De grote kracht van risicomanagement is om het management de juiste prioriteiten te laten stellen voor de inzet van mensen & middelen. Hiervoor dient de kans en impact van de geïdentificeerde risico’s te worden vastgesteld. Dit onderdeel wordt uitgelegd in principe 11 van de COSO ERM 2017. In deze blog op hoofdlijnen de kern.
Risicoanalyses op de verschillende organisatieniveaus
De impact van een risico (in relatie tot de bedrijfsdoelstellingen) wordt op meerdere niveaus beoordeeld: divisies, functies, projecten en operationele eenheden. Het is zeer goed mogelijk dat risico’s die op een afdeling/project als belangrijk worden beoordeeld, minder belangrijk blijken bij een overkoepelende divisie. Het is zeer waarschijnlijk dat risico’s op concern niveau meer impact hebben op de waarde van het bedrijf, het imago/ merk en de betrouwbaarheid.
Het gebruik van een standaard risicotaal is een goed hulpmiddel bij de beoordeling van risico’s op de verschillende niveaus van de organisatie. Soortgelijke risico’s voor bedrijfseenheden, divisies en functies kunnen tevens worden samengevoegd. Bij het oprollen/consolideren van soortgelijke risico’s kan eventueel een andere risicoscore worden bepaald. Er wordt zo zichtbaar dat risico’s die individueel een lage score hebben wel een hoge score verkrijgen als ze bij elkaar worden opgeteld. Meerdere kleine risico’s kunnen daarmee uiteindelijk een strategisch risico vormen.
Methode om kans- en impact (classificatie) vast te stellen
Het management selecteert de kans- en impact-schalen om zo de ernst van de risico’s vast te stellen. Bij het vaststellen wordt hierbij rekening gehouden met de omvang qua FTE, omzet/kosten, de aard en complexiteit van de organisatie en haar risicobereidheid.
De classificatie dient te worden afgestemd op het niveau van de werknemer die de risico’s scoort (per organisatie of operationele eenheid). Aanvaardbare risicobedragen kunnen bijvoorbeeld groter zijn op concern niveau dan op een operationeel niveau.
Hoe ver vooruit kijken ?
Bij het bepalen van de tijdshorizon dient men aan te sluiten bij de tijdshorizon van de strategie en bedrijfsdoelstellingen. Als de bedrijfsdoelstellingen bijvoorbeeld zijn gericht op een termijn van drie jaar, kan het management binnen dat tijdsbestek risico’s overwegen. Omdat de strategie en bedrijfsdoelstellingen van veel entiteiten zich richten op de op korte tot middellange termijn, richt het management zich vaak op risico’s die samenhangen met dit tijdsbestek. De directie dient langer vooruit te kijken maar ook rekening te houden met de korte termijn.
Soorten analyses
Risicoanalyses kunnen kwalitatief, kwantitatief of een combinatie van beide zijn:
Afhankelijk van de complexiteit en volwassenheid van de organisatie, kan het management vertrouwen op een zekere mate van oordeelsvermogen en expertise bij het uitvoeren van de modellering/ algoritmes. Ongeacht de gebruikte aanpak, moeten de onderliggende aannames altijd duidelijk worden vermeld.
De verwachte impact van een risico kan van invloed zijn op het type benadering dat wordt gebruikt. Bij het beoordelen van risico’s die extreme gevolgen kunnen hebben, kan het management scenarioanalyses gebruiken. Bij het beoordelen van de effecten van meerdere gebeurtenissen daarentegen kan het management simulaties nuttiger vinden (bijvoorbeeld stresstests). Omgekeerd kunnen hoogfrequente risico’s met een lage impact meer geschikt zijn voor data-tracking en cognitieve gegevensverwerking.
Een laatste onderdeel van de analyse is om de onderlinge afhankelijkheden tussen risico’s te begrijpen. Onderlinge afhankelijkheden kunnen optreden wanneer meerdere risico’s van invloed zijn op een bedrijfsdoelstelling of wanneer het ene risico het andere triggert. Risico’s kunnen gelijktijdig of opeenvolgend optreden. De onderlinge afhankelijkheden worden meegenomen in de impact van het risico.
Bruto risico, Beoogde risico, en Restrisico
Als onderdeel van de risicobeoordeling neemt het management het bruto risico, het beoogde restrisico en het feitelijke restrisico in overweging:
Het management kan risico’s identificeren waarvoor onnodige beheersmaatregelen zijn getroffen.
Let op! De praktijk is vaak dat het voor medewerkers zeer lastig is om in bruto risico’s te denken. Over het algemeen noemen zij alleen rest risico’s en veronderstellen zij beheersing. Vraag daarom dus altijd naar de reeds bestaande beheersmaatregelen.
Risicokaarten
De risicoanalyse wordt vaak afgebeeld met een risicokaart heatmap. De kleuren worden bepaald door de mate waarin de risico’s geaccepteerd of beheerst (risk appetite) moeten worden.
Het is van belang om de juiste classificatie van de kans- en impact-schalen te gebruiken, om zo te voorkomen dat alle risico’s bijvoorbeeld kleine kans/ kleine impact hebben. Per bedrijfsdoelstelling kan een dergelijke risicokaart gemaakt worden. Het management kan bij zijn beoordeling het risicoprofiel gebruiken om:
Triggers voor een herijking van de risicoanalyse
Een analyse is een momentopname. Door signalen binnen of buiten de organisatie kan een herijking van de analyse noodzakelijk zijn. Uit deze signalen kan vervolgens worden afgeleid dat de oorspronkelijke aannames voor de kans en impact veranderd zijn.
De impact van de risico’s en de frequentie waarmee de ernst van de situatie kan veranderen, geven ook aan hoe vaak het risicoprofiel herijkt dient te worden.
Risico’s die samenhangen met projecten of grondstoffenprijzen, moeten bijvoorbeeld dagelijks worden beoordeeld, maar de risico’s die samenhangen met de gewone business kunnen bijvoorbeeld 2 keer per jaar worden beoordeeld.
Bias in beoordeling
Kans en impact inschatten heeft ook te maken met risicointelligentie.
Analyses kunnen door verschillende teams in de organisatie worden uitgevoerd met als resultaat verschillende uitkomsten door bijvoorbeeld perceptieverschillen. Het kan zijn dat het ene team bijvoorbeeld bepaalde risico’s als ‘laag’ beoordeelt, maar een ander team beoordeelt ze als ‘gemiddeld’. Deze verschillen kunnen ontstaan door inconsistenties in de benadering en door verschillende percepties van de bedrijfsdoelstellingen of risico’s.
Kans en impact inschatten heeft ook te maken met risicointelligentie. Analyses kunnen daarnaast door verschillende teams in de organisatie worden uitgevoerd met als resultaat verschillende uitkomsten door bijvoorbeeld perceptieverschillen. Het kan zijn dat het ene team bijvoorbeeld bepaalde risico’s als ‘laag’ beoordeelt, maar een ander team beoordeelt ze als ‘gemiddeld’. Deze verschillen kunnen ontstaan door inconsistenties in de benadering en door verschillende percepties van de bedrijfsdoelstellingen of risico’s.
Bij het inschatten van kans en impact moet altijd rekening gehouden met de bias in de beoordeling. Door de beschikbaarheidsbias worden risico’s waar men beelden van ziet (de aanslag van 9/11) bijvoorbeeld hoger ingeschat dan risico’s waar men geen beelden van heeft (aantal extra verkeersdoden in USA naar aanleiding van. De angst voor vliegen na de aanslag).
De diverse bias kan ertoe leiden dat de ernst van een risico wordt onder- of overschat. Dit beperkt de effectiviteit van de geselecteerde risicoreactie. Het onderschatten van de ernst kan resulteren in een ontoereikende reactie, waardoor de organisatie blootgesteld blijft en mogelijk buiten de risicobereidheid van de entiteit valt. Overschatten van de ernst van een risico kan ertoe leiden dat middelen onnodig worden ingezet, waardoor inefficiënties in de organisatie ontstaan. Bovendien kan deze overschatting de prestaties van de organisatie belemmeren of het vermogen om nieuwe kansen te identificeren beïnvloeden.
Bron: Naris | Foto: Naris
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine - November 2024 Inhoud Ferry van der Pal (Wonen Wateringen): Fusie leidt tot betere bijdrage aan de volkshuisvestelijke opgave…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.