De nieuwe coso linkt risico’s nadrukkelijk aan strategie en prestaties.

Prestaties worden niet altijd gehaald doordat er bijvoorbeeld vooraf onjuiste aannames zijn gedaan of dat geïmplementeerde werkwijzen toch niet blijken te werken. Maar soms worden de prestaties beïnvloed door risico’s die moeilijk te voorspellen waren. In principe 16 wordt daarom bij het beoordelen van de prestaties ook de risicobeoordeling meegenomen.

• 

Hoe doe je dat?

Bij een beoordeling van de prestaties en risico’s kun je volgende vragen stellen:

• Heeft de organisatie volgens de verwachtingen gepresteerd en het doel behaald? De organisatie identificeert de afwijkingen en oorzaken hiervan. Dit kunnen   risico’s en/of niet goed werkende beheersmaatregelen zijn.
• Welke risico’s hebben impact op de prestaties gehad? Waren de risico’s vooral geïdentificeerd of zijn het nieuwe risico’s? Eigenlijk een soort schade analyse. De organisatie beoordeelt ook of de werkelijke risiconiveaus acceptabel zijn.
• Waren de inschatting van de kans* impact risico juist. Zijn de veronderstellingen en aannames die ten grondslag liggen aan de initiële beoordeling voldoende gechallenged. Of is er nieuwe informatie beschikbaar die kan helpen bij het verfijnen van de beoordeling.
• Nam de organisatie voldoende risico om haar doel te bereiken? Zonder risico’s te nemen kun je je doelstellingen niet halen. Er dient ook gekeken te worden naar het risk appetite van de organisatie. Was dit wellicht te laag om de ambitieuze doelstellingen überhaupt te kunnen halen.

Mogelijke acties

Als een organisatie denkt dat doelstellingen niet geheel of gedeeltelijk gehaald worden dan zijn de volgende acties mogelijk;

• De bedrijfsdoelstellingen herzien en aanpassen: een organisatie kan ervoor kiezen om een ​​bedrijfsdoelstelling te wijzigen of te beëindigen als de prestaties van de organisatie niet binnen aanvaardbare bandbreedte worden bereikt.
• De strategie aanpassen: mochten de geleverde prestaties zorgen voor een substantiële afwijking van het verwachte risicoprofiel, dan kan de organisatie ervoor kiezen om haar strategie aan te passen.
• De cultuur beoordelen: een organisatie kan analyseren of de interne organisatie bewust is van haar risicohouding in relatie tot de doelstellingen.
• De impact van de risicoresultaten herijken: een organisatie kan de risicobeoordeling voor relevante risico’s opnieuw uitvoeren. Dit op basis van veranderingen in de bedrijfscontext, de beschikbaarheid van nieuwe gegevens of het challengen van de eerdere aannames.
• De risicoreacties herzien: voor risico’s die qua impact zijn verminderd, kan een organisatie resources opnieuw inzetten voor andere risico’s. Voor risico’s die in ernst toenemen, kan de organisatie extra resources beschikbaar stellen of de monitoringactiviteiten opschroeven.
• De risicobereidheid herzien: maatregelen worden doorgaans ingezet om de balans tussen het risicoprofiel en de risicobereidheid te behouden of te herstellen. Maar het kan ook dat de risicobereidheid zelf aangepast dient te worden. Dit vaak in overleg en met goedkeuring door het bestuur of toezichthouders.

Wel rekening houden met….

Bij de omvang van andere of nieuwe maatregelen moet rekening gehouden worden met:

• De omvang van de afwijking in de prestaties,
• het belang van de bedrijfsdoelstelling en
• de kosten en baten

Wanneer bij het beoordelen herhaaldelijk nieuwe risico’s naar boven komen of kans *impact te laag/hoog wordt ingeschat zal het risicoanalyse proces zelf moeten worden geëvalueerd.

Ga naar principe 17 continu verbetering van het risicomanagement