Risicobeheer

COSO-raamwerk

Risicobeheer of risicomanagement is een continu proces dat ten aanzien van de doelstelling risico's identificeert, beoordeelt en vervolgstappen definieert. Er zijn verschillende gebieden waarop risicomanagement toegepast kan worden; financieel risicomanagement richt zich op het beheersen van financiële risico's, projectrisicomanagement richt zich op het beheersen van risico's in het realiseren van grote projecten.

Belangrijk is in hoeverre er sprake is van een meetbaar risico of een onmeetbare onzekerheid, meer specifiek Knightiaanse onzekerheid.

Risicomanagement in zes stappen

Het proces van risicomanagement bestaat in veel modellen uit zes stappen: doelstelling vaststellen, risico's identificeren, gevolgen inschatten, risico's beoordelen, risico's beheersen en monitoring.

Doelstelling

De doelstelling is datgene wat een organisatie wil bereiken, bijvoorbeeld het realiseren van omzetgroei, continuïteit, of het afronden van een project binnen een bepaalde begroting of termijn. Het vaststellen van de doelstelling kan geschieden door gebruik te maken van de regels van het SMART-principe. Sinds de Kredietcrisis is de aandacht voor risk appetite, de mate waarin organisaties risico's willen nemen om hun doelstellingen te bereiken, toegenomen. Om risicobeheer te integreren in de bedrijfsvoering zullen organisaties hun risk appetite in samenhang met hun doelstellingen moeten bepalen, communiceren en monitoren.[1]

Risico's identificeren

Een risico is een onzekere gebeurtenis met mogelijke gevolgen voor de doelstelling. De gebeurtenis doet zich voor door interne en/of externe oorzaken. De interne oorzaken hebben invloed op de activiteiten, welke samen met de externe oorzaken het doel (de doelstelling) beïnvloeden. De beïnvloeding heeft vervolgens weer gevolgen, welke mogelijk nieuwe risico's vormen. Een risico kan in de termen van het risicomanagement zowel positief als negatief zijn. Een negatief risico wordt ook een gevaar, bedreiging, downside risk of statisch risico genoemd. Een positief risico wordt ook een kans of upside risk genoemd. Een dynamisch risico is een risico dat zowel positief als negatief kan zijn of worden.

Voor risico-identificatie (ook risicoanalyse of event ivent identification) kan onder meer geschieden met behulp van de volgende modellen: SWOT, RISMAN, DESTEP/PESTEL, Vijfkrachtenmodel, PIOFACH en een combinatie van het vijfkrachtenmodel en het DESTEP-model.

Inschatten

Vervolgens worden risico's ingeschat op kans van optreden en op mogelijke gevolgen. Dit kan gekwantificeerd worden, maar ook kwalitatieve inschattingen van risico's kunnen nuttig zijn. De beoordeling en classificatie van risico's gaat volgens de Kinney-methode of de verwachte waarde methode.

Verwachte waarde = kans x gevolg
Kinney-methode = kans x gevolg x blootstelling

De kans van voorkomen wordt vastgesteld als een percentage. Als bekend is dat een gebeurtenis gemiddeld eens in de 100 jaar voorkomt, dan mag de kans dat deze in een gegeven tijdspanne van een jaar zal voorkomen als 1% genoteerd worden.

Beoordelen

Er wordt een risicoacceptatiegraad vastgesteld, dit is het risico dat bijvoorbeeld een bedrijf hooguit wil nemen om de doelstelling te behalen. Uit de risicoacceptatiegraad is af te leiden of het risico wordt opgezocht (risicozoekend) of ontweken (risicoavers). Twee factoren die meespelen bij het bepalen van de risico acceptatiegraad zijn de gevolgen en de waarschijnlijkheid. De beoordeling van risico's kan visueel worden weergegeven in een risicomatrix of riskmap en/of een Likelihood-diagram.

Beheersen

Twee elementen die centraal staan in het beheersen van risico's zijn de maatregelen en de reacties. Een risico zonder beheersmaatregelen wordt een bruto of inherent risico genoemd. Een risico waarop beheersmaatregelen worden genomen worden vervolgens kleiner ingeschat, en kunnen restrisico's (residual risk) genoemd worden. Beheersmaatregelen zijn preventief, waarbij beoogd wordt de kans van voorkomen af te nemen, of repressief, waarbij beoogd wordt de gevolgen te reduceren. Er zijn twee soorten beheersmaatregelen, te weten: hard controls (afspraken en richtlijnen) en soft controls (gericht op het functioneren van medewerkers).

Er zijn vier soorten reacties: vermijden (of voorkomen, terminate), reduceren (of verminderen, treat), overdragen (of uitbesteden, transfer) en accepteren (take). Risico's kunnen worden vermeden door drastische maatregelen, bijvoorbeeld bij brandgevaar al het houten meubilair te vervangen door staal. Het beheersen kan bijvoorbeeld door het meubilair brandwerend te maken en overdragen door een brandverzekering af te sluiten.

Monitoring

Monitoring gebeurt in de loop van het proces, en kunnen middels indicatoren gemonitord worden (Key Risk Indicator en Key Control Indicator) samen ook wel de Early Warning Indicators genoemd.

Binnen het vakgebied van risicobeheersing wordt onderscheid gemaakt tussen de volgende typen:

  • Operationele risico's. Dit zijn gevolgen die kunnen optreden bij het uitvoeren van het werk waar de organisatie voor in het leven is geroepen. Een voorbeeld is een koersfluctuatie waardoor de inkomsten van een multinational anders uitpakken na omwisseling van de valuta.
  • Financiële risico's. Dit is het risico dat de financiële verslaglegging van de organisatie afwijkt van de werkelijkheid. Een voorbeeld is de waarde van de inventaris die afwijkt van wat daadwerkelijk in de inventaris zit door verkeerde tellingen of door onvoorzien verlies vanwege schade of diefstal.

Onderzoek

Karel de Bakker heeft onderzoek gedaan naar de effectiviteit van risicomanagement. Het resultaat was dat vooral de initiële risicosessie bijdroeg aan risicobewustzijn en aan het beheersen van risico's. Lijstjes bijhouden en rapporteren doen dat niet.[2]

Risicobeheer binnen ITIL

Binnen het referentiekader van ITIL wordt risicobeheer in ITIL 4 beschreven als een van de 34 beste praktijkoplossingen binnen het servicewaardesysteem. Er wordt benadrukt dat risico's niet alleen verband houden met bedreigingen, maar ook met kansen. Richtlijnen voor risicobeheer zijn gegeven in ISO-standaard 31000: 2018.[3] In voorloper ITIL V3 wordt risicobeheersing weliswaar kort aangestipt als aspect binnen het verandermanagement, maar komt het als aparte functie niet voor.[4]

Zie ook

  • (en) COSO
  • Risico's en projectmatig werken
  • riskworld.nl