blog

Hoe pas ik risicomanagement toe? (2)

Schade

Hoe pas ik risicomanagement toe? (2)

In deel één van deze reeks is aangegeven wat risicomanagement is. In dit tweede deel worden de processtappen nader belicht en krijgt risicomanagement als denk- en toepassingskader vorm.

Als je risicomanagement in je organisatie wilt toepassen, moet je het procesmatig inrichten. Je kunt daarbij bestaande modellen benutten die als een ‘best practice’ een procesmatige benadering ondersteunen. Bekende modellen zijn COSO-ERM, NEN/ISO 31000 en M_o_R.

Het proces risicomanagement kent de volgende processtappen:

  • Risicodoelstellingen bepalen;
  • Risico’s identificeren;
  • Risico’s inschatten;
  • Risico’s beoordelen;
  • Risico’s beheersen en Monitoren.

Weergegeven in een schema ziet ‘Risicomanagement’ er als volgt uit:

Risicomanagement model

Risicodoelstellingen bepalen
Vanuit de missie, visie en strategie bepaalt een bedrijf haar bedrijfsdoelstellingen. De risicodoelstellingen zijn een afgeleide van deze bedrijfsdoelstellingen. Bij het vaststellen van de risicodoelstellingen gaat het om het bepalen van de risk appetite (de risico’s die een ondernemer bereid is om te lopen) en de risk tolerance (de risico’s die de ondernemer kan lopen).

Het vaststellen van risicodoelstellingen is noodzakelijk omdat het anders net zo is als in het verhaal van Alice in Wonderland van Lewis Carol:

‘Kunt u mij alstublieft de weg wijzen?’ vraagt Alice aan Kat
‘Dat hangt er nogal vanaf waar je heen wilt’, zei Kat.
‘Dat kan me niet zoveel schelen ..’, zei Alice.
‘Dan doet het er ook niet toe welke weg je neemt’, zei de Kat.

Je kunt je voorstellen dat de bedrijfsdoelstellingen van een financieel dienstverlener die sterk wil groeien totaal anders zijn dan bij zijn collega die wil consolideren en over een paar jaar zijn bedrijf wil verkopen. En daarmee zullen ook de risicodoelstellingen anders zijn. Vergelijk dit maar met de asset-allocatie en de lengte van de beleggingshorizon bij vermogensbeheerproducten.

Formule 1-coureur Max Verstappen ontving voor het tweede jaar op rij de prijs voor de mooiste inhaalactie van het jaar. Ook waagde hij dit jaar de meeste inhaalpogingen van alle coureurs (gemiddeld slechts drie per Grand Prix!). Voor het behalen van zijn doelstellingen neemt Max Verstappen gecalculeerde risico’s, risico’s die hij in het reguliere verkeer niet zou nemen.

Risico’s identificeren
De risico’s die er zijn, willen we in beeld hebben. Bekende modellen om risico’s te identificeren zijn SWOT-analyse, DESTEP-analyse en het Vijfkrachtenmodel.

Het gezond verstand, benen op tafel en mensen die weten hoe het in het bedrijf ‘reilt en zeilt’ vormen een goede basis. Realiseer je dat het identificeren van risico’s een doorlopend proces is. Door (technologische) ontwikkelingen kunnen oude risico’s verdwijnen en nieuwe risico’s ontstaan. Denk hierbij bijvoorbeeld aan opkomende cyberrisico’s als DDoS-aanvallen en het hacken van computernetwerken.

In augustus 2015 zorgde een DDoS-aanval op het netwerk van Ziggo er voor dat veel abonnees geen of nauwelijks internet hadden. Enorme reputatieschade voor Ziggo.

Risico’s inschatten
Als de risico’s bekend zijn, kan ingeschat worden welke impact een specifiek risico heeft. Je kunt dit eenvoudig doen op een schaal van 1 tot 10 of door gebruik te maken van een matrix waarbij de kans op optreden en de omvang een rol spelen. Ook kun je actuariële rekenmodellen gebruiken zoals dat gebeurt bij het berekenen van de volatiliteit van aandelen.

Na het inschatten van risico’s kan er een prioritering aangebracht worden tussen risico’s met veel impact en risico’s met geen of een geringe impact.

Risico’s beoordelen
Nu je weet welke risico’s er zijn, hoe groot ze zijn en hoe vaak ze zouden kunnen optreden, kunnen ze worden afgewogen tegen de vastgestelde risicodoelstellingen. Bij de beoordeling van risico’s wordt beslist hoe om te gaan met het risico. Mogelijkheden zijn:

  • Vermijden;
  • Verplaatsen;
  • Verkleinen;
  • Accepteren.

Bij vermijden kun je denken aan het stoppen met export naar USA/Canada in verband met het risico van productaansprakelijkheid. Bij het verplaatsen van risico’s aan ons dagelijks werk in de verzekeringsbedrijfstak. Een voorbeeld van het verkleinen van risico’s is het opslaan van een back-up in een extern datacenter. Deze maatregelen worden beheersingsmaatregelen genoemd.

Risico’s beheersen en monitoren
Het is belangrijk om te bewaken of de beheersing van de risico’s werkt en blijft werken. Om die reden worden controle en monitoring mechanismen ingeregeld.

Het laatste deel van onze drieluik over risicomanagement gaat over het Invoeren en Monitoren van ‘Risicomanagement’.

Reageer op dit artikel