Wij gebruiken cookies om het webverkeer te analyseren. Meer informatie OK

Tref en toets beheersmaatregelen

De beheersing op orde brengen en houden

Op basis van een identificatie en analyse van de risico’s kan beoordeeld worden of het treffen van beheersmaatregelen noodzakelijk is. Een organisatie kan er bijvoorbeeld voor kiezen om de risico’s die een lage kans van optreden hebben en weinig schade opleveren (voor nu) te laten en zich te focussen op risico’s met een grote kans op veel schade. Het hebben van een vooraf gedefinieerde en helder uitgewerkte risicobereidheid is van groot belang voor het maken van de juiste keuzes.

Beheersmaatregelen selecteren

Ten aanzien van de gesignaleerde en geselecteerde operationele risico’s zal de organisatie moeten vaststellen welke actie gewenst is. In alle gevallen moeten de kosten van de maatregel(en) worden afgewogen tegen het potentiële risico (het verlies). De te nemen beheersmaatregelen vallen in één van de vier generieke categorieën:

  1. Vermijden: het volledig vermijden van het risico door de activiteit waarmee het risico verbonden is te beëindigen, bijvoorbeeld het stoppen van bepaalde activiteiten
  2. Reduceren: het beïnvloeden van kans op optreden of impact. Onder “reduceren” valt een veelheid aan risicobeheersmaatregelen zoals het inrichten van procedures en richtlijnen, het treffen van maatregelen op het gebied van informatiebeveiliging, het inrichten van adequate functiescheidingen in de organisatie
  3. Delen: het beïnvloeden van het effect in het geval van optreden, bijvoorbeeld verzekeren
  4. Accepteren: het accepteren van het risico zonder verdere maatregelen te treffen

 

Maatregel vs kosten

Bij het opvoeren van de beheersmaatregelen zal continu de afweging gemaakt moeten worden of de kosten van de maatregel opwegen tegen het risico dat afgedekt wordt. Het heeft immers geen zin om meer kosten te maken voor het beheersen van een risico dan het potentiële verlies dat geleden kan worden. Daarbij moet altijd kritisch gekeken worden welke controles ingebouwd worden in de processen. Hierbij moet men oog houden voor oplossingen die minder arbeidsintensief en wellicht zelfs effectiever zijn.

Periodiek toetsen

Vervolgens is het verstandig om periodiek te toetsen of de ingezette beheersmaatregelen juist worden ingezet. Hiervoor kan control testing toegepast worden of een audit worden uitgevoerd. Bij het toetsten van de beheersmaatregelen is het belangrijk dat er gekeken wordt naar de impact van een risico op de organisatie. Risico’s met een grotere impact verlangen namelijk een zwaardere en regelmatigere toets op de bijbehorende beheersmaatregelen.

Internal control framework

De uitkomst van de keuzes die gemaakt worden bij de inrichting van de beheersing van de risico’s worden vaak vastgelegd in een risk & control framework. In een risk & control framework worden de belangrijkste risico’s (‘key risks’) en de bijbehorende beheersmaatregelen (‘key controls’) vastgelegd. Ze vormen het fundament onder het operationele risicomanagement. Tevens zorgt het framework ervoor dat de organisatie kan laten zien dat het risicomanagement wel of niet goed op orde is.

Periodieke toetsing

Het internal control framework dient periodiek te worden getoetst (in relatie tot het in-control statement) op bijvoorbeeld de onderstaande vragen:

  • Doen we nog steeds met elkaar wat we afgesproken hebben?
  • Zijn de controls die we uitvoeren nog wel de juiste?
  • Voeren we überhaupt die controles nog wel uit en zo ja, doen we dat ook op de juiste manier en op het juiste moment?

Meer informatie?

Wilt u meer weten over onze aanpak bij het begeleiden van uw organisatie in de opzet en werking van de beheers(maatregelen) omgeving en het uitwerken van het risk & control framework? Neem dan contact op met Sander Boelen.
Maak een afspraak