1

2

Risicomanagement

Mark VandersmissenInterne Audit van de Vlaamse Administratie

3

Goed risicomanagement

• …hoort bij ondernemen• …is deel van de doelstellingencyclus• …integreert bestaande of lopende acties• …is afgestemd op de behoeften van een

organisatie• …betrekt zoveel mogelijk mensen• …is niet statisch of bureaucratisch• …is een bouwsteen voor auditoren• …helpt te verbeteren

4

Risicomanagement en management

• Risicomanagement is bewust management– Bij het bepalen van de strategie ook rekening houden met

risico’s hierbij Vb. SWOT en afleiden organisatiedoelstellingen

– Bij verdere doorvertaling van de strategie ook telkens de risico’s meenemen

Moet helpen bij overwegingen hoe de doelstellingen geconcretiseerd worden (procesverloop, verwerving middelen,…)

– Is onderdeel van de bedrijfsstrategie: Welke risico’s worden genomen – risicoappetijt Strategie van aanvaarden/vermijden/voorkomen

• Risico’s nemen hoort bij ondernemen !!!

Processen en projecten of afdelingen

….

Welzijn/GDPB

Geïntegreerd risicomanagement binnen de Vlaamse overheid

informatieveiligheid

BCM

Integriteit

Strategische organisatiedoelstellingen

Operationele organisatiedoelstellingen

Operationeel risicoraamwerk

Pro

jec

t A

Pro

jec

t B

On

de

rste

un

en

de

pro

ce

ss

en

Stu

ren

de

en

m

an

ag

em

en

tpro

ce

ss

se

n

OD X

SD X

Strategisch risicoraamwerk

Zelf- evaluatie

IC/OB

Belangrijkste risico’s per proces/project

Top 5-10 belangrijkste organisatierisico’s

Belangrijkste risico’s per operationele doelstelling

Projectaanpak IAVA 2013-2014

BP

M/B

PR

Pro

cesman

agem

ent -o

ptim

alisatie.

BP

M/B

PR

Pro

cesman

agem

ent -o

ptim

alisatie.

BP

M/B

PR

Pro

cesman

agem

ent -o

ptim

alisatie.

BP

M/B

PR

Pro

cesman

agem

ent -o

ptim

alisatie.

Ke

rnp

roc

es

1

Ke

rnp

roc

es

2

Ke

rnp

roc

es

4

Ke

rnp

roc

es

3

Risico-analyse

kernproces 1

6

Risicomanagement is afgestemd op de behoeften van een organisatie

7

Risicomanagement zorgt voor maatwerk: wat heb ik nodig− Organisatiebeheersing moet afgestemd zijn op de

behoeften, opdracht en processen organisatie− Zorgt voor de juiste prioriteitenstelling

Gebruik risicoraamwerken als inspiratiebron− Algemeen raamwerk organisatieniveau: leidraad

organisatiebeheersing− Generieke raamwerken voor generieke processen: o.a.

fiches financiële processen− Andere vb. integriteit− Gebruike algemene beheersdoelstellingen voor

volledigheid (efficiëntie, tijdigheid, betrouwbaarheid,…)

Ruime betrokkenheid voor goede resultaten

• Verschillende niveaus (strategisch – operationeel – taakgebonden)– Identificatie op juiste niveau– Beheer op de juiste niveaus

• Ruime betrokkenheid geeft ruime input vanuit diverse standpunten

• Voorbeeld: aanpak TVL

Wat is het niet… …of mag het niet worden

• Leiden tot bureaucratie of verlamming – voor ieder risico een massa aan beheersmaatregelen uitwerken– Altijd K/B-oefening

• Een antwoord bieden op ieder apocalyptische risico

• Verplicht nummertje om auditoren te sussen– Is in de eerste plaats een instrument voor het

management van een organisatie

• Stof vergaren– omgeving en verwachtingen wijzigen – risico’s ook

9

Risicomanagement helpt verbeteren

• Kritisch bekijken van de processen– i.f.v. doelgerichtheid van de processen– i.f.v. doelmatigheid van de

beheersmaatregelen• Oog hebben voor opportiniteiten• Versterken van de

verantwoordingsrelatie – weten waar je mee bezig bent

11

Risicomanagement en audit

• Risicomanagement is de vertrekbasis voor single audit– Audit- en controleactoren stemmen planning en

werkzaamheden af o.b.v. resultaten risicomanagement

• Goed risicomanagement – Zorgt voor juiste auditkeuzes/prioriteiten– Zorgt voor business alignment met audit indien

risicomanagement uitgevoerd of gevalideerd door management

– Meer gedragenheid van auditfunctie en aanbevelingen !

– Partnerrol invullen