Risico’s zijn het natuurlijke gevolg van ondernemen. Elke organisaties heeft nou eenmaal risico’s. Wanneer je bijvoorbeeld een product op maat verkoopt komen er kosten kijken bij de ontwikkeling hiervan. Hierbij bestaat het risico dat de klant je product niet (volledig) kan betalen. Nu is dit een vrij gemakkelijk in te calculeren risico waar een assessment zal moeten uitwijzen hoe de organisatie met het risico zal (willen) omgaan.

Omgaan met risico’s

Niet elk risico is hetzelfde en er zijn dan ook tal van manieren hoe met risico’s omgegaan kan of dient te worden. Hoe significant een risico is heeft onder andere te maken met diens impact en de kans dat een dergelijk risico zich voordoet.

Zo hoeven lang niet alle risico’s afgedekt te worden. Er wordt dan gekozen om het risico te accepteren en de mogelijke gevolgen voor lief te nemen. Wanneer risico echter een grote potentiële impact heeft een daarmee tot flinke schades kan leiden is het voor de hand liggend dat de organisatie het risico wilt ontwijken. Dat kan gerealiseerd worden door de oorzaak van het risico aan te pakken of door het risico over te dragen aan derden. Een derde aanpak is het mitigeren van een risico. Hierbij kan er door maatregelen te nemen de impact van het risico worden verminderd, of kan de kans dat een dergelijk risico zich voordoet worden verkleind.

Risico’s beoordelen

Het is belangrijk een overzicht te hebben van welke risico’s een organisatie onderhevig aan is. Dit is echter niet het enige. Deze risico’s moeten namelijk ook beoordeeld worden. Het moet duidelijk zijn welke risico’s cruciaal zijn voor de bedrijfsvoering en welke controlemaatregelen er genomen kunnen te worden om deze risico’s te managen. Een template voor de beoordeling van risico’s en controls zou de volgende onderdelen moeten bevatten:

  • Beoordeling van bedrijfsrisico’s en welke controlemaatregelen deze risico’s kunnen managen
  • Beoordeling of de inrichting van de controlemaatregelen voldoende is om de bijbehorende risico’s af te dekken
  • Een algemene beoordeling of de inrichting en functionaliteiten van de controlemaatregelen voldoende is om alle geïdentificeerde risico’s naar behoren te managen

De beoordeling van de controlemaatregelen kunnen ook onderdelen bevatten zoals: het gewenste risicoprofiel van de organisatie, eigenaarschap, prioritering en kern risico indicatoren. Het kan eveneens een intern en extern onderzoek bevatten en een onderlinge discussie tussen business- en risicomanagers. Hoewel het beschrijven van mogelijke controlemaatregelen die de bedrijfsrisico’s kunnen afdekken optioneel is, kan het veel opleveren. Het helpt organisaties namelijk om in kaart te brengen hoe hun ideale inrichting van controlemaatregelen eruit zou zien voordat er wordt gekeken naar de daadwerkelijk inrichting van controles.

Risico’s effectief managen

Impero heeft een risk map ontwikkeld dat op een eenvoudige maar krachtige wijze het visualiseren van de processen en gerelateerde risico’s mogelijk maakt. Gebruikers kunnen risico’s classificeren op waarde van impact en de kans dat een risico zich voordoet. Vervolgens kunnen er controlemaatregelen gekoppeld worden. Hiermee wordt een waardevol inzicht gecreëerd wat organisaties een duidelijk en overzichtelijk beeld geeft van hoe goed de risico’s zijn afgedekt. De risk map kan bovendien ingezet worden voor alle lagen binnen en buiten de organisatie, zoals buitenlandse divisies, branches en afdelingen.

Tags: