Risicomanagement
Hoofdstuk 5 Risico-identificatie
§1 Aanpak van de risico-identificatie
Er bestaat geen waterdichte methode voor risico-identificatie. Er is wel een aantal
standaardwerkwijzen en -hulpmiddelen waarmee een organisatie een goed overzicht kan
krijgen van de belangrijkste risico’s (en de objecten en belangen die eraan onderhevig zijn).
De vraag welke hulpmiddelen moeten worden ingezet en op welke wijze dit het beste kan
worden gedaan, moet voor elke specifieke organisatie en voor alle soorten risico’s waaraan
deze blootstaat, opnieuw beantwoord worden. Hierbij moet rekening worden gehouden met
de aard en omvang van de organisatie en de activiteiten die er worden verricht. Bovendien
moet er overeenstemming zijn over de aard van de risico’s die geïdentificeerd moeten
worden, dus: vooral strategische of operationele risico’s, alleen risico’s die samenhangen
met bepaalde doelstellingen of processen, of alleen specifieke risico’s (zoals
aansprakelijkheidsrisico’s of continuïteitsrisico’s).
5.1.1 Structuur van de risico-identificatie
Tijdens de voorbereiding op de risico-identificatie vinden 2 stappen plaats:
In de eerste stap vindt er een oriëntatie op de organisatie plaats. Inzicht in de organisatie
geeft de risicomanager al richting voor het bepalen van de risico’s die voor dit type
organisatie het meest relevant zijn.
De tweede stap is het bepalen van de reikwijdte (of de scope) van de identificatie. Hiermee
beantwoordt de risicomanager vragen als:
- Welke doelstellingen van de organisatie zijn onderwerp van onderzoek?
- Welke onderdelen van de organisatie zijn onderwerp van onderzoek?
- In welke risico’s is nader inzicht gewenst?
Het overzicht van organisatiedoelstellingen en -onderdelen en van de risicocategorieën die
worden betrokken bij de risico-identificatie, vormt een goed uitgangspunt voor het proces.
Deze elementen maken dan ook deel uit van een structuur van identificatie. Wanneer een
organisatie een risicoanalyse uitvoert, kan zij als volgt te werk gaan.
De eerste stap is dat de risicomanager met behulp van een bedrijfsbrede risico-oriëntatie
globaal nagaat aan welke potentiële risico’s de organisatie blootstaat. Een hulpmiddel
hiervoor is een algemene checklist van allerlei risicocategorieën met voorbeeldrisico’s.
Deze algemene checklist bevat vragen die aanleiding kunnen geven om bij de tweede stap
tot een meer diepgaande risico-identificatie betreffende de belangen, eigendommen en
activiteiten van het bedrijf of organisatie te komen. Deze eerste stap wordt ook wel een
quick scan genoemd.
Als tweede stap gaat de risicomanager na welke van de in de quick scan onderkende
risico’s in zijn bedrijf een significante bedreiging kunnen vormen en een nader onderzoek
vergen. In de meeste gevallen kan hij deze gedetailleerde identificatie niet alleen uitvoeren,
maar heeft hij assistentie nodig van interne of soms externe deskundigen op het gebied van
de geconstateerde risico’s.
5.1.2 Enkele benaderingen van risico-identificatie
Het identificeren van risico’s kan met behulp van verschillende werkwijzen. De meeste
werkwijzen geven een kader, structuur of thema’s aan van waaruit geredeneerd kan worden
bij het benoemen van belangrijke risico’s.
, COSO-systematiek
Het uitgangspunt van de COSO-systematiek is bedrijfsbrede identificatie van risico’s die de
realisatie van de strategie, doelstellingen en prestaties bedreigen. Een risico is dus relevant
indien het de realisatie van doelstellingen in de weg staat. Binnen het model wordt aandacht
gegeven aan identificatie en evaluatie van bekende risico’s, maar ook is er actieve alertheid
voor nieuwe risico’s. Deze nieuwe risico’s hangen samen met veranderingen in de externe
context of interne context van de organisatie. Het kunnen nieuwe risico’s zijn of bestaande
risico’s die, door de context verandering, een grotere impact krijgen.
COSO schrijft geen methodes voor waarmee risico’s kunnen worden geïdentificeerd, maar
haalt wel diverse methodes aan zoals: raadpleging van de organisatie door middel van
interviews of workshops, of meer systematische procesanalyse of data-analyse. De optimale
manier dient aan te sluiten bij de structuur en complexiteit, maar ook cultuur van de
organisatie. Ook geeft COSO aandacht aan het structureren en categoriseren van risico’s
om het inzicht en de volledigheid te bevorderen.
Ferma
In de European Risk Management Standard van de Federation of European Risk
Management Associations (FERMA) zijn ook aanwijzingen voor de aanpak van de risico-
identificatie opgenomen. Deze zijn voor een belangrijk deel afgeleid van de ISO 31000
richtlijn voor risicomanagement. Hierin staat: ‘Risico-identificatie dient op een systematische
manier te worden aangepakt, zodat alle belangrijke activiteiten binnen de organisatie
geïdentificeerd kunnen worden en alle risico’s voortvloeiend uit die activiteiten afgebakend
kunnen worden. Alle verwante volatiliteit met betrekking tot die activiteiten dient te worden
geïdentificeerd en gecategoriseerd.’
Bedrijfsactiviteiten en -besluiten kunnen op verschillende manieren worden ingedeeld.
- Strategisch. Deze activiteiten of besluiten betreffen de strategische doelstellingen
van de organisatie op lange termijn. Zij kunnen beïnvloed worden door factoren als
beschikbaarheid van kapitaal, soevereine en politieke risico’s, wijzigingen in wetten
regelgeving, reputatie en veranderingen in de fysieke omgeving.
- Operationeel. Deze activiteiten of besluiten betreffen de dagelijkse aangelegenheden
waarmee de organisatie wordt geconfronteerd terwijl zij haar strategische
doelstellingen probeert te behalen.
- Financieel. Deze activiteiten of besluiten betreffen het effectief beheer van en
toezicht op de financiën van de organisatie en de effecten van externe factoren zoals
beschikbaarheid van krediet, wisselkoersen, rentebewegingen en andere
marktblootstellingen.
- Kennisbeheer. Deze activiteiten of besluiten betreffen het doeltreffend beheer van en
toezicht op de kennismiddelen, en de totstandbrenging, bescherming en
communicatie ervan. Externe factoren omvatten onder meer het ongeoorloofde
gebruik of misbruik van intellectuele eigendom, stroomstoringen in het net en
concurrerende technologie Voorbeelden van interne factoren zijn systeemstoring of
verlies van belangrijk personeel.
- Naleving (van wet- en regelgeving). Deze activiteiten of besluiten betreffen zaken
zoals veiligheid en gezondheid, milieu, handelsvoorschriften,
consumentenbescherming, gegevensbescherming, werkaangelegenheden en
regelgevende zaken.
Hoofdstuk 5 Risico-identificatie
§1 Aanpak van de risico-identificatie
Er bestaat geen waterdichte methode voor risico-identificatie. Er is wel een aantal
standaardwerkwijzen en -hulpmiddelen waarmee een organisatie een goed overzicht kan
krijgen van de belangrijkste risico’s (en de objecten en belangen die eraan onderhevig zijn).
De vraag welke hulpmiddelen moeten worden ingezet en op welke wijze dit het beste kan
worden gedaan, moet voor elke specifieke organisatie en voor alle soorten risico’s waaraan
deze blootstaat, opnieuw beantwoord worden. Hierbij moet rekening worden gehouden met
de aard en omvang van de organisatie en de activiteiten die er worden verricht. Bovendien
moet er overeenstemming zijn over de aard van de risico’s die geïdentificeerd moeten
worden, dus: vooral strategische of operationele risico’s, alleen risico’s die samenhangen
met bepaalde doelstellingen of processen, of alleen specifieke risico’s (zoals
aansprakelijkheidsrisico’s of continuïteitsrisico’s).
5.1.1 Structuur van de risico-identificatie
Tijdens de voorbereiding op de risico-identificatie vinden 2 stappen plaats:
In de eerste stap vindt er een oriëntatie op de organisatie plaats. Inzicht in de organisatie
geeft de risicomanager al richting voor het bepalen van de risico’s die voor dit type
organisatie het meest relevant zijn.
De tweede stap is het bepalen van de reikwijdte (of de scope) van de identificatie. Hiermee
beantwoordt de risicomanager vragen als:
- Welke doelstellingen van de organisatie zijn onderwerp van onderzoek?
- Welke onderdelen van de organisatie zijn onderwerp van onderzoek?
- In welke risico’s is nader inzicht gewenst?
Het overzicht van organisatiedoelstellingen en -onderdelen en van de risicocategorieën die
worden betrokken bij de risico-identificatie, vormt een goed uitgangspunt voor het proces.
Deze elementen maken dan ook deel uit van een structuur van identificatie. Wanneer een
organisatie een risicoanalyse uitvoert, kan zij als volgt te werk gaan.
De eerste stap is dat de risicomanager met behulp van een bedrijfsbrede risico-oriëntatie
globaal nagaat aan welke potentiële risico’s de organisatie blootstaat. Een hulpmiddel
hiervoor is een algemene checklist van allerlei risicocategorieën met voorbeeldrisico’s.
Deze algemene checklist bevat vragen die aanleiding kunnen geven om bij de tweede stap
tot een meer diepgaande risico-identificatie betreffende de belangen, eigendommen en
activiteiten van het bedrijf of organisatie te komen. Deze eerste stap wordt ook wel een
quick scan genoemd.
Als tweede stap gaat de risicomanager na welke van de in de quick scan onderkende
risico’s in zijn bedrijf een significante bedreiging kunnen vormen en een nader onderzoek
vergen. In de meeste gevallen kan hij deze gedetailleerde identificatie niet alleen uitvoeren,
maar heeft hij assistentie nodig van interne of soms externe deskundigen op het gebied van
de geconstateerde risico’s.
5.1.2 Enkele benaderingen van risico-identificatie
Het identificeren van risico’s kan met behulp van verschillende werkwijzen. De meeste
werkwijzen geven een kader, structuur of thema’s aan van waaruit geredeneerd kan worden
bij het benoemen van belangrijke risico’s.
, COSO-systematiek
Het uitgangspunt van de COSO-systematiek is bedrijfsbrede identificatie van risico’s die de
realisatie van de strategie, doelstellingen en prestaties bedreigen. Een risico is dus relevant
indien het de realisatie van doelstellingen in de weg staat. Binnen het model wordt aandacht
gegeven aan identificatie en evaluatie van bekende risico’s, maar ook is er actieve alertheid
voor nieuwe risico’s. Deze nieuwe risico’s hangen samen met veranderingen in de externe
context of interne context van de organisatie. Het kunnen nieuwe risico’s zijn of bestaande
risico’s die, door de context verandering, een grotere impact krijgen.
COSO schrijft geen methodes voor waarmee risico’s kunnen worden geïdentificeerd, maar
haalt wel diverse methodes aan zoals: raadpleging van de organisatie door middel van
interviews of workshops, of meer systematische procesanalyse of data-analyse. De optimale
manier dient aan te sluiten bij de structuur en complexiteit, maar ook cultuur van de
organisatie. Ook geeft COSO aandacht aan het structureren en categoriseren van risico’s
om het inzicht en de volledigheid te bevorderen.
Ferma
In de European Risk Management Standard van de Federation of European Risk
Management Associations (FERMA) zijn ook aanwijzingen voor de aanpak van de risico-
identificatie opgenomen. Deze zijn voor een belangrijk deel afgeleid van de ISO 31000
richtlijn voor risicomanagement. Hierin staat: ‘Risico-identificatie dient op een systematische
manier te worden aangepakt, zodat alle belangrijke activiteiten binnen de organisatie
geïdentificeerd kunnen worden en alle risico’s voortvloeiend uit die activiteiten afgebakend
kunnen worden. Alle verwante volatiliteit met betrekking tot die activiteiten dient te worden
geïdentificeerd en gecategoriseerd.’
Bedrijfsactiviteiten en -besluiten kunnen op verschillende manieren worden ingedeeld.
- Strategisch. Deze activiteiten of besluiten betreffen de strategische doelstellingen
van de organisatie op lange termijn. Zij kunnen beïnvloed worden door factoren als
beschikbaarheid van kapitaal, soevereine en politieke risico’s, wijzigingen in wetten
regelgeving, reputatie en veranderingen in de fysieke omgeving.
- Operationeel. Deze activiteiten of besluiten betreffen de dagelijkse aangelegenheden
waarmee de organisatie wordt geconfronteerd terwijl zij haar strategische
doelstellingen probeert te behalen.
- Financieel. Deze activiteiten of besluiten betreffen het effectief beheer van en
toezicht op de financiën van de organisatie en de effecten van externe factoren zoals
beschikbaarheid van krediet, wisselkoersen, rentebewegingen en andere
marktblootstellingen.
- Kennisbeheer. Deze activiteiten of besluiten betreffen het doeltreffend beheer van en
toezicht op de kennismiddelen, en de totstandbrenging, bescherming en
communicatie ervan. Externe factoren omvatten onder meer het ongeoorloofde
gebruik of misbruik van intellectuele eigendom, stroomstoringen in het net en
concurrerende technologie Voorbeelden van interne factoren zijn systeemstoring of
verlies van belangrijk personeel.
- Naleving (van wet- en regelgeving). Deze activiteiten of besluiten betreffen zaken
zoals veiligheid en gezondheid, milieu, handelsvoorschriften,
consumentenbescherming, gegevensbescherming, werkaangelegenheden en
regelgevende zaken.
