In de dynamische en complexe omgeving is het essentieel om processen efficiënt te beheren en risico’s effectief te beheersen. Procesmanagement en risicomanagement zijn twee cruciale disciplines die elkaar kunnen versterken en synergie kunnen creëren voor organisaties. Toch zoeken de procesmanagers en risicomanagers elkaar nog te weinig op. Jammer, want door deze twee gebieden meer samen te laten werken, kunnen organisaties hun operationele prestaties verbeteren, kosten verlagen en beter voorbereid zijn op onvoorziene gebeurtenissen.
Procesmanagement
Elke organisatie wil verbeteren, bijvoorbeeld door efficiënter en effectiever te werken. Procesmanagement richt zich op het begrijpen van hoe taken en activiteiten binnen organisaties worden uitgevoerd en welke stappen en middelen er worden gebruikt. Door de processen in kaart te brengen en te analyseren kunnen verbetermogelijkheden en risico’s worden geïdentificeerd.
Een ander belangrijke functie is dat procesmanagement de basis is voor het afleggen van verantwoording aan de accountant, toezichthouders en aantoonbaar compliant zijn.
De eerste stap is meestal het beschrijven “in kaart brengen” van de processen. Je gaat met de betrokkenen op zoek naar de meest cruciale processen welke het meeste impact hebben op het behalen van de doelstellingen van de organisatie. Bij het in beeld brengen wordt gekeken naar:
• Wanneer het proces begint en eindigt?
• Welke sub-stappen worden er gezet?
• Wie zijn erbij betrokken en
• Wie is waarvoor verantwoordelijk?
• Welke data en middelen worden gebruikt?
Door deze vragen gezamenlijk met verschillende betrokkenen te beantwoorden en in beeld te brengen ontstaan nieuwe inzichten hoe het beter en efficiënter kan. Maar nóg belangrijker zorgt het door het groepsproces voor draagvlak voor veranderingen. De vastlegging hierbij is vaak visueel.
Naris-GRC® Procesmanagement: Processtap koppelen aan een risico.
Risicomanagement
ISO31000 omschrijft risico als “effect van onzekerheid op het behalen van doelstellingen”. Deze kunnen zowel positief als negatief zijn.
Risicomanagement is daarmee het proces om bedreigingen en negatieve effecten te beheersen en kansen en positieve effecten te benutten. Bij integraal risicomanagement worden zowel strategische, tactische en operationele risico’s in beeld gebracht. Het nieuwe COSO geeft aan “linking to strategy & performance” en daarmee wordt aangeven dat het absoluut geen lijstje om het lijstje moet zijn, maar moet aansluiten bij de sturing van de organisatie.
Naris-GRC® Strategiekaart
Met integraal risicomanagement wordt waarde gecreëerd door de prestaties van een organisatie, project en een proces verbeteren door minder verrassingen en een hogere operationele betrouwbaarheid.
Door risico’s te inventariseren, te analyseren en te beheersen kunnen potentiële kwetsbaarheden en schades in een vroeg stadium voorkomen worden. Maar het in beeld brengen van risico’s inclusief beheersing heeft ook een andere functie namelijk verantwoording dat je organisatie de risicobeheersing op orde heeft en aantoonbaar voldoet aan de wet-en regelgeving/normen die hier expliciet om vragen.
Met risicoanalyses worden de belangrijkste risico’s en bijbehorende controls in kaart gebracht en gemonitord. Dit kan op twee manieren; bottom up en top down. Bottom up betekent dat je de diepte ingaat en per processtap risico’s en beheersing inventariseert. Top down betekent dat je vanuit het hoofdproces de belangrijkste risico’s gaat inventariseren. Hierbij kijk je naar strategisch, extern en operationeel.
Hoewel beide methoden kunnen is het voor de efficiency beter om risk-based te werken en dus top-down de belangrijkste risico’s en controls te benoemen. Dit voorkomt een zeer groot administratief proces want per processtap zijn er natuurlijk (te)veel risico’s te benoemen. Ook op het gebied van verantwoording helpt risk-based denken, want je hebt er aantoonbaar over nagedacht.
Synergie
Uit de bovenstaande omschrijvingen blijkt dat er veel synergie mogelijk is tussen procesmanagement en risicomanagement.
- Door risico’s te integreren in procesontwerp en -beheer, kunnen organisaties proactief maatregelen nemen om de kans en impact van risico’s te verminderen. Dit kan leiden tot een meer efficiëntie, betere besluitvorming en een aantoonbare naleving van regelgeving.
- Ook wordt er met risicomanagement breder gekeken en worden strategische en externe risico’s sneller meegenomen. Door bijvoorbeeld alert te zijn op nieuwe wet-en regelgeving kunnen bijvoorbeeld processen tijdig aangepast worden. Door risicomanagement blijft de directe relatie met de doelstellingen van de organisatie onder de aandacht.
- Door de samenwerking is het mogelijk om operationele prestaties meer te meten, te monitoren en te verbeteren. Vanuit de processen is er vaak meer data aanwezig over incidenten en trends in risicobeheersing. Dit geeft ook aan hoe risicobewust de organisatie is.
- Door de integratie zijn organisaties beter voorbereid op veranderingen en verstoringen in de omgeving. Door processen slim te ontwerpen en risico’s te integreren in scenario-analyses, kunnen organisaties zich aanpassen aan onverwachte gebeurtenissen en hun weerbaarheid vergroten.
- Door risicomanagement worden op basis van kans en impact de prioriteiten in relatie tot de doelstellingen gesteld. Daar waar zich de grootste risico’s bevinden en de belangrijkste controls kan een organisatie makkelijk een stap verder gaan in processen om risico’s en controls in processtappen te analyseren. De kracht van risicomanagement is prioriteiten stellen, waardoor focus ontstaat op die zaken die er echt toe doen.