Risicobeheer

Uit Wikipedia, de vrije encyclopedie
(Doorverwezen vanaf Risicomanagement)
Ga naar: navigatie, zoeken
COSO-raamwerk

Risicobeheer of risicomanagement is een continu proces dat ten aanzien van de doelstelling risico's identificeert en beoordeelt. Er zijn verschillende gebieden waarop risicomanagement toegepast kan worden; financieel risicomanagement richt zich op het beheersen van financiële risico's, projectrisicomanagement richt zich op het beheersen van risico's in het realiseren van grote projecten.

Risicomanagement in zes stappen[bewerken]

Het proces van risicomanagement bestaat in veel modellen uit zes stappen: doelstelling vaststellen, risico's identificeren, gevolgen inschatten, risico's beoordelen, risico's beheersen en monitoring.

Doelstelling[bewerken]

De doelstelling is datgene wat een organisatie wil bereiken, bijvoorbeeld het realiseren van omzetgroei, continuïteit, of het afronden van een project binnen een bepaalde begroting of termijn. Het vaststellen van de doelstelling kan geschieden door gebruik te maken van de regels van het SMART-principe.

Risico's identificeren[bewerken]

Een risico is een onzekere gebeurtenis met mogelijke gevolgen voor de doelstelling. De gebeurtenis doet zich voor door interne en/of externe oorzaken. De interne oorzaken hebben invloed op de activiteiten, welke samen met de externe oorzaken het doel (de doelstelling) beïnvloeden. De beïnvloeding heeft vervolgens weer gevolgen, welke mogelijk nieuwe risico's vormen. Een risico kan in de termen van het risicomanagement zowel positief als negatief zijn. Een negatief risico wordt ook een gevaar, bedreiging, downside risk of statisch risico genoemd. Een positief risico wordt ook een kans of upside risk genoemd. Een dynamisch risico is een risico dat zowel positief als negatief kan zijn of worden.

Voor risico-identificatie (ook risicoanalyse of event ivent identification) kan onder meer geschieden middels de volgende modellen: SWOT, DESTEP/PESTEL, Vijfkrachtenmodel, PIOFACH en een combinatie van het vijfkrachtenmodel en het DESTEP-model.

Inschatten[bewerken]

Vervolgens worden risico's ingeschat op kans van optreden en op mogelijke gevolgen. Dit kan gekwantificeerd worden, maar ook kwalitatieve inschattingen van risico's kunnen nuttig zijn. De beoordeling en klassificatie van risico's gaat volgens de Kinney-methode of de verwachte waarde methode.

Verwachte waarde = kans x gevolg
Kinney-methode = kans x gevolg x blootstelling

De kans van voorkomen wordt vastgesteld als een percentage. Als een gebeurtenis eens in de 100 jaar zal voorkomen, dan mag de kans als 1% genoteerd worden.

Beoordelen[bewerken]

Er wordt een risicoacceptatiegraad vastgesteld, dit is het risico dat bijvoorbeeld een bedrijf hooguit wil nemen om de doelstelling te behalen. Uit de risicoacceptatiegraad is af te leiden of het risico wordt opgezocht (risicozoekend) of ontweken (risicoavers). Twee factoren die meespelen bij het bepalen van de risico acceptatiegraad zijn de gevolgen en de waarschijnlijkheid. De beoordeling van risico's kan visueel worden weergegeven in een risicomatrix of riskmap en/of een Likelihood-diagram.

Beheersen[bewerken]

Twee elementen die centraal staan in het beheersen van risico's zijn de maatregelen en de reacties. Een risico zonder beheersmaatregelen wordt een bruto of inherent risico genoemd. Een risico waarop beheersmaatregelen worden genomen worden vervolgens kleiner ingeschat, en kunnen restrisico's (residual risk) genoemd worden. Beheersmaatregelen zijn preventief, waarbij beoogd wordt de kans van voorkomen af te nemen, of repressief, waarbij beoogd wordt de gevolgen te reduceren. Er zijn twee soorten beheersmaatregelen, te weten: hard controls (afspraken en richtlijnen) en soft controls (gericht op het functioneren van medewerkers).

Er zijn vier soorten reactie's: vermijden (of voorkomen, terminate), beheersen (of verminderen, treat), overdragen (of uitbesteden, transfer) en accepteren (take). Risico's kunnen worden vermeden door drastische maatregelen, bijvoorbeeld bij brandgevaar al het houten meubilair te vervangen door staal. Het beheersen kan bijvoorbeeld door het meubilair brandwerend te maken en overdragen door een brandverzekering af te sluiten.

Monitoring[bewerken]

Monitoring gebeurt in de loop van het proces, en kunnen middels indicatoren gemonitord worden (Key Risk Indicator en Key Control Indicator) samen ook wel de Early Warning Indicators genoemd.

Binnen het vakgebied van risicobeheersing wordt onderscheid gemaakt tussen de volgende types';

  • Operationele risico's. Dit zijn gevolgen die kunnen optreden bij het uitvoeren van het werk waar de organisatie voor in het leven is geroepen. Een voorbeeld is een koersfluctuatie waardoor de inkomsten van een multinational anders uitpakken na omwisseling van de valuta.
  • Financiële risico's. Dit is het risico dat de financiële verslaglegging van de organisatie afwijkt van de werkelijkheid. Een voorbeeld is de waarde van de inventaris die afwijkt van wat daadwerkelijk in de inventaris zit door verkeerde tellingen of door onvoorzien verlies vanwege schade of diefstal.

Externe link[bewerken]