Elke organisatie heeft te maken met risico’s, het is onderdeel van ondernemen. Het goed beheersen van risico’s, maakt het voor organisaties mogelijk om zich te richten op datgene waar ze goed in zijn. Het managen van risico’s is niet anders dan vooruitkijken, anticiperen op onzekere gebeurtenissen en daar de nodige maatregelen voor treffen. Dus niet hopen dat ze zich niet voordoen, maar zorgen dat je voorbereid bent op het moment dat ze zich manifesteren.
Geen one-size-fits-all oplossing
Er bestaat geen one-size-fits-all oplossing voor risico’s. Net zo organisatiespecifiek als kansen zijn, zo specifiek kunnen risico’s ook zijn. De te nemen maatregelen kunnen wel hetzelfde zijn, waar het algemene risico’s betreft waarmee elke onderneming te maken krijgt, maar de uitwerking is vaak heel specifiek. Dat moet ook, aangezien geen enkele onderneming hetzelfde is. Dit vraagt om een benadering die aansluit bij de cultuur van een organisatie en de medewerkers.
Elke onderneming heeft doelstellingen die ze willen bereiken. Bij het formuleren van de doelstelling, is het belangrijk om in hetzelfde proces te onderzoeken welke bedreigingen er zijn die het behalen van deze doelstellingen in de weg kunnen staan. Dit zijn de risico’s waar beheersmaatregelen voor moeten worden geformuleerd. Op die manier is de onderneming voorbereid en worden de doelstellingen alsnog gerealiseerd.
Het identificeren van risico’s
Er zijn veel manieren en bronnen om risico’s te identificeren. Incidenten en fouten uit het verleden, resultaten van audits, analyses van processen en vaak interviews met diverse medewerkers door de organisatie heen, leveren mogelijke risico’s op. In sommige gevallen worden sessies georganiseerd waarbij een groep medewerkers alle bij hen opkomende risico’s benoemen. Daarbij is het belangrijk afgevaardigden van verschillende afdelingen en verschillende niveaus binnen de organisatie te betrekken.
Daarna worden de risico’s geaggregeerd, geclassificeerd naar soort (b.v. Business, Compliance, IT, Financieel) en naar mate van belangrijkheid (Hoog-Midden-Laag).
Het proces dat daarop volgt is het goed omschrijven van de risico’s, waarbij oorzaak en gevolg duidelijk worden gemaakt en de relatie met de doelstelling die door dit risico bedreigd wordt.
Op die manier kan de beoordeling van bestaande beheersmaatregelen en formulering van aanvullende beheersmaatregel pas worden gedaan.
Risicomanagement in 2021
Nieuwe inzichten leiden altijd tot aanpassing en aanscherping van methoden en technieken. Maar vaak leiden gebeurtenissen in de maatschappij tot meer aandacht voor een bepaalde categorie risico’s en daarmee aanvullende (wettelijke) vereisten waar organisaties aan moeten voldoen.
De vastgoedfraudes hebben geleid tot aanvullingen op frameworks die specifiek gericht waren op het voorkomen van en detecteren van fraude. Maar niet alleen in de vastgoedsector zijn maatregelen toegevoegd en processen aangepast en is het interne en externe toezicht aangescherpt. Incidenten met betrekking tot witwaspraktijken leiden eveneens tot aanscherping van processen binnen financiële instellingen en het opleiden van medewerkers tot het hanteren van een kritische houding.
Ook de coronacrisis en bijkomende gebeurtenissen leiden tot aanscherping van risico’s, het risico van een pandemie was altijd al onderdeel van de set, maar hier werd vaak weinig of helemaal geen aandacht aan besteed. Het risico van een pandemie was dus geen zogenaamde ‘zwarte zwaan’, maar werd veelal weggewuifd door managers, vanwege de lage kans van optreden. Die neiging is er sowieso meer bij risico’s met een lage kans van optreden, ook al kan de impact fors zijn, wanneer het risico zich voordoet. Hopelijk hebben we geleerd van de Covid-19 pandemie. Het thuiswerken, nieuwe manieren van leidinggeven en in-control blijven, zullen als het goed is hun uitwerking hebben op risicomanagement in de nabije toekomst. In mijn volgende blog zal ik hier dieper op ingaan.
Peggy van Glaanen
Associate ARC People
Wilt u op de hoogte blijven? Volg ARC People dan op LinkedIn of schrijf u in voor onze nieuwsbrief.