Advertentie

5 Tips voor een performante risicoanalyse

Een aangepast raamwerk, een overzichtelijk risicorapport en een correcte prioriteitstelling kunnen leiden tot een efficiënte, in de onderneming ingebakken risicocultuur. We geven vijf tips die u daarbij helpen.

1.LEG  DE CONTEXT VAST EN ONTWIKKEL EEN EENVOUDIG EN RELEVANT RAAMWERK

Een basiscomponent van een raamwerk voor enterprise risk management (ERM) is de context waarbinnen een organisatie functioneert. Alvorens een raamwerk te implementeren is het van belang om die context te begrijpen en vast te leggen. Zonder consensus hierover bestaat de kans dat management en stakeholders de fundamenten van ERM in twijfel trekken of hun rol niet voor 100 procent opnemen. Voor u met een risicoanalyse start, moet er een raamwerk ontwikkeld worden dat bij de organisatie past. Soms wordt met verschillende raamwerken gewerkt, die allemaal betrekking hebben op een bepaald deeldomein: bijvoorbeeld compliance, interne controle of risk management. Maar u kunt die ook combineren tot één raamwerk op maat van de organisatie. Bedoeling is om in een duidelijke, consistente en voor iedereen klare taal risico's te beschrijven en te bespreken.

2.EIS EEN DUIDELIJK OVERZICHT VAN DE RISICO'S

Management, bestuurders en auditcomité zijn vragende partij voor een doeltreffende risicobeheersing, dikwijls zonder succes. Ze willen een duidelijk overzicht van de belangrijkste risico's van de onderneming en van de acties die het management neemt om de risico's onder controle te houden. Een eensluidend samenvattend risicorapport is de belangrijkste troef van een performant enterprise risk management. Idealiter gaat het om één rapport, dat duidelijk de status bevat van de risicobeheersing van de belangrijkste ondernemingsrisico's.

3.BESCHERM WAT HET MEESTE WAARDE HEEFT

De belangrijkste risico's zijn die risico's die de waarde van de onderneming bedreigen. Daarom moet een risicoanalyse zich in de eerste plaats richten op die domeinen die zowel de toekomstige groei als de kernactiviteiten bedreigen. Het zwaartepunt moet liggen op het identificeren van de belangrijkste risico's die het behalen van de doelstellingen van de onderneming in de weg staan. Toch wordt dit dikwijls over het hoofd gezien tijdens het traditionele risicoanalyseproces. De focus ligt vaak op risico's en controles van operationele processen.

4.VERMIJD ‘ENTERPRISE LIST MANAGEMENT’

Vaak richten ondernemingen zich te veel op risico’s identificeren en oplijsten en te weinig op actie ondernemen. 'Enterprise List Management' is het eerste struikelblok bij het implementeren van enterprise risk management. Onvolledige criteria om de risico's in te schatten hebben vaak als gevolg dat er te weinig op concrete acties gefocust wordt. De meeste ondernemingen gebruiken slechts twee criteria om de risico's in te schatten: impact en waarschijnlijkheid. Hieraan moet een derde dimensie worden toegevoegd: de graad van controle die het management tegenover het risico heeft geplaatst. Deze combinatie bepaalt uiteindelijk welke actie nodig is om het risico onder controle te houden. Meestal wordt de output van een risicoanalyse grafisch voorgesteld. Die grafische voorstelling moet duidelijk de prioriteitsstelling naar voren brengen. Risico's die hoog worden ingeschat en waarvan de verbetergraad het hoogst is, worden de prioriteit van het management. Interne audit moet zich richten op de domeinen met het hoogste inherent risico. Domeinen met laag inherent risico kunnen dan bijvoorbeeld worden opgevolgd door middel van control self-assessment.

5.BOUW HET PROCES VAN DE RISICOANALYSE IN DE ORGANISATIE IN

ERM-initiatieven stoppen vaak bij een uitgebreide risicoanalyse, zonder concrete opvolging. Om dit te vermijden moet de risicoanalyse ingebakken worden in de strategische, operationele, budgettaire en auditprocessen van de onderneming. Het mag niet opgezet worden als een alleenstaand proces. Zodra ze ingebakken zijn in de onderneming, worden het risicobewustzijn en de risicobeheersing ook een deel van de bedrijfscultuur. Idealiter wordt gewerkt met een boordtabel waarin men risico's integreert die worden opgevolgd via verschillende kanalen, zoals control self-assessment, interne audit of risk management. Op die manier behoudt men ten allen tijde een overzicht van de stand van zaken van de belangrijkste risico's doorheen de organisatie. 

Advertentie
Advertentie
Advertentie
Advertentie

Gesponsorde inhoud

Gesponsorde inhoud