Inrichting risicomanagement

Vorm een brede kijk op de organisatie van risicomanagement

Het resultaat van een goede inrichting van het risicomanagement moet zijn dat de juiste beslissingen op het juiste tijdstip door de juiste mensen worden genomen. Om dit te bereiken moet naar onze mening risicomanagement integraal en over de volle breedte van de organisatie geïmplementeerd worden, met oog voor zowel de ‘hard’ als de ‘soft’ controls. Belangrijk bij de inrichting is dat deze aansluit bij de omvang, ambities en risicobereidheid van een organisatie. Wij hebben een zeer brede ervaring met de inrichting, aansturing en implementatie van een goed werkend risicomanagement systeem bij organisaties.

Inrichtingsmodellen risicomanagement

Er zijn vele methoden en instrumenten om risicomanagement concreet handen en voeten te geven.
De belangrijkste modellen zijn COSO Enterprise Risk Management en de ISO 31000 richtlijn voor risicomanagement. Deze drie worden in Nederland toegepast in allerlei soorten organisaties, publiek, semipubliek, bedrijven en projecten. COSO en ISO zijn in 2017 en 2018 fors vernieuwd, In de kern zijn deze meer theoretische modellen vergelijkbaar: Ze starten alle met doelstellingen. Vervolgens brengen ze risico’s in kaart en worden die op de een of andere wijze gewogen. Dit leidt tot het kiezen van maatregelen, beoordeling of die werken, communicatie en rapportage.

Als Accent Advies hanteren wij ons model van ‘integraal risicomanagement’ zoals visueel weergegeven in onze Risico8baan. Dit model sluit aan bij de algemeen gehanteerde principes van de risicomanagement inrichtingsmodellen maar is meer op de praktijk gericht. Het sluit goed aan op de dagelijkse bedrijfsvoering en de beleidscyclus van een organisatie waarmee risicomanagement optimaal geïntegreerd kan worden in de reguliere sturing en beheersing van de corporatie. Het succes van integraal risicomanagement hangt in belangrijke mate af van de mate waarin risicomanagement echt onderdeel uitmaakt van de bedrijfsvoering en bedrijfscultuur.

Het ambitieniveau vaststellen

Bij de inrichting van het risicomanagement zal allereerst moeten worden vastgesteld wat het huidige volwassenheidsniveau van een organisatie op het gebied van risicomanagement is. Bij veel organisaties is risicomanagement iets dat ‘impliciet’ gebeurt. Risicomanagement is vaak nog een losstaand onderwerp (‘moeten we ook doen’) en is niet een integraal onderdeel van de sturing van de organisatie. Na vaststelling van het huidige niveau van het risicomanagement, zal een organisatie moeten bepalen wat haar gewenste niveau is. Belangrijk is dat deze aansluit bij de omvang, ambities en risicobereidheid van een organisatie.

Three Lines of Defence

Een bekend inrichtingsmodel voor risicomanagement is het Three Lines of Defence (3LoD) model. Dit model gaat ervan uit dat een organisatie drie verdedigingslinies heeft in de beheersing van risico’s. De eerste essentiële verdedigingslinie is het lijnmanagement en de medewerkers in de organisatie zelf. De tweede verdedigingslinie wordt gevormd door functionarissen die zich specifiek bezighouden met het stellen van kaders, het toetsen, controleren en signaleren van risico’s. De interne of externe audit functie is de derde verdedigingslinie in het model. De inrichtingsprincipes van het 3LoD model houden niet in dat voor iedere Line of Defence een aparte afdeling ingericht moet worden maar dat de rollen onafhankelijk van elkaar zijn belegd binnen de organisatie.

 

De controller als ‘spin in het web’.

Met de inrichting van een control functie binnen een organisatie wordt het risicomanagement en de governance van een organisatie versterkt. Immers, de controller organiseert en verstevigt het interne weerwerk en tegenspraak. In onze zienswijze heeft de controller een brede scope en kijkt naar de zogenaamde ‘Enterprise Risks’ vanuit een integraal perspectief, waarbij de functie zowel oog heeft voor de financiële als niet-financiële risico’s, en zowel de hard controls als de soft controls.

Het blijft mensenwerk

Uiteindelijk draait het bij de inrichting ook om mensen. In een organisatie zal een adequate personele invulling van de risicomanagement functie een noodzaak zijn. Hierbij gaat het niet alleen om kennis en kunde van het personeel, maar ook om gedrag en drijfveren. Met regelmaat zullen er trainingen en workshops over risicomanagement moeten worden gehouden, waarbij de risicomanager aan de hand van praktijkvoorbeelden laat zien wat risicomanagement inhoudt. Daarnaast kan ook tijdens dergelijke workshops kennis uit de organisatie worden opgehaald (via Risk & Control Self Assessments).

Inrichting en aansturing

Bij Accent Advies hebben we niet alleen een zeer brede ervaring met de inrichting en aansturing van een goed werkend risicomanagement bij organisaties, maar vullen wij de verschillende, senior rollen op het gebied van risicomanagement ook vaak op interim basis bij onze klanten in.

Risicomanager-op-Maat

Meer weten over de Risicomanager-op-Maat? Download dan bijgaande brochure, waarin we onze dienstverlening verder uiteen zetten.
Download brochure