Principe 14: Ontwikkeling integraal beeld van de risico’s

De organisatie ontwikkelt en evalueert een integraal beeld van de risico’s. Dit klinkt makkelijk maar is in de praktijk vaak lastig. Heb je überhaupt wel eens een integrale risicorapportage of dashboard gezien? Op deelgebieden als privacy, finance, legal, quality, HR, IT, worden veel risicoanalyses en controls gedaan. Maar hoe breng je dit bij elkaar en wat kun je hier van leren? Vanuit de nieuwe COSO een nieuwe blog. Als je een voorbeeld integrale risicodashboard vanuit naris wilt zien, laat het me weten. r.hart@naris.com

Voordelen van een integraal beeld van de risico’s

Risicomanagement is een krachtig instrument. De ware waarde van risicomanagement ontstaat als er een integraal beeld uit de decentrale risico-informatie wordt gevormd.

Zo’n  integraal risicoprofiel stelt de organisatie in staat om de risico’s vanuit een afdelings- of organisatiebreed perspectief te analyseren. Het management analyseert eerst de risico’s in relatie tot iedere afzonderlijke decentrale afdeling, divisie, of project. Vanuit dit niveau ontwikkelt men een beeld van de risico’s in verhouding tot de doelstellingen en tolerantie van de gehele organisatie.

• Een portfolioweergave stelt het management en het bestuur in staat rekening te houden met het type, de ernst en de onderlinge afhankelijkheden van risico’s en hoe deze de prestaties van de organisatie als geheel kunnen beïnvloeden

• Met een portfolioweergave is het management goed gepositioneerd om te bepalen of het risicoprofiel van de organisatie in lijn is met haar risicobereidheid

• Hetzelfde risico voor verschillende eenheden kan acceptabel zijn voor de separate afdelingen, maar samen kunnen ze een ander beeld geven, iets dat de risicobereidheid van de organisatie als geheel kan overschrijden. In dat geval zullen aanvullende risicoreacties nodig zijn

• De som der delen: sommige afdelingen hebben een hoger risico dan andere afdelingen, maar het totale risico blijft binnen de risicobereidheid van de entiteit

• Als het risicoportfolio aanzienlijk lager is dan de risicobereidheid van de gehele organisatie, kan het management individuele managers motiveren om meer risico te nemen met als doel de waarde van de organisatie te vergroten

De risicoportfolio ontwikkelen

Om een integraal beeld van de organisatie te krijgen is het essentieel om een standaard taal qua risico-identificatie en analyse te ontwikkelen. Bij het creëren van een zicht op risico zijn er vier niveaus, in oplopend niveau van integratie:

• Minimale integratie – risicoweergave: hierbij ligt de focus op een enkel specifiek risico dat men uitvraagt en analyseert door de hele organisatie. Bijvoorbeeld: er is meer inhuur dan ingecalculeerd
• Beperkte integratie – risico-categorieweergave: hierbij ligt de focus op een cluster aan risico’s. Dit kunnen categorieën (soorten risico’s) zijn op basis van rollen en verantwoordelijkheden
• Gedeeltelijke integratie – risicoprofielweergave: hierbij ligt de focus op de zakelijke doelstellingen en de risico’s die in lijn zijn met die doelstellingen
• Volledige integratie – portfolioweergave: op dit niveau verschuift de focus naar de algehele strategie en doelstellingen van de organisatie. Meer integratie ondersteunt het identificeren, beoordelen, reageren op en beoordelen van risico’s op de juiste niveaus voor besluitvorming. RVT/RVC en management richten meer aandacht op het behalen van de strategie. In de organisatie zelf blijft juist het management van de individuele risico’s met betrekking tot de bedrijfsactiviteiten centraal staan

Bij het ontwikkelen van de portfolioweergave kunnen organisaties risico’s waarnemen die:

• in ernst toenemen, aangezien ze geleidelijk worden geconsolideerd naar hogere niveaus binnen de entiteit
• in ernst afnemen naarmate ze geleidelijk worden geconsolideerd
• andere risico’s compenseren door zich te gedragen als natuurlijke beheersing/hedge
• een positieve of negatieve correlatie aantonen met veranderingen die zich voordoen in de ernst van andere risico’s

Het ontwikkelen van een portfolioweergave van de risico’s voor de organisatie maakt risico gebaseerde besluitvorming mogelijk. Bij belangrijke besluiten biedt dit inzicht in de dynamiek van het risicoprofiel waardevolle informatie.

Door een portfolioweergave te gebruiken, om de relatie tussen risico en prestaties te begrijpen, kan de organisatie de resultaten van de strategie en bedrijfsdoelstellingen beoordelen in overeenstemming met de risicobereidheid van de entiteit.

De portfolioweergave analyseren

Om de portfolioweergave van risico te evalueren kan een organisatie zowel kwalitatieve als kwantitatieve technieken gebruiken.

• Kwantitatieve technieken omvatten regressiemodellering en andere statistische analysemethoden om de gevoeligheid van het portfolio voor veranderingen en schokken te begrijpen
• Kwalitatieve technieken omvatten scenario-analyse en benchmarking

Door het porfolio te benadrukken kan het management:

• de alertheid van de organisatie zien door analyse van stijgers en dalers per unit
• aannames beoordelen die ten grondslag liggen aan de beoordeling van de ernst van het risico
• het gedrag van individuele risico’s onder stresscondities beoordelen
• de onderlinge verschillen van risico’s beoordelen binnen de portfolioweergave
• de effectiviteit van bestaande risicoreacties beoordelen

Het uitvoeren van stresstests, scenarioanalyses of andere analytische oefeningen helpt een organisatie om grote verrassingen en verliezen te vermijden of deze beter aan te pakken.

Deze instrumenten zijn stuk voor stuk hulpmiddelen om de weerbaarheid (resilience) van de organisatie te beoordelen. Daarnaast nodigen ze het management uit om de onderliggende aannames ter onderbouwing van de strategie en de beoordeling van het risicoprofiel aan te vechten. Op deze manier kan analyse van de portfolioweergave ook deel uitmaken van de evaluatie van een organisatie bij het selecteren van een strategie of het vaststellen van zakelijke doelstellingen.