Risicomanagement: meer dan alleen analyses en beheersmaatregelen vastleggen

Hoe ERM kan bijdragen aan het behalen van doelstellingen

Donderdag 13 juni 2019 | Leestijd: 4 minuten | Iris Boderie

Iedereen heeft met risico’s te maken en volledig elimineren kunnen we ze nooit. In de dynamische en veeleisende omgeving waarin wij ons momenteel bevinden, kunnen we geen genoegen meer nemen met alleen het opstellen van een RI&E. Echt grip hebben op risico’s, betekent tegenwoordig meer dan alleen het uitvoeren van een risicoanalyse en het vastleggen van beheersmaatregelen. We focussen ons niet meer alleen op compliance maar willen ook inspelen op veranderingen van buitenaf en risico’s integraal onderdeel laten uitmaken van alledaagse beslissingen.

Met de komst van nieuwe technologieën en de vraag om (maatschappelijke) transparantie bij zowel interne en externe stakeholders, gaat risicomanagement een steeds belangrijker onderdeel vormen van de bedrijfsvoering. Daarnaast kan het effectief beheersen van risico’s leiden tot concurrentievoordeel, en dat klinkt bij veel organisaties natuurlijk als muziek in de oren. Oftewel: risicomanagement gaat van bijzaak naar noodzaak!

Van reactieve beheersmaatregelen naar proactief en gecontroleerd groeien

Tot voor kort kozen organisaties veelal voor een reactieve benadering van risicomanagement. In het geval van ernstige incidenten of calamiteiten werden de oorzaken (al dan niet volgens een systematische aanpak) in kaart gebracht. Vervolgens werden er beheersmaatregelen genomen om een dergelijke gebeurtenis in de toekomst te voorkomen. Wat we hier zien gebeuren, is dat men het risico achteraf pas gaat inschatten en aanpakken. Dat betekent dus dat een incident/calamiteit zich eerst moet voordoen, voor men hem kan beheersen. Niet echt compliance, toch? In een tijd waarin technische ontwikkelingen tot nieuwe risico’s leiden én we steeds meer openheid van zaken moeten geven aan de interne en externe belanghebbenden, is een proactieve benadering van risicomanagement noodzakelijk. Mede dankzij het overzicht dat je hiermee creëert, sta je minder vaak voor verrassingen en kan je gecontroleerd je doelen behalen.

Op weg naar Enterprise Risk Management (ERM)

In veel organisaties worden risico’s gedetailleerd in kaart gebracht. Bijvoorbeeld door het uitvoeren van prospectieve risicoanalyses of door het uitvoeren van een risico-inventarisatie en -evaluatie (RI&E) vanuit de ARBO wetgeving. Risicomanagement is daarmee echter nog steeds ad hoc, niet gecoördineerd en niet systematisch. Maar hoe moet het dan wel? Hoe kunnen we wel een betrouwbaar en organisatiebreed risicoprofiel opleveren? Het antwoord is Enterprise Risk Management (ERM). Een benadering die steeds meer voet aan de grond krijgt.

Enterprise Risk Management: een integrale benadering

ERM is het systeem dat het management in staat stelt om relevante risico’s, die het behalen van de doelstellingen van de organisatie bedreigen, te identificeren, te analyseren en te beheersen. Het doel hiervan is om met een gewenste mate van zekerheid te kunnen stellen dat de organisatiedoelstellingen worden bereikt.

Maar het betreft niet alleen de financiële risico’s van de organisatie. Het gaat ook over risico’s die betrekking hebben op de kwaliteit, de veiligheid, het imago, marktrisico’s, bouwinvesteringen en fusietrajecten. ERM is dus een strategische en integrale risicobenadering. Onderdeel van het ERM-systeem is het risicomanagementproces, dat een standaard PDCA cyclus omvat en dus een continu proces is.

Het risicomanagement proces bestaat uit het bepalen van de organisatiebrede doelstellingen en het inventariseren en analyseren van risico’s (Plan), het treffen van beheersmaatregelen (Do), het bewaken van de effectiviteit van de beheersmaatregelen (Check) en het indien nodig nodig bijsturen (Act).

ERM en andere vormen van risicoanalyse

Een prospectieve risicoanalyse en een retrospectieve incidentenanalyse zijn beide te plaatsen binnen het kader van ERM. ERM en de prospectieve risicoanalyse hebben met elkaar gemeen dat ze beide een proactief karakter hebben; risico’s worden namelijk vóór een incidenten of calamiteiten al in kaart gebracht en beheersmaatregelen moeten ertoe leiden dat risicovolle situaties niet ontstaan (dan wel dat de gevolgen ervan beperkt blijven). Het verschil tussen ERM en de prospectieve risicoanalyse is echter dat ERM een integraal risicoprofiel oplevert, omdat de organisatiebrede doelstellingen als uitgangspunt dienen. Een prospectieve risicoanalyse daarentegen leidt tot een gefragmenteerd beeld van risico’s. Dat komt omdat enkel de risico’s binnen een bepaald proces of een bepaalde situatie vanuit één specifiek aspect worden geïnventariseerd en geanalyseerd.

Bij ERM worden de beheersmaatregelen beter op elkaar afgestemd waardoor ze effectiever zijn. Een prospectieve risicoanalyse kan echter wel van toegevoegde waarde zijn als er een sterke behoefte is om een kritisch proces of specifieke situatie tot op detailniveau vanuit een risicodomein te evalueren. Hiermee kunnen zeer gerichte beheersmaatregelen worden ingezet.

Als jouw organisatie nog niet actief bezig is met het uitvoeren van gedetailleerde prospectieve risicoanalyses, dan kan je er bewust voor kiezen om niet het historische pad te volgen zoals getoond in Figuur 1. Door eerst met ERM aan de slag te gaan, kan je organisatiebreed een beeld krijgen van de risico’s en de mate van beheersing. Vervolgens kan je zeer gericht enkele processen of thema’s selecteren die je op detailniveau gaat analyseren (middels de prospectieve risicoanalyse).

In tegenstelling tot ERM en de prospectieve risicoanalyse, wordt de retrospectieve incidentenanalyse pas ingezet nadat zich een risicovolle situatie heeft voorgedaan. Een dergelijke analyse leidt tot beheersmaatregelen om een soortgelijke situatie in de toekomst te voorkomen. Daarmee is deze vorm van risicoanalyse bij uitstek geschikt om de effectiviteit van beheersmaatregelen en het ERM systeem zelf te bewaken.

Randvoorwaarden goed ERM-systeem:

Voor een goed functionerend systeem zijn naast een duidelijke visie enkele randvoorwaarden belangrijk, namelijk:

Vanzelfsprekend is de implementatie van het ERM-systeem zelf ook vorm te geven als een PDCA cyclus. Hierbij is het van belang om de effectiviteit van het systeem voortdurend te bewaken.

Aan de slag?

Ben je na het lezen van dit artikel benieuwd wat ERM voor jouw organisatie kan betekenen? Neem dan contact op met onze specialisten voor een vrijblijvend gesprek. Of neem een kijkje op onze website om meer te weten te komen over ons totaalpakket van diensten en producten op het gebied van risicomanagement. Wij adviseren jou graag over een persoonlijk groeipad voor de implementatie van een ERM-systeem waarbij we rekening houden met de branche waarin jullie actief zijn en de levensfase en omvang van uw organisatie.