Interne controle_2023_voorbeeldhoofdstuk_H3

Hoofdstuk 3 Risicomanagement

Inleiding

Dit hoofdstuk heeft als doel een eerste inzicht te geven in wat een organisatie mag verstaan onder risicomanagement (of risk management), alsook hoe dat in de praktijk kan worden toegepast. Vanuit die visie worden de processtappen van risicomanagement stap voor stap toegelicht en geduid met aanvullende basiselementen die we binnen een organisatie als een eerstelijnsrisicobeheersingssysteem zouden moeten kunnen terugvinden.

Uit het hoofdstuk ‘Wat is interne organisatiebeheersing?’ blijkt duidelijk het verband tussen interne beheersing en risicomanagement. We gaan in dit hoofdstuk dan ook wat dieper in op aspecten zoals de detectie van risico’s, de evaluatie of waardering van risico’s en de beheersingsmaatregelen die we kunnen nemen om de risico’s te beheersen of managen.

Vaak is de verleiding groot om alle risico’s die mogelijk de organisatie zouden kunnen hinderen, te elimineren. Dat is echter niet altijd haalbaar. Stel dat een risico in een bakkerij ‘de hitte van de oven’ is. De warmtebron verwijderen, zou het probleem in de kern oplossen. Maar in dat geval heeft de bakker ook geen business meer. De verwijdering van de risico’s aan de bron is met andere woorden niet altijd een optie. Integendeel: bij ondernemerschap zien we dat het omgekeerde waar is. Hoe hoger de inzet, dus hoe groter het risico, hoe hoger de mogelijke ‘winst’. Een onderneming is als het ware verplicht om risico’s te nemen als ze wil groeien en winst maken.

Wat organisaties wel kunnen doen, is de risico’s die relevant en aanwezig kunnen zijn, beheersen. Dat betekent dat ondernemingen moeten leren omgaan met risico’s en die zo goed mogelijk moeten proberen te reduceren, zodat de negatieve impact op de doelstellingen uitblijft, maar er tegelijk wel degelijk ondernemerschap mogelijk is.

Elke organisatie beheert haar risico’s op de een of andere manier, maar niet altijd op een manier die voldoende zichtbaar, herhaalbaar of consistent is om zo de effectieve besluitvorming te ondersteunen. De taak van risicobeheersing (en van de eventueel aanwezige risicomanager) is ervoor te zorgen dat een organisatie kosteneffectief gebruikmaakt van een risicobeheersingsproces dat een reeks goed gedefinieerde stappen omvat. Het doel is de interne beheersing te verbeteren en een betere besluitvorming te ondersteunen, onder meer door een goed begrip te hebben van de risicoblootstelling die op een bepaald moment bestaat.

Om vast te stellen welke beheersingsmaatregelen nodig zijn, moet men eerst een analyse maken van de risico’s die binnen een organisatie bestaan. Dat kan gaan om zichtbare, klassieke, vaak materiële risico’s, zoals klanten die niet betalen of de dreiging van brand- en waterschade. Tegen dat soort van risico’s kan een onderneming zich veelal op een vrij eenvoudige manier indekken door onder meer een degelijk verzekeringsbeleid.

Gevaarlijker, want moeilijker in te schatten en vaak moeilijk of niet te verzekeren, zijn de minder zichtbare, immateriële risico’s, zoals het imagoverlies dat een multinational kan leiden door een grote fraudezaak (denken we bijvoorbeeld aan de auditor Arthur Anderson in de zaak Enron)1, het negatieve effect op de verkoop van een onderneming door een negatieve lezersbrief in de lokale pers, het omzetverlies van een chocoladebedrijf door een salmonellabesmetting enzovoort.

Het is bovendien duidelijk dat het risicoprofiel van elke onderneming anders is. Het risicoprofiel van een speelgoedfabrikant zal er volkomen anders uitzien dan dat van een dienstenbedrijf (zoals een accountantskantoor) of dat van een openbare dienst.

Het is daarom zeer belangrijk dat een onderneming een gedegen risicoanalyse maakt en op basis daarvan op zoek gaat naar een aantal preventieve maatregelen om de risico’s te beheersen. Daarbij moeten we er voortdurend rekening mee houden dat de kosten van de genomen maatregelen kleiner moeten zijn dan de kans op de bedreiging maal de schade die ontstaat als de bedreiging zich voordoet.

Het is ook belangrijk om in het achterhoofd te houden dat geen enkel risico voor 100 % moet of kan worden geëlimineerd. Voor elk risico moeten we vaststellen welke tolerantie we wensen toe te laten.

In het auditcomité moet de risicobeheersing van de onderneming worden opgevolgd en geëvalueerd, kunnen interne en externe auditoren worden ondervraagd om een betere inschatting van de risico’s te krijgen en kan overleg worden gepleegd met bedrijfsjuristen die juridisch advies geven aan het management en de raad van bestuur.

In die context verwijst de term ‘risicomanagement’ of ‘risicobeheersing’ naar de systematische toepassing van principes, een aanpak en een proces, gericht op de identificatie en de beoordeling van risico’s, en vervolgens de planning en de implementatie van risicorespons (beheersingsmaatregelen).

Risico’s identificeren houdt in dat ondernemingen alle onzekerheden die de verwezenlijking van doelstellingen binnen de context van een bepaalde organisatorische activiteit zouden beïnvloeden, in overweging moeten nemen. Die moeten vervolgens worden beschreven opdat er een gemeenschappelijk begrip zou bestaan.

Risico’s beoordelen betekent dat de onderneming de waarschijnlijkheid, de impact en de nabijheid van individuele risico’s moet inschatten. Doordat de risico’s worden gerangschikt, kan het algemene niveau van risico (risicoblootstelling), dat met de organisatorische activiteit samenhangt, begrepen worden.

Risico’s beheersen houdt in dat er passende reacties op risico’s moeten worden gepland, dat er eigenaars en actievoerders moeten worden toegewezen en dat die antwoorden vervolgens moeten worden geïmplementeerd, gevolgd en gecontroleerd.

Het is nagenoeg onmogelijk om als organisatie te functioneren zonder risico’s te nemen, en zo zal er ook geen winst of vooruitgang zijn zonder risico’s te nemen. Risicomanagement is dus een zoektocht naar de juiste balans tussen risicokost en winst.

Dat laatste heeft wel grenzen. De grafische voorstelling op de volgende pagina geeft weer dat een onderneming normaal gezien een bepaald groeiperspectief heeft (volle lijn). Daarbij zal de onderneming zich binnen een normaal pad ontwikkelen zonder daarmee een bijzondere risicobereidheid te hebben.

Hoofdstuk 3 Risicomanagement

Figuur 1 Risk Managment

©Risk Consulting – Sim Doolaege

Als bedrijven onder druk staan of als de risicobereidheid (te) laag is, zal de stijgingshoek verkleinen. Bedrijven lopen dan het risico dat ze zo traag groeien of evolueren dat ze botsen tegen obstakels en het vliegtuig figuurlijk zal crashen (fijne stippellijn).

Een andere categorie is die van de (te) snelle stijgers. Denken we bijvoorbeeld aan dat ene pop-uprestaurant dat op heel korte tijd the place to be van de stad is geworden. De vraag is dermate groot en ontwikkelt zich zo snel dat een organisatie niet de tijd heeft zich aan te passen, te optimaliseren of de nodige middelen te voorzien. Het vliegtuig zal dus te snel de lucht in gaan en uiteindelijk mogelijk ook uit te lucht vallen.

Met risicomanagement/risicobeheersing moeten we er mee over waken dat de curve van het vliegtuig binnen de juiste ratio blijft, dus tussen de fijne stippellijn en de streep-stippellijn.

2 Wat is een risico?

Vooreerst is het belangrijk te duiden hoe een risico of bedreiging wordt gedefinieerd.

Een risico is een onzekere gebeurtenis (of reeks gebeurtenissen) die, als ze zich voordoet, een effect zal hebben op de mate waarin doelstellingen al dan niet worden bereikt.

Enkele voorbeelden daarvan zijn: natuurfenomenen (storm, overstromingen …); ongevallen; sociale onrust; criminaliteit; een economische crisis; …

Een risico is dus: de mogelijkheid op een gevaar, verlies, schade of andere negatieve gevolgen met als gevolg een onzeker effect op het bereiken van doelstellingen.

In de zuiverste vorm wordt een risico bepaald door twee factoren: de waarschijnlijkheid/kans dat een gebeurtenis zich aandient; de impact/ die het effect dat de gebeurtenis heeft op de vooropgestelde doelstelling(en).

De waarde of omvang van een risico wordt dan ook door die factoren bepaald: risico = kans x impact.

In dit handboek beperken we ons tot de praktische basis van risicomanagement. Het mag dan ook niet verbazen dat er binnen het vakgebied nog meerdere formules terug te vinden zullen zijn, de ene al complexer dan de andere.

Belangrijk is wel om te kaderen dat om van een risico te kunnen spreken de factor ‘kans’ of ‘onzekerheid’ wel degelijk nog aanwezig moet zijn. Als die factor wegvalt, dan wordt het risico een feit (issue). In dat geval zal de ongewenste gebeurtenis zich manifesteren of is die al gaande. De impact is dus merkbaar al aanwezig. We nemen als voorbeeld ‘de kans op een ongeval’. Als de kans zou wegvallen, dan is het ongeval een feit en de schade aanwezig.

Hoofdstuk 3 Risicomanagement

Welke risico’s er dan specifiek worden weerhouden, is afhankelijk van onderneming tot onderneming. Algemeen zal een organisatie zich richten naar risico’s waaraan de onderneming wordt blootgesteld én die relevant zijn voor het behalen van de vooropgestelde objectieven/doelstellingen.

Voor de volledigheid voegen we daar nog aan toe dat naast de risico’s, die we eerder een negatief karakter toeschrijven, ook positieve effecten kunnen ontstaan. We spreken dan van een opportuniteit of kans. Een gedegen risicomanagement zorgt ervoor dat organisaties net de juiste (hoeveelheid) risico’s kunnen nemen, en dat binnen hun eigen context (risicobereidheid) en op het niveau dat ze aankunnen (risicocapaciteit).

Binnen ERM (Enterprise Risk Management – COSO II) kunnen we risico’s onderverdelen in diverse categorieën. De onderstaande verdeling is een indicatieve indeling en dus niet bindend. Er bestaan namelijk, zoals in veel systemen, veel inzichten die soms kunnen verschillen.

Operationele risico’s:

• goederenverkeer;

• bedrijfscontinuïteit;

• aan- en verkoop van goederen (supply chain);

• arbeidsmiddelen en technische installaties;

• …

Compliance risico’s (legal):

• algemene wetgeving;

• privacy en GDPR;

• wetgeving op voedselveiligheid;

• wetgeving op (fiscale) fraude en Antiwitwaswetgeving (AWW);

• kwaliteitseisen op producten;

• productaansprakelijkheid;

• Financiële risico’s:

• cashflow;

• belastingen en accijnzen;

• vreemde valuta;

• krediet- en financieringsrisico’s;

• …

Milieurisico’s:

• extreme weersomstandigheden;

• ligging van de site;

• milieubelastende activiteiten;

• Mensgerelateerde risico’s:

• retentie van medewerkers;

• MVO;

• competentiebeheer;

• arbeidsveiligheid;

• …

Security:

• geweldpleging;

• beschikbaarheid van cruciale informatiesystemen;

• vandalisme;

• inbraak;

•

3 Het risicomanagementproces

Bij het risicomanagementproces gaan we op een systematische manier tewerk, zodat we alle risico’s die relevant zijn voor de onderneming in kaart kunnen brengen en analyseren. Op die manier kunnen we evalueren welke prioriteit die risico’s krijgen, zodat we tot slot kunnen bepalen welke beheersingsmaatregelen gepast zijn om te nemen.

In een risicomanagementproces onderscheiden we volgende fases:

identificatie en inventarisatie van risico’s;

evaluatie en prioritering van risico’s;

definiëring van risk responses:

• tolerate,

• treat,

• transfer,

• terminate.

het beheersingsplan.

Hoofdstuk 3 Risicomanagement

3.1 De identificatie en inventarisatie van de risico’s

De identificatie van de risico’s is de eerste en meteen ook de belangrijkste fase van het risicomanagementproces. Rationele beslissingen in verband met de risicobeheersing kunnen alleen worden genomen als alle potentiële risico’s waaraan de onderneming is blootgesteld, systematisch zijn opgespoord en geïnventariseerd. Het is precies op dat vlak dat het met heel wat risicomanagementprogramma’s fout loopt, precies omdat de identificatie van de risico’s veel te oppervlakkig gebeurt, of alleen in functie van de verzekerbare risico’s.

Bij de risico-identificatie stellen we onszelf twee vragen:

Wat kan er fout lopen?

Wat moet er absoluut goed gaan?

De identificatie van de risico’s moet diepgaand gebeuren en alle (mogelijke) risico’s moeten in kaart worden gebracht. Bovendien moet dat gebeuren in alle objectiviteit, zonder enig waardeoordeel over het risico, noch in de zin van de impact die het kan hebben, noch in de zin van de (on)waarschijnlijkheid.

De inventarisatie van risico’s wordt soms bepaald of beperkt door de tijd en het budget die beschikbaar zijn. Als voor de risicobeoordeling een groot aantal risico’s verder moet worden onderzocht, kan een gefaseerde aanpak aangewezen zijn. Eerst kan een beoordeling op hoog niveau worden uitgevoerd om prioriteiten vast te stellen en toe te wijzen. Zo kan nadien een meer gedetailleerde analyse worden uitgevoerd op de risico’s met de hoogste prioriteit.

3.1.1 Risicobeoordelingstechnieken

Er zijn een aantal risicobeoordelingstechnieken om te komen tot een (voorlopig/tijdelijke) inventarisatie en classificatie van risico’s.

De intake, namelijk het verzamelen van gegevens in een persoonlijk overleg of een brainstorm met het managementteam, is een eerste techniek. Daarbij worden de belangrijke processen doorgesproken en wordt omschreven welke elementen die processen zouden kunnen verstoren.

Het grote voordeel is dat er een geconsolideerde visie tot stand komt die gedeeld wordt door de betrokken partijen. Dat voordeel is tegelijkertijd het nadeel omdat persoonlijke beïnvloeding niet is uit te sluiten en soms zelfs onvermijdbaar is.

Als het gaat om (voornamelijk) fysieke en/of zichtbare risico’s, brengen (fysieke) inspecties en audits van gebouwen en activiteiten vaak soelaas. Daarbij wordt de naleving van de bestaande systemen en procedures nagekeken en gecontroleerd op conformiteit. Het voordeel is dat fysiek bewijs wordt gebruikt als basis voor de vorming van de adviezen. Inspecties zijn echter vooral geschikt voor de inventarisatie van fysieke risico’s en de auditor zal de neiging hebben om zich te baseren op eigen ervaring en kennis. Hetzelfde fenomeen zien we ook bij de financiële of administratieve audits.

Verder maken ondernemingen dikwijls gebruik van checklists en vragenlijsten. Die hebben het voordeel dat ze meestal eenvoudig te voltooien zijn en soms minder tijd in beslag nemen dan andere beoordelingstechnieken. Het nadeel is dat elk risico waarnaar niet letterlijk wordt verwezen door een passende vraag, kan worden aangenomen als niet belangrijk. In het slechtste geval zouden sommige risico’s niet (h)erkend kunnen worden.

Zoals zo vaak het geval is, is een combinatie van de bovenstaande technieken of methodieken de beste keuze. Een goed onderbouwde vragenlijst, aangevuld met een audit ter plaatse die wordt besproken tijdens een persoonlijke intake, zorgt veelal voor goede resultaten.

Bij de organisatie van brainstorm- of intakesessies bij een risicobeoordeling is het belangrijk dat alle partijen duidelijk weten wat het doel is. Samengevat zal het belangrijkste resultaat van een succesvolle risicobeoordeling zijn dat: er een inventarisatie, analyse en evaluatie is van alle relevante risico’s; er een bevestiging kan worden gevonden of het huidige controleniveau adequaat is of niet.

Met andere woorden: is het bestaande risiconiveau aanvaardbaar of niet en zijn eventueel aanvullende maatregelen noodzakelijk?

3.1.2 Stakeholderanalyse

De risico-identificatie is het meest doeltreffend als de belangrijkste belanghebbenden (stakeholders) worden betrokken bij gestructureerde brainstormworkshops. Vooreerst is het dus interessant om een stakeholderanalyse te maken.

Stakeholders zijn individuen of groepen die betrokken zullen zijn bij of geaffecteerd door de activiteiten van de onderneming. Ook intern zijn er diverse

Hoofdstuk 3 Risicomanagement

belanghebbenden die in mindere of meerdere mate een invloed kunnen hebben op de organisatie. We denken dan aan managers, partners in een project enzovoort.

Om dat alles goed in kaart te brengen, is het zinvol om een stakeholdermatrix op te maken. Daarbij wordt gekeken naar het belang voor de belanghebbende en de impact van de belanghebbende op de organisatie.

Bron: gebaseerd op de AXELOS M_O_R® Figuur B1. Influence/Interest Matrix.

Het spreekt voor zich dat hoe hoger het belang en de impact, hoe meer kracht die belanghebbenden hebben in de organisatie, en dus hoe belangrijker hun betrokkenheid zal zijn.

3.1.3 SWOT-analyse

Om risico’s te identificeren,, is het niet alleen waardevol om de stakeholders te kaderen, maar ook om de eigen organisatie in kaart te brengen, met haar sterktes en zwaktes enerzijds en haar kansen en bedreigingen anderzijds. De zogenoemde SWOT-analyse biedt een schematisch overzicht op bedrijfsniveau en wordt heel breed ingevuld.

Figuur 3 SWOT

Patenten

Sterke merknaam

Goede reputatie bij de klanten

Goede productlijnen

Brede marktdekking

Sterke productie-entiteit

Goede marketing

Efficiënte inzet van middelen

Behoud van onze medewerkers

Sterk en inspirerend managementteam

Stijgende productiekost

Slecht financiëel beheer

Slechte reputatie bij de klanten

Beperkte toegang tot distributie

Beperkte middelen

Hoge kostenstructuur

Zwak HR-beleid

Geen duidelijke visie en strategie

Interne competitie in de onderneming

Groot verloop van medewerkers

Uitbreiding van onze activiteiten

Ontdekken van nieuwe markten

Nieuwe technologieën

Openen van de internationale markten

Verkennen van de extra noden van onze klanten

Ontwikkelen van nieuwe kennis binnen

R&D

Snelle marktgroei verkennen

Vergroten van ons buitenlands

marktaandeel

Kostdifferentiatie

Aquisities

Directe concurrentie op onze kernactiviteiten

Wijziging in de klantverwachtingen

Opkomst van andere en goedkopere vervangproducten

Nieuw regelgevend kader

Grote internationale concurrentie

Overname

Verandering in de economische markt (crisis)

Vertraagde marktgroei

Beperkingen op buitenlandse

transacties

Politieke onrust

3.1.4 PESTLE-analyse

De zogenaamde PESTLE-analyse helpt om, aan de hand van aanwijzingen, inzicht te krijgen in de diverse aspecten van de context. PESTLE is een manier om inhoudelijk dimensie te geven aan de SWOT-analyse.

Een PESTLE-analyse geeft een onderneming een brede scan van de context en de werkelijke of potentiële factoren. Ze geeft weer op welke manieren de doelstellingen kunnen worden beïnvloed als ze onbeheerd worden achtergelaten.

Het maken van een PESTLE-analyse is zeer eenvoudig en kan worden uitgevoerd door individuen, of tijdens een teamvergadering of workshop. Om een dergelijke analyse doeltreffend uit te voeren, moet het onderwerp vooraf duidelijk worden gedefinieerd en begrensd, zodat de deelnemers de doelen volledig begrijpen.

Ecoomical (economisch)

Eurocrisis Opkomen nieuwe markten

Toetreding nieuwe marktpartijen

Legislative (wet- en regelgeving)

Bescherming

persoonsgegevens Vrijheid van informatie

Milieu- en Arbowetgeving

Wordt beïnvloed door veranderingen

Relaties met belanghebbenden

Bedrijfsprocessen Cultuur

Benodigde competenties

Political (Politiek)

Benoeming CEO

Verkiezingsresultaten Nieuwe

raamovereenkomsten

Organisatiestructuur

Rollen en verantwoordelijkheden

Informatiebehoefte

Toeleveringsketen

Leveranciersrelaties

Environment (omgeving)

Opwarming van de aarde

Toename risico op catastrofes

Aanval

World Trade Centrum

Technological (technologisch)

Nieuwe behandelingen

Social media

Nieuwe producten en technieken

Societal (maatschappelijk)

Demografische veranderingen

Houding t.o.v. alcoholgebruik

Toename vergrijzing

3.1.5 MUOPO-methode

De MUOPO-methode (Mens – Uitrusting – Omgeving – Product – Organisatie) ligt in dezelfde lijn, maar is in origine terug te vinden binnen de veiligheidskunde. Hieronder geven we alvast enkele voorbeelden om dat te duiden. De kernelementen kunnen nog worden aangevuld.

Mens

Alle menselijke aspecten binnen de organisatie. Het gaat onder meer over competenties, attitude, ervaring … Kort samengevat: de individuele aspecten.

Uitrusting Toestellen, machines, arbeidsmiddelen …

Omgeving De werkomgeving, bij uitbreiding de locatie, klimaatomstandigheden, werkklimaat, ergonomie …

Product Lasten, chemische agens …

Organisatie

De manier waarop de organisatie bepaalde aspecten weet te organiseren, organisatie van opleiding, taakverdeling, rollen en verantwoordelijkheden, planning …

3.1.6 Methodes voor risico-identificatie

Elk belangrijk onderdeel of onderwerp wordt een voor een bekeken en de volgende factoren worden vastgesteld:

Wat zijn de bronnen van risico of bedreiging? Wat heeft het inherente potentieel om schade te berokkenen of te vergemakkelijken?

Wat zou er kunnen gebeuren? Gebeurtenissen of incidenten die zich kunnen voordoen waardoor de verwezenlijking van de doelstellingen zou worden beïnvloed.

Waar? De fysieke locaties/middelen waar de gebeurtenis kan plaatsvinden of waar de directe of indirecte gevolgen kunnen worden ervaren.

Wanneer? Specifieke tijden of periodes waarin de gebeurtenis zich kan voordoen en/of de gevolgen die zich kunnen voordoen.

Hoe? De manier of methode waarop de risicogebeurtenis of het incident zich kan voordoen.

Oorzaken: wat zijn de directe en indirecte factoren die de bron van het risico of de bedreiging creëren?

Bedrijfsgevolgen: wat zou het effect op de doelstellingen zijn als het risico zich voordoet?

Betrokken bedrijfsonderdelen/belanghebbenden: welke delen van de organisatie en welke stakeholders zouden betrokken of beïnvloed kunnen worden?

Bij de analyse bekijken we eveneens: welke de huidige beheersingsmaatregelen zijn die werden vastgelegd; welke de kwetsbaarheden zijn waardoor die bestaande beheersingsmaatregelen hun doeltreffendheid zouden missen.

Als elk onderdeel of belangrijke component is beoordeeld en een lijst van alle risico’s is opgesteld, moet de onderneming nagaan of de lijst volledig is, of de doelstellingen en het toepassingsgebied van de risicobeoordelingsactiviteit voldoende zijn bestreken, en of de informatie waarop de organisatie zich baseert, geldig en geloofwaardig is. Om dat te doen, werden heel wat methodes ontwikkeld, van de meest eenvoudige tot de meest gesofisticeerde. We geven hieronder enkele methodes weer die organisaties kunnen gebruiken om de risico-identificatie, met alles wat dat omvat, efficiënt uit te voeren.

3.1.6.1 De raadpleging van documenten in verband met de onderneming

In de meeste ondernemingen zijn tal van documenten en verslagen beschikbaar waaruit (bijkomende) risico’s kunnen worden afgeleid. Enkele voorbeelden zijn: jaarverslagen; statistische informatie bij vakorganisaties; instructies voor het gebruik van bepaalde machines of andere bedrijfsmiddelen. Dat kan wijzen op het gevaarlijk karakter van een machine; verslagen van de verantwoordelijke inzake de kwaliteitscontrole. Die kunnen een licht werpen op de mogelijke problemen die zich kunnen stellen op het vlak van de productaansprakelijkheid; verslagen opgesteld door de arbeidsinspectie. Die rapporten zijn nuttig voor de identificatie van risicosituaties en -oorzaken van arbeidsongevallen; financiële rapportages; schadestatistieken; …

3.1.6.2 Scenario-analyse

In wezen zijn scenario’s verhalen die de mogelijkheden voor een bepaalde reeks omstandigheden beschrijven. Scenario-analyse is de techniek om alternatieve

Hoofdstuk 3 Risicomanagement

toekomsten af te beelden, en te analyseren hoe verschillende strategische beslissingen tot verschillende uitkomsten kunnen leiden.

De scenario-analyse omvat enkele stappen om de waarschijnlijkheid van een gebeurtenis te bepalen: de onverwachte of ongewenste gebeurtenis identificeren; de te onderzoeken omstandigheden beschrijven; de kritieke controlepunten identificeren; een gebeurtenissen- of scenarioboom ontwikkelen; de knooppunten van de gebeurtenissen-/scenarioboom kwantificeren en evalueren (Event Tree Analysis).

3.1.6.3 Flowcharts

Het begrip ‘flowchart’ kunnen we definiëren als de schematische voorstelling van een proces door middel van gestandaardiseerde symbolen. Die techniek wordt meestal gebruikt voor industriële productieprocessen. In dat verband zal een goed opgestelde flowchart laten zien:

waar de grondstoffen vandaan komen; hoe die grondstoffen worden verwerkt;

welke de verschillende fasen van het productieproces zijn; welk het eindproduct is en de bestemming daarvan; …

3.1.6.4 Informatie door experten

De raadpleging van stakeholders, risico-eigenaars (risk owners), leden van het management of medewerkers die een bijzondere expertise bezitten van bepaalde bedrijfsprocessen, kan bijzonder waardevol zijn. Via die kanalen komen soms niet eerder vermelde risico’s toch naar boven. Die informatie kan binnen de organisatie worden verkregen door:

vragenlijsten;

surveys;

checklijsten;

workshops;

…

Naast de stakeholders kan een organisatie ook een beroep doen op experten. Externe experten met een bepaalde kennis of competentie kunnen vaak risico’s duiden die nog niet werden geïdentificeerd (of die mogelijk nog niet zijn

gekend), omdat ze ook ervaringen hebben buiten de organisatie en daardoor ook niet worden beïnvloed. Enkele voorbeelden zijn: advocaten; accountants; auditoren; architecten; fiscalisten; vakdeskundigen (businessprocesmanagers, veiligheidsdeskundigen …); …

3.1.6.5 Het plaatsbezoek

Een fysiek bezoek aan de verschillende onderdelen van het bedrijf is een belangrijke methode voor de identificatie van de risico’s. Het is een onmisbare fase, want: het laat toe de gegevens die al werden verzameld via de andere identificatiemethodes aan te vullen;

het geeft de mogelijkheid die gegevens te toetsen aan de praktijk. het geeft een duidelijker inzicht in de potentiële gevolgen van een schadegeval; het geeft inzicht in de bestaande preventieve maatregelen en de effectiviteit van de huidige beheersingsmaatregelen;

3.1.6.6 Technische methodes

Naast de algemene methodes die we hierboven hebben toegelicht, werden in de loop van de jaren een aantal meer technische methodes ontwikkeld om risico’s te identificeren, vooral dan in verband met industriële processen.

3.2 De evaluatie van risico’s

Wellicht het belangrijkste document dat als resultaat van het risico-identificatieproces moet worden opgesteld, is een risicoregister. Een risicoregister is een kerndocument voor risicobeheersing dat gedetailleerde informatie bevat over elk geïdentificeerd risico. Dat register omvat het best, maar niet limitatief, enkele basisgegevens zoals:

een unieke referentie (als verwijzing voor het actiebeheer);

een gedetailleerde beschrijving van elk risico:

• het gevaar (bron);

• het risico: wat er kan gebeuren;

Hoofdstuk 3 Risicomanagement

• bestaande behandelingsmaatregelen of controles om de blootstelling te beperken;

de mogelijke gevolgen (aangevuld met de respectievelijke score);

de waarschijnlijkheid dat een risico zich daadwerkelijk voordoet (aangevuld met de respectievelijke score);

de persoon die verantwoordelijk is voor het beheer van het risico (de risicoeigenaar of risk owner);

de RPN (risk priority number): de score uit de berekening van de kans x de impact.

Voor de beoordeling van de geïnventariseerde risico’s zijn een aantal begrippen van belang:

Het aanvaardbaar risico: het risico dat een organisatie bereid is te nemen en waarvoor zelfs a priori niet direct bijkomende beheersingsmaatregelen worden getroffen.

VOORBEELD

In een kantoorgebouw werd een branddetectie geïnstalleerd, een noodprocedure is opgemaakt en draagbare blusmiddelen zijn voorzien. Ondanks die maatregelen is er nog altijd kans op een brand, maar de organisatie beslist om verder geen acties te ondernemen. Het risico heeft een zo laag mogelijk realistisch haalbaar niveau bereikt. Dat wordt ook ALARP (as low as reasonably possible) genoemd.

De risico–capaciteit: het risico dat een organisatie maximaal kan dragen. Als de schade van de gebeurtenissen die waarde zou overstijgen, dan heeft dat in veel gevallen nefaste gevolgen.

VOORBEELD

Om een nieuw product op de markt te brengen is er een kapitaalsinbreng nodig van 100 000  euro. Dat is de totaalreserve die de organisatie vandaag heeft, en betekent de volledige inzet van het ‘reservekapitaal’.

De risico-tolerantie: het vastleggen van drempels. Als een drempel wordt overschreden, zal de organisatie het risico en het beheer ervan naar een volgend niveau moeten opschalen.

VOORBEELD

Een projectmanager krijgt een portefeuille toegekend van 10 000 euro voor de uitwerking van een project. De organisatie legt vast dat de projectmanager bij een overschrijding van het budget met 10 % of meer toestemming moet vragen aan zijn of haar directe overste, namelijk de operations manager.

De vastlegging van die grenzen zal de verdere uitwerking van een risicoraamwerk of een risicomatrix in veel opzichten vereenvoudigen. Eens de minima en de maxima zijn vastgelegd is het namelijk veel eenvoudiger om een schaalmodel te verdelen.

Het meest eenvoudige schaalmodel dat voor risico’s kan worden opgezet, is de risicomatrix. Het is een twee-assenmodel dat een kans/waarschijnlijkheid en impact/ernst met elkaar in verbinding brengt en dus de twee basiscomponenten van een risico weergeeft.

Hoofdstuk 3 Risicomanagement

Figuur 6 Ernst-matrix

Om een risicomatrix te ontwerpen, kun je eenvoudig op het internet op zoek gaan. Maar: het blijft wel een schaalverdeling die in en voor een specifieke organisatie wordt gebruikt; de schaalverdeling wijkt mogelijk ver af van de effectieve context en scope van een bepaalde organisatie; de definities van het schaalmodel zijn zo vaag en onbeduidend dat ze eigenlijk een discussie op zich waard zijn. Een term zoals ‘virtueel onmogelijk’ heeft daarbij al meermaals de wenkbrauwen doen fronsen.

Enig huiswerk is dus wel een absolute noodzaak, zodat het model is uitgelijnd met de organisatie of de scope waarop het van toepassing is en waarbij het kader transparant en begrijpelijk is voor iedereen die ermee aan de slag moet.

Om alvast een aanzet te geven bieden we enkele maateenheden die kunnen worden gebruikt om de schalen van een matrixmodel helder in te vullen.

Tabel 2 Ernst - Impact -Severity

× aantal uren downtime van de productie;

Operationele

risico’s

× aantal eenheden minder geproduceerd;

× aantal dagen vertraging in de levering;

…

Compliance risico’s (legal)

niet verlengen van een vergunning, en dus geen toelating om de activiteiten verder uit te voeren; boete door een inbreuk op een wettelijke eis; beperking van de activiteit door een wijziging in de wetgeving;

…

× aantal euro schade;

Financiële

risico’s

× aantal dagen te laat met een betaling door een gebrekkige cash-flow;

× aantal euro daling in de omzet;

…

× aantal liter gemorste vloeistof;

Milieu

× aantal m³ overschrijding van de emissienorm; lek beperkt tot de eigen site;

…

Mens

EHBO-letsel; aantal verletdagen door een ongeval; aantal mensen dat de organisatie verlaat;

…

Security

aantal inbraken; hoeveelheid dataverlies; aantal keer dat personen zonder toelating in een afgeschermde zone toegang namen;

…

Als praktische uitwerking nemen we bijvoorbeeld een as-indeling voor het domein ‘MENS’.

MENS

5 Ongeval met dodelijke afloop

4 Letsel met blijvende ongeschiktheid of Letsel met een afwezigheid van > 6 weken

3 Letsel met tijdelijke ongeschiktheid of Letsel met een afwezigheid van < 6 weken

2 EHBO + Doorverwijzing naar een arts of ziekenhuis

1 EHBO-letsel

De eigenlijke verdeling van de schaal binnen elk domein moet dus duidelijk kwantitatief of kwalitatief worden omschreven. Termen zoals ‘erg’ en ‘catastrofaal’ worden immers door elke persoon anders ingevuld en kunnen bij de analyse en de evaluatie voor discussie zorgen.

Dezelfde criteria zijn van toepassing voor de indeling van de frequentie/kans.

5 10 maal per jaar of meer

4 5 maal per jaar

3 1 maal per jaar

2 1 maal om de 5 jaar

1 1 maal om de 10 jaar

Komt niet voor in de eigen statistiek

De term ‘onmogelijk’ als kans betekent technisch dat er geen mogelijkheid bestaat, en dat de score ervan dus gelijk is aan ‘0’. Als de kans niet bestaat is en/of er is geen schade, dan is het risico niet relevant/bestaande binnen de context van die onderneming of scope.

Vanuit de identificatie, de inventarisatie en de analyse beschikken we nu over een overzicht van alle bestaande risico’s. Het blijft dan evenwel nog de vraag welke risico’s prioriteit krijgen.

We hebben in de analyse een ‘RPN’ (risk priority number) toegekend aan het risico: het cijfer dat de prioriteit van het risico weergeeft. Een kleine kanttekening daarbij is dat de verkregen risicoscore niet als wiskundig getal op zich moet worden aangenomen, maar een weging geeft die ons in staat zal stellen om risico’s te groeperen.

We kunnen de evaluatie zien als tussenfase om het actieplan af te stemmen op de meest prioritaire risico’s in de organisatie. Die werden eigenlijk al bepaald op het ogenblik dat de risicomatrix werd opgesteld. De kleuren die aan elke combinatie worden gegeven, zorgen voor een soort trapsgewijze schaling van risico’s. Zo zal de combinatie van de kans- en de impactfactor bepalend zijn voor welke kleur het risico krijgt, en met welke prioriteit we een welbepaald risico zullen behandelen. De grijsschakeringen in tabel 4 vertegenwoordigen drie verschillende kleuren.

Kleurencode Prioriteit

[rood]

Directe maatregelen noodzakelijk alvorens verder te gaan.

[oranje]

Indien mogelijk verdere aanpassingen uitvoeren. Monitoring van de omstandigheden om na te gaan of de context de risicoscore niet wijzigt.

Aanvaardbaar risiconiveau, geen directe acties vereist.

[groen]

Opvolging bij de review van het risicoregister.

*indicatief schematische voorstelling

In de praktijk worden de risicoanalyse en de risico-evaluatie meestal gelijktijdig uitgevoerd omdat de groepering op basis van de RPN al in de procedure van het opstellen van de matrix is vastgelegd. Toch moeten we herhalen dat een RPN

Hoofdstuk 3 Risicomanagement

geen louter wiskundige benadering kan of mag hebben. Zo is het mogelijk dat een organisatie ervoor kiest om niets te doen met een rood risico omdat andere risico’s sneller kunnen worden aangepakt, of omdat de wegwerking van het rode risico dermate veel resources vraagt dat het verlammend werkt op de rest.

3.3 Hoe kunnen we risico’s behandelen?

3.3.1 De risicorespons

Als alles in kaart is gebracht en we op een aanvaardbaar niveau van volledigheid zijn beland, kunnen we starten met de volgende stap in ons risicobeheersingsprogramma, met name maatregelen nemen en beheren. De behandeling van risico’s heeft in hoofdzaak twee doelstellingen:

Enerzijds proberen we de kans dat een ongewenste gebeurtenis zich voordoet tot een minimum te herleiden.

Anderzijds kunnen we in sommige gevallen de mogelijke (negatieve) consequenties proberen te beperken tot het absolute minimum.

Het is dan ook zo dat schadeherstellende maatregelen niet geschikt zijn als beheersingsmaatregel aangezien ze noch de kans noch de impact beïnvloeden.

VOORBEELD

Als we met een sportieve wagen rijden, komen we snel in de verleiding om te snel te rijden. Als we dan een ongeluk hebben, zal de kans groot zijn dat we ernstige schade hebben aan het voertuig én dat we ook lichamelijke letsels oplopen.

Om dat risico aan te pakken worden diverse beheersingsmaatregelen getroffen, al zal de ene al meer effect hebben dan de andere.

Kansreducerende maatregelen

Verlagen van de kans op een ongeval door snelheidsreductie.

Aanleggen van verkeersdrempels die de snelheid doen verminderen. Asverschuivingen in de weg voorzien.

De doorgang versmallen. Signalisatie met de maximaal toegelaten snelheid aanbrengen.

Impactreducerende maatregelen

Ervoor zorgen dat bij een ongeval het letsel wordt beperkt, maar dat heeft geen invloed op de kans dat het gebeurt.

Schadeherstellende maatregelen

Deze ingreep herstelt alleen de schade zonder meer en zal een toekomstig ongeval in geen enkele zin wijzigen.

Veiligheidsgordels voorzien. Airbags in de wagen voorzien. De wagen voorzien van een kreukelzone zodat bij een impact de kooi intact blijft.

De garage bezoeken na het ongeval met het oog op de herstelling van de carrosserieschade door het ongeval.

We kunnen risico’s op verschillende manieren benaderen: vermijden (avoid); diversifiëren (diversify); beheersen (control); delen (share); transfereren (transfer); aanvaarden (accept).

Ook als er meerdere maatregelen zijn getroffen om het risico te beperken, kan een risico dat niet volledig is geëlimineerd, zich nog altijd voordoen. Een onderneming kan dan nog altijd lijden onder de financiële gevolgen van een incident. Daarom moet de organisatie bepalen hoe ze die financiële gevolgen zal opvangen. De borging of afdekking van dat financiële gevolg kan op twee manieren: Behoud van risico: de onderneming zal de financiële gevolgen van het risico zelf dragen. Dat kan gebeuren door de schadegevallen te betalen via de lopende uitgaven; door reserves aan te leggen of door het risico in een captive onder te brengen.

Overdracht (van de financiële gevolgen): de financiële gevolgschade wordt neergelegd bij een andere partij, een verzekeraar.

3.3.2 Wat zijn beheersingsmaatregelen?

Beheersingsmaatregelen zijn de maatregelen die een organisatie kan nemen om de interne beheersing te verbeteren en allerlei risico’s tot een aanvaardbaar niveau te brengen.

Voor we daarop dieper ingaan, is het belangrijk dat we een onderscheid kunnen maken tussen enerzijds het inherent risico en anderzijds het residueel risico.

Inherent risico: het risico vooraleer er acties werden genomen om de impact/ waarschijnlijkheid te verlagen. Het is niet altijd eenvoudig om dat risico te bepalen. Door het inherent risico te bepalen kunnen we de waarde van de genomen beheersingsmaatregelen bepalen.

Residueel risico: het risico dat blijft bestaan na de genomen beheersingsmaatregelen.

Door de bovenstaande afweging te maken, kunnen we impliciet de toegevoegde waarde van de beheersingsmaatregelen bepalen.

Bij de implementatie van beheersingsmatregelen moeten we de volgende afweging maken:

Te hoog risiconiveau Te veel beheersingsmaatregelen

Verlies van activa

Slechte beslissingen

Non-compliance

Bureaucratie - complexe processen

Verminderde productiviteit

Tijdverlies

Publieke schandalen … …

Heel belangrijk is dus dat we de ‘kostprijs’ van de voorgestelde maatregel afwegen tegenover de verwachte risicoreductie.

Zoals we al hebben aangegeven, bestaan er diverse beheersingsmaatregelen die de risico-eigenschap op de ene of de andere manier wijzigen, hetzij in de kans hetzij in de impact.

In grote lijnen onderscheiden we drie groepen van maatregelen voor interne beheersing:

Preventieve maatregelen: die maatregelen worden genomen om fouten en fraude te voorkomen. De beheersing vindt plaats voor of tijdens de activiteiten. Voorbeelden van preventieve maatregelen zijn:

• de installatie van functiescheidingen (zie ook 3.3.3.1.);

• inputcontroles: controles waarbij de vorm/juistheid van de gegevens die ingegeven worden, wordt gecontroleerd;

• de controle van de kredietwaardigheid van (potentiële) klanten alvorens de klant te accepteren of het order uit te voeren;

•

Repressieve maatregelen: die maatregelen hebben tot doel fouten en onregelmatigheden te ontdekken of op te sporen. Ze vinden plaats na de activiteiten. Voorbeelden zijn:

• een budget- of voortgangscontrole (kan ook preventief werken);

• cijferbeoordelingen: de vergelijking van verschillende gegevens met normen en een analyse van de verbanden tussen gegevens;

• inventarissen maken;

• …

Corrigerende maatregelen: die maatregelen hebben tot doel gemaakte fouten recht te zetten en eventueel te sanctioneren.

3.3.3 Soorten beheersingsmaatregelen

We bespreken in dit deel de volgende beheersingsmaatregelen: controletechnische functiescheidingen; autorisaties/delegaties; documenten/formulieren; reconciliatie/afstemming; beveiliging van activa en informatie; nazicht van rapportering; budgettering.

3.3.3.1 Controletechnische functiescheiding

De scheiding van de activiteiten in een organisatie over verschillende medewerkers leidt in het algemeen tot een functionele indeling van de organisatie (bv.  inkoop, verkoop enz.). Bij de interne beheersing hanteren we niet zozeer de term ‘functionele functiescheiding’ maar wel ‘controletechnische functiescheiding’.

Het doel van de controletechnische functiescheiding is ervoor zorgen dat geen enkele functionaris in staat is waarden aan de organisatie te onttrekken zonder dat dat sporen achterlaat in het informatiesysteem. Met andere woorden: een werknemer mag niet in de mogelijkheid verkeren om een door hem gepleegde diefstal van activa van de onderneming te verdoezelen door zelf documenten of gegevens te vervalsen.

Hoofdstuk 3 Risicomanagement

De controletechnische functiescheiding wordt bereikt door de functies zo in te delen dat ze minimaal worden onderscheiden in: de beschikkende (of beherende) functie; de bewarende functie; de registrerende functie; de controlerende functie.

De beschikkende functie in een bepaald proces zorgt voor de verstrekking van de opdracht en neemt de beslissingen voor dat proces. Dat wordt ook de goedkeurende of autoriserende functie genoemd. Voorbeelden: aankopers, verkopers, financieel directeur enzovoort.

De bewarende functie in een bepaald proces is verantwoordelijk voor de bewaring van goederen, gelden, gegevens. Die waarden mogen uitsluitend ontvangen of afgegeven worden op machtiging van de beschikkende functie. De bewarende functie moet tevens verantwoordingsinformatie verstrekken aan de registrerende functie. Voorbeelden: magazijnier, kassier, databasebeheerder enzovoort.

De registrerende functie zal de gegevensverwerking zoveel mogelijk onafhankelijk van de beschikkende en bewarende functies verzorgen. Voorbeelden: boekhouding, voorraadadministratie enzovoort.

Ten slotte moet de controlerende functie de juistheid en volledigheid van de verstrekte opdracht controleren en nagaan of de uitvoering ervan met de opdracht overeenstemt. Voorbeelden: interne audit, factuurcontrole enzovoort.

In feite moet functiescheiding mensen tegen zichzelf beschermen, door ze niet in verleiding te brengen om te frauderen (zie het hoofdstuk ‘Fraude’).

Het basisprincipe is dat de leiding maatregelen moet nemen die ervoor zorgen dat de verschillende functies (beschikken, bewaren, registreren en controleren) binnen eenzelfde proces over verschillende personen worden verdeeld, zodat: ieder van hen slechts een beperkt aantal schakels, maar nooit twee opeenvolgende, van het totale proces kan beïnvloeden;

de beslissing tot de beschikking over waarden alleen kan worden genomen door personen die niet zelf bij de bewaring zijn betrokken;

personen die belast zijn met het beheer of de bewaring nooit deel uitmaken van de registrerende functie, omdat met die gegevens controle wordt uitgeoefend op hun activiteiten.

Hoofdstuk 3

Risicomanagement

Ook binnen één functie is het beter om op termijn scheidingen te creëren door bijvoorbeeld niet alle beschikkingsbevoegdheden aan één enkele persoon toe te kennen. Iemand die bevoegd is voor de aankopen, is beter niet bevoegd voor de verkopen, omdat in dat geval de kans bestaat dat verkopen worden gecompenseerd met aankopen en de daarop gemaakte winsten buiten de boekhouding worden gehouden.

We moeten in het achterhoofd houden dat bovenvermelde functies niet altijd volledig door mensen worden ingevuld. Alsmaar vaker worden bepaalde functies of delen ervan overgenomen door geautomatiseerde systemen. Zo wordt bijvoorbeeld de registrerende functie binnen het verkoopproces in een supermarkt door de kassa(computer) uitgevoerd en zorgt de automatische link tussen de streepjescode op het product en de prijs ervan (gedeeltelijk) voor de controlerende functie.

3.3.3.1.1 Voorbeelden van controletechnische functiescheiding

A Functiescheiding bij de uitvoering van de salarisadministratie

Er zijn veel voorbeelden van een functiescheiding bij de uitvoering van de salarisadministratie. Belangrijk is dat er altijd aandacht wordt geschonken aan die elementen waar er een gelijklopend belang kan bestaan, zodat ze op basis van functiescheiding uit elkaar kunnen worden gehaald.

VOORBEELDEN

de registrerende functie van financiële feiten voor de uitbetaling van de salarissen vindt plaats door de boekhouding en niet door de personeelsafdeling;

de opdracht tot de betaling van de salarissen ligt niet in dezelfde hand als de uitbetaling van de salarissen zelf;

de aanwerving van personeel en de vaststelling van de arbeidsvoorwaarden gebeuren door verschillende personen.

B Functiescheiding bij de uitvoering van een aankoop

Hoofdstuk 3 Risicomanagement

C Functiescheiding bij de ontwikkeling van een nieuwe IT-toepassing

Elke nieuw te ontwikkelen IT-toepassing moet verschillende ontwikkelingsfasen doorlopen. De belangrijkste fasen zijn: de analysefase; de programmatiefase; de testfase; de fase waarbij het uitgeteste programma in productie wordt geplaatst.

Functiescheiding bestaat erin dat verschillende personen belast zijn met de uitvoering van de opeenvolgende fasen en dat een volgende fase pas kan aanvangen op het ogenblik dat de persoon die instaat voor de realisatie van de vorige fase, zijn akkoord daartoe heeft verleend. Zo wordt onder meer vermeden dat de persoon die een toepassing in productie plaatst dezelfde is als de persoon die de toepassing heeft geschreven.

D Functiescheiding bij de creatie van computer-ID’s

De organisatie moet ervoor zorgen dat niemand de combinatie van gebruikers-ID’s en wachtwoorden samen kan aanmaken.

3.3.3.1.2 Functievermenging en samenspanning (collusie)

We spreken over functievermenging als iemand is belast met twee of meer naar hun controletechnische aard verschillende functies, bijvoorbeeld één persoon die zowel een beschikkende als een bewarende functie bezit. Bij de kmo zien we dat heel vaak voorkomen. Daar is een volledige functiescheiding veelal niet haalbaar, wegens het beperkte aantal werknemers.

Functievermenging krijgt pas een negatief karakter als er sprake is van samenvoeging bij één functionaris van op elkaar aansluitende functies binnen de kringloop van geld en goederen, met andere woorden binnen hetzelfde proces. In dat geval is het niet meer mogelijk om de juistheid van de handelingen te controleren.

Als de functies beschikken, bewaren, registreren en controleren wel gescheiden zijn, maar twee of meer functionarissen zodanig gaan samenwerken dat ze bewust een foutieve registratie van de bedrijfshandelingen bewerkstelligen, spreken we van samenspanning (collusie). Samenspanning (collusie) heeft altijd tot doel om te frauderen. Samenspanning (collusie) wordt moeilijker naarmate het aantal functionarissen groter wordt.

Maatregelen om samenspanning (collusie) te voorkomen of te ontdekken, zijn onder meer de volgende:

Taakrotatie: de werknemers krijgen regelmatig een andere taak zodat ze niet altijd met dezelfde personen kunnen samenwerken of niet altijd dezelfde gegevens of waarden kunnen bewerken.

Het werk regelmatig door iemand anders laten uitvoeren zodat onregelmatigheden aan het licht kunnen komen.

De uitvoering van een cijferbeoordeling om onregelmatigheden op te sporen. In sommige organisaties wordt een ‘non fraternisation’ policy gehanteerd: een leidinggevende mag geen persoonlijke relatie aangaan met een ondergeschikte. Als dat wel gebeurt, dan moet een van beiden de organisatie of een specifiek deel ervan verlaten.

3.3.3.1.3 Rolanalyse

Om na te gaan of er wel degelijk sprake is van een goede controletechnische functiescheiding in een bepaald proces kan men gebruikmaken van de zogenaamde rolanalyse. Voor elk (deel)proces wordt daarbij aangeduid welke functionaris welke rollen vervult. Daarbij moet erop worden toegezien dat er geen problematische overlappingen zijn (opeenvolgende functies binnen hetzelfde proces die door dezelfde functionaris worden uitgevoerd).

De rollen zijn: autoriseren; bewaren; registeren; controleren.

3.3.3.2 Correcte autorisaties en delegaties

Een autorisatie is een machtiging die het management geeft aan ondergeschikten om bepaalde activiteiten uit te voeren en/of om bepaalde beslissingen te nemen.

Functiebeschrijvingen

Om haar missie en doelstellingen optimaal te realiseren, moet een organisatie ernaar streven om alle personeelsleden zinvolle taken te laten opnemen die rechtstreeks de missie ondersteunen en vormgeven.

Dat geheel aan zinvolle taken vormt een functie waaraan bevoegdheden en verantwoordelijkheden zijn gekoppeld. Die functie heeft een plaats binnen de globale

organisatie. Hoe beter de functieomschrijving, hoe efficiënter de organisatie en hoe performanter de realisatie van de missie en de doelstellingen kan worden.

Wat is een functiebeschrijving?

Een functiebeschrijving is een heldere en gedetailleerde weergave van de relatief permanente aspecten van een functie, een taak, een opdracht en de verantwoordelijkheden van die functie. De vragen daarbij zijn:

Wat wordt verwacht en waarom?

Welke kennis en competentie is nodig?

Hoe moet de functie worden vervuld?

Waar past de functie in de organisatie?

De functiebeschrijving is dus het kader waarbinnen elke medewerker voortdurend evolueert.

Wat is de bedoeling van een functiebeschrijving?

Veel functiebeschrijvingen zijn uitgebreide logboeken met omslachtige en statische informatie over taken die stap voor stap staan beschreven. Een functiebeschrijving moet daarentegen een kernachtige en accurate beschrijving zijn, die een zekere dynamiek waarborgt. Een functiebeschrijving kan als instrument worden ingezet bij een selectieprocedure, de werkorganisatie, de beoordeling van medewerkers, de functieclassificatie, het loonbeleid enzovoort.

Een functiebeschrijving geeft een antwoord op de vraag: hoe draag ik bij tot de missie of doelstelling van mijn organisatie? Ze geeft de betrokkene (en de anderen) dus inzicht in de functie, in het waarom van zijn of haar taken. Als medewerkers weten waarom ze iets doen, doen ze het wellicht liever en beter. Bovendien worden de verantwoordelijkheden beter afgelijnd, zowel voor de betrokkene als voor zijn of haar hiërarchisch hogere.

Functiebeschrijvingen zijn een basiselement binnen het HR-beleid, doordat ze evaluatiecriteria vormen en bijgevolg evaluatie mogelijk maken. Functiebeschrijvingen zijn ook interessant voor vacatures en nieuwe personeelsleden, doordat ze een schat aan informatie bevatten. Ze versnellen en vergemakkelijken het inloopproces van nieuwe medewerkers.

Regels voor vervanging

De uitwerking van een doordacht systeem van functiescheiding binnen een organisatie is noodzakelijk om een betrouwbare interne organisatie uit te bouwen.

Maar wat gebeurt er als een medewerker plots ziek valt of op vakantie vertrekt? Vervallen dan plots alle basisprincipes inzake functiescheiding? Neen, natuurlijk niet. De organisatie moet regels uitwerken die daarop anticiperen. Regels voor vervanging zijn een sterkte voor de organisatie omdat er vanuit controletechnisch oogpunt een blik wordt geworpen op elkaars manier van werken.

In de praktijk kunnen grote bedrijven of organisaties de strikte eisen van functiescheiding blijven respecteren, zelfs als een plotse vervanging noodzakelijk is. In kleinere organisaties is dat, door het gebrek aan mensen, veel moeilijker te realiseren. Dat zal meestal tot gevolg hebben dat er tijdelijk een minder strikte functiescheiding zal bestaan, met een zwakkere interne beheersing tot gevolg. Dat kan men opvangen door andere vormen van beheersing tijdelijk te versterken, bijvoorbeeld de externe controle door de commissaris van het bedrijf intensifiëren.

Als personeelsleden zich niet laten vervangen, doordat ze bijvoorbeeld weinig of geen vakantie opnemen, kan dat een knipperlicht zijn voor de organisatie. Op het eerste gezicht is het een toonbeeld van ijver, maar het kan soms betekenen dat ze niet tolereren dat anderen een blik werpen op hun werkwijze. Misschien wil de medewerker een bepaalde bezigheid verbergen die voor het bedrijf nadelig is.

Goede afspraken maken goede vrienden. Als delegatieregels niet duidelijk zijn vastgelegd, zal de organisatie voortdurend met schemerzones worden geconfronteerd. Heel dikwijls zal na de feiten de vraag opduiken of iemand een bepaalde bevoegdheid wel had of niet. Het risico is daardoor al te groot dat afspraken worden geschonden en/of controles vermeden.

Waarom delegatieregels?

De persoon die delegeert, kan ondertussen eigen/andere taken uitvoeren (visie, planning enz.).

Delegatie helpt om competenties te ontwikkelen en medewerkers te motiveren. Beslissingen worden op het niveau genomen waar wellicht de beste ‘veldkennis’ aanwezig is.

De efficiëntie en de effectiviteit binnen de organisatie stijgen.

Wat is delegatie?

Delegatie is niet de managementverantwoordelijkheid afgeven, maar wel de operationele verantwoordelijkheid (het werk) doorgeven. Dat betekent dat er na delegatie altijd controle moet volgen.

Hoofdstuk 3 Risicomanagement

3.3.3.3 Het gebruik van geschikte documenten/formulieren

Het gebruik van geschikte documenten en formulieren is een belangrijk onderdeel in het geheel van beheersingsmaatregelen dat elke organisatie moet uitbouwen.

Basisvoorwaarden waaraan die documenten moeten voldoen

Documenten die gebruikt worden in een organisatie, hebben idealiter een vaste lay-out. Het gebruik van voorgedrukte formulieren is veelal een voorwaarde om efficiënt te kunnen werken.

Het meest voorkomende document dat in nagenoeg elk bedrijf een vaste lay-out heeft of voorgedrukt is, is de factuur. De wet bepaalt namelijk zoveel vormvereisten voor de factuur, dat een bedrijf zich niet kan veroorloven op dat vlak fouten te maken.

Maar ook in andere processen zijn documenten met een vaste lay-out gebruikelijk, omdat ze de beheersing vergemakkelijken en de kans op fouten en vergetelheden verkleinen. In de aankoopcyclus worden bijvoorbeeld meestal voorgedrukte formulieren gebruikt om een bestelling op te maken (bestelbon) en om een ontvangst te documenteren (leveringsbon).

Als documenten verschillende geadresseerden hebben, worden het best verschillende kleuren gehanteerd. Dat vereenvoudigt eveneens de controle en de archivering. Om de volledigheid van een proces te garanderen, worden documenten beter voorgenummerd. Dat laat toe om sneller te controleren of er elementen ontbreken in een administratief proces.

Vastleggen van de volmachtdragende handtekeningen Een handtekening of een paraaf is het bewijs van iemands tussenkomst. Ze leveren met andere woorden het bewijs van controle.

De draagwijdte van een handtekening kan echter verschillend zijn: zo kan een handtekening getuigen van een verificatie van een hoeveelheid, van het nazicht van de kwaliteit of van de rekenkundige juistheid.

Nadat binnen een organisatie werd vastgelegd welke personen gemachtigd zijn om in de naam van de organisatie verbintenissen aan te gaan, moet worden bepaald wie gemachtigd is om te tekenen en welke betekenis die handtekening heeft. Documenten moeten dan zo worden ontworpen dat er een vaste plaats is

voor de autoriserende handtekening(en) én dat duidelijk is wat er precies wordt geautoriseerd met die handtekening(en).

3.3.3.4 Reconciliatie/afstemming

Informatie over activiteiten met een hoog risico moet overeenstemmen/worden gereconcilieerd om de juistheid en de volledigheid ervan te verzekeren. Bij een reconciliatie worden verschillende sets van gegevens vergeleken.

VOORBEELDEN

Maandelijks de financiële verslagen van de controller vergelijken met de gegevens op de departementen.

Dagelijks de inhoud van de kassa tellen en vergelijken met het kasregister. Op periodieke basis het openstaand saldo van een klant of leverancier afstemmen met de boekhoudkundige gegevens bij die klant of leverancier door een saldobevestiging op te vragen.

Wat moet er worden gereconcilieerd?

Informatie over ‘high risk’-activiteiten moet worden gereconcilieerd om te verzekeren dat die informatie accuraat en volledig is. Er worden verschillende datasets vergeleken (bv. financiële rapporten met verkoopsrapportering).

De maandelijkse financiële rapportering van de controller moet bijvoorbeeld worden gereconcilieerd met departementale gegevens.

3.3.3.5 De beveiliging van activa en informatie: de toegang beperken

3.3.3.5.1 Fysieke toegangsbeveiliging

In onze privésfeer is een van de basisprincipes van inbraak- en diefstalpreventie dat bij afwezigheid de ramen en deuren van een huis worden afgesloten. Soortgelijke principes gelden ook voor een organisatie. Vanuit controleoogpunt is het aan te bevelen dat de bedrijfssite volledig is omheind. De toegangspoort of de ingang wordt bewaakt door een portier of via cameratoezicht. Het getuigt niet van een deugdelijk controlesysteem als een wildvreemde zich zomaar naar het magazijn kan begeven zonder dat iemand binnen de organisatie hem of haar vraagt zich te legitimeren of de toegangsbadge controleert.

Hoofdstuk 3 Risicomanagement

De volgende aandachtspunten zijn onder meer van belang om de fysieke toegang tot bedrijfsruimten te beoordelen:

toegangscontrolesysteem voor personen, voertuigen en goederen; standaardprocedures bij onrechtmatige toegang; sluiting en bewaking van toegangspunten (adequate sloten en verlichting voor gebouwen en terreinen);

procedures voor de toegang tot sleutels en toegangsbadges, en de duplicering ervan;

procedures voor de controle en het onderhoud van sloten en buitengrenzen (hekwerken, …); …

3.3.3.5.2 Elektronische toegangsbeveiliging

De meest voorkomende elektronische toegangsbeveiliging is die via paswoorden. Een beveiligde pc kan maar worden opgestart als het juiste paswoord wordt ingegeven. Een bankkaart kan maar worden gebruikt na de invoering van de juiste pincode. Het gebruik van elektronische beveiliging via toegangssleutels is eenvoudig en efficiënt.

Om de beveiliging sluitend te maken en te houden, moet aandacht worden besteed aan een aantal principes:

paswoorden moeten persoonlijk zijn en blijven, en niet worden gedeeld met collega’s;

paswoorden moeten periodiek worden gewijzigd (bv. per maand);

paswoorden moeten voldoende lang zijn en liefst een of meerdere cijfers, letters of speciale tekens bevatten;

paswoorden evolueren naar paszinnen; multifactorauthenticatie;2

paswoorden mogen niet op een gemakkelijk traceerbare plaats worden bewaard. Het paswoord noteren op een briefje en dat op het scherm van je pc kleven, resulteert in een totaal gebrek aan beveiliging;

automatische logging voor toegang tot persoonsgegevens; voor geautomatiseerde systemen is de beveiliging prioritair.

3.3.3.5.3 Opslag beveiligen

Iedereen weet dat geldwaarden in een kluis moeten worden bewaard. In principe geldt dat voor alle activa. Afhankelijk van het type activa moet een aangepaste vorm van beveiliging worden uitgewerkt.

Het gebruik van een apart magazijn voor voorraadgoederen komt in vele bedrijven voor. Maar daarmee zijn de eigendommen nog niet beveiligd.

Enkele principes die gebruikelijk zijn: het magazijn is een afgesloten geheel en alleen de verantwoordelijke (de magazijnier) heeft toegang; alle inkomende en uitgaande goederen worden geregistreerd.

Binnen geautomatiseerde omgevingen moeten de gegevens en de beschikbaarheid van applicaties worden gegarandeerd. Vanuit het oogpunt van interne beheersing zijn de meest voorkomende beveiligingspunten de volgende: een rampenplan (disasterplan – om gegevens en toepassingen te kunnen recupereren ten gevolge van een calamiteit); gedetailleerde back-upstrategie en veilige off-site-opslag; robuuste systemen, stroomvoorzieningen en netwerkverbindingen; serviceniveauovereenkomsten (Service Level Agreements of SLA) met serviceproviders om serviceniveaus te garanderen; een uitgebreid wijzigingsbeheer en testbeleid; hoge beschikbaarheid van technische ondersteuning.

3.3.3.5.4 Registratie van activa

Alle investeringsgoederen worden het best individueel gecodeerd met een registratienummer en genoteerd in een inventarislijst. Periodiek wordt die lijst doorgenomen en getoetst aan de werkelijkheid. Eventuele afwijkingen moeten worden gecontroleerd en de inventarislijst moet vervolgens worden geactualiseerd.

Goederen die worden meegegeven aan personeelsleden voor gebruik buiten het bedrijf (toegangsbadges, gsm, pc, printer enz.) worden opgelijst en afgetekend voor ontvangst. Die lijst wordt bewaard in het personeelsdossier van de betrokkene. Bij beëindiging van de personeelsrelatie moet erop worden toegezien dat de betrokkene die activa weer inlevert.

Hoofdstuk 3 Risicomanagement

Niet-materiële data (klantgegevens, recepturen … ) moeten absoluut beveiligd worden bewaard.

3.3.3.6 Nazicht van rapportering – managementreview

Rapportering over hoogrisico-activiteiten moet in het bijzonder worden nagekeken om prestaties te meten en problemen te detecteren. Managementreview moet worden gedocumenteerd.

3.3.3.7 Budgettering als controlemaatregel

Budgetten zijn ramingen en bestaan uit schattingen. Toch zijn ze bijzonder waardevol als controlemaatregel als men probeert om ‘het waarom’ te achterhalen van het feit dat het budget afwijkt van de realiteit.

Als bijvoorbeeld een personeelskost in een afdeling veel hoger is dan initieel werd geraamd in het budget, kan na een analyse blijken dat de hoge personeelskost deels het gevolg is van het hoge verloop binnen die afdeling (aanwervingskosten, ontslagvergoedingen, overbrugging met duurdere interimkrachten). Daaruit kan misschien worden afgeleid dat dat hoge verloop te wijten is aan een gebrekkig HR-inzicht van de leiding. Misschien moet de personeelsfunctie worden herbekeken om personeelsverloop te verminderen.

Het budget is een belangrijk element in de interne beheersing. Het legt niet alleen de doelstellingen vast, maar bepaalt eveneens de krijtlijnen van uitgaven, kosten en investeringen om de gestelde doelstellingen te bereiken. Het heeft dus niet alleen een taakstellend karakter, een budget bakent ook de verantwoordelijkheden af.

Het systeem van budgettering is in wezen het logische gevolg van de delegatie van bevoegdheden.

Daarmee is duidelijk dat de goedkeuring van het budget een bevoegdheid is van het topmanagement binnen een organisatie, omdat het impliciet de autorisatie heeft om de vastgelegde uitgaven te doen die nodig zijn om de doelstellingen uit het budget te behalen. Vanuit het standpunt van de interne beheersing zijn budgetten bijgevolg een belangrijk toetsingsinstrument.

Om die rol van toetsingsinstrument op een zinvolle manier te kunnen vervullen, moeten een aantal voorwaarden worden vervuld:

het budget moet zijn goedgekeurd door de hoogste leiding; er moet een verband mogelijk zijn met de budgetten uit het verleden; er is het best een verband tussen de financiering van het budget en de liquiditeitsplanning; er moet een relatie zijn met andere budgetten (investeringsbudget, verkoopsbudget enz.)

het budget moet zijn aangepast aan de aard en omvang van de organisatie/ het bedrijf;

het budget moet in voldoende detail zijn opgemaakt (uitsplitsing tussen vaste en variabele kosten).

3.4 Het risicobeheersingsplan

Net zoals we bij de risico’s een inventarisatie of register hebben uitgebouwd, doen we dat ook voor de beheersingsmaatregelen die we hebben toegewezen aan bepaalde risico’s.

Naast de bepaling van de hiërarchie van de beheersingsmaatregelen zorgen we er in dit onderdeel wel voor dat de acties op een correcte manier worden beschreven.

Daarvoor volgen we het ‘SMART’-principe dat borgt dat we ze op een goede manier onderbouwen. ‘SMART’ staat voor: S Specifiek

Acties moeten op voldoende wijze worden beschreven zodat ze duidelijk zijn in hun doel. Voorbeeld: we gaan onze medewerkers een training geven om kleine blusmiddelen te hanteren.

M Meetbaar

Het doel van de actie moet op een manier kunnen worden gemeten. Het is dus de KPI (Key Performance Indicator) van de actie.

Voorbeeld: hoeveel mensen willen we effectief trainen, of hoeveel mensen slagen voor de brandblustest?

De actie moet algemeen worden aanvaard door het management en de uitvoerder(s).

A Aanvaardbaar

Voorbeeld: het management heeft de actie goedgekeurd.

Hoofdstuk 3 Risicomanagement

Acties zijn zinvol als ze ook daadwerkelijk kunnen worden uitgevoerd en er voldoende middelen ter beschikking zijn om ze uit te voeren. Dat aspect hangt dus samen met de resources (mandagen) en het budget van de onderneming (euro).

Voorbeeld: de mandagen van zij die de training gaan volgen en het budget om trainers in te huren.

Acties worden ingepland in de tijd en ook zo gemonitord.

Voorbeeld: de training van de blusmiddelen moet gebeuren in Q4 van het lopende jaar.

Het spreekt voor zich dat tijdens de uitwerking van alle stappen in dat proces de belanghebbenden moeten worden ingelicht. Het gaat dan onder andere over: de manier waarop de organisatie risicomanagement wil integreren; de middelen die de onderneming wil vrijmaken om risico’s te beheren en beheersen; de tolerantiegrenzen; het risico- en actieregister;

…

Deze stap heeft als doel om alle stakeholders over hun functie en rol in het proces in te lichten en eventuele verwachtingen wederzijds te communiceren. Dat kan aan de hand van overlegmomenten, intranetsites, mails, informatiecampagnes tot zelfs bepaalde aspecten die we opnemen in een functiebeschrijving.

Binnen managementsystemen, maar ook binnen een deugdelijk bestuur in het algemeen, streven we naar een continue verbetering. Om dat te borgen is de Deming-cirkel3 (PDCA-cyclus) nooit ver weg.

In deze laatste stap van het risicobeheersingsproces is het de bedoeling dat alles wordt opgevolgd en waar nodig acties worden opgenomen om afwijkingen weg te werken of te corrigeren.

Wat we moeten monitoren en reviewen: het risicoregister, op volledigheid en of alles up-to-date is; het actieregister, om te evalueren of alle acties volgens plan worden uitgevoerd en de gewenste resultaten worden bereikt; het risicobeheersingssyteem op zich: of het systeem volgens het beleid wordt toegepast; of de context nog overeenstemt met de situatie van vandaag; of de matrix nog altijd accuraat en juist is; of alle risico’s voldoende en volledig worden geïdentificeerd.

4 Risicomanagement als bedrijfsproces

4.1 Raamwerk voor het risicomanagement

Bij de bespreking van COSO II in het hoofdstuk ‘Historiek en de Belgische context’ verwezen we naar het zogenaamde ERM (Enterprise Risk Management).

3 De Deming-cirkel, voluit de kwaliteitscirkel van Deming, is een methode die helpt om structureel de kwaliteit te verbeteren en problemen op te lossen in een organisatie. De cirkel bestaat uit vier opeenvolgende activiteiten: plan, do, check en act. Daarom noemen we de Deming-cirkel ook wel de PDCA-cyclus.

Hoofdstuk 3 Risicomanagement

Het doel van het raamwerk voor risicomanagement is de organisatie te helpen risicomanagement in belangrijke activiteiten en functies te integreren. De doeltreffendheid van risicomanagement zal afhangen van de integratie ervan in het bestuur van de organisatie, met inbegrip van besluitvorming. Dat vereist draagvlak vanuit belanghebbenden, met name de directie, vandaar de centrale intekening in het wiel. De ontwikkeling van het raamwerk omvat de integratie, het ontwerp, de implementatie, de evaluatie en de verbetering van risicomanagement in de hele organisatie, zoals in figuur 6 is aangegeven.

Een eerste stap binnen dat framework, in het belang van het draagvlak binnen de organisatie, is de toetsing van de volgende zaken:

Zijn er bepaalde wettelijke kaders die moeten worden gerespecteerd? Er zijn ook bepaalde certificaties die klanten kunnen eisen. Het is dus zinvol om die eisen mee in het framework te verwerken.

Zijn er al bestaande processen die risico’s beheren? Zo ja, kunnen die mogelijk worden uitgelijnd met een nieuw proces of een nieuwe structuur?

Zijn de criteria van het raamwerk volledig en in lijn met de huidige objectieven van de organisatie? Het is van uitermate groot belang dat de criteria van het risicobeheersingssysteem maximaal zijn afgestemd op de huidige organisatie.

Het is per definitie aan de eigenaar-zaakvoerder of CEO of General Manager om ervoor te zorgen dat risicomanagement een plaats krijgt binnen de organisatie en dat het overal en alom is vertegenwoordigd. Het is dan ook belangrijk dat het leiderschap van de organisatie duidelijk laat blijken dat het risicomanagement actief ondersteund wordt. Het management moet ervoor zorgen dat: alles is voorzien om het raamwerk uit te bouwen, en dat binnen de context van de onderneming; een visie is neergeschreven waarbij de kantlijnen worden uitgezet; de benodigde middelen aan het management van risico’s worden toegewezen; de verantwoordelijkheden duidelijk zijn vastgelegd, alsook ‘wie rapporteert aan wie’ en ‘wanneer’.

De integratie van risicomanagement stoelt op inzicht in organisatiestructuren en -context. Het risicomanagement vindt plaats in alle delen van de structuur van de organisatie. Iedereen in de organisatie draagt verantwoordelijkheid voor het management van risico’s.

De integratie van risicomanagement in een organisatie is een dynamisch en iteratief proces en moet op maat worden gesneden naar de behoeften en de cultuur van de organisatie.

Risicomanagement moet een onderdeel zijn van doel, governance, leiderschap en betrokkenheid, strategie, doelstellingen en operationele bedrijfsactiviteiten van de organisatie. We onderscheiden vier fases: het ontwerp van het ERM; de implementatie van het ERM; de evaluatie van het ERM; de verbetering van het ERM.

4.1.1 Het ontwerp van het ERM

In eerste instantie stelt de organisatie een document (handleiding) op waarin alle diverse aspecten van risicobeheersing zijn opgenomen. Dat zal de volgende bestanddelen omvatten:

De directie en het management worden verondersteld hun voortdurende betrokkenheid tot risicomanagement uit te spreken en daarvan blijk te geven

via een beleid, een beleidsverklaring of een andere vorm die de doelstellingen en de betrokkenheid tot risicomanagement van een organisatie duidelijk overbrengt.

De directie en het management moeten ervoor zorgen dat de bevoegdheden, verantwoordelijkheden en verantwoordingsplichten voor sleutelfuncties in de organisatie, meer bepaald voor risicomanagement, op alle niveaus van de organisatie worden toegewezen en gecommuniceerd. Daardoor dringt het risicomanagement door in alle gelederen van de organisatie.

Om risicomanagement levend te houden in de organisatie is er nood aan werkmiddelen. Zonder werkmiddelen is het uitgesloten dat het enige kans op overleven heeft, of enige toegevoegde waarde kan hebben. We denken bijvoorbeeld aan:

• personeel, vaardigheden, ervaring en bekwaamheid;

• de processen, methoden en hulpmiddelen die de organisatie gebruikt om risico’s te managen;

• gedocumenteerde processen en procedures;

• systemen voor informatie- en kennismanagement;

• behoeften aan professionele ontwikkeling en training.

4.1.2 De implementatie van het ERM

Risicomanagement kan ten volle in de organisatie worden geïncorporeerd door een passend plan te ontwikkelen, te identificeren waar, wanneer, hoe en door wie verschillende soorten besluiten binnen de organisatie worden genomen, en door ervoor te zorgen dat de maatregelen van de organisatie rond het management van risico’s duidelijk worden begrepen en in de praktijk gebracht.

Het vereist betrokkenheid en stelt organisaties in staat om expliciet om te gaan met de onzekerheid bij cruciale beslissingen.

4.1.3 De evaluatie van het ERM

Het is niet alleen van belang dat de organisatie stilstaat bij de risico’s op zich, maar ook bij de manier waarop die risico’s worden gecapteerd en hoe dat systeem functioneert. Het gaat dus niet alleen over het product ‘risico’ op zich, maar ook over het proces.

4.1.4 De verbetering van het ERM

Door een onderbouwde en kritische evaluatie uit te voeren ontstaan er nieuwe kansen. De kernvraag die bij continue verbetering altijd moet worden gesteld,

is: ‘Hoe kunnen we dat de volgende keer beter doen?’. Eventuele lacunes in het systeem moeten worden gespot en waar mogelijk bijgewerkt zodat het systeem performanter wordt.

4.2 Principes van risicomanagement

De ISO 31000-norm4 specificeert elf principes die een organisatie mee moet nemen om risicomanagement op een effectieve manier te integreren in haar beleid.

De creatie van een waarde

Risicomanagement moet bijdragen tot het aantoonbaar bereiken van doelstellingen en de verbetering van bijvoorbeeld de efficiëntie van activiteiten, milieubescherming, financiële prestaties, corporate governance, volksgezondheid en veiligheid, de productkwaliteit, de naleving van wet- en regelgeving, publieke acceptatie en reputatie. Kortom, het moet waarde toevoegen aan de organisatie en alle assets beschermen.

Een integraal onderdeel zijn van organisatorische processen

De risicobeheersing moet deel uitmaken van de verantwoordelijkheden van het management en een integraal onderdeel zijn van de normale organisatorische processen en van alle project- en veranderingsprocessen. Risicomanagement mag geen zelfstandige activiteit zijn of losstaan van de belangrijkste activiteiten en processen van de organisatie.

Deel uitmaken van het nemen van beslissingen

Risicomanagement kan helpen om prioriteiten te stellen voor acties en om een onderscheid te maken tussen alternatieve actiemogelijkheden. Risicomanagement helpt besluitvormers om weloverwogen keuzes te maken. Uiteindelijk kan risicomanagement helpen bij beslissingen over de vraag of een risico onacceptabel is en of risicobeheersing adequaat en effectief zal zijn.

Onzekerheid

Een belangrijk onderdeel van een risico is de factor onzekerheid. Het is een eigenschap die wordt weergegeven in de ‘kansfactor’ van het risico. Het is namelijk zo dat als de kansfactor niet meer bestaat, de ongewenste gebeurtenis plaatsvindt of heeft plaatsgevonden. Er is dan sprake van een issue.

Systematisch, gestructureerd en tijdsgebonden

Systematisch duidt op het aspect dat het niet lukraak wordt toegepast, maar dat het een degelijke voorbereiding geniet en op een consistente manier wordt toegepast.

Het tijdsgebonden aspect duidt op het feit dat risico’s op het juiste tijdstip in overweging moeten worden genomen zodat eventuele risico’s of opportuniteiten niet laattijdig worden geïdentificeerd.

Gebaseerd zijn op de beste, beschikbare informatie

De input voor het proces van risicobeheersing moet zijn gebaseerd op informatiebronnen zoals ervaring, feedback, observatie, voorspellingen en oordeel van deskundigen. Besluitvormers moeten op de hoogte worden gebracht van en rekening houden met eventuele beperkingen van de gebruikte data of modellen of de mogelijkheid van divergentie tussen deskundigen.

Op maat gemaakt

Risicomanagement moet worden afgestemd op de externe en interne context en het risicoprofiel van de organisatie. Het is vanuit dat principe alleen al dat elke organisatie een verschillende waardering zal hebben voor een risico.

Menselijke en culturele factoren

De manier waarop we naar een risico kijken, de ruis die bestaat in de verwerking van informatie en nog vele andere elementen, hebben te maken met de cultuur en de menselijke aspecten die ons eigen zijn. Het is noodzakelijk die ruis te erkennen zodat alle risico’s binnen het correcte kader worden geïdentificeerd en behandeld volgens de juiste prioriteit.

Transparant en inclusief

Vanuit de basis wordt aangestuurd op het actief betrekken van alle stakeholders in het proces. Het is cruciaal om iedereen binnen zijn respectievelijke niveau in te lichten en te informeren, en om feedback op te vragen. Daarnaast biedt het ook een opening om nieuwe of niet vermelde risico’s te benoemen.

Dynamisch, iteratief en wendbaar

Zoals ondernemingen constant worden onderworpen aan wijzigingen, geldt dat evenzeer voor de risico’s die in beschouwing moeten worden genomen. Voor elke wijziging binnen de omgeving, de producten of diensten, of bij organisatorische wijzigingen moet er worden geëvalueerd of er in een bepaalde zin invloed is op het identificatieproces of de waardering van risico’s.

Continu verbeteren binnen organisaties

Het is gebruikelijk dat een organisatie voortdurend zoekt naar meer performante manieren van werken. Door op een adequate manier om te gaan met risico’s zal het managen ervan een bijdrage leveren aan de verbetering van bedrijfsprocessen, gelijk van welke aard die zijn.

4.3 Voordelen van risicomanagement

Een goed uitgevoerd risicomanagement brengt tal van voordelen met zich mee. Als de risico’s en de daarbij horende beheersingsmaatregelen voldoende in kaart zijn gebracht, zullen alle stakeholders meer vertrouwen krijgen in het besluitvormingsproces. Risicomanagement in zijn verschillende facetten speelt een rol in de evaluatie van de risico’s en het benutten van de opportuniteiten. In eender welk besluitvormingsproces binnen een organisatie komen impliciet of expliciet enkele cruciale vragen aan bod:

Zijn alle risico’s gekend en in kaart gebracht?

Als de organisatie een nieuwe klanten- of leveranciersrelatie aangaat: is dat een relatie die past binnen de context van de organisatie?

Wat zijn de risico’s als een kans of opportuniteit wordt opgenomen? Als we bijvoorbeeld een verbintenis aangaan met een potentiële klant, welk risico zal dat inhouden en wat zal de kans zijn dat een schadegeval zich zal voordoen?

Wat zijn de beheersingsmaatregelen die kunnen worden genomen om de geïdentificeerde risico’s te beheersen? Hoe worden die risico’s in evenwicht gebracht?

We moeten ons dus wel degelijk afvragen of er voldoende rekening werd gehouden met de relevante risico’s als we een bedrijfsbeslissing nemen. Dat helpt bij de strategische besluitvormingsprocessen, met inbegrip van die rond belangrijke investeringen of verregaande engagementen.

Een bijkomend voordeel van een ingebed risicobeheersingsproces is dat het besluitvormingsproces is gedocumenteerd, waardoor de verantwoordingsplicht en de traceerbaarheid van beslissingen in de algemene corporate governance worden verbeterd. Doordat de risicobeheersing is geïntegreerd als een breed proces, zal er ook een effectievere strategische en operationele planning mogelijk zijn.

Als alle actoren zich bewust zijn van de strategische en zakelijke doelstellingen, inbegrepen de risico’s die de objectieven in gevaar kunnen brengen, zal dat

resulteren in meer vertrouwen in het bereiken van de geplande zakelijke en strategische doelstellingen.

Door een geformaliseerd kader te ontwikkelen dat anticipeert en professioneel de risico’s weet in kaart te brengen, zal de tijd die nodig is om crisissen op te lossen, worden beperkt. Eenvoudig gezegd: door de risico’s duidelijk in kaart te hebben, zijn er minder crisissen. Daardoor is de werking meer uitgelijnd en stabiel. De reactie op onverwachte bedreigingen wordt bevorderd en kansen worden optimaal benut. Dat leidt tot een verbeterde organisatorische veerkracht en bescherming van de organisatie en haar medewerkers

4.4 Hindernissen bij het risicomanagement

Het belang van risicomanagement is bijzonder toegenomen de laatste jaren. Dat heeft er mee toe bijgedragen dat er standaarden werden ontwikkeld en systemen werden opgezet.

Tot vijftig jaar geleden was de term risicomanagement relatief onbekend en werd het maar zelden expliciet toegepast. In de organisaties waar het wel was terug te vinden, bleef het meestal bij een vrijblijvende en informele uitwerking.

Risicomanagement is vandaag uitgegroeid tot een discipline op zich, die zich verdiept in gebeurtenissen, wegingen, statistiek enzovoort. Op die manier draagt het bij om een stuk van de toekomst te voorspellen. Toch moeten we dat enigszins nuanceren. Hoewel risicomanagement een bijzonder waardevolle tool is, is het geen exacte wetenschap omdat bepaalde gegevens altijd onbekend zullen blijven en de toekomst altijd voor een deel onvoorspelbaar zal zijn.

Vóór de invoering van wat we ‘het moderne risicomanagement’ zouden kunnen noemen, beschikten organisaties nauwelijks over een onderbouwd en gestructureerd ‘plan’ van hoe ze de risico’s in hun organisaties zouden identificeren, evalueren en/of behandelen, laat staan dat organisaties altijd een transparante visie hadden over welke risico’s ze bereid waren te nemen. Die ad-hocbenadering bracht veelal niet meer dan een reactieve oplossing. In onze huidige risicomanagementstrategie zouden we dat plaatsen onder de traditionele (verzekeringsgerichte) benadering.

Organisaties die zo’n traditionele werkwijze hanteren, kopen als het ware verzekeringen voor de risico’s waaraan ze worden blootgesteld en die verzekerbaar

zijn. Op die manier aanvaarden ze eigenlijk het risico en dekken ze het mogelijke verlies/schade af met een polis die voorzien wordt door de verzekeringsmaatschappij aan een overeengekomen prijs (de premie).

De problemen met de verzekeringsgerichte aanpak werden al snel duidelijk. Het besef kwam dat de opbrengsten uit verzekeringen niet alle kosten dekken die een bedrijf oploopt bij een verlies of schadegeval. Bovendien is de verzekering niet in staat om financiering te bieden aan de neerwaartse effecten van alle risico’s van een organisatie en die financieel te compenseren.

Managers begonnen in te zien dat het net zo belangrijk is om te voorkomen dat verliezen of schadegevallen zich voordoen dan zich te verzekeren tegen de risico’s aan welke ze worden blootgesteld.

4.5 Risicomanagementfuncties binnen een onderneming

4.5.1 Grote versus kleinere ondernemingen

Hoewel de principes van risicomanagement dezelfde zijn voor alle ondernemingen, onafhankelijk van hun grootte, zijn er toch duidelijke verschillen waar te nemen in de manier waarop organisaties de risico’s waaraan ze zijn blootgesteld, benaderen.

De toenemende complexiteit en omvang van de activiteiten in een onderneming zijn er de oorzaak van dat niet alle taken door een en dezelfde persoon kunnen worden uitgevoerd. Menselijke cognitieve en fysieke beperkingen leiden tot het verschijnsel van de verdeling van de arbeid. Om die reden beschikken grote ondernemingen over een sterk uitgebouwde structuur met afdelingen die elk verantwoordelijk zijn voor een ondernemingsfunctie: er zijn productie-, marketing-, sales-, financiële en andere departementen.

De complexe beslissingsprocessen, die in de grote ondernemingen met het beheer van de risico’s gepaard gaan, hebben het management van die bedrijven ertoe aangezet het risicomanagement toe te vertrouwen aan specialisten die zich in een afzonderlijke afdeling met het beheer van de risico’s bezighouden. Men was immers gaan inzien dat de risicobeheersing veel verder ging dan alleen het beheer van verzekeringen en dat het dus niet langer kon worden toevertrouwd aan personen die met hun andere verantwoordelijkheden al meer dan de handen vol hadden.

Hoofdstuk 3 Risicomanagement

De creatie van een specifieke risicomanagementfunctie in de onderneming is natuurlijk de ideale oplossing. Maar zelfs in grote ondernemingen, die vaak over voldoende financiële mogelijkheden beschikken om een risicomanager te betalen, is het niet vanzelfsprekend dat er een risicomanagementfunctie bestaat die evenwaardig is aan een andere ondernemingsfunctie. Niet alle grote Belgische bedrijven hebben een werkelijke risicomanager (risk manager) in dienst die zich met alle aspecten van risicobeheersing bezighoudt.

Voor grote ondernemingen is het wettelijk verplicht om een (of meerdere) veiligheidsdeskundige(n) in dienst te hebben, maar die houdt zich te dikwijls hoofdzakelijk bezig met de preventie en het welzijn op het werk.

Het grote probleem om tot een geïntegreerd risicomanagement te komen in grote ondernemingen is hun structuur. De uitgebouwde structuur is er de oorzaak van dat de communicatie tussen de verschillende afdelingen wordt bemoeilijkt. Vooral in de identificatie- en de evaluatiefase kan dat zorgen voor problemen.

De kmo’s onderscheiden zich van de grote ondernemingen door een veel beperktere vorm van arbeidsverdeling. Hun organigram bevat veel minder hiërarchische niveaus en de bedrijfsleider(s) moet(en) verschillende functies waarnemen. In de middelgrote ondernemingen is er nog wel een zekere vorm van departementalisatie, maar de beslissingen worden veelal door één of door maar enkele personen genomen. In kleine ondernemingen worden alle functies door een en dezelfde of een zeer beperkt aantal personen waargenomen. Daardoor lopen die verantwoordelijken het risico voortdurend overstelpt te zijn door de dagelijkse problemen, zodat er weinig tijd overblijft voor bijkomende taken zoals het beheer van de risico’s.

Gezien hun beperktere financiële ruimte is het voor de kleine en middelgrote ondernemingen meestal niet mogelijk om een risicomanager fulltime tewerk te stellen. Dat wil niet zeggen dat er in de kmo’s geen aspecten van de risicobeheersing te vinden zijn. Er zullen wellicht maatregelen worden genomen om de veiligheid op de werkvloer te verbeteren en er zal mogelijk ook een beroep worden gedaan op specialisten van buiten de onderneming om andere problemen in verband met risico’s op te lossen: de advocaat voor juridische problemen, de verzekeringsmakelaar voor de afsluiting van de nodige verzekeringen enzovoort. Maar meestal zal er in de kleinere ondernemingen niet het gecoördineerde en geintegreerde beheer van de risico’s te vinden zijn dat in de grotere ondernemingen wel voorkomt.

Voor een organisatie die met succes haar risico’s wil beheren/beheersen, is het noodzakelijk dat de volgende belangrijke belanghebbenden actief de rol die ze spelen bij de implementatie van het risicomanagement ondersteunen en begrijpen: het bestuur; het senior management; het operationeel management.

De implementatie van risicomanagement begint met de goedkeuring van een mandaat door de raad van bestuur en het vastleggen van de implementatie van een risicomanagementbeleid.

Het is van cruciaal belang dat er binnen alle lagen van de organisatie een ownership bestaat.

4.5.2 Wie speelt welke rol?

4.5.2.1 De algemeen directeur

Het is de verantwoordelijkheid van de algemeen directeur of CEO om het risicobeheersingskader binnen de organisatie te laten bloeien. De specifieke verantwoordelijkheden van de algemeen directeur omvatten: het risicobeheersingscomité (als dat aanwezig is) voorzitten; regelmatig rapporteren aan de raad van bestuur over zaken die voortvloeien uit vergaderingen van het comité voor risicobeheersing; begeleiding geven aan de afdelingshoofden door het beleid voor risicobeheersing te ontwikkelen.

4.5.2.2 Afdelingshoofden/kader en middenkader

Afdelingshoofden moeten kunnen garanderen dat de risicobeheersing binnen hun divisies de juiste prioriteit krijgt, in overeenstemming met de verwachtingen die in het risicomanagementplan zijn uiteengezet. De specifieke rollen en verantwoordelijkheden voor elk van de divisiehoofden omvatten:

ervoor zorgen dat de risicobeheersingsprocessen die zijn gedocumenteerd in het risicomanagementplan, worden nageleefd;

ervoor zorgen dat managers binnen hun divisie de risico’s effectief beheren binnen hun verantwoordelijkheidsgebieden;

ervoor zorgen dat functionele gebieden binnen hun divisie regelmatig risicobeoordelingen uitvoeren;

Hoofdstuk 3 Risicomanagement

ervoor zorgen dat alle risico’s in een risicoregister worden bijgehouden en dat ze na elke risicobeoordeling worden bijgewerkt; de beheersingsmaatregelen bewaken om te verzekeren dat ze worden uitgevoerd in overeenstemming met de opgegeven termijnen; ervoor zorgen dat risico’s die buiten de verantwoordelijkheid/capaciteiten van de divisie vallen, worden geëscaleerd naar het risicobeheersingscomité; het maandelijkse risicorapport invullen voor presentatie aan het risicobeheersingscomité.

4.5.2.3 De risicomanager (risk manager)

De risicomanager of risk manager is meestal iemand uit het stafpersoneel die al jaren in de onderneming werkt. Naast een goede kennis van verzekeringen moet hij of zij ook over de volgende kwaliteiten beschikken: Een goed geheugen: de risicomanager moet duizend en een kenmerken van de onderneming in zich opnemen en onthouden.

Orde en nauwkeurigheid: de risico’s van een onderneming beheren is synoniem voor de bescherming van de mens en van het geïnvesteerde kapitaal.

Dynamisme en creativiteit: er moet altijd naar vernieuwing worden gezocht. Elke onderneming is gevoelig voor verandering.

Pragmatisme: de risicomanager moet zin voor werkelijkheid hebben. Hij of zij moet met de beide voeten op de grond staan en tot de kern van de zaak doordringen (zich niet door details laten afleiden). De raad van bestuur verwacht geen mooie letterkundige verslagen, maar wel concrete zaken en rendabiliteit.

Zin voor public relations: voor een risicomanager is het van primordiaal belang dat hij of zij goed overweg kan met de collega’s, de makelaars, de verzekeringsmaatschappijen, de experten, de advocaten.

Zin voor constante bijscholing: bij de risicomanager komt dat tot uitdrukking in een constante bekommernis tot vervolmaking van zijn of haar beroepskennis, met name door vakliteratuur door te nemen en seminaries te volgen.

Het begrip ‘risicomanagement’ kunnen bijbrengen aan zijn of haar collega’s. Want als de collega’s niet zijn doordrongen van het nut van het werk van de risicomanager of van wat hij of zij laat uitvoeren, zal de risicomanager zijn of haar opdracht niet tot een goed einde kunnen brengen. Hij of zij zal het begrip risicomanagement dus vaak moeten uitleggen;

De zin kunnen opwekken om te worden begrepen, gemakkelijk van gedachten kunnen wisselen met collega’s en medewerkers. Een risicomanager treedt dan ook als trainer en coach op. De manier waarop de boodschap wordt doorgegeven, is ook zeer belangrijk. Het volstaat niet een en ander met mooie

woorden te formuleren om te worden begrepen. Het is even noodzakelijk dat de risicomanager nagaat of hij of zij inderdaad werd begrepen.

Dat zijn kort uiteengezet de kwaliteiten die het ideale profiel van de risicomanager kenmerken. Met enige zin voor realisme kunnen we er wel meteen aan toevoegen dat we maar bij uitzondering al die kwaliteiten bij een en dezelfde persoon zullen aantreffen.

Een goede risicomanager kan de algemene bedrijfsleiding ongetwijfeld heel wat nuttige zaken bezorgen, zoals:

Een nauwkeuriger inzicht in de risico’s waaraan de onderneming blootgesteld is. Door zijn of haar vakkennis zal de risicomanager ervoor zorgen dat de bedrijfsleiding zich bewust wordt van de gevaren die ze ofwel niet kent of maar onvoldoende kent.

Een inkrimping van de kosten door hetzij sommige risico’s uit te schakelen, hetzij ze te verminderen, wat in ieder geval een verlaging van de verzekeringskost tot gevolg heeft.

Een betere beveiliging van het bezit (mensen en dingen).

Een alarmsein bij de lancering van nieuwe producten, de invoering van nieuwe werkmethodes, de overname van ondernemingen, de oprichting van filialen.

Door een dergelijke inbreng groeit de taak van risicomanager uit tot een waar profitcenter in de plaats van een kostencentrum.

4.5.2.4 De risico-eigenaar (risk owner)

De risico-eigenaar of risk owner is de persoon die verantwoordelijk is voor het dagelijkse beheer van een risico of een reeks risico’s. De risico-eigenaar wordt gekozen op basis van zijn of haar rol binnen het functionele gebied, en voor zijn of haar vermogen om risico’s op competente wijze te analyseren en te behandelen. Risico-eigenaren zijn verantwoordelijk voor het volgende:

ervoor zorgen dat elk risico dat aan hen is toegewezen, wordt behandeld in overeenstemming met het risicobeheersingsproces dat is gedefinieerd in het risicobeheersingsplan;

ervoor zorgen dat behandelingsacties tijdig worden uitgevoerd;

ervoor zorgen dat aan alle rapportagevereisten wordt voldaan;

ervoor zorgen dat alle aanwijzingen worden gegeven dat het risico bestaat.