For English click here.

Intro

In mijn jaren als risicomanager heb ik veel risicobeoordelingssessies georganiseerd, geholpen bij het herdefiniëren van risicoregisters en heb ik directieleden en risico-eigenaren geadviseerd over hun risico’s en beheersmaatregelen. Discussie is vrij normaal in deze sessies, wat meestal een goede zaak is (af en toe een eigenzinnig persoon terzijde), vooral met collega’s die eerder de initiële risicobeoordeling met iemand anders hebben uitgevoerd. Dit geeft mij de mogelijkheid om risico’s uit te bannen die niet echt risico’s zijn.

Start with why (thank you Simon)

Waarom is het bepalen van risico’s een probleem? Waarom is dit zo moeilijk? Waarom hebben we het er eigenlijk over?

Omdat het identificeren, kiezen, bepalen, formuleren, ontwikkelen en aanvullen van de risico’s in je register een belangrijke stap is in uw risicomanagementproces. Immers, what’s in a name. Op deze risico’s worden beheersmaatregelen, processen en taken gebaseerd. Je gaat mogelijk werknemers bepaalde taken toewijzen die bedoeld zijn om risico’s te verkleinen of zelfs volledig te voorkomen. Als dat niet goed gaat, betekent dit dat je middelen, tijd en geld besteedt aan activiteiten die geen waarde toevoegen. Je loopt nog steeds risico, des te armer en niet wijzer.

Door ervoor te zorgen dat je de juiste risico’s hebt, wordt het risicobeheer veel effectiever – het loont de moeite om wat efficiëntie in het beoordelingsproces op te geven. In dit artikel deel ik twee valkuilen.

Wat is het “juiste” risico?

Er is geen eenduidige definitie van risico. Het hangt af van de situatie, de volwassenheid van de organisatie, het te beoordelen object en het vereiste detailniveau. Risico’s kunnen elkaar overlappen (wat betekent dat ze niet noodzakelijkerwijs tot een enkele categorie, proces of afdeling behoren), ze kunnen al dan niet afzonderlijk voorkomen en kunnen van invloed zijn op meer dan één gebied. Veelgebruikte risicocategorieën zijn:

Strategisch (beïnvloedt het succes van uw strategie)
Exterprise (treft meer dan één onderdeel van uw organisatie, niet per se tegelijkertijd)
Operationeel (heeft invloed op kleinere delen van een bedrijf en komt voornamelijk voort uit menselijke of geautomatiseerde acties)
IT en Cyber ​​(heeft alles te maken met uw digitale omgeving en de externe dreigingen)
Naleving ook wel Compliance genoemd (vloeit voort uit wet- en regelgevingseisen, ook intern beleid)
BCM (verstoort de dagelijkse gang van zaken met het potentieel van een blijvende impact)

Dus houdt jezelf in en bepaal je doel: beoordeel je een proces? Ben je de risico’s aan het bekijken die verbonden zijn aan een nieuwe online tool? Herijk je de risico-inventarisatie van een hele afdeling? Deze verschillende situaties vragen om verschillende strategieën. IT-gerelateerde implementaties vereisen specifieke IT-risico’s en controles. Een herbeoordeling vraagt ​​om een ​​duidelijk doel en alertheid op vooroordelen zoals verankering of groepsdenken (laten we het allemaal eens zijn met …) en scheve prioriteiten stellen of luiheid (laten we gewoon vasthouden aan de risico’s van vorig jaar, ze lijken nog steeds in orde).

In 2018 ging ik opnieuw naar de universiteit om mijn diploma operational auditing te halen en volgde ik de cursus auditvaardigheden. We kregen ons de volgende foto te zien (aangepast voor dit artikel, met dank aan Annelies Vethman):

C = cause R = Risk E = effect

Lees nu de tabel en beslis: wat is het risico? Wie is de risico-eigenaar? Wat is de beste risicomitigerende strategie? Deze discussie komt af en toe voor en er is geen eenduidige oplossing. Een echt economen antwoord: het hangt af van de situatie.

Ik zou zeggen dat het eerste perspectief logisch lijkt (vooral vanuit HR- of financieel oogpunt), maar het gebrek aan opleiding van werknemers lijkt mij een afgeleid risico (zie voor details hieronder). Perspectief 2 lijkt volkomen juist, maar Perspectief 3 ook. Een onjuiste declaratie (tenzij gecontroleerd door een onafhankelijke partij / persoon, wat een controle is) zal er meestal voor zorgen dat er te veel geld wordt betaald aan de indiener dat niet zal terugvloeien tenzij specifiek gevraagd ( nogmaals, iemand of een computer moet de fout identificeren en stappen ondernemen om het geld terug te krijgen; een controle).

Het kiezen van “onjuist ingediende declaratie” als risico kan verschillende soorten controles opleveren (bijv. gedeeltelijk op de werknemer gericht zoals training, gedeeltelijk toepassingsgericht zoals verplichte opname van ontvangstbewijzen bij indiening). Het kiezen van “medewerkers die zich niet bewust zijn van onkostenbeleid / fraude plegen” kan ook de juiste optie zijn, als je uit ervaring weet dat dit de hoofdoorzaak is van onjuiste declaraties. Dit kan leiden tot controles gericht op de meest voorkomende oorzaken en zou beter kunnen presteren op de schaal van effectiviteit en efficiëntie.

“Meer betaling ontvangen dan gerechtvaardigd” en “geld uit eigen zak” lijken twee risico’s / effecten die behoorlijk op elkaar lijken, en het onderscheid tussen de twee voegt niet bepaald waarde toe.

Conclusie: bewoordingen, ervaring en situationele variaties kunnen het verschil maken bij het kiezen. Dus misschien twee jaar geleden was Perspectief 3 geschikt, en vandaag de dag met opgedane kennis is Perspectief 2 de optimale optie.

Wat is een afgeleid risico?

De tweede valkuil hierboven kort genoemd. Hoewel ‘afgeleid risico’ in de literatuur niet lijkt te worden geconceptualiseerd, is het een concept dat ik vaak tegenkom in mijn dagelijkse werkomgeving. Ik definieer ‘afgeleid risico’ als volgt:

Een afgeleid risico is een gepercipieerd risico dat het gebrek aan controle-uitvoering omvat.

Een voorbeeld: managers vertellen mij dat het niet uitvoeren van een maandelijkse steekproef op onkostendeclaraties van medewerkers een risico is waarvoor zij een controle verwachten. Ik ben het er niet mee eens. Onvolledige / onjuiste onkostendeclaraties vormen een risico, en de steekproef is de controle die wordt uitgevoerd om deze uitgaven op te sporen. Tegelijkertijd neem ik aan dat het een preventieve maatregel is, omdat werknemers bang zouden zijn om betrapt te worden op het indienen van een foutieve uitgave. De opleiding van de medewerkers zoals eerder vermeld, is ook een preventieve controle.

Waarom het geen risico is (naar mijn mening)

Ik beargumenteer dat wanneer we onvolledige, onjuiste onkostendeclaraties definiëren als het risico, het gevolg / effect ongepaste betalingen aan werknemers is (meestal te veel geld), ergo onmiddellijk geld dat niet meer beschikbaar is, en dat de controle om dit risico te verkleinen een maandelijkse steekproef is. In wezen is het gebrek aan controle-uitvoering (van welke controle dan ook!) een risico op zich (over het algemeen wordt het risico meestal beperkt door het uitvoeren van controletests. Auditing is een andere controle). Dit houdt in dat je voor elk risico een beheersing hebt, die dan ook een risico heeft, waarvoor je weer beheersing nodig heeft.

Deze eindeloze cirkel van risico-beheersing-risico-beheersing verstoort het risicoregister en vertroebelt het oordeel van de eigenaar. In feite betekent dit dat je je risico’s dupliceert: het oorspronkelijke risico en het afgeleide risico. Een vaak gehoorde kritiek in veel bedrijven op het risicomanagementbeleid en de uitvoering daarvan is dat er te veel risico’s zijn en dat risico-eigenaren niet weten waar ze moeten beginnen. Of ze willen geen verantwoordelijkheid (ook wel eigendom genoemd) die ook zou kunnen voortvloeien uit de dubbelzinnigheid van de risicodefinitie.

Waarom doen deze afgeleide risico’s zich voor – en wat is er zo erg aan?

Mijn ervaring is dat deze risico’s zich voordoen wanneer risico-eigenaren minimaal een paar jaar ervaring hebben in hun vakgebied en hun risicoregister en de processen goed kennen. In feite is het moeilijk voor hen om zich voor te stellen dat bepaalde controles niet bestaan ​​(probeer het, het is leuk. Ik heb ooit voorgesteld om een ​​kredietcontrole weg te laten voor een hypotheekaanvraag en mensen waren geschokt). Met een nieuwe manager, een nieuwe afdeling, een nieuw risicoregister heb ik dit niet vaak zien gebeuren.

Deze blindheid voor de mogelijkheid dat hun werk bestaat zonder bepaalde stappen / controles, kan een goede zaak zijn – het geeft aan dat ze deze taken altijd zullen uitvoeren omdat ze worden beschouwd als een niet-onderhandelbaar onderdeel van hun baan.

De nadelen?

Het verdoezelt de ware reden waarom deze stappen überhaupt bestaan ​​en beperkt dus het zicht van de eigenaar. Het kan leiden tot een verdubbeling van risico’s, ongepaste beheersingsmaatregelen die het feitelijke onderliggende risico niet beperken. Dit kan de organisatie in gevaar brengen dan gewenst of noodzakelijk is, juist datgene dat vermeden moest worden.

Een bijkomend nadeel kan het gebrek aan verbeeldingskracht zijn – omdat ze zich het proces zonder deze specifieke stappen niet kunnen voorstellen, kunnen ze zich ook geen nieuwe methoden voorstellen om het risico te verkleinen. Verbeteringen in effectiviteit en efficiëntie kunnen zeer gunstig zijn voor een organisatie en haar positie in de markt. Een algemeen gebrek aan kennis en verbetering kan een enorm risico zijn.

Maak het risicoregister overzichtelijk

Nu kun je leren van mijn ervaring en beginnen met het overzichtelijk maken van uw risicoregisters. Wat de situatie ook is: begrip, communicatie en toewijding staan centraal. Wees een partner, geen tegenstander. Ik zou het gebruik van de methode van Marie Kondo ontmoedigen – risico’s en controles zijn niet bedoeld om vreugde op te wekken. Zorg ervoor dat je risico’s ook echt risico’s zijn, scan uw omgeving, haal de onderste steen boven en houd je overzicht schoon.

Dit artikel is op 1 oktober 2020 voor het eerst gepubliceerd op Linkedin.