31000 Risicomanagement - principes en richtlijnen (NEN/ISO 31000:2009, IDT), aangezien M_o_R hier nauw bij aansluit. Tevens wordt in bijlage D aandacht besteed aan COSO - integrated framework, BASEL I, II, III, de code-tabaksblat en de Nederlandse standaard voor Risicomanagement in de bouw - RISMAN. Hoofdstuk 1 introduceert de belangrijkste Risicomanagementtermen en legt uit wat Risicomanagement is, waarom het belangrijk is voor organisaties, en waar en door wie het wordt toegepast. Bijlage D over de belangrijkste (inter)nationale richtlijnen op het gebied van Risicomanagement kan hierbij als extra informatie gelezen worden. Hoofdstuk 2 geeft uitleg over het M_o_R-framework: de principes van Governance en de toepassing van de principes op vier perspectieven: het strategisch, programma-, project- en operationeel perspectief. Hoofdstuk 3 gaat dieper in op de Risicomanagementaanpak en de bijbehorende documenten. Hoofdstuk 4 geeft een overzicht van de processtappen van M_o_R, wanneer het proces wordt toegepast en de communicatie en de technieken die eventueel gebruikt kunnen worden om de verschillende stappen in het Risicomanagementproces te ondersteunen. Hoofdstuk 5 behandelt het verankeren en reviewen van Risicomanagement in de organisatie, implementatie van Risicomanagement, omgang met weerstand en wat daarbij komt kijken. Bijlage A geeft concrete voorbeelden en extra informatie over de verschillende technieken die de processtappen beschreven in hoofdstuk 4 ondersteunen.
X risicomanagement management guide Bijlage B - Gezondheidscheck en Volwassenheidsmodel voor Risicomanagement kan samen met hoofdstuk 5 bestudeerd worden. Bijlage C - De Risicospecialismen geven extra informatie over 8 specialisaties op het gebied van Risicomanagement. Bijlage D - Andere Risicogerelateerde richtlijnen geef een korte beschrijving van andere richtlijnen in de wereld en hoe ze zich verhouden tot M_o_R. Het kan gelezen worden als extra informatie bij hoofdstuk 1. In ieder hoofdstuk zijn kaders opgenomen met praktijkvoorbeelden en tips over de toepassing van Risicomanagement. Het M_o_R Foundation exam - Deze Management Guide kan ook worden gebruikt ter voorbereiding op het M_o_R Foundation-examen van APMG. Alle benodigde kennis voor het examen is in dit boek te vinden. De voorbeelden maken geen deel uit van de stof die getoetst wordt in het M_o_R Foundation-examen. Ook de vergelijking van M_o_R met andere richtlijnen, zoals COSO, BASEL, NEN/ ISO 31000 en code-tabaksblat, is geen onderdeel van de eindtermen voor het M_o_R-examen van APMG. Dit boek biedt een brede kijk op Risicomanagement, beschouwd in relatie tot een Nederlandse context, met achtergrondinformatie, praktijkvoorbeelden en tips voor succesvolle toepassing. De typische Risicomanagementtermen zijn met hoofdletters geschreven om ze extra te benadrukken.
HOOFDSTUK 1 Inleiding en achtergrond In het licht van de recente wereldwijde ontwikkelingen op het gebied van economische en financiële regelgeving is er duidelijk een groeiende belangstelling voor richtlijnen die organisaties helpen op een volwassen manier met Risico s om te gaan. Het nadeel van de meeste methoden is dat ze voortkomen uit de financiële wereld en vooral gericht zijn op beheersing van (financiële) Risico s, gezien vanuit het strategisch perspectief. Hoewel organisaties ook op operationeel niveau actief Risico s managen wordt dit werk vaak niet als zodanig herkend of in een breder kader aangepakt. Zo hebben veel organisaties processen en procedures die erop toezien dat de be drijfscontinuïteit wordt gewaarborgd bij kritieke incidenten en worden alle organisaties geacht te voldoen aan wet- en regelgeving omtrent Gezondheid en Veiligheid. Drijfveren daarbij zijn kwaliteit, service, continuïteit en klantgerichtheid. Kortom we doen al veel meer aan Risicomanagement dan we beseffen. Het M_o_R-framework (Management of Risk framework - zie figuur 1.2) is ontwikkeld op basis van best practices om te dienen als beheersingsinstrument (control) voor behoorlijk bestuur (Corporate Governance). Naast Risicomanagement bestaat Corporate Governance uit financieel management, operationeel management en naleving (compliance)). Risicomanagement staat aan de basis van verantwoorde besluitvorming in organisaties en is daarbij ook volledig geïntegreerd in de overige best-practicemethoden van het Cabinet Office (zie in figuur 1.1 hoe de methoden zich tot elkaar verhouden).
2 risicomanagement management guide M_o_R is integraal toepasbaar en specifiek uitgewerkt voor vier perspectieven in een organisatie, namelijk: het strategisch perspectief, waarin het over beslissingen over de langetermijndoelen van een organisatie gaat; zie ook MoP Management of Portfolio s; het programma- en het projectperspectief, waarin het gaat over middellangetermijndoelen en de besluitvorming daaromtrent; zie ook MSP - Managing Successful Programmes en PRINCE2 voor projectmanagement; het operationele perspectief, waarin het gaat over de kortetermijndoelen, de dagelijkse gang van zaken (Business as Usual) en de besluitvorming omtrent bedrijfscontinuïteit; zie ook ITIL voor de operationele werkzaamheden van IT-servicemanagement. Uiteraard is het van belang dat beslissingen op operationeel niveau de besluitvorming op de andere niveaus ondersteunen (en omgekeerd misschien soms ook wel). PRINCE2 M_o_R MoV ITIL ISO/IEC 20000 change MSP the organizational business energy run the business Lean / Six Sigma MoP P3O EFQM / INK uw veranderbedrijf financiering uw realisatiebedrijf Figuur 1.1 Cabinet Office best-practicemethoden in perspectief Centraal staat de energie van de organisatie: door het mobiliseren van energie is een organisatie in staat om het dagelijks werk in het bedrijf (run the business) te combineren met de voorbereiding op de toekomst door het veranderen van het
risicomanagement management guide 3 bedrijf (change the business). Dit wordt methodisch ondersteund door een familie van onderling verbonden best-practicemethoden die elk met een eigen nadruk een aanvulling vormen op het gezond verstand, zie fig. 1.1: M_o_R (Management of Risk) voor Risicomanagement. PRINCE2 voor projectmanagement. MSP - Managing Successful Programmes voor programmamanagement. MoP Management of Portfolio s voor portfoliomanagement voor het strategisch niveau. P3O - Portfolio, Program en Project Offices voor het inrichten van ondersteuning in de organisatie. MoV - Management of Value voor het bepalen en managen van waarden in organisaties. ITIL en ISO/IEC 20000 voor de werkzaamheden in het kader van IT-servicemanagement. 1.1 Doel van de richtlijn Management of Risk Management of Risk, afgekort als M_o_R, beoogt een hulpmiddel te zijn voor personen en organisaties om succesvoller te zijn. Het bewuster en explicieter omgaan met Risico s verbetert en versnelt besluitvorming op de weg naar het bereiken van je doel(en). M_o_R biedt een generieke richtlijn die geschikt is voor het identificeren, wegen en beheersen van Risico s in alle soorten organisaties. Deze methode heeft niet alleen aandacht voor het strategisch niveau, maar ook voor de operationele bedrijfsvoering (BAU, Business As Usual) en de veranderorganisatie. Hierbij worden een aantal rollen benoemd die organisaties helpen beter te communiceren ter ondersteuning van het managen en nemen van Risico s. Het M_o_R-framework is gebaseerd op vier kernconcepten, zie fig. 1.2. 1. De M_o_R-principes. Deze principes zijn afgeleid van de principes van Corporate Governance. In het kader van Corporate Governance wordt Risicomanagement genoemd als een van de interne beheersinstrumenten (controls) van iedere organisatie, naast financiële en operationele beheersinstrumenten en naleving.
4 risicomanagement management guide M_o_R-aanpak Beleid Processen Strategie principes van Risicomanagement verankeren en reviewen proces plannen Verbeteringsplan Communicatieplan Maatregelplan invoeren de context bepalen plannen communiceren de Risico s identificeren registers Risicoregister beoordelen: evalueren beoordelen: schatten rapporten Issueregister Voortgangsrapport Figuur 1.2 Het M_o_R-framework, gebaseerd op M_o_R 2010 Hoofdstuk 2 gaat nader in op de principes van Risicomanagement en hierin wordt ook een voorbeeld gegeven hoe de principes inhoud krijgen op strategisch, programma-, project- en operationeel niveau. 2. De M_o_R-aanpak. De principes moeten voor de specifieke organisatie worden aangepast en door de gehele organisatie worden toegepast. Hiervoor is een aantal managementdocumenten ontworpen, namelijk: a. Een algemene beleidslijn. b. Een procesbeschrijving van de Risicomanagementactiviteiten. c. Een strategisch document waarin het beleid is uitgewerkt voor een specifieke activiteit. d. Plannen voor het bewaken van de invoering van Risicomanagement in de organisatie en voor de uitvoering en bewaking van Risicobeheersmaatregelen. Daarnaast wordt ook het Risicocommunicatieplan (Risk Communi cation Plan) nog apart genoemd.
risicomanagement management guide 5 e. Registers, zoals het Risico- en Issueregister moeten ervoor zorgen dat Risico s en Issues worden geïdentificeerd en vastgelegd. f. Risicorapportages die de stand van zaken van Risicomanagement rond een activiteit weergeven. Hoofdstuk 3 zal nader ingaan op deze Risicomanagementdocumenten. 3. De M_o_R-processen. Alle activiteiten rondom het managen van Risico s zijn samen te vatten in een procesbeschrijving. M_o_R gaat uit van een model met vier hoofdstappen. De eerste twee stappen bestaan ieder ook weer uit twee substappen, in totaal worden er 6 stappen benoemd. 1. Identificeren: De context bepalen. 2. Identificeren: De Risico s identificeren. 3. Beoordelen: Schatten. 4. Beoordelen: Evalueren. 5. Plannen. 6. Invoeren (van beheersmaatregelen). Bij al deze stappen is communicatie van cruciaal belang, aangezien Risico s nooit statisch zijn en alle betrokken partijen goed op de hoogte gehouden moeten worden om aan hun verantwoordelijkheden te kunnen voldoen. In hoofdstuk 4 worden de stappen behandeld, inclusief de meest gebruikte technieken die het werk kunnen ondersteunen en de resultaten die de processtappen opleveren. 4. M_o_R verankeren en reviewen. Uitgangspunt van een volwassen organisatie is dat Risicomanagement consistent wordt toegepast en voortdurend wordt verbeterd. Het is van belang dat de organisatie periodiek haar Risico managementpraktijken tegen het licht houdt om te zorgen dat ze efficiënt en effectief blijven. Op deze manier is er sprake van continue verbetering en een stijging van het Volwassenheidsniveau van een organisatie. Hoofdstuk 5 is gewijd aan dit deel van het framework.
6 risicomanagement management guide 1.2 Wat is een Risico? Uit spreekwoorden blijkt hoezeer we al gewend zijn aan het managen van Risico s. Bijvoorbeeld: Een gewaarschuwd mens telt voor twee. Maar ook bekende uitspraken laten zien hoezeer onzekerheid een deel van het leven is. Bijvoorbeeld de wet van Murphey: Als er iets mis kan gaan, dan gaat het mis. M_o_R geeft voor Risico de volgende definitie: Definitie Een Risico is een onzekere gebeurtenis of reeks gebeurtenissen die, als die zou plaatsvinden, Gevolg zou hebben op het bereiken van doelstellingen. Een Risico bestaat uit een combinatie van de Waarschijnlijkheid (probability) dat een Bedreiging of Kans 1 plaatsvindt en de gevolgen (Gevolg) ervan, ook wel Impact genoemd, op de doelstellingen. Dit Gevolg kan zowel positief als negatief van aard zijn. Een onzekere gebeurtenis die een negatieve Impact zou kunnen hebben op doelstellingen of Benefits wordt een Bedreiging (threat) genoemd, en een onzekere gebeurtenis die een gunstige Impact zou kunnen hebben op doelstellingen of Benefits een Kans of mogelijkheid (opportunity). NEN/ISO 31000 noemt een Risico het Effect (positief en negatief) van onzekerheid op het behalen van doelstellingen, waarbij er een verwijzing is naar mogelijke gebeurtenissen en gevolgen en de bijbehorende Waarschijnlijkheid dat de gebeurtenis zich voordoet. COSO beschrijft een Risico als een mogelijke gebeurtenis met een mogelijke negatieve Impact op een doelstelling. Gebeurtenissen met een positieve Impact zijn mogelijkheden. De beoordeling vindt plaats aan de hand van Waarschijnlijkheid en Impact. 1 Het woord Kans kan zowel Waarschijnlijkheid van optreden als mogelijkheid betekenen. Om verwarring en misinterpretatie te voorkomen gebruiken we in dit boek zo consequent mogelijk het woord Waarschijnlijkheid als uiting van onzekerheid (onzekere verwachting) en reserveren we de woorden Kans en mogelijkheid voor de uiting van een positief Gevolg (verwachting van een gunstig Gevolg).
risicomanagement management guide 7 Kernbegrippen van alle benaderingen van Risicomanagement zijn onzekerheid, Gevolg/Impact, gerichtheid op een doelstelling, en een negatieve en positieve kant. 1.3 Wat is Risicomanagement? Kort gezegd is Risicomanagement het managen van Risico s. Dit betekent dat Risico s moeten worden geïdentificeerd en beoordeeld én dat er maat regelen worden gepland en ingevoerd (inclusief het monitoren van de effectiviteit daarvan). Identificeren. Dit houdt in dat allereerst de context van de geplande activiteit moet worden vastgesteld, en tevens de scope, de doelstellingen en de betrokkenen. Vervolgens moet er worden nagedacht over Risico s die invloed kunnen hebben op het bereiken van die doelstellingen. Daarna moeten de Risico s zo eenduidig worden beschreven dat iedere betrokkene de Risico s begrijpt. Beoordelen. Dit betekent het inschatten van de Impact en urgentie en het hiermee ordenen van alle Risico s. Zo krijg je zicht op het totale Risiconiveau dat is verbonden met de onderzochte activiteit. Plannen. Dit omvat het bepalen van passende maatregelen voor Risico s, en het toewijzen van de Risico s en de acties die nodig zijn aan een eigenaar. Invoeren. Dit betreft vervolgens het uitvoeren en bewaken van de effectiviteit van de getroffen maatregelen. Elke organisatie beheerst Risico s, maar niet altijd op een manier die zichtbaar, herhaalbaar of consistent is. De taak van Risicomanagement is ook waarborgen dat een organisatie op een rendabele wijze een Risicomanagementproces doorloopt. Het doel van Risicomanagement is succesvoller te zijn door het ondersteunen van een betere besluitvorming middels goed inzicht in de aard van de Risico s en hun waarschijnlijke Impact. In M_o_R wordt daarom voor de term Risicomanagement de volgende definitie gegeven: De systematische toepassing van principes, aanpak en processen op de taken van het identificeren en beoordelen van Risico s, en vervolgens het plannen en implementeren van maatregelen. Dit om systematische besluitvorming in de organisatie
8 risicomanagement management guide te ondersteunen en daarmee actief bij te dragen aan het succes van de organisatie en alle activiteiten daarin. ISO noemt Risicomanagement de gecoördineerde activiteiten om een organisatie te sturen en te beheersen met betrekking tot Risico s. ISO identificeert daarbij principes, een kader en een proces. Het kader voor Risicomanagement is: Het geheel van componenten die de basis (beleid, doelstellingen en mandaat) en organisatorische maatregelen bieden voor ontwerp, implementatie, monitoring, beoordeling en continue verbetering van Risicomanagement in alle lagen van de organisatie. COSO definieert Risicomanagement als een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om Risico s te beheren zodat deze binnen de Risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen. Kernbegrippen van alle benaderingen van Risicomanagement zijn procesmatige beheersing, identificatie van Risico s tot en met invoering van maatregelen, monitoren van effectiviteit, en gerichtheid op het succesvol behalen van doelstellingen. Daarbij is er met M_o_R s verankeren en reviewen en met ISO s kader voor Risicomanagement aandacht voor de implementatie en onderhoud van Risicomanagement in de organisatie. 1.4 Waarom is Risicomanagement belangrijk? Het nemen van Risico s is onvermijdelijk. Organisaties die minder volwassen zijn in hun Risicomanagement zijn onder andere te herkennen aan het feit dat men het idee heeft dat Risico s, mits goed gemanaged, allemaal uitgesloten kunnen worden. Vaak heerst er in dit soort organisaties een cultuur waarin men, als zaken niet volgens verwachting verlopen, vooral probeert schuldigen aan te wijzen.
risicomanagement management guide 9 Een bedrijfstak die bekend staat om zijn lage Risicobereidheid is de luchtvaartindustrie, waar kwaliteitsmanagement een belangrijk deel van de operationele werkzaamheden beheerst en waar actief een lerende cultuur omarmd wordt. Van elk incident wordt standaard een evaluatie uitgevoerd om van te leren en soortgelijke gebeurtenissen in de toekomst te voorkomen. Organisaties (en mensen) zijn in te delen op een continuüm tussen twee uitersten: van Risicomijdend tot Risicozoekend. De metaforen voor dit Risicogedrag zijn de overdreven voorzichtige twijfelaar en de onbezonnen waaghals. Daar tussenin zit het Risicobewust afwegen van opties. Organisaties (en mensen) die Risicobewuster zijn, beseffen dat het actief beheren van Bedreigingen en Kansen hun (concurrentie)voordeel oplevert. Zij gaan ervan uit dat het nemen en managen van Risico s de essentie is van het voortbestaan en de groei van een bedrijf. Afhankelijk van het type bedrijf kan de Risicobereidheid (risk appetite ) er dan een van zoekend of vermijdend zijn. Met de komst van Virgin Air werd de luchtvaartindustrie opgeschrikt door een ondernemer die meer bereidheid toonde Risico s te nemen in de bedrijfsvoering. In juni 2011 waren de vliegtuigen van Virgin in Australië een aantal keer de enige kisten die door bleven vliegen toen de aswolken van de Puyehue-vulkaan in Chili over Australië heen dreven. De directie van het bedrijf beoordeelde per dag en locatie of ze het verantwoord vond om toch te vliegen. In de overweging gaf de directie aan ook in het belang van de passagiers te handelen: Klanten willen niet onnodig op vliegvelden vastzitten. Als het veilig genoeg is moet er gevlogen kunnen worden. Goed Risicomanagement kan helpen bij het succesvol realiseren van doelstellingen door een organisatie omdat het: organisaties bewuster maakt van Risico s, en dat leidt onder andere tot: betere besluitvorming en effectiever management; het vormen van een betere basisstrategie; innovatie en een concurrentievoordeel; een efficiënter gebruik van resources; minder verspilling en fraude; een beter beheer van onderhoudsactiviteiten; organisaties beter voorbereidt op Risico s, en dat leidt onder andere tot: betere en gerichtere dienstverlening aan klanten; minder verrassingen en brandjes om te blussen; de juiste dingen, goed doen;
10 risicomanagement management guide pro-actiever handelen; meer succes bij het realiseren van veranderingsinitiatieven. Deze voordelen zijn sectoronafhankelijk en gelden zowel in het private als het publieke domein, waarbij de belangen van de Stakeholders zo goed mogelijk worden gediend. Beide domeinen kunnen hun voordeel doen met goed Risicomanagement. Op de vraag waarom men Risicomanagement zou moeten omarmen is het kortste antwoord: om succesvoller te zijn in wat je doet. Vaak blijkt dat dit niet het antwoord is dat men verwachtte. Risicomanagement wordt in de praktijk nog steeds vaak gezien als het bezig zijn met zaken die fout kunnen gaan. Dit geeft het werkgebied een negatief karakter en verklaart wellicht waarom het niet veel breder gezien wordt als een must. Management van Succes zou een toepasselijker titel zijn. Risicobereidheid en -capaciteit Hoeveel Risico s een organisatie bereid is te accepteren, speelt een cruciale rol bij het ondersteunen van de doelstellingen van een organisatie en het bepalen van Risicomanagementactiviteiten. Risicobereidheid is de houding tegenover het nemen van Risico s, die vervolgens bepaalt welke mate van Risico een organisatie als aanvaardbaar beschouwt. Deze bereidheid is afhankelijk van de capaciteit van de organisatie om Risico s te dragen en die mag niet overschreden worden anders gaat de organisatie eraan onderdoor. Risicobereidheid en -capaciteit zijn een wezenlijk element van Corporategovernance en interne controle. In bepaalde bedrijfstakken zoals de bancaire sector moeten bepaalde hoeveelheden kapitaal aangehouden worden om voorgeschreven vermogenseisen na te leven - lees Risicocapaciteit. Ook zijn er voor alle bedrijven in Nederland richtlijnen ten aanzien van Gezondheid, Beveiliging, Veiligheid en Milieu waaraan gehoor moet worden gegeven; denk aan Bedrijfshulpverlening (BHV) en Milieueffectrapportages (MER) voor grote projecten. De Risicobereidheid van sommige beurshandelaren is groter dan de capaciteit van hun organisatie. Nick Leeson was het einde van Barings Bank, Bernard Madoff raakte met zijn investeringsfonds 50 miljard kwijt. De bereidheid van deze twee ging zo ver dat zelfs crimineel handelen als geoorloofd werd beschouwd.
risicomanagement management guide 11 Het bestuur en senior management is verantwoordelijk voor het bepalen van de Risicobereidheid van hun organisatie. Dit als integraal onderdeel van de bedrijfsplanning, nadat de capaciteit voor het dragen van Risico s is vastgesteld. Het bepalen van de Risicobereidheid geeft medewerkers inzicht in het relatieve belang van de Risico s die de organisatie loopt. Voordelen voor organisaties die hun Risicobereidheid effectief verwoorden, zijn dat zij: de koers van het bedrijf kunnen veranderen als wordt ingeschat dat je een Risico niet binnen acceptabele grenzen zou kunnen brengen of houden; Risicomanagementacties kunnen prioriteren en beheersingsmaatregelen richten op de Risico s die de meeste schade kunnen aanrichten; een efficiëntere toewijzing van kapitaal in de organisatie kunnen realiseren door meer nadruk op Risicobeheersinstrumenten en verlagen van de post onvoorziene kosten; zichzelf beter afschermen tegen een daling van toekomstige verdiensten; ruimte maken voor creativiteit binnen acceptabele grenzen; de mogelijkheid reduceren van blootstelling aan capaciteitsoverschrijding als gevolg van onoplettendheid; een eigen gedragslijn hanteren voor het afwegen en goedkeuren van de hoeveelheid Risico s. Risicotolerantiedrempels In de wereld van projectmanagement is men gewend omte sturen op tijd, geld, bereik (scope) en kwaliteit. PRINCE2 identificeert tolerantiegrenzen op deze vier criteria en voor Risico s en Benefits. Door deze grenzen vast te stellen is men in staat om management by exception toe te passen. Het stelt het management in staat om taken te delegeren en toch de controle te houden. Blijft de opdrachtnemer binnen de grenzen, dan blijft de opdrachtgever op afstand. Dreigen de grenzen overschreden te worden, dan escaleert de opdrachtnemer het Issue in lijn met de gestelde bevoegdheden. Het vertalen van Risicobereidheid naar een praktische instrument is het creëren van Risicotolerantiedrempels. Deze drempels bepalen niveaus van blootstelling die met de passende goedkeuring kunnen worden overschreden, maar die dan een (re)actie vereisen (bijv. het rapporteren van de situatie aan het senior management om actie te ondernemen).