In deze blog ga ik in op hoe risico-identificatie in de nieuwe COSO 2017 wordt omschreven met mijn eigen interpretatie en voorbeelden.
Introductie risicomanagement principes in relatie tot performance
Waardecreatie en -behoud zijn twee zaken die worden gerealiseerd door het identificeren en beoordelen van (en reageren op) risico’s. Het gaat om die risico’s die de prestaties in relatie tot de gestelde doelen aanzienlijk kunnen beïnvloeden. Het performance onderdeel van COSO zoomt in op dié activiteiten die de organisatie ondersteunen in het nemen van besluiten. Daarnaast focust het op het bereiken van strategische doelstellingen en businessdoelstellingen.
Toevoegde waarde risicomanagement-systeem
Met een goed werkend risicomanagementsysteem:
- Worden nieuwe en opkomende risico’s geïdentificeerd, zodat het management risico-reacties tijdig kan inzetten.
- Worden risico’s geprioriteerd, waardoor zij het management in staat stellen om de toewijzing van middelen in reactie op die risico’s te optimaliseren.
- Worden mogelijke beheersmaatregelen op risico’s geïdentificeerd en geselecteerd.
- Ontstaat een integraal beeld van het organisatie-brede risicoprofiel bij het nastreven van strategie en bedrijfsdoelstellingen.
De organisatie identificeert risico’s die impact kunnen hebben op de realisatie van de strategische doelstellingen
De organisatie identificeert de risico’s die impact kunnen hebben op het bereiken van haar strategie en bedrijfsdoelstellingen. Er worden regelmatig risico-inventarisaties uitgevoerd (een continu proces) en er wordt gemonitord of bestaande risico’s nog relevant zijn. Er bestaat een integrale risico-identificatiestructuur en er is een integraal proces aanwezig om de verschillende decentrale risicomanagementpraktijken te integreren. Ook worden de kennis en het risicobewustzijn in de dagelijkse praktijk voortdurend vergroot. Daarnaast is er een team present (second line) dat deze activiteiten van tijd tot tijd aanvult en challenged om de volledigheid van de risico-inventarisatie te bevestigen.
Dynamiek in een risicoprofiel ontstaat door:
- Verandering in doelstellingen.
- Verandering in omgeving (context) van de organisatie.
- Voorheen onbekende risico’s die ontdekt worden (bijvoorbeeld de ontdekking van een vatbaarheid voor corrosie in grondstoffen die gebruikt worden in de productieactiviteiten van het bedrijf).
- Verandering in de bekende risico’s die relevant worden door een wijziging in de zakelijke context, risicobereidheid, of ondersteunende aannames.
Bij het inventariseren van risico’s wordt ook altijd naar de mogelijke kansen gekeken en er wordt rekening gehouden met de bias “angst voor verlies” en dat het benoemen van risico’s geen normale menselijke eigenschap is.
COSO Risico- identificatiestructuur
Een COSO risico-identificatiestructuur is een integrale structuur om de risico’s uit de organisatie te inventariseren. Men kan risico’s identificeren per doelstelling, afdeling, proces en project. Daarnaast kunnen met verschillende types risico’s (risicobrillen) oorzaak en gevolg worden benoemd. De identificatiestructuur dient aan te sluiten bij de organisatie en de fase waarin zij zich bevindt. Door een dergelijke structuur aan te leggen kunnen er dwarsverbanden en trends aan het licht komen. Ook kunnen risico’s opgerold/geconsolideerd worden naar organisatiebrede risico’s. Op diezelfde manier kunnen strategische risico’s geconcretiseerd worden naar de werkvloer (top-down-bottom-up).
Om aan te tonen dat een uitgebreide risico-identificatie is uitgevoerd, zal het management een integraal beeld schetsen van de risico’s en kansen identificeren vanuit alle functies en niveaus. Hierbij moeten we denken aan integrale risico’s en de risico’s die uniek zijn voor een bepaald product, dienstenaanbod, rechtsgebied of andere functie.
Benaderingen voor het identificeren van risico’s
Er zijn verschillende benaderingen om risico’s te identificeren. De organisatie kan risico’s identificeren als onderdeel van dagelijkse activiteiten zoals budgettering, bedrijfsplanning, prestatiebeoordelingen, goedkeuringsprocessen, reacties op klachten van klanten, of financiële verliezen. Deze analyses kunnen worden aangevuld met gerichte activiteiten zoals eenvoudige workshops, vragenlijsten en interviews. Sommige benaderingen kunnen mogelijk worden gemaakt door technologie, zoals het bijhouden van gegevens en complexe analyses.
Afhankelijk van de grootte, geografische footprint en complexiteit van een organisatie, kan het management meer dan één techniek gebruiken. Een organisatie kan bijvoorbeeld interne gegevens over historische incidenten en verliezen verzamelen en deze analyseren om nieuwe, opkomende en veranderende risico’s te identificeren. Bovendien kunnen de aard van en het type risico de geschikte techniek bepalen. Het management kan bijvoorbeeld geavanceerdere benaderingen gebruiken om risico’s verbonden aan een acquisitie te identificeren.
Sommige organisaties kunnen gebruik maken van informatie van andere organisaties in dezelfde sector of regio om hen te informeren over mogelijke risico’s.
Methoden COSO risico-identificatie
- Cognitieve gegevensverwerking stelt organisaties in staat om grote hoeveelheden gegevens te verzamelen en te analyseren om toekomstige trends en zinvolle inzichten in nieuwe en opkomende risico’s (evenals veranderingen in bestaande risico’s) efficiënter te detecteren
- Dataregistratie van gebeurtenissen uit het verleden kan helpen toekomstige gebeurtenissen te voorspellen
- Interviews bevragen de kennis van het individu over eerdere en potentiële gebeurtenissen. Voor het werven van grote groepen mensen kunnen vragenlijsten of enquêtes worden gebruikt
- Kernindicatoren zijn kwalitatieve of kwantitatieve maatstaven die helpen om veranderingen in bestaande risico’s te identificeren
- Procesanalyse omvat het ontwikkelen van een procesdiagram om de onderlinge relaties van zijn inputs, taken, outputs en verantwoordelijkheden beter te begrijpen. Eenmaal in kaart gebracht kunnen risico’s worden geïdentificeerd en afgewogen tegen relevante bedrijfsdoelstellingen
- Risicosessies/risicodialogen brengen personen uit verschillende functies en niveaus bij elkaar om te putten uit de collectieve kennis van de groep en zo een lijst van risico’s te ontwikkelen
Bij het identificeren van risico’s moet de organisatie streven naar een nauwkeurige beschrijving van het risico; de gebeurtenis, oorzaken en gevolgen.
Een goede COSO risico-omschrijving:
- Stelt de organisatie in staat om de risico-inventaris beter te beheren en de relatie met de doelstellingen en prestaties te begrijpen
- Helpt de organisatie de ernst van het risico in de context van bedrijfsdoelstellingen nauwkeuriger te beoordelen
- Helpt de organisatie bij het identificeren van de oorzaken en gevolgen en selecteert en implementeert zodoende de meest geschikte beheersmaatregelen
- Helpt de organisatie de onderlinge afhankelijkheden tussen risico’s en bedrijfsdoelstellingen te begrijpen
- Ondersteunt de aggregatie van risico’s om de portfolioweergave te produceren
Hoe concreter risico’s worden omschreven hoe beter. Organisaties worden daarom aangemoedigd risico’s te beschrijven met behulp van een standaardzin. Hier onder volgen een paar voorbeelden:
- Als gevolg van (oorzaken) bestaat de kans dat (potentiële gebeurtenis ) met als gevolg
- Voorbeeld: Als gevolg van de krappe arbeidsmarkt bestaat de kans dat een aantal key employees vertrekken met als gevolg extra inhuur van specialisten/ werving
- De mogelijkheid van (beschrijf potentiële gebeurtenis of omstandigheid) en de bijbehorende gevolgen voor (beschrijf specifieke bedrijfsdoelstellingen die door de organisatie zijn vastgesteld)
- Voorbeeld: De mogelijkheid van wisselkoersschommelingen en de bijbehorende impact op de omzet
- Het risico voor (beschrijf de categorie die door de organisatie is ingesteld) met betrekking tot (beschrijf het mogelijke voorkomen of de omstandigheid) en (beschrijf de gerelateerde impact)
- Voorbeeld: Het risico voor de financiële prestaties met betrekking tot een mogelijke verandering in buitenlandse wisselkoersen en de impact op de inkomsten