18 de Beursbengel | nr. 849 | november 2015

Bij integraal risicomanagement (IRM) gaat het om - het woord ‘integraal’ geeft het al aan - management van alle verschillende risicogebieden in hun onderlinge samenhang. Wat zijn de voordelen van IRM voor organisaties? En wat wordt er geëist van organisaties die deze, relatief nieuwe, manier van risicomanagement willen invoeren? Dit artikel maakt duidelijk dat IRM een interactief proces is dat voortdurend aandacht vergt.

dE Kracht van intEgraal RisicomAnAgemenTen zelfsturende organisatie ontstaat, die zich bewust is van de impact van verschillende risico’s en de onderlinge samenhang, alsook van de opties voor beheersing en de ver-schillende consequenties hiervan.

DEfInItIE PEnSIoEnfEDERAtIEVolgens de Pensioenfederatie omvat goed risicomanagement meer dan risicomanagement in de enge zin. Behalve de identificatie van alle risi-

co’s en de mate van beheersing ervan, is het ook een proces dat vraagt om conti-nue beoordeling en waar nodig bijsturing. Een

goede beheersing van deze cyclus vraagt om een heldere structurering en inzet van mensen en middelen. Al deze elementen tezamen noemt de federatie ‘integraal risicomanage-ment’.

Er zijn meerdere definities van IRM. Zo is er een definitie van De Neder-landsche Bank (DNB), eentje van de Pensioen-federatie, evenals een

definitie van Delta Pi:

dEfinitiE dnbVolgens DNB is IRM het interactieve proces van:- het opstellen van de strategie en

hieraan gekoppeld het risicopro-

fiel en de risicobereidheid; - het identificeren van risico’s;- het opstellen en implementeren

van het beleid voor risicobeheer-sing;

- de uitvoering, monitoring en terugkoppeling over risico’s en beheersmaatregelen.

DNB geeft daarnaast aan dat IRM een proces is dat continu moet worden doorlopen. Zodat er bij risicomanagement een zelflerende

een professionele aanpak van risicomanagement staat bij veel bedrijven nog in de kinderschoenen

19de Beursbengel | nr. 849 | november 2015

dE Kracht van intEgraal RisicomAnAgemenTdEfinitiE dElta piIntegraal risicomanagement is vol-gens Delta Pi (zie www.delta-pi.nl) het systematische proces van risico-beheersing, teneinde de doelstellin-gen van de betreffende organisatie te bereiken op een manier die over-eenstemt met bijvoorbeeld: - de belangen van de afnemers; - het gewenste veiligheidsniveau; - de toelaatbare belasting van het

milieu; - de van toepassing zijnde eisen

van de overheid; - de financieel/economische rand-

voorwaarden noodzakelijk voor de continuïteit van de organisatie.

keRn inTegRAAl RisicomAnAgemenTDoor binnen een sector of branche goed te anticiperen op de vele ver-anderingen in wet- en regelgeving, digitalisering en consumentenge-drag, heeft een organisatie meer kans om doelstellingen op zowel korte, middellange, als langere ter-mijn te behalen, de continuïteit te waarborgen en kansen te benutten. Een professionele aanpak van risi-comanagement staat bij veel bedrij-ven nog in de kinderschoenen. Op veel plaatsen is men binnen een or-ganisatie op individuele basis actief met risicomanagement, maar is er veelal geen sprake van uitwisseling van kennis en ervaringen met risico-management. We noemen dit ‘silo-vorming’. Een nadeel van ‘silovor-ming’ is dat bepaalde risico’s ‘tussen wal en schip’ vallen en door nie-mand worden opgepakt. Er is geen ‘risico-eigenaar’ van deze risico’s. Wat ook opvalt is dat er wel aan-dacht is voor ‘verzekerbare risico’s’, maar dat er geen of onvoldoende aandacht is voor ‘onverzekerbare risico’s’. Daarnaast ontbreekt vaak de samenhang tussen het inventa-riseren, analyseren en beoordelen van risico’s en geldt hetzelfde voor de risicoreductie-strategie. Duidelijk is dat in een dergelijke situatie de kans kleiner is dat doelstellingen daadwerkelijk worden behaald en dat de continuïteit van de organisa-tie wordt gewaarborgd.

De moderne consument is niet gecharmeerd van risicomanagement waarbij ‘silovorming’ plaatsvindt. Hij of zij verwacht een professionele risicomanagementaanpak. De mo-derne consument zoekt een oplos-sing voor een centraal vraagstuk, waarbij het klantprofiel, het risi-coprofiel en de continuïteit van de organisatie moeten zijn geborgd. Dit moet plaatsvinden door een over-koepelende risicomanagementaan-pak die alle mogelijke risico’s sig-naleert. De aanpak moet dusdanig beheersbaar zijn dat de netto risico’s afgezet tegen de risicobereidheid van de organisatie acceptabel zijn. Een aanpak die aan deze klantwens voldoet, wordt ‘integraal risicoma-nagement’ genoemd.

AAnDAcHT VooR Alle Risico’s Het grote verschil tussen de hier-voor beschreven aanpak en de aanpak die binnen de meeste orga-nisaties op dit moment nog wordt gehanteerd, is dat bij integraal risicomanagement aandacht wordt besteed aan álle risico’s die het klantprofiel en de continuïteit van de organisatie kunnen bedreigen. Ook krijgen zowel verzekerbare, als onverzekerbare risico’s (vaak weg-gezet als bedrijfsrisico) aandacht. Voordeel van deze aanpak is dat er een betere risico-inschatting te ma-ken is doordat alle betrokkenen de

opgebouwde ex-pertise en ziens-wijze met elkaar delen. Hierdoor ontstaat er een nauwgezet ri-sicoprofiel van

de organisatie, waardoor er voor een juiste mix van risicomitigerende oplossingen kan worden gekozen die goed onderbouwd is. Geen enkele organisatie kan zich naar haar primaire- en secundaire stakeholders toe een gebrekkig overzicht van de risico’s veroorlo-ven, waarbij deze binnen de orga-nisatie wel bekend zijn, terwijl deze de afdeling Risicomanagement en de directie niet hebben bereikt. Maar naast materiële, financiële,

persoonlijke en reputatieschade die niet of te laat opgemerkt worden, mist men ook kansen die onopge-merkt blijven en met een integrale risicomanagementaanpak wel opge-merkt en verzilverd zouden zijn.

BelAngRijksTe cRiTeRiA VooR succesVol iRm Integraal risicomanagement is risi-cobeheersing met als uitgangspunt dat alle risico’s in hun samenhang, rekening houdend met de doelstel-lingen van de organisatie, op een geaccepteerd niveau moeten wor-den gebracht en gehouden. In een compleet succesvol IRM-proces moet er binnen een organi-satie aan drie belangrijke voorwaar-den worden voldaan. De directie/Raad van Bestuur en Raad van Toezicht moeten hebben vastgelegd: 1. de (strategische) doelstellingen

van de organisatie;2. de risicobereidheid in relatie tot

de doelstellingen van de organi-satie;

3. het risicomanagementbeleid en de structuur (risicofunctie, gover-nance, compliance, audit en con-trol) om de doelen te realiseren in het kader van de risicobereid-heid.

De top van de organisatie heeft in zo’n proces een voorbeeldfunctie. De ‘tone at the top’ heeft grote in-vloed op de inrichting en kwaliteit van het risicomanagement binnen een organisatie. De risicocultuur komt voort uit individuele- en bedrijfswaarden, houdingen en gedragspatronen die bepalen of en hoe de organisatie is gecommitteerd aan integraal risicomanagement en het risicomanagementbeleid dat hiertoe is opgesteld. De top van het bedrijf moet in woord en daad het belang van risicomanagement uitdragen. Daarnaast moet risico-management op alle niveaus in de dagelijkse werkzaamheden worden geïntegreerd. Ook rijst de vraag hoe de risico’s moeten worden beheerd en of dit in overeenstemming is met de strategie, risicobereidheid en het risicoprofiel van de organisatie.

met integrale risicomanagementaanpak worden kansen sneller opgemerkt en verzilverd

»

20 de Beursbengel | nr. 849 | november 2015

De inTegRAle RisicomAnAgeRDe grote verscheidenheid aan ver-schillende functionarissen die zich binnen grote en complexe organi-saties met risicomanagement bezig-houden, maakt duidelijk dat het on-mogelijk is dat één functionaris over de benodigde expertise op alle ter-reinen beschikt. Het schaap met de vijf poten bestaat niet. Om integraal risicomanagement toe te passen gaan deze functionarissen weliswaar door met een decentrale aanpak van risicomanagement op hun vakterrein of op afdelingsniveau, maar gaan ze ook nauwer samenwerken met collega’s van andere bedrijfsonder-delen. Deze samenwerking wordt gecoördineerd en gefaciliteerd door de integrale risicomanager.

oVeRkoepelenD RisicomAnAgemenTBinnen een organisatie met enig vo-lume is het in veel situaties gewenst dat er één functionaris is (of komt) die bedrijfsbreed met risicomanage-ment actief is. Hij/zij draagt zorg voor het risicomanagementbeleid dat overkoepelend plaatsvindt. Uit-gangspunt is dat zowel alle verze-kerbare als onverzekerbare risico’s op de risicoradar van de organisatie worden gesignaleerd. Goed afgewo-gen risicomitigerende oplossingen zorgen voor waarborging van het klantprofiel en de continuïteit.

VooRDelen inTegRAAl RisicomAnAgemenTIntegraal risicomanagement heeft een belangrijke verbindingsfunctie. Zowel ‘top-down’ en ‘bottom-up’ als ook ‘horizontaal,’ wordt risicoma-nagement toegepast door de aanpak van verschillende bedrijfsonderdelen op elkaar te stemmen en van elkaars expertise gebruik te maken. Op deze wijze neemt ‘het volwassenheids-niveau’ van risicomanagement, bin-nen de organisatie toe en ontstaat er een betere en meer uniforme aanpak van risicomanagement. Een professionele aanpak van risicoma-nagement versterkt het imago en de performance van een organisatie naar de primaire- en secundaire stakeholders. De meerwaarde van een risico-manager die zich met integraal risicomanagement bezighoudt, is dat hij/zij het risicomanagementbeleid en -proces, binnen de organisatie vormgeeft, coördineert, beheert, bijstuurt, ondersteunt, verbindt en voor educatie zorgt. Door de over-koepelende aanpak van integraal risicomanagement is de kans veel kleiner dat risico’s nog ‘tussen de wal en het schip’ terechtkomen. Ook neemt de kans toe dat doelstellingen (kort, middellang, lang) daadwer-kelijk worden behaald en neemt de kans af dat de directie van een orga-nisatie plotseling met onaangename

verrassingen wordt geconfronteerd. Door helderheid en transparantie in de te lopen risico’s, is de directie in een eerder stadium in staat om goed op veranderingen en risico’s te anticiperen. Hierdoor wordt de kans op bedreigingen gereduceerd, waar-door nog meer risico’s onder het niveau van ‘de risicobereidheid’ van de organisatie vallen en dus ‘risico-tolerant zijn’. Met de vernieuwde aanpak worden er bij een risicoge-beurtenis naar verhouding meer kansen benut. Dit doordat ze eerder worden opgemerkt.

conclusieIntegraal risicomanagement is een proces, bestaande uit een aantal stappen/fasen. Tijdens de risicoreductie-fase wordt een keuze gemaakt uit de risicomitigerende oplossingen, rekening houdend met kostenefficiency en de vastgestelde risiconiveaus. Cruciaal is dat ‘alle

schakels in de keten’ echt de intentie hebben om risicoma-nagement een plaats te geven in hun dagelijk-

se werkzaamheden. Naast de imple-mentatie van risicomanagement per bedrijfsonderdeel, komt er op het terrein van risicomanagement ook communicatie en samenwerking tot stand tussen verschillende bedrijfs-onderdelen en managementlagen. De term voor dit proces is ‘risico-convergentie’. Dit proces lijkt op een lift in een kantoorgebouw. Naast horizontale contacten met collega’s van andere onderdelen, vindt risico-management zowel ‘top-down’ als ‘bottom-up’ plaats. Loopt dit goed, dan neemt het risico op onaange-name verassingen af en neemt het verzilveren van kansen toe. In dat geval heeft integraal risicomanage-ment zijn kracht bewezen. l

Lourens van der Linden MRM De auteur is secretaris van het Genootschap voor Risicomanagement en tevens lid van de redactieraad van de Beursbengel.

een professionele aanpak van risicomanagement staat bij veel bedrijven nog in de kinderschoenen

BRonnen:- DnB, Wat is integraal risicomanagement en waar kijkt DNB hierbij

naar? (2011).- Pensioenfederatie, Handreiking integraal risicomanagement voor

pensioenfondsen (2012).- Delta Pi, www.delta-pi.nl (2015).- ConQuaestor/VvAA, onderzoeksrapport Integraal risicomanage-

ment in 40 Nederlandse ziekenhuizen (2013).