Robert S. Kaplan ontwikkelde het Kaplan risicomodel, een veelgebruikt raamwerk dat bekend is van de balance scorecard. De afgelopen jaren is Robert S. Kaplan zich steeds meer is gaan verdiepen in risicomanagement.
Managing Risks; A New Framework
Samen met Anette Mikes schreef hij in 2012 een in mijn ogen belangrijk artikel Managing Risks; A New Framework . In het artikel wordt de relatie tussen risicomanagement en strategie zeer expliciet gemaakt. Wat opvallend en tegelijkertijd jammer is, is dat de nieuwe normen ISO31000 en COSO 2017 geen gebruik hebben gemaakt van het gedachtegoed van Kaplan.
Drie soorten risico’s in Kaplan
- Te voorkomen risico’s; interne risico’s die te beheersen zijn en die in principe vermijdbaar of te voorkomen zijn. Voorbeelden zijn fraude en continuïteitsrisico’s in routinematige operationele processen. Deze risico’s moeten proactief gemanaged worden door (het regelmatig) checken van processen en regels rondom gedrag en besluitvorming.
- Strategische risico’s; die gerelateerd zijn aan de strategie en daarmee vrijwillig geaccepteerde risico’s. Risico’s en rendement worden hierbij afgewogen. Bij deze risico’s dient de kans van optreden dan wel de mogelijke impact te worden verkleind. Hierdoor kunnen weer nieuwe risico’s worden genomen. Bij deze risico’s dient een terugkerende dialoog te worden georganiseerd. Hierbij zijn riskmaps, ook wel het benoemen van Key Risk Indicators, goede instrumenten. Om de dialoog te ondersteunen kan ook de allocatie van mensen en middelen hieraan gekoppeld worden.
- Externe risico’s; dit zijn niet beïnvloedbare en externe risico’s. Denk hierbij aan natuurrampen, macro economische, politieke, demografische omstandigheden. Maar ook ‘de zwarte zwanen” niet voorzienbare risico’s en “slow risks’. Deze risico’s dienen geïnventariseerd te worden en ook hier dient een dialoog over plaats te vinden.
Bruikbaar
Het hebben van een duidelijk onderscheid tussen regels of dialoog voor externe, strategische en te voorkomen risico’s is zeer belangrijk. Dit blijkt ook uit de vele risicomanagement beleidsstukken waarin naar dit artikel verwezen wordt. Aangezien bij veel organisaties de focus enkel ligt op de “te voorkomen risico’s”, is risicomanagement in de ogen van bestuurders zeer operationeel, administratief en daardoor voor hen minder relevant. Door de verbreding naar externe en strategische risico’s en de nadruk op de risicodialoog te leggen, wordt het onderwerp aantrekkelijker en relevant voor de directie of het bestuur.