Geplaatst door Gelukkig zet COSO 2017 risico-acceptatie bovenaan en daarmee sluit zij aan bij de visie dat niet alle risico’s beheerst hoeven te worden. Wel is het bij beheersmaatregelen belangrijk om te beseffen dat altijd eerst naar de vraag naar de reeds bestaande beheersmaatregelen moet worden gesteld. Dit voordat men nieuwe beheersmaatregelen introduceert.
Het management selecteert de beheersmaatregelen in relatie tot de impact en doelstellingen van de organisatie. Het is dus een management vaardigheid.
Soorten risicobeheersing
- Accepteren: er wordt geen actie ondernomen om de impact van het risico te veranderen. Dit antwoord is passend wanneer het risico voor strategie en bedrijfsdoelstellingen al binnen de risicobereidheid ligt. Risico’s die buiten de risk appetite van de organisatie liggen en die het management wil accepteren, vereisen over het algemeen goedkeuring van het bestuur of andere toezichthoudende entiteiten
- Vermijden: er wordt actie ondernomen om het risico te weg te nemen, wat kan betekenen dat een project of activiteit wordt stopgezet
- Voortzetten/ nemen : er worden acties ondernomen om betere prestaties te bereiken, maar die meer risico’s met zich meebrengen. Dit kan inhouden dat meer agressieve groeistrategieën worden toegepast, dat activiteiten worden uitgebreid of nieuwe producten en diensten worden ontwikkeld.
- Verkleinen: actie wordt ondernomen om de kans of impact van het risico te verminderen
- Delen: actie wordt ondernomen om de ernst van het risico te verminderen door een deel van het risico over te dragen of anderszins te delen. Gebruikelijke technieken zijn outsourcing en verzekeringen
Risicoreactie
Bij de keuze van een beheersmaatregel worden de volgende factoren meegenomen:
- Bedrijfscontext: past de beheersing binnen de branche, wettelijke omgeving, operationele structuur of andere factoren?
- Welke bestaande beheersmaatregelen zijn er reeds aanwezig?
- Welke kosten en baten brengt dit met zich mee?
- Welke verplichtingen en verwachtingen brengt dit met zich mee?
- Welke prioriteit heeft dit risico? Een top 5-risico krijgt meer middelen toegewezen
- Past de reactie binnen de risicobereidheid van de organisatie?
Vaak brengt één van de verschillende beheersmaatregelen het restrisico in overeenstemming met de tolerantie. Maar soms levert een combinatie van beheersmaatregelen juist het beste resultaat op.
Omgekeerd worden door een beheersmaatregel vaak meerdere risico’s beïnvloed. Een goed voorbeeld is dat door het aannemen van een HR-medewerker de oorzaak van meerdere risico’s weggenomen kan worden.
Check op kosten, baten en wetgeving
Over het algemeen zijn de verwachte kosten en baten evenredig met de ernst en prioriteitstelling van het risico. Een risico met een grotere impact kan op die manier bijvoorbeeld hogere resourcekosten rechtvaardigen.
Het management maakt een kosten-batenafweging van verschillende risicoreacties.
Kosten omvatten de directe kosten, de indirecte kosten (waar praktisch haalbaar) en voor sommige entiteiten ook de alternatieve kosten verbonden aan het gebruik van de middelen.
Het meten van voordelen kan subjectiever zijn, omdat deze meestal moeilijk te kwantificeren zijn.
Het management is daarnaast verantwoordelijk voor de wettelijk verplichte beheersmaatregelen (bijvoorbeeld de verplichtingen vanuit de AVG), ook al zijn deze vanuit het oogpunt van kosten en baten niet optimaal.
Bij het selecteren van de juiste reactie moet het management altijd rekening houden met de verwachtingen van belanghebbenden, regelgevers en klanten.
Tot slot..
Tot slot kunnen organisaties zich ook door innovatieve beheersing onderscheidden van de concurrenten.
Robert 't Hart 