Starten met procesmanagement of risicomanagement?

Geplaatst door

Veel organisaties staan voor de keuze om iets met risicomanagement te doen terwijl de processen nog niet eens beschreven zijn. Kan dat wel?

En als je wel alle processen beschreven hebt, moet je dan per processtap risico’s  identificeren of per hoofdproces?

Kwaliteitsmanagement

Elke organisatie wil verbeteren, bijvoorbeeld door efficiënter en effectiever te werken. Processen beschrijven, de processen “in kaart brengen”, is vaak de eerste stap. Door gezamenlijk met verschillende betrokkenen structuur aan te brengen ontstaan nieuwe inzichten hoe het wellicht beter en efficiënter kan.  Maar nog belangrijker zorgt het door het groepsproces voor draagvlak voor veranderingen. De vastlegging hierbij is vaak visueel, bijvoorbeeld in Visio. Dit proces voegt in mijn ogen veel waarde toe aan organisaties omdat naast het doel het draagvlak net zo belangrijk is.

Proces verantwoording

Maar hoe ver ga je met procesbeschrijvingen? Door rechtmatigheid en accountants wordt weer steeds meer de nadruk op zeer uitvoerige procesbeschrijvingen gelegd om vast te kunnen stellen of een organisatie in control is. Veel organisaties hebben dat niet of niet meer op orde. De reden hiervoor is dat het zeer lange trajecten zijn waarbij men soms 3 jaar bezig. Dat is een kostbare zaak.  Iets anders is dat door bepaalde gebeurtenissen (lees .. externe en strategische risico’s )zoals bijvoorbeeld  Corona of nieuwe wetgeving, processen snel kunnen veranderen. De realiteit achterhaalt meestal snel het gedocumenteerde proces.

Risicomanagement

Met risicomanagement worden de meest risicovolle processen van de organisatie vastgesteld. Welke hebben materiele impact en welke raken een licence to operate, oftewel de legitimiteit van de organisatie.

Met risicoanalyses worden de belangrijkste risico’s en bijbehorende controls in kaart gebracht en gemonitord. Dit gebeurt altijd vanuit een bepaalde context. Dit kan vanuit afdelingen, doelstellingen maar vooral ook vanuit processen gedaan worden.  Dit kan op twee manieren;

  • Bottom up; Vanuit de processen, per proces stap risico’s gaan inventariseren.
  • Top down; Vanuit het hoofdproces de belangrijkste risico’s inventariseren.

Hoewel beide methoden kunnen is het qua efficiency beter om risk based te werken en dus top-down de belangrijkste risico’s en controls te benoemen. Dit voorkomt een zeer groot administratief proces want per processtap zijn er natuurlijk (te)veel risico’s te benoemen. Ook qua verantwoording helpt risk based denken want je hebt er aantoonbaar over nagedacht.

Conclusie

Procesmanagement en risicomanagement gaan zeer goed samen. Het koppelpunt kan op het niveau van hoofdprocessen liggen om zo snelheid te behouden. Door risico-gestuurd te werken worden de juiste prioriteiten ook in relatie tot de doelstellingen gesteld. De kracht van risicomanagement is prioriteiten stellen, niet streven naar perfectie. Met procesmanagement moeten de echt risicovolle processen, inclusief key risks en controls natuurlijk wel gemonitord te worden. Daar waar zich de grootste risico’s bevinden en de belangrijkste controls kan een organisatie makkelijk een stap verder gaan in processen om risico’s en controls in processtappen te analyseren.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s