COSO / GRC-software / risicoanalyse / www.naris.com

Risicoanalyse en vaststellen kans en impact (classificatie COSO principe 11) 

Geplaatst door

Hoe voer je risicoanalyse uit en bepaal je welke kans en impact zinvol zijn? De grote kracht van risicomanagement is om het management de juiste prioriteiten te laten stellen voor de inzet van mensen & middelen. Hiervoor dient de kans en impact van de geïdentificeerde risico’s te worden vastgesteld. Dit onderdeel wordt uitgelegd in principe 11 van de COSO ERM 2017. In deze blog op hoofdlijnen de kern.

Risicoanalyses op de verschillende organisatieniveaus

De impact van een risico (in relatie tot de bedrijfsdoelstellingen) wordt op meerdere niveaus beoordeeld: divisies, functies, projecten en operationele eenheden. Het is zeer goed mogelijk dat risico’s die op een afdeling/project als belangrijk worden beoordeeld, minder belangrijk blijken bij een overkoepelende divisie. Het is zeer waarschijnlijk dat risico’s op concern niveau meer impact hebben op de waarde van het bedrijf, het imago/ merk en de betrouwbaarheid.

Het gebruik van een standaard risicotaal is een goed hulpmiddel bij de beoordeling van risico’s op de verschillende niveaus van de organisatie. Soortgelijke risico’s voor bedrijfseenheden, divisies en functies kunnen tevens worden samengevoegd. Bij het oprollen/consolideren van soortgelijke risico’s kan eventueel een andere risicoscore worden bepaald. Er wordt zo zichtbaar dat risico’s die individueel een lage score hebben wel een hoge score verkrijgen als ze bij elkaar worden opgeteld. Meerdere kleine risico’s kunnen daarmee uiteindelijk een strategisch risico vormen.

Methode om kans- en impact (classificatie) vast te stellen

Het management selecteert de kans- en impact-schalen om zo de ernst van de risico’s vast te stellen. Bij het vaststellen wordt hierbij rekening gehouden met de omvang qua FTE, omzet/kosten, de aard en complexiteit van de organisatie en haar risicobereidheid.

De classificatie dient te worden afgestemd op het niveau van de werknemer die de risico’s scoort (per organisatie of operationele eenheid). Aanvaardbare risicobedragen kunnen bijvoorbeeld groter zijn op concern niveau dan op een operationeel niveau.

  • Impact: Resultaat of effect van een risico. Er kan een reeks mogelijke gevolgen verbonden zijn aan een risico. De impact van een risico kan positief of negatief zijn in relatie tot de strategie of de bedrijfsdoelstellingen.
  • Waarschijnlijkheid: De kans dat een risico zich voordoet. De kans kan op verschillende manieren tot uiting komen, zoals de volgende voorbeelden illustreren:
    • Kwalitatief: De kans van, met betrekking tot een mogelijk voorval of een omstandigheid en de bijbehorende gevolgen voor een specifiek bedrijfsdoel (binnen de tijdshorizon die wordt overwogen door het bedrijfsdoel, bijvoorbeeld twaalf maanden) ligt op afstand
    • Kwantitatief: De mogelijkheid van een risico, met betrekking tot een mogelijk voorval of een omstandigheid en de bijbehorende gevolgen voor een specifiek bedrijfsdoel (binnen de tijdshorizon die wordt overwogen door het bedrijfsdoel, bijvoorbeeld twaalf maanden) is 80%
    • Frequentie: De mogelijkheid van een risico met betrekking tot een mogelijk voorval of een omstandigheid en de bijbehorende gevolgen voor een specifiek bedrijfsdoel (binnen de tijdshorizon die wordt overwogen door het bedrijfsdoel, bijvoorbeeld twaalf maanden) is eens per twaalf maanden

Hoe ver vooruit kijken ?

Bij het bepalen van de tijdshorizon dient men aan te sluiten bij de tijdshorizon van de strategie en bedrijfsdoelstellingen. Als de bedrijfsdoelstellingen bijvoorbeeld zijn gericht op een termijn van drie jaar, kan het management binnen dat tijdsbestek risico’s overwegen. Omdat de strategie en bedrijfsdoelstellingen van veel entiteiten zich richten op de op korte tot middellange termijn, richt het management zich vaak op risico’s die samenhangen met dit tijdsbestek. De directie dient langer vooruit te kijken maar ook rekening te houden met de korte termijn.

.

Soorten analyses

Risicoanalyses kunnen kwalitatief, kwantitatief of een combinatie van beide zijn:

  • Kwalitatieve analyses (zoals interviews, workshops, enquêtes en benchmarking) worden vaak gebruikt wanneer het niet praktisch of kosteneffectief is om voldoende kwantitatieve gegevens te verkrijgen. Kwalitatieve beoordelingen zijn efficiënter om te voltooien. Er bestaan echter beperkingen in het vermogen om correlaties te identificeren of een kosten-batenanalyse uit te voeren
  • Kwantitatieve analyses (zoals modellering, beslissingsbomen, Monte Carlosimulaties, enzovoort) maken een grotere verfijning en precisie mogelijk en ondersteunen een kosten-batenanalyse. Als gevolg hiervan worden kwantitatieve benaderingen meestal gebruikt in meer complexe en geavanceerde activiteiten ter aanvulling van kwalitatieve technieken. Kwantitatieve benaderingen omvatten:
    • Probabilistische modellen (bijvoorbeeld value at risk, cashflow at risk en operationele verliesuitkeringen) die een reeks gebeurtenissen en de resulterende impact associëren met de waarschijnlijkheid van die gebeurtenissen op basis van aannames. Door bijvoorbeeld te begrijpen hoe iedere risicofactor kan variëren en hoe deze de kasstroom kan beïnvloeden, kan het management het risico beter meten en beheren.
    • Niet-probabilistische modellen (zoals gevoeligheidsanalyse en scenarioanalyse) gebruiken subjectieve aannames om de impact van gebeurtenissen in te schatten, zonder de bijbehorende waarschijnlijkheid voor een bedrijfsdoelstelling te kwantificeren. Met scenarioanalyses kan het management bijvoorbeeld de impact op een bedrijfsdoelstelling begrijpen om de winstgevendheid onder verschillende scenario’s te vergroten.

Afhankelijk van de complexiteit en volwassenheid van de organisatie, kan het management vertrouwen op een zekere mate van oordeelsvermogen en expertise bij het uitvoeren van de modellering/ algoritmes. Ongeacht de gebruikte aanpak, moeten de onderliggende aannames altijd duidelijk worden vermeld.

De verwachte impact van een risico kan van invloed zijn op het type benadering dat wordt gebruikt. Bij het beoordelen van risico’s die extreme gevolgen kunnen hebben, kan het management scenarioanalyses gebruiken. Bij het beoordelen van de effecten van meerdere gebeurtenissen daarentegen kan het management simulaties nuttiger vinden (bijvoorbeeld stresstests). Omgekeerd kunnen hoogfrequente risico’s met een lage impact meer geschikt zijn voor data-tracking en cognitieve gegevensverwerking.

Een laatste onderdeel van de analyse is om de onderlinge afhankelijkheden tussen risico’s te begrijpen. Onderlinge afhankelijkheden kunnen optreden wanneer meerdere risico’s van invloed zijn op een bedrijfsdoelstelling of wanneer het ene risico het andere triggert. Risico’s kunnen gelijktijdig of opeenvolgend optreden. De onderlinge afhankelijkheden worden meegenomen in de impact van het risico.

Bruto risico, Beoogde risico, en Restrisico

Als onderdeel van de risicobeoordeling neemt het management het bruto risico, het beoogde restrisico en het feitelijke restrisico in overweging:

  • Het bruto risico is het risico voor een organisatie zonder beheersmaatregelen
  • Het beoogde restrisico is het risiconiveau dat een organisatie bij het nastreven van haar strategie en bedrijfsdoelstellingen prefereert, wetende dat het management directe of gerichte beheersmaatregelen zal implementeren
  • Het feitelijke restrisico is het risico dat overblijft nadat het management actie heeft ondernomen

Het feitelijke restrisico moet gelijk zijn aan, of kleiner zijn dan, het beoogde restrisico. Wanneer het werkelijke resterende risico het beoogde risico overschrijdt, moeten er aanvullende maatregelen worden vastgesteld waardoor het management de risicohouding verder kan wijzigen.

Het management kan risico’s identificeren waarvoor onnodige beheersmaatregelen zijn getroffen.

Let op! De praktijk is vaak dat het voor medewerkers zeer lastig is om in bruto risico’s te denken. Over het algemeen noemen zij alleen rest risico’s en veronderstellen zij beheersing. Vraag daarom dus altijd naar de reeds bestaande beheersmaatregelen.

Risicokaarten  

De risicoanalyse wordt vaak afgebeeld met een risicokaart heatmap. De kleuren worden bepaald door de mate waarin de risico’s geaccepteerd of beheerst (risk appetite) moeten worden.

Het is van belang om de juiste classificatie van de kans- en impact-schalen te gebruiken, om zo te voorkomen dat alle risico’s bijvoorbeeld kleine kans/ kleine impact hebben. Per bedrijfsdoelstelling kan een dergelijke risicokaart gemaakt worden. Het management kan bij zijn beoordeling het risicoprofiel gebruiken om:

  • Te bevestigen dat de prestaties binnen de tolerantie vallen
  • Te bevestigen dat het risico binnen de risicobereidheid ligt
  • Te illustreren dat verschillende risico’s verschillende gevolgen kunnen hebben voor hetzelfde bedrijfsdoel
  • Risicobewuste beslissingen te nemen

Triggers voor een herijking van de risicoanalyse

Een analyse is een momentopname. Door signalen binnen of buiten de organisatie kan een herijking van de analyse noodzakelijk zijn. Uit deze signalen kan vervolgens worden afgeleid dat de oorspronkelijke  aannames voor de kans en impact veranderd zijn.

De impact van de risico’s en de frequentie waarmee de ernst van de situatie kan veranderen, geven ook aan hoe vaak het risicoprofiel herijkt dient te worden.

Risico’s die samenhangen met projecten of grondstoffenprijzen, moeten bijvoorbeeld dagelijks worden beoordeeld, maar de risico’s die samenhangen met de gewone business kunnen bijvoorbeeld 2 keer per jaar worden beoordeeld.

Bias in beoordeling

Kans en impact inschatten heeft ook te maken met risicointelligentie.

Analyses kunnen door verschillende teams in de organisatie worden uitgevoerd met als resultaat verschillende uitkomsten door bijvoorbeeld perceptieverschillen. Het kan zijn dat het ene team bijvoorbeeld bepaalde risico’s als ‘laag’ beoordeelt, maar een ander team beoordeelt ze als ‘gemiddeld’. Deze verschillen kunnen ontstaan door inconsistenties in de benadering en door verschillende percepties van de bedrijfsdoelstellingen of risico’s.

Kans en impact inschatten heeft ook te maken met risicointelligentie. Analyses kunnen daarnaast door verschillende teams in de organisatie worden uitgevoerd met als resultaat verschillende uitkomsten door bijvoorbeeld perceptieverschillen. Het kan zijn dat het ene team bijvoorbeeld bepaalde risico’s als ‘laag’ beoordeelt, maar een ander team beoordeelt ze als ‘gemiddeld’. Deze verschillen kunnen ontstaan door inconsistenties in de benadering en door verschillende percepties van de bedrijfsdoelstellingen of risico’s.

Bij het inschatten van kans en impact moet altijd rekening gehouden met de bias in de beoordeling. Door de beschikbaarheidsbias worden risico’s waar men beelden van ziet (de aanslag van 9/11) bijvoorbeeld hoger ingeschat dan risico’s waar men geen beelden van heeft (aantal extra verkeersdoden in USA naar aanleiding van. De angst voor vliegen na de aanslag).

De diverse bias kan ertoe leiden dat de ernst van een risico wordt onder- of overschat. Dit beperkt de effectiviteit van de geselecteerde risicoreactie. Het onderschatten van de ernst kan resulteren in een ontoereikende reactie, waardoor de organisatie blootgesteld blijft en mogelijk buiten de risicobereidheid van de entiteit valt. Overschatten van de ernst van een risico kan ertoe leiden dat middelen onnodig worden ingezet, waardoor inefficiënties in de organisatie ontstaan. Bovendien kan deze overschatting de prestaties van de organisatie belemmeren of het vermogen om nieuwe kansen te identificeren beïnvloeden.

Plaats een reactie