Het nemen van een zeker risico is onvermijdelijk als een organsiatie haar doelstellingen wenst te bereiken. Organisaties die meer risicobewust zijn, beseffen dat het actief beheren van bedreigingen en kansen bijdraagt tot een betere dienstverlening en hun een concurrentievoordeel oplevert.

We lichten eerst het begrip risicoanalyse toe. Vervolgens schetsen we het stappenplan dat u kunt volgen om met de risico's aan de slag te gaan.

Wat is Risicoanalyse?

Het uitvoeren van een risicoanalyse heeft als doel inzichtelijk te maken welke dreigingen relevant zijn voor de bedrijfsprocessen en welke risico's hiermee gepaard gaan.

Een risicoanalyse helpt organisaties om risico's juist in te schatten en daarbij juiste en passende (beveiligings)maatregelen te nemen. Een risicoanalyse heeft vier hoofddoelen:

  1. Het identificeren van de waarde van bedrijfsmiddelen (assets)
  2. Het vaststellen van kwetsbaarheden en dreigingen
  3. Het vaststellen van het risico dat dreigingen werkelijkheid worden en daarmee het bedrijfsproces verstoren
  4. Het vinden van een evenwicht tussen de kosten van een incident en de kosten van een (beveiligings)maatregel.

Een risicoanalyse is niet zozeer een proces om te voldoen aan een aantal regels maar wel om verrassingen te voorkomen. Het dient als een hulpmiddel om op een gestructureerde en expliciete manier risico's in kaart te brengen, te evalueren en – door er proactief mee om te gaan – ze beter te beheersen.

Risico's zijn overal aanwezig. Om succesvol te zijn als organisatie is het van groot belang om eventuele risico's, die impact kunnen hebben op uw organisatie, te identificeren, beoordelen en beheren. Er zijn 6 stappen die u kunt volgen:

Stap 1: identificeren van risico's

Formuleer een risico zo concreet mogelijk. Een risico bestaat uit meer dan één woord. Beschrijf wat er niet goed kan gaan, waardoor dat wat misloopt veroorzaakt wordt en wat de gevolgen daarvan zouden kunnen zijn. Wanneer een organisatie risico's loopt, is het belangrijk om de interactie en relatie tussen de verschillende risico's onderling inzichtelijk te krijgen en te houden. Hierdoor kan een organisatie nog beter inspelen wanneer er zich een event voordoet.

Bij de identificatie van de risico's gaat het om alle strategische, operationele, financiële en juridische risico's. De koppeling naar de doelstellingen van de organisatie en bedrijfsonderdelen is essentieel.

Stap 2: analyseren en beoordelen van risico's

Het aantal risico's dat is vastgesteld kan heel groot zijn. Porbeer daarom waar mogelijk bepaalde risico's te groeperen onder één noemer. Het in kaart brengen van de risico's maakt het mogelijk om deze te analyseren. Het is vervolgens van belang om te analyseren wat de grootste risico's zijn. Niet alle risico's verdienen namelijk dezelfde aandacht; begin daarom met de belangrijkste eerst.

Stap 3: evalueren en actualiseren van huidige beheersmaatregelen

Bedrijven kunnen zich onderscheiden ten opzichte van hun concurrentie door hun risico's efficiënter te beheersen. In deze fase moet worden bepaald of de risico's niet teveel beheerst zijn en of er blinde vlekken zijn.

Stap 4: ontwerpen en uitvoeren actieplannen

Nadat de reeds getroffen beheersmaatregelen in kaart zijn gebracht, moeten keuzes worden gemaakt. Voor elk risico maak je een keuze uit de volgende vier opties:

  1. Vermijden: dit houdt in dat de activiteit/het proces waardoor een risico ontstaat, wordt beëindigd of op een andere manier wordt vormgegeven.
  2. Verminderen: door het risico af te dekken door een verzekering, een voorziening of een ander budget in de begroting. Hiermee beperkt de organisatie financieel de gevolgen van een risico. Bij verminderen kan je denken aan het aanpakken of wegnemen van de oorzaak van het risico.
  3. Overdragen: dit kan door het beleid dat een risico met zich meebrengt, te laten uitvoeren door een andere betrokken partij die daarmee ook de financiële risico's overneemt.
  4. Accepteren: Kan een risico niet worden vermeden, verminderd of overgedragen, dan kan de organisatie het risico accepteren. Dit betekent niet dat het risico niet beïnvloedbaar is en dat de organisatie daarom het risico maar helemaal moet accepteren. Het betekent dat het risico op dit moment geaccepteerd wordt en niet op één of andere wijze is afgedekt. Risico's moeten de verantwoordelijkheid worden van die persoon die ze het beste beheersen kan. Het is daarom noodzakelijk een risico-eigenaar aan te wijzen.

Stap 5: meten, controleren en rapporteren

Meten is weten. Het is van belang te meten of de actieplannen/genomen maatregelen effect hebben op het risicoprofiel. Het meten en rapporteren van risico's is een grote uidaging voor veel organisaties. De data zijn niet aanwezig of het management wordt juist overspoeld met een grote lading irrelevante gegevens. Wat moet er dan in een risicorapportage staan? Tenminste de volgende vier zaken:

  1. Verliezen: verliezen op de eerder genoemde gebieden markt, krediet en operationeel moeten opgeslagen en samengevat worden. Hoe staan deze verliezen in verhouding tot inkomsten of volume?
  2. Incidenten: hieronder vallen het verlies van een grote klant, schendingen van beleid, fraude, rechtszaken, enzovoort.
  3. Management assessments: Wat houdt het management wakker? Wat zijn de top 10 risico's?
  4. Risico-indicatoren: het in kaart brengen van trends die het bedrijf aan risico's blootstellen. Voorbeelden daarvan zijn een toename van klantontevredenheid, of een groter personeelsverloop. Dit zijn waarschuwingssignalen die het management tot nadenken moeten doen stemmen over de operationele risico's.

Stap 6: resultaten integreren in de besluitvormingsprocessen

De risico-informatie is bruikbaar voor analyses omtrent toekomstige besluiten (door middel van de risico-analyses uit het verleden). Bij elk nieuw investeringsvoorstel of omvangrijk project moet de organisatie bewust stilstaan bij de risico's.

Bij risicomanagement ligt de nadruk vaak op beleid en procedures, systemen en modellen. Zorg ook voor een 'zachte' tegenhanger daarvan. Laat het senior management uitstralen dat ze risicobeleid ernstig nemen. Creëer een open houding wat betreft het discussiëren over risico's.
Tot slot, risicomanagement of risicoanalyse is een continu proces. Om risicomanagement effectief te beheren is het van belang dat risico's regelmatig worden geëvalueerd en bijgesteld. Om risicomanagement succesvol binnen uw organisatie te implementeren is het belangrijk om een risicocultuur te creëren:

  • Betrek alle medewerkers in het risicomanagement-proces
  • Management moet het risicomanagement-proces positief stimuleren en ondersteunen
  • Creëer duidelijke taken en verantwoordelijkheden
  • Investeer in training om de kennis van de medewerkers te vergroten
  • Neem risicomanagement op als vast onderdeel in bijvoorbeeld werkbesprekingen, meetings en beoordelingsgesprekken
  • Definieer duidelijke risicomanagement-doelstellingen voor de organisatie
  • Beoordeel medewerkers op hun input aan het risicomanagement proces.