Samenvatting boek Risicomanagement
Hoofdstuk 1: Risico’s en risicomanagement – introductie en ontwikkeling
In de moderne samenleving hebben ondernemingen en instellingen te maken met onzekerheden
die steeds complexer van aard zijn en die steeds ingrijpendere gevolgen hebben. Daarnaast
toont de maatschappij een sterke behoefte aan zekerheid en zij probeert risico’s zoveel mogelijk
te beperken en waar mogelijk te elimineren. Als antwoord hierop is in de jaren ’60 van de vorige
eeuw een speciale managementdiscipline tot ontwikkeling gekomen: riskmanagement.
Diverse ontwikkelingen hebben er in de loop van de tijd voor gezorgd dat de principes van
risicomanagement steeds meer zijn geïntegreerd in de activiteiten die worden ingezet voor
algemeen leiderschap en de aansturing van een organisatie. Zo ontstond de term enterprise
riskmanagement.
Enterprise riskmanagement
Combinatie van het management van alle risico’s die de doelstellingen en de prestaties van een
organisatie kunnen bedreigen, zoals strategische, financiële en marktrisico’s, maar ook de
traditionele verzekerbare risico’s. Enterprise riskmanagement draagt bij aan de aansturing van de
organisatie. De discipline neemt dan ook, zowel in de praktijk, als in relevante regelgeving een
belangrijke plaats in bij principes van goed bestuur, ofwel corporate governance.
1.1 Behoefte aan zekerheid
Dankzij de technologie en de sociale systemen speelt het leven zich af in een beschutte
omgeving en is het hebben van voorspoed bijna vanzelfsprekend. Natuurlijk zijn er ook
problemen. Denk aan het milieu, onrusten en oorlogen in sommige werelddelen, het toegenomen
terrorismerisico, ziekten of cybercriminaliteit. Deze problemen dringen echter zelden door tot de
mensen door als reële gevaren die hun leven of de organisatie waar zij voor werken, direct
bedreigen. Maar ook al gedragen mensen zich in hun dagelijkse leven niet altijd risicomijdend en
doordacht, vooropgesteld kan desondanks worden dat de behoefte aan zekerheid tot de
belangrijkste behoeften van mensen gerekend mag worden.
De bekende psycholoog Abraham Maslow onderscheidt vijf fundamentele typen van menselijke
behoeften, die qua belangrijkheid zijn te rangschikken op verschillende niveaus van hiërarchie
(zie afbeelding hieronder). Zolang iemands basisbehoeften niet zijn bevredigd, worden de andere
behoeften buiten wegen gelaten.
1
,1.2 Introductie van het begrip risico
Risico is een begrip dat in de loop der tijd verandert en diverse interpretaties kent. Oorspronkelijk
was de definitie van risico:
“Een onzekere gebeurtenis met een kans op een positieve of negatieve uitkomst.”
In de klassieke beschrijving van het risico met ‘negatieve connotatie’ staan twee componenten, te
weten: gevaar en schade of verlies.
Gevaar
Onzekerheid over de uitkomst. Onzekerheid is ook een vereiste om een gebeurtenis als risico te
bestempelen.
Schade of verlies
Negatieve uitkomst van een gebeurtenis.
Tegenwoordig neemt de aandacht voor het identificeren en managen van kansen verder toe.
1.3 Globale begripsbepaling van risicomanagement
Door het tempo van verandering wordt de wereld van tegenwoordig ook wel gekaraktiseerd als
VUCA-wereld. Deze Engelse afkorting staat voor:
Ø Volatile – Volatiel
Ø Unpredictable – Onvoorspelbaar
Ø Complex – Complex
Ø Ambigious – Dubbelzinnig
Resilience
Het vermogen (van organisaties) om te anticiperen, voorbereid te zijn, te acteren en zich aan te
passen op plotselinge gebeurtenissen maar ook op geleidelijke veranderingen.
Risicomanagement heeft zich ontwikkeld als onlosmakelijk onderdeel van de algemene
aansturing van een onderneming. Deze ‘algemene; vorm van risicomanagement is erop gericht
de realisatie van de doelstellingen en het voortbestaan van de onderneming te beschermen.
1.4 Ontwikkeling van risicomanagement
De oorsprong van risicomanagement komt voort uit het verzekeringswezen, waarbij voornamelijk
op de beheersing van statische risico’s werd gefocust. Dat wil zeggen: gebeurtenissen die leiden
tot verlies en onder bepaalde omstandigheden verzekerd kunnen worden. In de jaren ’90 werd in
toenemende mate de term ‘holistic riskmanagement’ of ‘enterprise riskmanagement’ (ERM)
gebruikt. Dit risicomanagement staat ten dienste van het succesvolle voortbestaan van de
organisatie en richt zich op alle risico’s (en ook kansen) die de doelstellingen en strategie van de
organisatie bedreigen. Hoewel de basisprincipes van risicomanagement geldig blijven, blijft ook
enterprise riskmanagement sterk in beweging onder invloed van zakelijke, maatschappelijk en
economische ontwikkelingen.
1.5 Redenen voor risicomanagement
Risicomanagement wordt in de eerste plaats toegepast door organisaties om structuur te geven
aan de bescherming van hun continuïteit en de realisatie van hun doelstellingen. Ook de
bescherming van mensen en hun belangen, zowel werknemers, omwonenden als afnemers en
andere betrokkenen is een belangrijke motiverende factor.
Corporate governance
Een principe of systeem van richtlijnen voor bestuur van een onderneming of organisatie.
Voorbeeld: goed bestuur met als kernwaarde transparantie.
2
,Aandacht voor goed bestuur als principe of systeem zoals we dat vandaag kennen, is toegnomen
in de loop van de 20e eeuw en de afgelopen decennia steeds verder in structuren gegoten.
Principes voor goed bestuur zijn de afgelopen decennia beschreven en vastgelegd in Corporate
Governance Codes. Dit betekent het volgende:
Ø Stelsel van regels en omgangsvormen voor directe stakeholders (zie afbeelding).
Ø Gaat in op goed bestuur, goed toezicht en regels verdeling TVB.
Ø Uitgangspunt: bestuurders en commissarissen dienen verantwoording af te leggen.
Diverse actualisaties leiden tot aanscherpingen in lijn met maatschappelijke behoeften: meer
aandacht voor transparantie, definitie van rollen van bestuurders en commissarissen, maar ook
onafhankelijke checks en balances door audit commissies. Een en ander in lijn met de ‘three
lines of defence principles’:
1) Eerste lijn – bestuur en management – verantwoordelijk voor aansturing van de
organisatie en bedrijfsprocessen.
2) Tweede lijn – staffuncties – ondersteuning van eerste lijn met expertise, advies en
faciliteren van processen.
3) Derde lijn – audit – controle van bestaande afspraken en invulling interne- en externe
richtlijnen.
Daarnaast wordt duurzaamheid ook een steeds prominenter thema. Duurzaamheid wordt
enerzijds vertaald naar duurzaam ondernemen, lange termijn focus en duurzame verslaglegging.
Anderzijds nemen grote organisaties steeds meer verantwoordelijkheid voor grote
maatschappelijke- en milieuvraagstukken en dragen hieraan bij door maatschappelijk
verantwoord te ondernemen.
Compliance
Het voldoen aan wet- en regelgeving. Een organisatie moet kunnen aantonen dat actief wordt
ingezet op borging van het voldoen aan wet- en regelgeving.
3
, De principes en verplichtingen voor het toepassen van risicomanagement zijn vastgelegd in
diverse algemene en sector gebonden richtlijnen. Het voordeel hiervan is dat organisaties bewust
werken aan het beheersen van hun risico’s en dit in veel gevallen hebben verbeterd. Nadelen zijn
dat dit soms gepaard gaat met omvangrijke administratieve lasten en schijnzekerheid.
In Europa is de ontwikkeling van het aansprakelijkheidsrecht voor veel bedrijven en organisaties
aanleiding geweest om vooral met het aansprakelijkheidsrisico steeds zorgvuldiger om te gaan.
Wetgeving waar risicomanagement direct uit voortvloeit:
Sarbanes Oxley
Wet die organisaties rechtstreeks verplicht tot het toepassen van risicomanagement. De wet
bevat regels voor financiële controle en bewaking van de integriteit van ondernemingen en heeft
geleid tot de opzet van het ‘enterprise riskmanagement framework’, een raamwerk voor
‘organisatiebreed’ risicomanagement voor beursgenoteerde ondernemingen. In Nederland is, in
lijn met Sarbanes Oxley en op basis van de aanbevelingen van de Commissie Tabaksblat, eind
2003 de hiervoor beschreven ‘Nederlandse corporate governance code’ voor beursgenoteerde
ondernemingen van kracht geworden.
COSO
Committee of Sponosring Organizations. Dit comité, bekend onder de naam COSO, stelde in het
begin van de jaren ’90 een raamwerk op voor de interne controle van organisaties. Het COSO-
raamwerk bevat de volgende punten:
Ø Een definitie van risicomanagement
Ø Aanwijzingen voor de manier waarop risicomanagement kan worden gestructureerd
Ø Gemeenschappelijke uitgangspunten voor risicomanagement
Ø Gemeenschappelijke ‘taal’ voor het voeren van risicomanagement
ISO
In 2009 is de internationale standaard ISO 31000-richtlijn voor risicomanagement gepubliceerd.
Deze richtlijn is bedoeld als leidraad voor de opzet van risicomanagement binnen organisaties,
als ‘paraplu’ over alle bestaande managementdisciplines gericht op het beheersen van risico’s.
IFRS
International Financial Reporting Standards. Uit deze eisen met betrekking tot de financiële
verslaglegging vloeien impliciet ook enige bepalingen voort over de wijze waarop met risico’s kan
worden omgegaan, in het bijzonder waar het gaat om het aanleggen van reserves met het oog
op mogelijke toekomstige schadegevallen uit statische risico’s.
IRF
Integrated Reporting Framework. Dit raamwerk stuurt aan op een integrale benadering van
(financiële) rapportage waarmee ook de bedrijfsvoering integraal en over cilo’s heen wordt
bekeken. Naast terugkijken biedt het raamwerk ruimte voor vooruitkijken met aandacht voor
aspecten als prestatie, waardecreatie en duurzaamheid.
Global Reporting Initiative (GRI)
Een belangrijke ontwikkeling in het kader van rapportage is de opkomst van maatschappelijk
verantwoord ondernemen, ofwel MVO. De uitgangspunten hiervoor, zowel voor algehele
verslaglegging, als voor specifieke aspecten, worden gegeven in de GRI-standards. Dit zijn
standaarden ontwikkeld door GRI – een organisatie die zich inzet voor het integreren van MVO-
aspecten in besluitvorming en daarmee voor behoud van essentiële grondstoffen en waarden.
Basel-akkoorden
Een andere ontwikkeling wordt gevormd door de Basel-akkoorden. De akkoorden zijn geïnitieerd
door (neerwaartse) bewegingen van de solvabiliteit van financiële markten en hebben als doel
internationale voorschriften te formuleren voor het vormen van voldoende kapitaalreserves. De
bedoeling ervan is de financiële veiligheid en gedegenheid van banken te bevorderen en
daarmee de stabiliteit van de financiële wereld als geheel te versterken.
4
Hoofdstuk 1: Risico’s en risicomanagement – introductie en ontwikkeling
In de moderne samenleving hebben ondernemingen en instellingen te maken met onzekerheden
die steeds complexer van aard zijn en die steeds ingrijpendere gevolgen hebben. Daarnaast
toont de maatschappij een sterke behoefte aan zekerheid en zij probeert risico’s zoveel mogelijk
te beperken en waar mogelijk te elimineren. Als antwoord hierop is in de jaren ’60 van de vorige
eeuw een speciale managementdiscipline tot ontwikkeling gekomen: riskmanagement.
Diverse ontwikkelingen hebben er in de loop van de tijd voor gezorgd dat de principes van
risicomanagement steeds meer zijn geïntegreerd in de activiteiten die worden ingezet voor
algemeen leiderschap en de aansturing van een organisatie. Zo ontstond de term enterprise
riskmanagement.
Enterprise riskmanagement
Combinatie van het management van alle risico’s die de doelstellingen en de prestaties van een
organisatie kunnen bedreigen, zoals strategische, financiële en marktrisico’s, maar ook de
traditionele verzekerbare risico’s. Enterprise riskmanagement draagt bij aan de aansturing van de
organisatie. De discipline neemt dan ook, zowel in de praktijk, als in relevante regelgeving een
belangrijke plaats in bij principes van goed bestuur, ofwel corporate governance.
1.1 Behoefte aan zekerheid
Dankzij de technologie en de sociale systemen speelt het leven zich af in een beschutte
omgeving en is het hebben van voorspoed bijna vanzelfsprekend. Natuurlijk zijn er ook
problemen. Denk aan het milieu, onrusten en oorlogen in sommige werelddelen, het toegenomen
terrorismerisico, ziekten of cybercriminaliteit. Deze problemen dringen echter zelden door tot de
mensen door als reële gevaren die hun leven of de organisatie waar zij voor werken, direct
bedreigen. Maar ook al gedragen mensen zich in hun dagelijkse leven niet altijd risicomijdend en
doordacht, vooropgesteld kan desondanks worden dat de behoefte aan zekerheid tot de
belangrijkste behoeften van mensen gerekend mag worden.
De bekende psycholoog Abraham Maslow onderscheidt vijf fundamentele typen van menselijke
behoeften, die qua belangrijkheid zijn te rangschikken op verschillende niveaus van hiërarchie
(zie afbeelding hieronder). Zolang iemands basisbehoeften niet zijn bevredigd, worden de andere
behoeften buiten wegen gelaten.
1
,1.2 Introductie van het begrip risico
Risico is een begrip dat in de loop der tijd verandert en diverse interpretaties kent. Oorspronkelijk
was de definitie van risico:
“Een onzekere gebeurtenis met een kans op een positieve of negatieve uitkomst.”
In de klassieke beschrijving van het risico met ‘negatieve connotatie’ staan twee componenten, te
weten: gevaar en schade of verlies.
Gevaar
Onzekerheid over de uitkomst. Onzekerheid is ook een vereiste om een gebeurtenis als risico te
bestempelen.
Schade of verlies
Negatieve uitkomst van een gebeurtenis.
Tegenwoordig neemt de aandacht voor het identificeren en managen van kansen verder toe.
1.3 Globale begripsbepaling van risicomanagement
Door het tempo van verandering wordt de wereld van tegenwoordig ook wel gekaraktiseerd als
VUCA-wereld. Deze Engelse afkorting staat voor:
Ø Volatile – Volatiel
Ø Unpredictable – Onvoorspelbaar
Ø Complex – Complex
Ø Ambigious – Dubbelzinnig
Resilience
Het vermogen (van organisaties) om te anticiperen, voorbereid te zijn, te acteren en zich aan te
passen op plotselinge gebeurtenissen maar ook op geleidelijke veranderingen.
Risicomanagement heeft zich ontwikkeld als onlosmakelijk onderdeel van de algemene
aansturing van een onderneming. Deze ‘algemene; vorm van risicomanagement is erop gericht
de realisatie van de doelstellingen en het voortbestaan van de onderneming te beschermen.
1.4 Ontwikkeling van risicomanagement
De oorsprong van risicomanagement komt voort uit het verzekeringswezen, waarbij voornamelijk
op de beheersing van statische risico’s werd gefocust. Dat wil zeggen: gebeurtenissen die leiden
tot verlies en onder bepaalde omstandigheden verzekerd kunnen worden. In de jaren ’90 werd in
toenemende mate de term ‘holistic riskmanagement’ of ‘enterprise riskmanagement’ (ERM)
gebruikt. Dit risicomanagement staat ten dienste van het succesvolle voortbestaan van de
organisatie en richt zich op alle risico’s (en ook kansen) die de doelstellingen en strategie van de
organisatie bedreigen. Hoewel de basisprincipes van risicomanagement geldig blijven, blijft ook
enterprise riskmanagement sterk in beweging onder invloed van zakelijke, maatschappelijk en
economische ontwikkelingen.
1.5 Redenen voor risicomanagement
Risicomanagement wordt in de eerste plaats toegepast door organisaties om structuur te geven
aan de bescherming van hun continuïteit en de realisatie van hun doelstellingen. Ook de
bescherming van mensen en hun belangen, zowel werknemers, omwonenden als afnemers en
andere betrokkenen is een belangrijke motiverende factor.
Corporate governance
Een principe of systeem van richtlijnen voor bestuur van een onderneming of organisatie.
Voorbeeld: goed bestuur met als kernwaarde transparantie.
2
,Aandacht voor goed bestuur als principe of systeem zoals we dat vandaag kennen, is toegnomen
in de loop van de 20e eeuw en de afgelopen decennia steeds verder in structuren gegoten.
Principes voor goed bestuur zijn de afgelopen decennia beschreven en vastgelegd in Corporate
Governance Codes. Dit betekent het volgende:
Ø Stelsel van regels en omgangsvormen voor directe stakeholders (zie afbeelding).
Ø Gaat in op goed bestuur, goed toezicht en regels verdeling TVB.
Ø Uitgangspunt: bestuurders en commissarissen dienen verantwoording af te leggen.
Diverse actualisaties leiden tot aanscherpingen in lijn met maatschappelijke behoeften: meer
aandacht voor transparantie, definitie van rollen van bestuurders en commissarissen, maar ook
onafhankelijke checks en balances door audit commissies. Een en ander in lijn met de ‘three
lines of defence principles’:
1) Eerste lijn – bestuur en management – verantwoordelijk voor aansturing van de
organisatie en bedrijfsprocessen.
2) Tweede lijn – staffuncties – ondersteuning van eerste lijn met expertise, advies en
faciliteren van processen.
3) Derde lijn – audit – controle van bestaande afspraken en invulling interne- en externe
richtlijnen.
Daarnaast wordt duurzaamheid ook een steeds prominenter thema. Duurzaamheid wordt
enerzijds vertaald naar duurzaam ondernemen, lange termijn focus en duurzame verslaglegging.
Anderzijds nemen grote organisaties steeds meer verantwoordelijkheid voor grote
maatschappelijke- en milieuvraagstukken en dragen hieraan bij door maatschappelijk
verantwoord te ondernemen.
Compliance
Het voldoen aan wet- en regelgeving. Een organisatie moet kunnen aantonen dat actief wordt
ingezet op borging van het voldoen aan wet- en regelgeving.
3
, De principes en verplichtingen voor het toepassen van risicomanagement zijn vastgelegd in
diverse algemene en sector gebonden richtlijnen. Het voordeel hiervan is dat organisaties bewust
werken aan het beheersen van hun risico’s en dit in veel gevallen hebben verbeterd. Nadelen zijn
dat dit soms gepaard gaat met omvangrijke administratieve lasten en schijnzekerheid.
In Europa is de ontwikkeling van het aansprakelijkheidsrecht voor veel bedrijven en organisaties
aanleiding geweest om vooral met het aansprakelijkheidsrisico steeds zorgvuldiger om te gaan.
Wetgeving waar risicomanagement direct uit voortvloeit:
Sarbanes Oxley
Wet die organisaties rechtstreeks verplicht tot het toepassen van risicomanagement. De wet
bevat regels voor financiële controle en bewaking van de integriteit van ondernemingen en heeft
geleid tot de opzet van het ‘enterprise riskmanagement framework’, een raamwerk voor
‘organisatiebreed’ risicomanagement voor beursgenoteerde ondernemingen. In Nederland is, in
lijn met Sarbanes Oxley en op basis van de aanbevelingen van de Commissie Tabaksblat, eind
2003 de hiervoor beschreven ‘Nederlandse corporate governance code’ voor beursgenoteerde
ondernemingen van kracht geworden.
COSO
Committee of Sponosring Organizations. Dit comité, bekend onder de naam COSO, stelde in het
begin van de jaren ’90 een raamwerk op voor de interne controle van organisaties. Het COSO-
raamwerk bevat de volgende punten:
Ø Een definitie van risicomanagement
Ø Aanwijzingen voor de manier waarop risicomanagement kan worden gestructureerd
Ø Gemeenschappelijke uitgangspunten voor risicomanagement
Ø Gemeenschappelijke ‘taal’ voor het voeren van risicomanagement
ISO
In 2009 is de internationale standaard ISO 31000-richtlijn voor risicomanagement gepubliceerd.
Deze richtlijn is bedoeld als leidraad voor de opzet van risicomanagement binnen organisaties,
als ‘paraplu’ over alle bestaande managementdisciplines gericht op het beheersen van risico’s.
IFRS
International Financial Reporting Standards. Uit deze eisen met betrekking tot de financiële
verslaglegging vloeien impliciet ook enige bepalingen voort over de wijze waarop met risico’s kan
worden omgegaan, in het bijzonder waar het gaat om het aanleggen van reserves met het oog
op mogelijke toekomstige schadegevallen uit statische risico’s.
IRF
Integrated Reporting Framework. Dit raamwerk stuurt aan op een integrale benadering van
(financiële) rapportage waarmee ook de bedrijfsvoering integraal en over cilo’s heen wordt
bekeken. Naast terugkijken biedt het raamwerk ruimte voor vooruitkijken met aandacht voor
aspecten als prestatie, waardecreatie en duurzaamheid.
Global Reporting Initiative (GRI)
Een belangrijke ontwikkeling in het kader van rapportage is de opkomst van maatschappelijk
verantwoord ondernemen, ofwel MVO. De uitgangspunten hiervoor, zowel voor algehele
verslaglegging, als voor specifieke aspecten, worden gegeven in de GRI-standards. Dit zijn
standaarden ontwikkeld door GRI – een organisatie die zich inzet voor het integreren van MVO-
aspecten in besluitvorming en daarmee voor behoud van essentiële grondstoffen en waarden.
Basel-akkoorden
Een andere ontwikkeling wordt gevormd door de Basel-akkoorden. De akkoorden zijn geïnitieerd
door (neerwaartse) bewegingen van de solvabiliteit van financiële markten en hebben als doel
internationale voorschriften te formuleren voor het vormen van voldoende kapitaalreserves. De
bedoeling ervan is de financiële veiligheid en gedegenheid van banken te bevorderen en
daarmee de stabiliteit van de financiële wereld als geheel te versterken.
4
