Contact NARIS
Contact
Email to
info@naris.com
Risicomanagement beleid voorbeeld nodig?

Risicomanagement beleid voorbeeld nodig?

Terug naar overzicht | | | Reacties uitgeschakeld voor Risicomanagement beleid voorbeeld nodig?

Hieronder een voorbeeld tekst voor een beleidsdocument voor risicomanagement, welke is gebaseerd op ISO 31000 . Wil je deze als Word document ontvangen vul dan het formulier in:

Inhoudsopgave

Voorwoord. 2

Leeswijzer. 3

Strategie organisatie. 4

1. Integraal risicomanagement. 4

1.1        Doel risicomanagement. 5

1.2 Code goed bestuur  of wetgeving bijv. paragraaf weerstandsvermogen. 6

2. Risk Control Framework (ISO31000: 2018) 8

2.1 Uitgangspunten voor risicomanagement. 9

2.2 Beleid raamwerk. 10

2.3 Proces. 11

3. Risicomanagement in de praktijk. 13

3.1   Context: waarover gaat het en wat willen we bereiken?. 13

3.2 Identificeren: wat kan ons overkomen?. 13

3.3. Kwantificeren: wat zijn onze grootste risico’s?. 14

3.3.1. Detaillering kwantificeren. 15

3.3.2 Kwalitatieve benadering. 16

3.4 Afwegen: hoe kunnen we onze risico’s beheersen?. 17

3.5 Beheersen: hoe nemen we de beheersing ter hand?. 18

3.6 Evalueren: wat is er veranderd en wat hebben we geleerd?. 18

3.7 Risicodialoog. 18

3.8 NARIS (risicomanagement informatiesysteem) 19

4. Verantwoordelijkheden en bevoegdheden. 20

4.1 Three lines model 20

Derde lijn. 22

Ø      Verantwoordelijkheden van risicomanager. 23

4.1.6 Verantwoordelijkheden van kernteam risicomanagement. 24

5. Risicomanagement & de planning en control cyclus. 24

6. Integraal risicomanagement. 25

Literatuur. 26

VOORBEELD.. 27

Bijlage 1: VSNU: Code goed bestuur universiteiten (22-11-2019) 27

Bijlage 2 Termen en definities. 28

Voorwoord

“‘Het creëren ……..’ Met deze  missie geven wij gestalte aan de transitie die wij als <Organisatie> voorstaan. Het is de kern van onze maatschappelijke waarde. We nemen daarmee onze verantwoordelijkheid voor de complexe maatschappelijke uitdagingen waarvoor de samenleving zich vandaag de dag gesteld ziet.”

Met deze missie en de noodzakelijke stappen gaat de <Organisatie>  komende periode volop aan de slag wetende dat de wereld om ons heen steeds sneller veranderd en de impact van onzekerheden steeds groter wordt. Ten tijde van het opstellen van deze notitie zitten we midden in de Corona pandemie die een grote impact heeft op de maatschappij en dus ook de <ORGANISATIE>.

Gelukkig is de <ORGANISATIE> goed geëquipeerd met mensen, kennis en processen om het hoofd te bieden aan al deze onzekerheden, maar het vraagt zeker een extra stap. Het anticiperen op onzekerheden en risico’s als integrale sturing voor bedrijven en instellingen is een belangrijk onderdeel van zowel het onbewuste als bewuste handelen. Professionalisering van het integraal risicomanagement is belangrijk voor dit bewuste in onbewuste handelen van het bestuur, management en de medewerkers.  

Het doel van deze integrale aanpak is het vergroten van het risicobewustzijn van de organisatie, zodat een goede en verantwoorde balans ontstaat tussen risico’s nemen en risico’s beheersen. Het continu organiseren van aandacht voor en het gesprek over risico’s, de risicodialoog, vormt de basis van deze aanpak.

De basis voor risicomanagement ligt in het goede gesprek (de dialoog) dat over risico’s wordt gevoerd. Een dialoog op alle niveaus in onze organisatie. Van belang is dat daarbij expliciet over risico’s wordt gesproken en dat het brede pallet aan risico’s (financieel en niet-financieel) aan bod komt. Het gesprek voeren over risico’s is lastig, maar belangrijker dan welk instrument dan ook.

Met deze beleidsnotitie zetten we als <ORGANISATIE> een belangrijke stap in het versterken van risicomanagement, met als doel het bewust en verantwoord omgaan met risico’s door een open en transparante manier van samenwerken.

Leeswijzer

In deze beleidsnotitie wordt achtereenvolgens ingegaan op het Risk Framework voor risicomanagement, dat in de daaropvolgende paragrafen nader wordt uitgewerkt voor de specifieke toepassing binnen de <ORGANISATIE>. Hierin wordt naast de theoretische achtergrond ook specifiek ingegaan op de rollen, taken en verantwoordelijkheden van de Raad van Toezicht, <directie>, organisatie onderdelen en diensten, control en audit. 

Strategie organisatie als basis voor risicomanagement

Missie visie van de organisatie…..

De  strategie en de onderliggende strategische keuzes voor de bedrijfsonderdelen vormen de basis voor het integrale risicomanagement.

Een risico is namelijk een onzekere gebeurtenis die het realiseren van doestellingen uit de strategie kan beïnvloeden in negatieve maar ook positieve zin. Om de risico’s goed te begrijpen en doorgronden, moet dus de strategie helder en duidelijk zijn.

1. Integraal risicomanagement
Risicomanagement wordt steeds belangrijker mede omdat organisaties steeds vaker worden geconfronteerd met externe en interne invloeden, onzekerheden die in omvang en snelheid toenemen, waardoor het releliseren van de (strategische) doelstellingen lastiger wordt. Het is daarom van belang om zicht te hebben op risico’s.  Het moderne risicomanagement heeft de traditionele definitie van risico verbreedt met waarde-creatie. Hierdoor wordt risicomanagement positiever gepositioneerd waarbij het gaat het om het benutten van kansen en het beheersen van daarbij horende risico’s. Voor de ontwikkeling en implementatie van risicomanagement is alleen het in kaart brengen van de mogelijke risico’s niet voldoende. Er is een methodiek van risicomanagement benodigd die verder gaat. Om risicomanagement te doen slagen is het belangrijk dat de gehele organisatie het belang en meerwaarde inziet van risicomanagement. We spreken hier van integraal risicomanagement.

Integraal risicomanagement is de nieuwe manier van denken over risico’s, kansen en onzekerheden. Het is een brede invulling van risicomanagement, waarbij niet alleen de (wettelijke) kaders worden gevolgd, maar het risicobewustzijn breder wordt gestimuleerd. Risicomanagement is niet langer een afzonderlijke activiteit, maar maakt integraal deel uit van alle processen. Bij integraal risicomanagement richt de organisatie zich niet alleen op financiële risico’s, maar juist ook op andere typen risico’s op alle niveaus. Voorbeelden van niet-financiële risico’s zijn privacy risico’s, imago- en frauderisico’s.

Voor de <ORGANISATIE> betekent het dat zij zich daarbij niet alleen beperkt tot de eigen organisatie, maar kijkt ook naar haar externe omgeving. Risicomanagement binnen de <ORGANISATIE> behoort tot de verantwoordelijkheden van de managers op alle niveaus in de organisatie en is bewust en onbewust aanwezig bij alle medewerkers in de organisatie. Het is van belang dat het <directie> betrokken is bij de identificatie en prioritering van aan de strategie verbonden risico’s.

Daarnaast is risicomanagement een cyclisch proces. Het gaat om de regelmatige actualisatie van risico’s en van de beheersmaatregelen, de analyse en evaluatie en bijstelling. Risicomanagement moet geintegreerd worden in de governance en de planning en control van de organisatie. Dit document vormt het risicomanagementbeleid voor de <ORGANISATIE>.

  1. Doel risicomanagement
    Het doel van risicomanagement is om risico’s te beheersen, kansen te realiseren en in relatie te brengen met de strategie voor de realisatie van de organisatiedoelstellingen.  Risicomanagement houdt de <ORGANISATIE> niet tegen in het nemen van risico’s. Juist het tegenovergestelde; het stelt de <ORGANISATIE> in staat om meer bewuste risico’s te nemen en meer resultaten te boeken dan organisaties met een minder effectief risicomanagement.   
    1. Van belang is: (maximaal 7 doelstellingen)
  2. Het inzicht krijgen in de risico’s en kansen van de organisatie en transparantie daarover vergroten.
  3. Het risicobewustzijn van de organisatie stimuleren en vergroten.
  4. Het beheersen van processen in de organisatie.  
  5. Het bepalen van de risk appetite (risicobereidheid).
  6. Het voldoen aan de (wettelijke) verplichtingen.  (Compliance en governance codes)
  7. Het bevorderen van vertrouwen in de organisatie bij de <ORGANISATIE>-community en stakeholders.
  8. Het verhogen van de maatschappelijke verantwoordelijkheid.
  9. Het stimuleren van de dialoog en het vergroten van het leervermogen van de organisatie.
  • Met risicomanagement willen we de risk appetite van de organisatie vergroten zodat wij meer risico’s durven te nemen.
  • Door vooruit te kijken, nu en in de toekomst, als organisatie maatschappelijke waarde te creëren, door het vinden van de juiste balans tussen risico’s nemen en beheersen.
  • Met risicomanagement bespreken we intern de kwetsbaarheden van de hele organisatie en krijgen we meer begrip voor elkaars meningen en percepties.
  • Prioriteiten stellen; door risicogestuurd te werken komt meer focus en aandacht op daar waar het echt om gaat
  • Voorspelbaarheid van realisatie doelen te vergroten, door onzekerheden expliciet mee te nemen en te gebruiken voor focus en beheersing.
  • Door risicomanagement willen we onze organisatie weerbaar (reslience) maken zodat we tegen een stootje kunnen.
  • Sneller trends anticiperen, waardoor keuzes open blijven, tijd voor besluitvorming
  • Door risicomanagement kunnen we beter onderbouwd keuzes maken mbt. kosten & prestaties & risico’s
  • Risicomanagement zorgt voor een alertheid. Door periodiek te spreken over de strategische onzekerheden en ontwikkelingen (vooral door externe risico’s) wordt voorkomen dat men te veel in de eigen waarheden gaat geloven. Hierdoor blijft men alert op bijvoorbeeld externe ontwikkelingen en wat dit betekent voor de gekozen strategie.

  1. In de code goed bestuur staan negen principes beschreven waar goed bestuur voor staat. Het beschrijft beschrijft dat de organisatie beschikt over professionele interne risicobeheersing -en controlesystemen. Hierin zijn de volgende verantwoordelijkheden van het <directie> nader uitgewerkt:

Het <directie> is verantwoordelijk voor:

  • Het identificeren en beheersen van de risico’s verbonden aan de strategie en uitvoering van activiteiten.
  • De aanwezigheid van en werken van interne risicobeheersings- en controlesystemen.
  • De interne auditfunctie.
  • Het monitoren van de werking van de interne risicobeheersings- en controlesystemen.
  • Het bespreken van de effectiviteit van de opzet en de werking van de interne risicobeheersings- en controlesystemen in ieder geval één keer per jaar met de raad van toezicht.

2. Risk Control Framework (ISO31000: 2018)
Voor een succesvolle toepassing van risicomanagement is het belangrijk om uitgangspunten te bepalen. Deze uitgangspunten zijn bepalend voor de cultuur en houding van de organisatie ten aanzien van risicomanagement. Een goed functionerend risicomanagementsysteem gaat uit van de juiste uitgangspunten, is gebaseerd op risicomanagementbeleid en bestaat uit het continu doorlopen van het risicomanagementproces.  Het Risk Control Framework van de <ORGANISATIE>  is gebaseerd op ISO31000:2018. Het ISO Risk Control Framework kent een praktische uitwerking, passend op de organisatie van de <ORGANISATIE>. De keuze voor ISO ten opzichte van andere modellen is ingegeven door de praktische toepassing, koppeling naar strategische doelen en passend is op de totale organisatie. Ook kent het ISO model specifieke aandacht voor het noodzakelijke leiderschap en commitment van bestuur en management. Het ISO Framework bestaat uit drie hoofdonderdelen. Het beheer van risico’s is gebaseerd op de uitgangspunten, beleid en proces zoals weergeven in afbeelding 1.

Afbeelding 1 -ISO31000:2018 principes, raamwerk en proces

2.1 Uitgangspunten voor risicomanagement 

De principes vormen het fundament (bouwstenen) waarop risicomanagement moet zijn gebaseerd, wil het een positieve bijdrage leveren aan het functioneren van een organisatie. De principes geven richtlijnen over de kenmerken van effectief en efficiënt risicobeheer, het communiceren van de waarde ervan en het uitleggen van de intentie en het doel ervan.

Afbeelding 2 – Principes Risicomanagement ISO31000-2018

Deze principes voor organisatiemanagement moeten een organisatie in staat stellen de effecten van onzekerheid op haar doelstellingen te beheersen. De principes zijn:

Geïntegreerd    Het is een integraal onderdeel van de bedrijfsprocessen en is overal aanwezig bij alle organisatieniveaus, en onderliggende bedrijfsprocessen  
Gestructureerd en begrijpelijk        Het is gestructureerd, begrijpelijk en tijdig toegepast op de actuele situatie
Op maat gesneden  Het risicomanagementkader en – proces is op maat gesneden.  
Inclusief             Het creëren van betrokkenheid en het vergroten van het bewustzijn van belanghebbenden door hun kennis, opvattingen en percepties in overweging te nemen door het voeren van een risicodialoog  
Dynamisch        Het is dynamisch, interactief en reageert op verandering.  
Beste beschikbare informatie         De input voor risicomanagement is gebaseerd op de best beschikbare informatie.  
Menselijke en culturele factoren         Het houdt rekening met de menselijke en culturele omstandigheden.  
Voortdurende verbetering     Het faciliteert voortdurende verbetering van de organisatie.  

2.2 Beleid raamwerk

Het risicomanagementbeleid is de basis voor het verankeren van risicomanagement op alle niveaus in de organisatie en vormt het kader waarbinnen risicomanagement wordt uitgevoerd. Het beleid is gestoeld op de uitgangspunten van risicomanagement en wordt gemonitord door een te vormen kernteam risicomanagement met een vertegenwoordiging uit verschillende onderdelen van de organisatie. Het beleid wordt opnieuw vastgesteld door het <directie>.

Afbeelding 3 – Raamwerk Risicomanagement ISO31000-2018

Leiderschap en betrokkenheidHet bestuur is verantwoordelijk voor het ontwikkelen, implementeren en in stand houden van risicomanagement. 
Integratie• Het integreren van risicomanagement in een organisatie is een dynamisch en iteratief proces en moet worden aangepast aan de behoeften en cultuur van de organisatie.
• Risicomanagement is een onderdeel van governance, leiderschap en commitment, strategie, doelstellingen en operationele bedrijfsactiviteiten van de organisatie en behoort daar niet los van te staan 
Ontwerp• Het bestuur communiceert het belang voor risicomanagement door middel van het formuleren van beleid, door het toepassen van een risico raamwerk binnen de organisatie. Het raamwerk dient duidelijk de doelstellingen en inzet van een organisatie voor risicomanagement te omschrijven.
• Het bestuur zorgt ervoor dat de rollen, verantwoordelijkheden en bevoegdheden gerelateerd aan risicomanagement helder zijn gedefinieerd. Deze worden op alle niveaus van de organisatie toegewezen en gecommuniceerd.
• Het bestuur en de organisatie stelt de frequentie en overlegstructuur vast om het risicomanagementkader te ondersteunen en de effectieve toepassing van risicomanagement te vergemakkelijken.
• Het bestuur zorg ervoor dat de benodigde middelen voor risicomanagement worden toegewezen.
• Het bestuur heeft voldoende inzicht in het risicomanagement van de organisatie.
• De eerste, tweede en derde lijn sluiten goed op elkaar aan en vormen effectieve verdedigingslinies, waarin keuzes omtrent onzekerheden worden afgewogen en gemaakt
Uitvoering•De organisatieonderdelen zijn zelf verantwoordelijk voor het managen van de risico’s binnen de primaire processen.
• Het risicomanagementproces moet een integraal onderdeel zijn en geïntegreerd zijn in de organisatie. Het dient te worden toegepast op strategisch, operationeel, programma- of projectniveau
• Een gemeenschappelijk risicomanagementinfrastructuur (NARIS) ondersteunt de organisatie(onderdelen) bij het vastleggen van risicomanagement.
• Stafafdelingen ondersteunen aantoonbaar het organisatie brede risicomanagement en dragen zorgen voor het inrichten van communicatie en advisering over risicomanagement.   
EvaluatieOm de effectiviteit van het risicomanagementkader te evalueren, moet de organisatie periodiek monitoren, evalueren en bepalen of deze nog geschikt blijven voor het bereiken van de doelstellingen van de organisatie.
VerbeterenDe organisatie monitort voortduren het risicomanagement raamwerk voortdurend en past als lerende organisatie aan daar waar noodzakelijk. Daarbij kan de organisatie haar waardecreatie continu verbeteren.

2.3 Proces
Risicomanagement is een cyclisch (continu) proces. Het nadenken over en beoordelen van mogelijke risico’s, en de implementatie en optimalisatie van beheersmaatregelen moeten onderdeel zijn van de dagelijkse praktijk van de organisatie.

Afbeelding 4 – Proces Risicomanagement ISO31000-2018

Communicatie & adviesOm belanghebbenden te helpen bij het begrijpen van risico’s, de basis waarop beslissingen worden genomen en de redenen waarom specifieke acties nodig zijn.
Scope, context & criteriaHet formuleren van de kaders in het risicomanagementproces voor een effectieve risicobeoordeling en risicobehandeling.
RisicobeoordelingHet totale proces van risico-identificatie, risicoanalyse en risicobeoordeling.
Risico-identificatieHet vinden, herkennen en beschrijven van risico’s die kunnen helpen of voorkomen dat een organisatie haar doelstellingen bereikt.
RisicoanalyseDe aard van het risico, de kenmerken en het risiconiveau te begrijpenen. Het omvat een gedetailleerde afweging van onzekerheden, risicobronnen, gevolgen, waarschijnlijkheden, gebeurtenissen, scenario’s, controles en de effectiviteit ervan.
Risico-evaluatieHet ondersteunen van beslissingen en omvat het vergelijken van de resultaten van de risicoanalyse met de vastgestelde risicocriteria om te bepalen waar aanvullende maatregelen nodig zijn.
RisicobehandelingHet selecteren en implementeren van opties (beheersmaatregelen) voor het aanpakken van risico’s.
Monitoren en evaluatieHet omvat het plannen, verzamelen en analyseren van informatie, het vastleggen van resultaten en het geven van feedback.
Toezicht en herzieningDe controle en de rapportage moeten in alle fasen van het proces plaatsvinden. Rapportage is een integraal onderdeel en moet de kwaliteit van de dialoog met belanghebbenden verbeteren en het bestuur ondersteunen bij het nakomen van hun verantwoordelijkheden.




3. Risicomanagement in de praktijk.
In de zes stappen van het risicomanagementproces wordt door de organisatie in dialoog nagedacht over:

  1. Context: waarover gaat het en wat willen we bereiken?
  2. Identificeren: wat kan ons allemaal overkomen?
  3. Kwantificeren: wat zijn onze grootste risico’s?
  4. Afwegen: hoe kunnen we de grootste risico’s beheersen?
  5. Beheersen: hoe nemen we de beheersing ter hand?
  6. Evalueren: wat is er veranderd en wat hebben we geleerd?

Hiermee omvat het risicomanagementproces alle onderdelen die nodig zijn om risico’s op een gedegen en gestructureerde wijze in kaart te brengen en te volgen. Hieronder worden de zes stappen toegelicht.

3.1   Context: waarover gaat het en wat willen we bereiken?
In deze stap wordt gekeken naar interne en externe factoren die van belang zijn voor de risicoanalyse. De omgeving waarin de <ORGANISATIE>  verandert in een snel tempo en de organisatie verandert mee. Deze omgeving is van invloed op de risico’s die de organisatie loopt. Het gaat om vragen als: Welke doelstellingen wil de organisatie behalen? Waar staat de organisatie nu? Welke doelstellingen hebben we wel of niet gerealiseerd? Wat is de interne en externe omgeving? Wat zijn ontwikkelingen in de maatschappij en binnen de <ORGANISATIE>? Wat zijn de belangrijkste stakeholders en wat is hun positie? Welke ketenpartners zijn essentieel? Het inzichtelijk maken van deze context maakt het eenvoudiger om in de volgende stap de risico’s te identificeren en te kwantificeren.

3.2 Identificeren: wat kan ons overkomen?
Deze stap heeft tot doel een beeld te krijgen van de gebeurtenissen die het behalen van doelen kunnen belemmeren of vertragen. Het gaat erom inzicht te krijgen in een zo breed mogelijk spectrum aan risico’s. De doelstellingen en processen moeten daarom vanuit meerdere invalshoeken worden bekeken. Hiertoe wordt een risicodialoog georganiseerd. Risico’s worden geïdentificeerd op het niveau van diensten en faculteiten én op het niveau van <directie>.

3.3. Kwantificeren: wat zijn onze grootste risico’s?
Niet alle geïdentificeerde risico’s hebben dezelfde impact op de doelstellingen en dezelfde kans van optreden. Een analyse op de kans op en de gevolgen bij optreden, maakt onderdeel uit van de risicodialoog. Omdat er grote verschillen in risicoperceptie kunnen bestaan, is het gezamenlijk in beeld brengen en bespreken van deze verschillen een van de grootste voordelen van de risicodialoog. De risicodialoog heeft tot doel te komen tot één gedragen beeld van de risico’s. Risico’s worden gekwantificeerd op basis van de kans van optreden als de impact op de beleidsdoelen. De impact wordt dus breder dan alleen financiële schade weergegeven. Naast kans en impact wordt op basis van het Kaplan model¹ ingeschat welke invloed de <ORGANISATIE> heeft op het omgaan met het risico. Het model van Kaplan sluit naadloos aan op ISO31000:2018 en is gericht op de beheersing van risico’s. Kaplan onderscheidt hiervoor de volgende drie risicogebieden.

  • Te voorkomen risico’s zijn interne risico’s die samenhangen met de operationele processen van de organisatie en in principe vermijdbaar of te voorkomen zijn. Een maatregel die bijvoorbeeld ingezet kan worden is het proactief controleren van processen en regels rondom gedrag en besluitvorming zoals is vastgelegd in procedures.
  • Strategische risico’s zijn risico’ s gerelateerd aan de strategische doelen opgenomen in het strategisch plan ven de <ORGANISATIE>. Maatregelen die hier genomen kunnen worden zijn kritische risico – indicatoren, het voeren van een dialoog en het benoemen van risico-eigenaren.
  • Externe risico’s komen van buitenaf en zijn nauwelijks beïnvloedbaar. Het zijn veelal de risico’s vanuit de macro – of sectoromgeving. Maatregelen kunnen zijn om continu in dialoog te zijn met de stakeholders om indien benodigd vroegtijdig te kunnen anticiperen.

3.3.1. Detaillering kwantificeren

Door het kwantificeren van de risico’s worden deze concreter omschreven. Het voornaamste doel hiervan is een ordening aan te brengen om te bepalen welke mate van focus in sturing en beheersing van belang is. Een ander doel is het bepalen van de financiële omvang van het risico. Risico’s kunnen in verschillende klassen worden ingedeeld. In onderstaande tabellen is weergegeven hoe de risico’s ingedeeld kunnen worden. Om de risico’s te classificeren wordt gebruik gemaakt van de factoren waarschijnlijkheid en de verwachte impact.

Tabel 3.1.A:Waarschijnlijkheid (Kans) 
Kans klasseKans percentageActie
1 -Zeer klein<10%Geen risicobedrag opnemen
2 – Klein10-30%20% van (risicoscore x bedrag) opnemen
3 – Niet klein/ Niet groot30-50%40% van (risicoscore x bedrag) opnemen
4 – Groot50-70%60% van (risicoscore x bedrag) opnemen
5 – Zeer groot70-90%Voorziening treffen en knelpunt melden
  • Zeer klein: Risico’s waarvan het onwaarschijnlijk is dat ze zich in het komende jaar
    daadwerkelijk voor zullen doen. Het zijn risico’s die zich slechts 1 keer in de 20 jaar voordoen of aan risico’s waarvan de kans op optreden erg laag is (<10%).
  • Klein: Risico’s waarvan het niet zo waarschijnlijk is dat ze zich in het komende jaar daadwerkelijk voor zullen doen. Het zijn risico’s die zich 1 keer in de 4 jaar voordoen of risico’s waarvan de kans op optreden laag is (10-30%).
  • Niet klein/niet groot: Risico’s die nog beide kanten op kunnen. Het kan zijn dat ze zich komend jaar voordoen, het kan ook zijn van niet. Het zijn risico’s die zich 1 keer in de 2 jaar voordoen of risico’s waarvan de kans op optreden gemiddeld is (30-50%).
  • Groot: Risico’s waarvan het waarschijnlijk is dat ze zich voor zullen doen in het komende jaar, of risico’s waarvan de kans op optreden groot is (50-70%).
  • Zeer groot: Risico’s waarvan het zeer waarschijnlijk is dat ze zich komend jaar daadwerkelijk voor zullen doen of risico’s waarvan de kans op optreden zeer groot is (70-90%).
Tabel 3.1.B : Verwachte impact (Gevolg)  
Gevolg klasseRestrisico
1x < €125.000
2€125.000 < x < €500.000
3€500.000 < x < €1.250.000
4€1.250.000 < x < €2.500.000
5x > €2.500.000

In onderstaande tabel is zichtbaar gemaakt hoe een risicoscore (kans * impact) wordt ingeschaald. Risico’s in de groene vlakken worden als laag ingeschaald. Deze risico’s zijn wel in beeld maar vragen geen extra aandacht. De risico’s die hoog worden ingeschaald (oranje en rood) vragen wel extra aandacht.   

Risicoklasse (kans x gevolg)Kans 1:Kans 2:Kans 3:Kans 4:Kans 5:
< 10%10% – 20%25% – 50%< 50% – 70%< 70% – 90%
Score 5: x > 2.500.000510152025
Score 4: 1.250.000 < x < 2.500.00048121620
Score 3: 500.000 < x < 1.250.0003691215
Score 2: 125.000 < x < 500.000246810
Score 1: x < 125.00012345

3.3.2 Kwalitatieve benadering

Naast de risico score worden de risico’s ingeschat op impact op de pijlers van de <ORGANISATIE> strategie of specifieker de strategische uitwerkingen per dienst of faculteit. Risico’s worden ingeschat op omvang van de impact:

  • Geen impact op beleidsdoelstelling
  • Beperkte impact op beleidsdoelstelling
  • Aanzienlijke impact op beleidsdoelstelling
  • Grote impact op beleidsdoelstelling

De beleidsdoelstellingen kunnen wisselen naar aanleiding van strategische keuzes in de pijlers van de <ORGANISATIE> strategie. Daarnaast wordt gebruik gemaakt van een inhoudelijk oordeel over de mate waarin het risico in control is. Hierbij wordt de volgende indeling gehanteerd:

  • In control
  • In control, mits maatregelen toegepast
  • Niet voldoende – aanvullende maatregelen noodzakelijk
  • Niet voldoende – vereist bestuurlijke aandacht

De kwalitatieve benadering wordt ondersteund door een weergave van risico’s op een strategiekaart waarbij de risico’s worden gekoppeld aan activiteiten en processen van de <ORGANISATIE>.

3.4 Afwegen: hoe kunnen we onze risico’s beheersen?
Wanneer de belangrijkste risico’s in kaart zijn gebracht, moet worden nagedacht over de manier hoe ermee om te willen gaan. Er kan op diverse manieren omgegaan worden met de risico’s, namelijk:

  • Accepteren: Het risico is laag en dus aanvaardbaar. Zelf het risico opvangen door bijvoorbeeld eigen algemene reserves;
  • Reduceren: De risico’s dienen beheerst te worden. Met als doel de kans op voorkomen van een risico of het effect ervan verminderen. Dit kan bijvoorbeeld door processen te herontwerpen en AO/IC maatregelen te nemen.
  • Verleggen: Men kan het risico verzekeren, outsourcen, contracten sluiten en/of een partnerschap aangaan.
  • Elimineren: Dit kan door het stoppen van een activiteit of door doelstelling of strategie te veranderen.

Uitgangspunt daarbij is niet om tegen iedere prijs alle risico’s te beheersen, ook accepteren of vermijden zijn mogelijkheden. Om risico’s te beheersen zijn verschillende typen beheersmaatregelen te onderscheiden. Het is belangrijk de effectiviteit van een beheersmaatregel te beoordelen. Daarnaast is de proportionaliteit van belang. Dit betekent dat de kosten van een maatregel in verhouding moeten staan tot de vermindering van de kans op of de gevolgen van een risico. En dat er niet onnodig veel maatregelen voor een risico moeten worden genomen. In sommige gevallen brengt een beheersmaatregel nieuwe risico’s met zich mee. Dan moet worden beoordeeld of de beheersmaatregel zelf niet tot grotere risico’s leidt. Het management is verantwoordelijk voor het doen van voorstellen ten aanzien van de beheersing van specifieke risico’s, de implementatie van beheersmaatregelen en het rapporteren over de ontwikkeling van risico’s aan het <directie>. De mate van het beheersing is mede afhankelijk van een door <directie> vastgestelde risicobereidheid. Dit is de risicoruimte die de <ORGANISATIE> nodig heeft om doelstellingen te realiseren. De Raad van Toezicht bewaakt of de <directie> en onderliggende organisatie binnen de risicobereidheid haar doelstellingen realiseert. De risicobereidheid is belangrijk voor de onderliggende risico toleranties op de doelstellingen.

3.5 Beheersen: hoe nemen we de beheersing ter hand?
Nadat de beheerstrategie is bepaald, moeten de beheersmaatregelen worden geïmplementeerd. De manager is hiervoor primair verantwoordelijk en stelt een planning op en rapporteert bij afwijkingen over de voortgang.

3.6 Evalueren: wat is er veranderd en wat hebben we geleerd?

In deze stap wordt het proces geëvalueerd en de uitkomsten daarvan. Op basis van de evaluatie wordt er bijgestuurd en start het cyclisch proces van het risicomanagement opnieuw.


3.7 Risicodialoog

Het proces van integraal risicomanagement is cyclisch en sluit aan op de bestaande planning en control. Om tot een goede borging te komen van integraal risicomanagement vindt er een aantal keer per jaar een risicodialoog plaats in de verschillende organisatieonderdelen. De risicodialoog heeft tot doel inzicht te geven in de risico’s en het risicobewustzijn te versterken. Uitgangspunt van de risicodialoog is altijd dat dit een open gesprek is met als doel het gezamenlijk bepalen van een constructieve risico-aanpak.

3.8 NARIS (risicomanagement informatiesysteem)
Bij risicomanagement is het belangrijk om een compleet overzicht te hebben van de risico’s binnen de gehele organisatie. Hiervoor is het noodzakelijk om een stand risicotaal (of framework/ taxanomie) te hanteren. En de organisatieonderdelen de vastlegging, monitoring, evaluatie, bijstelling conform deze standaard risicotaal uitvoeren. Op die wijze kunnen integrale rapportages worden gemaakt.  Bij de <ORGANISATIE> wordt risicomanagement ondersteunt door het risicomanagement informatiesysteem NARIS® Risicomanagement. De controller ondersteunt het management, de eerste lijn bij het vastleggen van de risico’s in NARIS. Tevens zorgen de controllers voor adequate en tijdige rapportages met betrekking tot risicomanagement, die aansluiten op de planning en control.

____________________________________________________________

[1] Deze driedeling is gebaseerd op een model van Kaplan & Mikes (HBR, 2012)

4. Verantwoordelijkheden en bevoegdheden

4.1 Three lines model
De <ORGANISATIE> hanteert het “3 lines model[1]” (3LM) model in relatie tot het beheren en beheersen van risico’s. Dit model is essentieel voor de effectieve werking van het risicomanagementbeleid en draagt bij aan een versterking van de risicocultuur binnen alle organisatieonderdelen van de <ORGANISATIE>. Hierdoor wordt verantwoordelijkheid genomen voor het managen van risico’s en risicobeheersing.

De <ORGANISATIE> heeft risicomanagement geïmplementeerd op basis van het 3-lijnenmodel. Het <directie>, het management, de ondersteunende functies en de Interne Audit. In het 3-lijnenmodel wordt onderscheid gemaakt tussen functies die risico’s bezitten en beheren, functies die risico’s bewaken en overzien en functies die een onafhankelijke borging bieden. Hieronder wordt eerst kort aangegeven wat de rol van de verschillende lijn is, waarna de daaropvolgende paragrafen de verantwoordelijkheden uiteenzetten.

Governance

Voor de governance van een organisatie zijn passende structuren en processen nodig die het volgende mogelijk maken:

  • Verantwoording die een bestuurslichaam aan stakeholders aflegt voor toezicht op de organisatie door integriteit, leiderschap en transparantie.
  • Acties (inclusief risicomanagement) van het management om de doelstellingen van de organisatie te realiseren door risicogebaseerde besluitvorming en de inzet van middelen.
  • Assurance en adviezen door een onafhankelijke internal auditfunctie om helderheid en zekerheid te verschaffen, en voortdurende ontwikkeling te bevorderen en te faciliteren door nauwgezet onderzoek en verhelderende communicatie.

Rollen van het bestuursorgaan

Het bestuursorgaan zorgt voor het volgende:

  • Er zijn passende structuren en processen voor een effectieve governance.
  • De doelstellingen en activiteiten van de organisatie zijn afgestemd op de voornaamste belangen van stakeholders.

Het bestuursorgaan:

  • Delegeert verantwoordelijkheid en stelt het management middelen beschikbaar om de doelstellingen van de organisatie te realiseren en waarborgt tegelijkertijd dat de verwachtingen op het gebied van wet- en regelgeving en ethiek worden ingelost.
  • Creëert en houdt toezicht op een onafhankelijke, objectieve en competente internal auditfunctie om helderheid en vertrouwen te verschaffen over de voortgang in het realiseren van doelstellingen.

Eerste lijn
De eerste lijn  is verantwoordelijk voor de algehele risicobeheersing in de organisatie. Het management van de organisatieonderdelen is verantwoordelijk voor het identificeren en monitoren, evalueren en rapporteren van de strategische en externe risico’s en de beheersing daarvan. Management heeft een voorbeeld functie richting de medewerkers want uiteindelijk is iedere medewerker van <ORGANISATIE> verantwoordelijk voor het risicomanagement met betrekking tot de activiteiten. Ze moeten begrijpen hoe ze hun activiteiten moeten uitvoeren en waarom ze de stappen in het proces uitvoeren (risicobewustzijn).

Tweede lijn  
Staffunctionarissen ondersteunen het management om hun risico’s te identificeren. Ze ondersteunen het management om activiteiten te identificeren die de risico’s binnen de risicobereidheid van de <ORGANISATIE> beperken. Zij monitoren, evalueren, adviseren (gevraagd en ongevraagd) en rapporteren over de beheersing van de risico’s en adviseren over risicogerelateerde onderwerpen. De Riskspecialist moet samen met het kernteam risicomanagement zorgdragen dat risicomanagement in de brede zin van het woord verankert in de organisatie. De centrale staffunctionarissen zullen de 2e lijns rol voor de opzet en werking van het risicomanagement binnen de <ORGANISATIE> op zich nemen en de decentrale staffunctionarissen zullen die rol voor de diensten en faculteiten vervullen.

Tweede lijn is verantwoordelijk voor het volgende

  • Faciliteren, adviseren en ondersteunen van de organisatieonderdelen op het gebied van risicomanagement.
  • Zorgdragen voor het vastleggen van risico’s in het risicomanagement informatiesysteem van de <ORGANISATIE> (NARIS).
  • Zorgen voor adequate en tijdige rapportage met betrekking tot risicomanagement en die aansluit op de planning en control cycluse controller ¹:

Derde lijn

Internal Audit rapporteert en biedt het <directie> onafhankelijke, objectieve zekerheid over de algemene doeltreffendheid van de opzet en werking van de beheersingsmaatregelen. Internal Audit onderzoekt de kwaliteit en effectiviteit van de processen met betrekking het integrale risicomanagement van de <ORGANISATIE> en draagt hierdoor bij aan de verbetering van de bedrijfsvoering en het bereiken van de doelstellingen van de <ORGANISATIE>. Internal audit Rapporteert aan het <directie> en/of dienst. De 2e lijn geeft een oordeel over bevindingen van de audit en de eventuele aanbevelingen die onder verantwoordelijkheid van de eerste lijn opgepakt moeten worden. .

 



Verantwoordelijkheden van risicomanager

  • Managen van de dagelijkse activiteiten met betrekking tot risicobeheer.
  • Bijhouden actualiteit met betrekking tot risicomanagement.
  • Toezien op risicomanagementproces binnen de afdelingen: dit houdt in nagaan of het risicomanagementproces wordt doorlopen binnen de afdelingen.
  • Zicht houden op kwaliteit en samenhang organisatie brede risicoprofiel: in de gaten houden of de risicoprofielen per afdeling qua definiëring en kwantificering niet te ver uit elkaar lopen. Bovendien wordt gekeken naar de samenhang van de risicoprofielen, inclusief de beheersmaatregelen.
  • Definiëren en implementeren van het risicomanagementbeleid
  • De voortdurende ontwikkeling van het risicomanagementbeleid aansturen.
  • Faciliteren, adviseren en ondersteunen van de faculteiten en de afdeling bij het definiëren van het risicomanagementbeleid voor hun activiteiten, inclusief training en communicatieondersteuning. 
  • Adviseren en ondersteunen van de organisatieonderdelen op het gebied van risicomanagement.
  • Adviseren en ondersteunen van de organisatie bij veranderingen en processen op het gebied van risicomanagement. Bijvoorbeeld door deelname aan projecten.
  • Zorgen voor adequate en tijdige rapportage met betrekking tot incidenten en risicomanagement aan het <directie>.
  • Zorgdragen voor een adequate en tijdige rapportage die aansluit op de planning en control cyclus.
  • De risk specialist rapporteert aan het Hoofd Control & Risk.

 

4.1.6 Verantwoordelijkheden van kernteam risicomanagement

Het kernteam risicomanagement bestaat uit een kleine groep medewerkers (ca. 4 personen, welke allen vertegenwoordigd zijn uit de 3-lines). Het kernteam heeft een rol in de evaluatie, aanscherping van het raamwerk, de principes en het proces van risicomanagement zoals dat voor de <ORGANISATIE> is vertaald vanuit de ISO31000:2018. De taken van het kernteam zijn:

  • Het opstellen, uitvoeren, monitoren en herzien van het risicomanagementbeleid.
  • Zorgdragen voor vergroten van risicobewustzijn: naast het ontwikkelen van risicomanagement, hetgeen het risicobewustzijn in de organisatie op zichzelf al vergroot, neemt het kernteam initiatieven om het risicobewustzijn in de organisatie verder te vergroten.
  • Zorgdragen voor adequate advisering aan het <directie> op basis van rapportages en incidenten.

5. Risicomanagement & de planning en control cyclus
Risicomanagement is een cyclisch proces. Het koppelen van de risico’s aan de strategie maakt risicomanagement een onderdeel van de management control van de organisatie. Risicomanagement moet geintegreerd worden in de planning en control cyclus van de organisatie. Risicomanagement is daarmee onderdeel van de het proces van begroten en verantwoorden maar ook bij het proces van (bij)sturen waaronder een agendapunt bij de Bilo gesprekken tussen <directie> en diesnten/faculteiten.

6. Integraal risicomanagement
Integraal risicomanagement betekent dat risicomanagement binnen alle organisatieonderdelen wordt toegepast en in alle processen is verweven. Binnen een aantal processen of spcifieke onderdelen is vanuit wet- en regelgeving specifieke aandacht voor risicomanagement. Zo zijn er speficieke afspraken gemaakt ten aanzien van onder meer informatiebeveiliging en privacy. Deze zijn vastgelegd in de uitvoering van de verschillende functies van:

  • Functioneel Gegevensbeheerder (FG) die binnen de organisatie toezicht houdt op de naleving van de Algemene verordening gegevensbescherming (AVG).
  • Chief Information Security Officer (CISO) die een controlerende en adviserende rol heeft en verantwoordelijk is voor het opstellen en uitvoeren van het informatiebeveiligingsbeleid (Baseline Informatiebeveiliging Overheid) (BIO)van de organisatie.
  • Privacy officer die verantwoordelijk voor het actualiseren en bewaken van het privacybeleid binnen de

Daarmaast zijn specifieke processen en funcionarissen betrokken bij risico’s op het terrrein van fraude en integriteit en vertrouwensschendingen. Deze onderdelen worden ook meengemomen in het intergraal riscomanagement.

Literatuur

  • Franssen,M., Arets, M. (2015). Management Control. Dynamisch balanceren tussen basis op orde en innovatie. Alphen aan den Rijn: Vakmedianet.

  • ISO31000:2018
    https://www.iso.org/obp/ui/#iso:std:iso:31000:ed-2:v1:en


  • Kaplan, R.S., Mikes, A. (2012). Managing Risks: A new framework. Harvard Business Review.

VOORBEELD

Bijlage 1: Code goed bestuur


9. De universiteit beschikt over professionele interne risicobeheersings- en controlesystemen.

WHW-artikelen 2.10 en 9.8 raken aan deze uitwerkingen.

9.1. Het <directie> is verantwoordelijk voor het identificeren en beheersen van de risico’s verbonden aan de strategie en de uitvoering van de activiteiten van de universiteit.

9.2. Het <directie> is verantwoordelijk voor de aanwezigheid en werking van interne risicobeheersings- en controlesystemen. Onderdeel van dit systeem zijn in ieder geval:

i. een beschrijving van de belangrijkste risico’s die zijn verbonden aan de realisatie van de strategie of die van invloed kunnen zijn op de continuïteit van de universiteit;

ii. het bepalen van in welke mate er bereidheid is risico’s te nemen op de belangrijkste strategische thema’s en activiteiten (‘risicobereidheid’) en rapportering hierover in het jaarverslag;

iii. systematische beheersing van risico’s in alle investerings- en innovatieprojecten. Besluitvorming, inclusief de daarbij gebruikte adviesnotities, worden vastgelegd;

iv. adequaat ingerichte processen en bedrijfsvoeringsystemen, gericht op de beheersing van risico’s bij de uitvoering van de activiteiten van de universiteit.

9.3. Het <directie> monitort de werking van de interne risicobeheersings- en controlesystemen en voert ten minste jaarlijks een systematische beoordeling uit van de opzet en de werking van de systemen. Het <directie> legt in het jaarverslag verantwoording af over de inrichting, het functioneren, de belangrijkste resultaten en eventuele aanpassingen van de interne risicobeheersings- en controlesystemen.

9.4. Het <directie> is verantwoordelijk voor de interne auditfunctie. De interne auditfunctie beoordeelt de opzet en werking van het interne risicobeheersings- en controlesystemen. De raad van toezicht houdt toezicht op de interne auditfunctie en heeft regelmatig contact met de interne auditor. Indien er geen interne auditfunctie is ingericht, beoordeelt de raad van toezicht jaarlijks of adequate alternatieve maatregelen zijn getroffen.

9.5. Het <directie> bespreekt de effectiviteit van de opzet en de werking van de interne risicobeheersings- en controlesystemen in ieder geval één keer per jaar met de raad van toezicht. Daarnaast bespreekt de raad van toezicht in ieder geval één keer per jaar de meerjarenprognoses en beoordeelt hij of de financiële continuïteit van de organisatie daarin geborgd wordt.

 

Bijlage 2 Termen en definities

  • Voor de toepassing van dit document gelden de volgende termen en definities.
  • ISO en IEC onderhouden terminologiedatabases voor gebruik in standaardisatie op de volgende adressen:
  • ISO Online surfplatform: beschikbaar op http://www.iso.org/obp
  • IEC Electropedia: verkrijgbaar bij http://www.electropedia.org

1 Risico
Het effect van onzekerheid op de doelstellingen.
Een effect is een afwijking van de verwachte. Het kan positief, negatief of beide zijn, en kan kansen en bedreigingen aanpakken, creëren of resulteren.
Doelstellingen kunnen verschillende aspecten en categorieën hebben en kunnen op verschillende niveaus worden toegepast.
Het risico wordt meestal uitgedrukt in risicobronnen (4), potentiële gebeurtenissen (5), de gevolgen daarvan (6)  en de waarschijnlijkheid ervan (7).

2 Risicobeheer
De gecoördineerde activiteiten om een organisatie te sturen en te controleren met betrekking tot risico’s (1)


3 Belanghebbenden
De persoon of organisatie die van invloed kunnen zijn op, beïnvloed kan worden door of zichzelf kunnen beïnvloeden door een beslissing of activiteit

De term “belanghebbende” kan worden gebruikt als alternatief voor “belanghebbende”.


4
Risicobron
Het element dat alleen of in combinatie risico’s kan opleveren (1)

5 Gebeurtenis
Het optreden of verandering van een bepaalde reeks omstandigheden.
Een gebeurtenis kan een of meer voorvallen hebben en kan verschillende oorzaken en verschillende gevolgen hebben (6).Een gebeurtenis kan ook iets zijn dat wordt verwacht dat niet gebeurt, of iets dat niet wordt verwacht wat wel gebeurt.Een gebeurtenis kan een risicobron zijn.

6 Gevolg
Het resultaat van een gebeurtenis (5)  die van invloed zijn op de doelstellingen. Een gevolg kan zeker of onzeker zijn en kan positieve of negatieve directe of indirecte effecten hebben op de doelstellingen. De gevolgen kunnen kwalitatief of kwantitatief worden uitgedrukt. Elk gevolg kan escaleren door trapsgewijze en cumulatieve effecten.

7 Waarschijnlijkheid
De kans dat er iets gebeurt. In de terminologie van risicobeheer (2)  wordt het woord “waarschijnlijkheid” gebruikt om te verwijzen naar de kans dat er iets gebeurt, objectief of subjectief, kwalitatief of kwantitatief, gedefinieerd of bepaald, en beschreven met algemene termen of wiskundig (zoals een waarschijnlijkheid of een frequentie over een bepaalde periode).

8 Controle
Maatregel die risico’s handhaaft en/of wijzigt (1) Besturingselementen omvatten, maar zijn niet beperkt tot, een proces, beleid, apparaat, praktijk of andere voorwaarden en/of acties die risico’s behouden en/of wijzigen. Besturingselementen mogen niet altijd het beoogde of veronderstelde wijzigingseffect uitoefenen.




Bijlage 3

Op 20 juli 2020 lanceerde IIA Global het nieuwe ‘THREE LINES MODEL’. Dit model is een belangrijke update van het bekende, veel gebruikte en in sommige sectoren zelfs verplichte ‘Three Lines of Defense’-model. Voor veel organisaties én functies is dit model een belangrijke leidraad bij het inrichten van de governance. 

Internal Audit is en blijft nog steeds de onafhankelijke 3e lijn, met een coördinerende rol in het geheel. De beginselen en invulling van het model zijn op een aantal belangrijke punten gewijzigd:

De functies zijn niet alleen bedoeld om waarde van de organisatie te beschermen, maar ook om deze te vergroten. Zodoende wordt niet meer gesproken over ‘lines of defense’.

Centraal voor alle functies staan de doelen van de organisatie.

De functies zijn geen silo’s, maar stemmen af en werken samen; ieder vanuit de eigen rol.

De inrichting van het model moet worden afgestemd op de risico’s en specifieke situatie van de organisatie.


[1] HET THREE LINES MODEL VAN HET IIA, Een update van de ‘Three Lines of Defense’, zie bijlage 3


Naris