DE VERLEIDING VAN EEN TE LAAG AMBITIENIVEAU

&

FINANCE

CONTROL

Corporate governance

Risicomanage me nt bij financ iële instellinge n

DE VERLEIDING VAN EEN TE LAAG AMBITIENIVEAU De financiële sector is de laatste jaren geconfronteerd met een stortvloed aan nieuwe wet- en regelgeving. Hierdoor bestaat het gevaar dat verder niets meer aan risicobeheersing wordt ondernomen, zodra is voldaan aan de externe eisen. Zo kunnen er ‘blinde vlekken’ blijven bestaan. Naast de wet- en regelgeving is er ook een eigen verantwoordelijk voor risicobeheersing. Kortom: loopt uw organisatie gevaar als er nu een risicovolle gebeurtenis plaatsvindt? D O O R CO R RO O D H O R ST

I

edere organisatie staat bloot aan risicovolle gebeurtenissen, met alle mogelijke nadelige gevolgen van dien. Het vinden van een juiste mate van risicobeheersing is een situationeel vraagstuk omdat lang niet alle risicovolle gebeurtenissen die zich rond een organisatie voordoen een gevaar vormen. Er dient dus een passend ambitieniveau vastgesteld te worden. Een te laag ambitieniveau kan de organisatie onvoldoende dekking bieden voor risicovolle gebeurtenissen en kan haar daarmee dus kwetsbaar maken. Een te hoog ambitieniveau daarentegen, kan verlammend werken. Voor het ambitie-

niveau voor risicomanagement geldt in dit artikel de definitie: ‘de mate waarin het management tot beheersing van risico’s wil komen om daarmee de continuïteit van de organisatie te waarborgen’. Om te komen tot risicobeheersing wordt in het algemeen een logisch pad gevolgd. Het uitgangspunt is hier dat er voor iedere organisatie een set specifieke risicoaandachtsgebieden bestaat, dat dient als fundament voor risicoanalyses om zo risicobeheersingsmaatregelen te kunnen ontwikkelen.

advertentie

F I N AN C I Ë L E D E TAC H E R I N G Kijk op www.laudame.nl of bel 010 – 451 55 00

OKTOB E R 2007

|

31

W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L

&

FINANCE

Risico gebeurtenis MET impact op organisatie

Risico gebeurtenis MET impact op organisatie

Risico gebeurtenis MET impact op organisatie

CONTROL

Risicobeheersingsmaatregel Risicobeheersingsmaatregel

Risico gebeurtenis ZONDER impact op organisatie Risicobeheersingsmaatregel

Organisatie

Risico gebeurtenis ZONDER impact op organisatie

Risico gebeurtenis ZONDER impact op organisatie

Risico gebeurtenis MET impact op organisatie

Figuur 1 Impressie van risicogebeurtenissen met/zonder impact op de organisatie

Risicoaandachtsgebieden en risicobeheersing Risicoaandachtsgebieden kunnen richtlijnen, kernwaarden of competenties zijn (zoals specifieke bedrijfsfuncties) en/of expertisen waarnaar de aandacht specifiek uitgaat (bijvoorbeeld in relatie tot de positie op de in- en verkoopmarkten en de interne organisatie). Na het bepalen en vervolgens het selecteren van de risicoaandachtsgebieden zijn met aanvullende analyses de risico’s vast te stellen. Voor de vastgestelde risico’s worden risicobeheersingsmaatregelen ontwikkeld. De risicobeheersing vindt dus alleen plaats voor die risicoaandachtsgebieden en risico’s die geïdentificeerd en geselecteerd zijn. De risicobeheersingsmaatregelen vormen een schil om de organisatie, waardoor de gevolgen van risicovolle gebeurtenissen niet kunnen doordringen in de organisatie. Figuur 1 geeft een impressie van hoe risicovolle gebeurtenissen zich voordoen. Hieruit valt op te maken dat de selectie van de risicoaandachtsgebieden onvolledig is geweest. De schil om de organisatie is niet sluitend, hetgeen betekent dat een aantal risicoaandachtsgebieden niet geselecteerd werd waardoor er ook geen risicobeheersingsmaatregelen gedefinieerd werden. Daardoor is het in dit geval mogelijk geworden dat een viertal risicovolle gebeurtenissen direct nadelig op de organisatie inwerkt. De risicoaandachtsgebieden vormen dus de basis voor risicobeheersing. De selectie van de risicoaandachtsgebieden is dan ook een belangrijke fase in het risicomanagement. De identificatie en de selectie van de risicoaandachtsgebieden bepalen dus het ambitieniveau voor risicomanagement.

32

|

Hoe enger de risicoaandachtsgebieden geselecteerd worden, hoe enger de risicobeheersing wordt. De situatie zoals weergegeven in figuur 1 kan juist ontstaan wanneer de organisatie de selectie van de risicoaandachtsgebieden uitsluitend laat afhangen van de wet- en regelgeving (zie ook kadertekst 1). De basis van de risicoaandachtsgebieden is dan smal en er is geen garantie dat de wettelijk voorgeschreven risicoaandachtsgebieden een volledig fundament vormen voor alle noodzakelijke risicobeheersingsmaatregelen. Zo kunnen er dus zwakke plekken bestaan in de bescherming tegen risico’s van de organisatie. Dit kan desastreuze gevolgen hebben. Wettelijke en facultatieve risicoaandachtsgebieden Naast de wettelijke risicoaandachtsgebieden is het juist ook de organisatie zelf die vanuit eigen inzicht dient te bepalen op welke vlakken zij beschermd dient te worden tegen risicovolle gebeurtenissen. Risicomanagement laat zich daarom tot op zekere hoogte vergelijken met accounting. Accounting is opgedeeld in de voorgeschreven externe verslaggeving (financial accounting) en de vrijwillige interne verslaggeving (managementaccounting). De inspanningen voor risicomanagement zijn dus vanuit twee vergelijkbare dimensies bepaald. De wettelijke dimensie spreekt voor zich. Een organisatie die deel uitmaakt van een branche waarvoor wet- en regelgeving is voorgeschreven, zal zich genoodzaakt voelen om hiervoor de nodige activiteiten te verrichten. De managementattentie voor de wettelijke dimensie bestaat dus vooral omdat de orga-

OKTOB E R 2007

&

FINANCE

Risicoaandachtsgebied wettelijk in focus (wettelijke risicobeheersing)

N

J

CONTROL

3) Exposure beperkt door organisatiegeweten

4) Exposure als achilleshiel

Risico-exposure:

Risico-exposure:

Beperkt; management eist inzicht in risico’s en beheersing

Aanleiding beheersing: Aanwezig bewustzijn bij management en negatieve ervaringen door eerdere risicovolle gebeurtenissen Risicobeheersing:

Vooraf

Risico-identificatie:

Eigen ambitie stelt de risico-aandachtgebieden

Hoog/zeer hoog; inzicht in risico’s ontbreekt als ook nut en noodzaak

Aanleiding beheersing: Geen, wettelijke motivatie als eigen ambitie ontbreken Risicobeheersing:

Achteraf, nadelige gevolgen te dragen, geen beheersing vooraf

Risico-identificatie:

Geen, crisis- en incidentmanagement nadat risico zich voordeed

Type risicobeheersing: Zelf bepalen risico’s en nemen beheersingsmaatregelingen

Type risicobeheersing: Geen Bewaking:

Bestaat niet

Bewaking:

Organisatie zelf, eventueel in samenwerking met externe partijen

Voorbeelden:

Steeds situationeel bepaald maar vooraf nooit vastgesteld

Voorbeelden:

ICT-uitwijkplan en externe data-opslag

1) Exposure in een kluis Risico-exposure:

2) Exposure beperkt door maatschappelijk belang Zeer laag; naast maatschappij erkent organisatie zelf ook het belang

Aanleiding beheersing: Voorgeschreven vanuit wetgeving en eigen risicobewustzijn Risicobeheersing:

Vooraf, toezichthouder vereist risicorapportage/-beheersing

Risico-identificatie:

Externe wet- en regelgeving en eigen inzicht stellen risicoaandachtsgebieden

Type risicobeheersing: Invulling wettelijk bepaalde risicoaandachtsgebieden als eigen motivatie Bewaking:

Organisatie zelf / Wettelijk bepaalde toezichthouders / accountant

Voorbeelden:

SOx/control framework dat overlapt met eigen AO/IC J

Risico-exposure:

Beperkt, door te voldoen aan wetgeving

Aanleiding beheersing: Voorgeschreven door maatschappelijk belang Risicobeheersing:

Vooraf

Risico-identificatie:

Voorgeschreven risicoaandachtsgebieden

Type risicobeheersing: Uitsluitend invulling wettelijk bepaalde risicoaandachtsgebieden Bewaking:

Wettelijk bepaalde toezichthouders / accountant

Voorbeelden:

WID, Basel II, Solvency II etc, etc...

Risicoaandachtsgebied zelfstandig in scope (facultatieve risicobeheersing)

N

Figuur 2 Matrix voor de bepaling van risico-exposure

nisatie dient te voldoen aan risicoanalyses voor die risicoaandachtsgebieden, zoals die door wet- en regelgeving voorgeschreven zijn. Voor de facultatieve dimensie ligt dat anders. Het is hier de organisatie zelf die bepaalt welke risicoaandachtsgebieden geselecteerd worden. De achilleshiel van de organisatie Voor het in figuur 1 getoonde model geldt als veronderstelling dat voor iedere organisatie een specifieke en situationele set risicoaandachtsgebieden bestaat. Deze specifieke set is het fundament voor een optimale risicobeheersing en bepaalt daarmee het optimale ambitieniveau. Voor de uitleg van de positioneringmatrix (zie figuur 2) wordt verder verondersteld dat de set specifieke risicoaandachtsgebieden bekend is als ‘soll-positie’ hetgeen betekent dat de organisatie weet wat de specifieke set risicoaandachtsgebieden is. De vraag die vervolgens beantwoord moet worden is: zijn de risicoaandachtsgebieden voor de organisatie in scope, ja of nee? Voor de beantwoording van deze vraag zijn het de hiervoor beschreven

wettelijke en facultatieve dimensie die bepalen of een risicoaandachtsgebied ‘in scope’ is. Niet in scope zijn betekent dus dat de organisatie geen optimale mate van risicobeheersing kent en daarmee dus al een gedeeltelijk ongewenste risicoexposure heeft. In figuur 2 zijn de wettelijke en facultatieve dimensie in een matrixvorm tegenover elkaar gezet, die bij de vraagstelling ‘zijn de risicoaandachtsgebieden in scope, ja of nee’ vier kwadranten geeft. Voor elk risicoaandachtsgebied kan met de beantwoording van de vraag ‘in scope ja of nee’ bepaald worden waar een organisatie het minst en het meest gevoelig is voor risico-exposure. De aandachtsgebieden van de wettelijke en facultatieve dimensie kunnen aanzienlijk uiteenlopen, maar overlap is ook mogelijk. Dit is het geval in kwadrant 1. In kwadrant 1 wordt zowel door de autoriteiten/toezichthouders, als door de organisatie zelf het belang ingezien van het geselecteerde risicoaandachtsgebied. Door deze dubbele attentie op dit risicoaandachtsgebied kan geconcludeerd worden dat de risicobeheersing zeer intensief is. In kwadrant 2 gaat het om

OKTOB E R 2007

|

33

W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L

&

FINANCE

risicoaandachtsgebieden die door de organisatie zelf niet als zodanig ervaren worden. Als voorbeeld is te denken aan de uitgebreide compliance wet- en regelgeving die een organisatie eerder ziet als een vanuit de externe omgeving opgelegde noodzaak, dan als een middel dat een toegevoegde waarde kan opleveren. Hoewel dit zeker het geval kan zijn, wordt de weten regelgeving meestal als ballast ervaren. Een andere misvatting is dat deze wet- en regelgeving de organisatie afdoende beschermt, terwijl dit niet noodzakelijkerwijs zo hoeft te zijn. Voor kwadrant 3 geldt dat er geen wettelijke aanleiding is om te voldoen aan rapportages of risicobeheersingsmaatregelen. Voor kwadrant 3 geldt wel dat het management vanuit eigen beweging gemotiveerd is om aandacht te besteden aan bepaalde risicoaandachtsgebieden. Vaak is het zo dat de selectie van relevant geachte risicoaandachtsgebieden vanuit de negatieve ervaringen met de gevolgen van risicovolle gebeurtenissen in het verleden in het geheugen gegrift staan. Een voorbeeld is de bijna vanzelfsprekende informatiebeveiliging en uitwijkprocedures ingeval van systeemstoringen en/of andere calamiteiten. Voor dit soort risico’s is er vaak een externe partij ingehuurd om de kwaliteit van de risicobeheersing te toetsen. Een voorbeeld is de vrijwillige keuze van een extern toezichthouder voor informatiebeveiliging conform de BS7799-22002-standaard. Kwadrant 4 geeft de risico-exposure weer waarvan de organisatie zou moeten weten hoe omvangrijk de positie is die daarin wordt ingenomen. Kwadrant 4 laat de blinde vlekken in het risicomanagement zien. Dit kwadrant – ook wel de achilles-

CONTROL

Wettelijke factoren

Facultatieve factoren Proactieve factor Strategie van de organisatie Reactieve factor

Reactieve factor Voldoen aan weten regelgeving

Bepalen van de risicoaandachtsgebieden

Collectief geheugen van de organisatie

Bewustzijn toegevoegde waarde risicomanagement Proactieve factor

Figuur 3 De rol van proactieve en reactieve factoren in de wettelijke en facultatieve dimensie

hiel van de organisatie genoemd – betreft die risicoaandachtsgebieden die wel van belang zijn voor een optimale risicobeheersing, maar helemaal niet in scope zijn van het management van de organisatie. Voor iedere organisatie is het van belang om haar positie in kwadrant 4 te kennen en die positie te minimaliseren door de risico-exposure te verruilen voor risicobeheersing in kwadrant 3. Vaststellen specifieke set risicoaandachtsgebieden In de voorgaande paragraaf staat de veronderstelling centraal dat de specifieke set risicoaandachtsgebieden bekend is als soll-positie. De vergelijking met de ‘ist-positie’ (de huidige set

Risicomanagement

Voor het bank- en verzekeringswezen is

te voldoen aan diverse (recent) ontwikkel-

bewustzijn voor bijbehorende activiteiten

het gezien de randvoorwaarde voor hun

de wet- en regelgeving. Een welsprekend

vergroot werd, maar ook doordat bepaal-

bestaansrecht (‘vertrouwen in de branche’)

voorbeeld is de geschiedenis waar het ver-

de wet- en regelgeving de jaarlijkse ver-

vanzelfsprekend van belang dat risico’s

trouwen in de externe verslaggeving op de

slaggevingcyclus bevordert. Met al deze

tijdig ingeschat en beheerst worden. Met

proef werd gesteld door onjuiste informa-

wet- en regelgeving ontstaat de verleiding

de introductie van Basel II en Solvency II,

tievoorziening van beursgenoteerde

te denken dat risico’s daarmee in voldoen-

voor respectievelijk banken en verzeke-

ondernemingen. De SOx-verslaggeving

de mate beheerst worden. Het ambitieni-

raars, is de verplichting om te rapporteren

volgde vanuit de Verenigde Staten en in

veau voor risicomanagement wordt zo dus

over de risicobeheersing verder aan-

Nederland werd de code-Tabaksblat (cor-

‘gedicteerd’ vanuit de gedachte dat de

gescherpt. Risicomanagement is als vak-

porate governance code) ontwikkeld. Daar

organisatie door de wet- en regelgeving

gebied en bedrijfsdiscipline de laatste

bleef het echter niet bij, want ook wet- en

automatisch voldoende beschermd is. De

jaren sterk in ontwikkeling. Het aanbod

regelgeving als WID, WFD, ROB, Wte, Wtk

vraag die zich daardoor opdringt is of dat

van opleidingen en specifieke applicaties

en MiFID hebben een plaats op de agenda

juist is. Nog belangrijker: hoe is vast te

onderstrepen dat het zich steeds meer als

van financiële instellingen gevonden. Deze

stellen dat er mogelijk nog blinde vlekken

een bredere en zelfstandige bedrijfs-

(externe) wet- en regelgeving gaf een

bestaan in de beheersing van risico’s?

discipline vestigt. Daarvoor zijn diverse

flinke impuls aan de ontwikkeling van

aanleidingen. Een daarvan is de noodzaak

risicomanagement. Niet alleen omdat het

34

|

OKTOB E R 2007

&

FINANCE

CONTROL

Strategie en risicobeheersing

1. Een verzekeringsmaatschappij wil haar

dat backofficesystemen frequent aange-

sterkte waarvan men uitgaat is de infor-

marktpositie aanzienlijk versterken en

past moesten worden om aan bepaalde

mele cultuur binnen de organisatie. Die

beoogt een vergroting van het marktaan-

productspecificaties te kunnen voldoen.

heeft ertoe geleid dat middelgrote veran-

deel met 5% in twee jaar. De realisatie

Door de toegenomen complexiteit neemt

deringsprojecten altijd slagvaardig en

ervan vindt plaats door het aantrekken

het aantal procedures toe. Er worden meer

pragmatisch werden afgerond. Nu onder

van nieuwe accountmanagers. Bonussen

en meer fouten gemaakt en de klanttevre-

druk van een intensievere concurrentieom-

worden toegekend aan de salesforce en

denheid neemt snel af met als gevolg een

geving de ondoelmatigheid van de organi-

aan het hogere management bij het beha-

snel slechter wordende marktreputatie. De

satie pijnlijk duidelijk wordt, neemt de

len van bepaalde omzetniveaus. De kern-

sterk op de bonussen gerichte omzettar-

behoefte aan interne schaalvergroting toe.

waarde is goed luisteren naar de potentië-

gets deden het risico van een overruling

Door het sterke geloof in de bedrijfscul-

le klant en zijn wensen en behoeften goed

van de backoffice ontstaan om de omzet

tuur wordt een groot veranderingsproject

in kaart brengen. Voorts wordt het acquisi-

maar gerealiseerd te krijgen. Men was zich

gestart. De risico’s die hierdoor over het

tieproces daarop afgestemd. De organisa-

niet bewust van de gevolgen van het risico

hoofd gezien worden, zijn juist verbonden

tie is er trots op te kunnen terugvallen op

namelijk de vele aanpassingen in en de

met die bedrijfscultuur. Het pragmatisme

de grote flexibiliteit van de backofficesy-

toegenomen complexiteit van de backoffi-

leidt tot een onvoldoende ordelijke pro-

stemen. Na enige tijd blijkt dat de

cesystemen.

jectorganisatie, waardoor de hiërarchische

beloningstructuur de salesforce zeer

lijnen vervagen. De noodzakelijke eendui-

target driven heeft gemaakt en dat de

2. Een grote bankorganisatie heeft het

dige besluitvorming blijft hierdoor uit wat

salesforce alles op alles zet om klanten te

voornemen om aanzienlijke schaalvoorde-

uiteindelijk leidt tot het staken van het

contracteren. Bovendien heeft het

len te gaan behalen door uniformering van

project.

luisteren naar nieuwe klanten ertoe geleid

een groot aantal backofficesystemen. De

risicoaandachtsgebieden) zou dan eenvoudig de positie in kwadrant 4 kunnen bepalen. In de praktijk zal het vaststellen van de set specifieke risicoaandachtsgebieden als soll-positie geen objectief gegeven zijn. Toch is het mogelijk om een objectiever beeld te krijgen van de relevante risicoaandachtsgebieden waarvoor een algemene richting aangeboden wordt (zie ook figuur 3). Zoals al gezegd, is bij het bepalen van het ambitieniveau voor risicomanagement de voorgeschreven

selectie van de wettelijke risicoaandachtsgebieden vrijwel nooit toereikend. Daarom dient de organisatie bij het bepalen van de relevante risicoaandachtsgebieden ook aandacht te besteden aan de facultatieve dimensie. Er zijn drie factoren die de risicoaandachtsgebieden bepalen namelijk: ~ bewustzijn toegevoegde waarde risicomanagement; ~ strategische intenties van de organisatie; ~ collectieve geheugen van de organisatie.

advertentie

Benieuwd? Benieuwd naar het gras bij de buren? Je hebt een achtergrond bij een van de big4 of in het bedrijfsleven en bent nieuwsgierig. Je hebt een rechtdoorzee mentaliteit en hebt de wil om te leren. Het is tijd voor bezinning. Limbus Consulting is een snelgroeiend adviesbureau met de focus op verbetering van de financiële functie en zoekt energieke mensen. Limbus is er voor organisaties en mensen die hun prestaties willen verhogen en hun betekenis willen vergroten. Wil je samen met collega’s en de klant complexe problemen aanpakken en tegelijkertijd veel leren in korte tijd? Stuur dan je cv naar Martine Weststeijn, [email protected] en toets je nieuwsgierigheid.

OKTOB E R 2007

|

35

W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L

&

FINANCE

Bewustzijn nut risicomanagement Een organisatie loopt al een risico als zij het denkwerk over risicobeheersing overlaat aan toezichthouders. Risicobeheersing is immers een verantwoordelijkheid van de organisatie zelf. Risicomanagement zal een volwaardige taak moeten zijn, wat betekent dat issues voortkomend uit deze bedrijfsfunctie altijd als serieuze onderwerpen behandeld moeten worden tijdens managementvergaderingen. De beheerscyclus van het risicomanagement en het daarmee voorkomen van schade aan de organisatie, vormt dan de toegevoegde waarde. Wanneer risicomanagement niet meer voorstelt dan het voldoen aan de wet- en regelgeving, dan zal dat negatieve invloed hebben op de medewerkers van auditafdelingen en/of afdelingen operational riskmanagement. Minder diepgaand analysewerk kan het gevolg zijn waardoor de kwaliteit van de risicorapportages ook afneemt. Strategische intenties De strategische intenties van de organisatie zijn het meest situatiebepalend voor de ontwikkeling van risicomanagement. Iedere organisatie streeft een aantal langetermijndoelen na, en in ieder geval totdat die doelen bereikt zijn, is de continuïteit van de organisatie noodzakelijk. Voor het bepalen van de bijbehorende risicoaandachtsgebieden dient bekend te zijn hoe de verwezenlijking ervan gaat plaatsvinden. De toepassing houdt in dat de weg (zoals bijvoorbeeld actieplannen) vanaf de uitgangspositie naar de beoogde doelpositie beschermd moet zijn tegen tegenvallers die ontstaan door risicovolle gebeurtenissen, maar ook dat de beoogde doelen een basis vormen voor verdere ontwikkeling van de organisatie. Juist bij de veronderstelde uitgangspunten van de actieplannen (zoals de sterkten en de kwaliteit van de kerncompetenties) dienen vraagtekens gezet te worden of juist deze niet door risicovolle gebeurtenissen ondermijnd kunnen worden. De veronderstelde uitgangspunten zijn immers het fundament onder de strategieverwezenlijking. Risico-exposure op het fundament zou de totale organisatie belemmeren in de doelrealisatie. Zie het kader ‘Stategie en risicobeheersing’ voor concrete voorbeelden van risico-exposures die binnen financiële instellingen onderbelicht bleven. Collectief geheugen Ondanks dat de strategische intenties duidelijkheid geven over welke richting de organisatie uit wil, bieden de lessen uit het verleden van onvoldoende risicobeheersing belangrijke aanknopingspunten om de risicoaandachtsgebieden te bepalen. Deze reactieve factor is namelijk het meest concreet voor een organisatie en levert ook het directe bewijs van wat het gevolg is als er geen voorzorgsmaatregelen bestaan. Iedere organisatie heeft te maken met bedrijfsincidenten. Hierdoor

36

|

CONTROL

bouwt de organisatie ervaring op en leert zij wat de nadelige gevolgen van dergelijke incidenten kunnen zijn. Het zijn juist de verslagen van dit soort gebeurtenissen die tot de verbeelding spreken van het management en ze kunnen daarom dienen als casussen voor bewustwordingssessies. Deze ‘lessen’ zouden in het collectief geheugen van de organisatie opgeslagen moeten worden, ook na bestuurswisselingen. Conclusies Dit artikel gaat over het ambitieniveau voor risicomanagement. Het gaat ervan uit dat er voor iedere organisatie een specifieke set risicoaandachtsgebieden bestaat. Deze set is van belang voor het uitvoeren van gerichte risicoanalyses met het doel om risicobeheersingsmaatregelen te ontwikkelen. Met de aanzienlijk toegenomen wet- en regelgeving in de bancaire en verzekeringssector, is het bepalen van de risicoaandachtsgebieden de laatste jaren voor een aanzienlijk deel ingegeven vanuit die wet- en regelgeving. Daardoor bestaat de kans dat het ambitieniveau voor risicomanagement beperkt blijft tot de kwadranten 1 en 2. Er is veel tijd en geld besteed aan de ontwikkeling van risicomanagement, maar dan vanuit het oogpunt te voldoen aan de wet- en regelgeving. Hierdoor ontstaat het gevaar dat de geselecteerde risicoaandachtsgebieden te eng zijn vergeleken met de set specifieke risicoaandachtsgebieden. Hoewel deze voor een organisatie nooit objectief zijn vast te stellen, kan met de toepassing van drie essentiële factoren die vallen onder de facultatieve dimensie, een aanzienlijk beter beeld gevormd worden van de belangrijkste risicoaandachtsgebieden. Het is de facultatieve dimensie die bepalend is voor een optimale risicobeheersing die aansluit op de bedrijfsspecifieke situatie. Belangrijke aspecten van risicomanagement die een duidelijke toegevoegde waarde hebben, lijken juist op het gebied van de strategieverwezenlijking te blijven liggen. Daarmee ontstaat een positie-inname in kwadrant 4, wat een te laag ambitieniveau betekent voor een organisatie. Daarbij kan ook kwadrant 2 gevaren opleveren voor de organisatie. Voor dit kwadrant geldt namelijk dat de organisatie alleen het minimaal noodzakelijke zal doen om te voldoen aan de wet- en regelgeving, maar dat de essentie van risicomanagement niet begrepen wordt. Juist ook voor dit kwadrant kan gelden dat de inspanning onvoldoende is om risico’s te beheersen. De organisatie moet ervoor zorgen dat risicomanagement als een volwaardige bedrijfsfunctie wordt gezien die toegevoegde waarde betekent. Zij moet zich er terdege van bewust zijn dat de toegenomen wet- en regelgeving lui kan maken. Drs. C. Roodhorst MC ([email protected]) is als specialist procesanalyse en risicomanagement verbonden aan EIFFEL en heeft dit artikel op persoonlijke titel geschreven.

OKTOB E R 2007