2.2 De voorbereiding

Dit artikel is eerder verschenen als Themadossier FA Rendement

Publicatiedatum: april 2025

Bij de voorbereiding van de risicobeoordeling moet je met verschillende zaken rekening houden. Hierna komen die uitgebreid aan bod.

2.2.1 Selecteren van de deelnemers

afspiegeling

Het eerste punt in de voorbereiding is het selecteren van de deelnemers aan de risicobijeenkomsten. De samenstelling van deze groep moet een goede afspiegeling zijn van de onderneming. Een breed georiënteerde samenstelling dus. Betrek daarnaast ook eventuele specialisten, want die kunnen beter bepaalde risico’s bepalen. Als een onderneming bijvoorbeeld te maken heeft met complexe juridische factoren, betrek dan een juridisch specialist bij het identificeren van de risico’s. Betrek een IT-deskundige als sprake is van ingewikkelde automatisering.

2.2.2 Maak een context of referentiekader

omgeving

Voor de risico-identificatie is een grondige kennis vereist van de onderneming, de activiteiten en de omgeving. Het is daarom van belang om in de voorbereiding de interne en externe omgeving goed in beeld te brengen. Visualiseer deze omgevingen in een schema of figuur.

Interne omgeving

governance

Denk bij de ‘interne omgeving’ aan:

strategie: missie, ondernemingsdoelstellingen, ketendoelstellingen, afdelingsdoelstellingen;
intern beleid op het gebied van bijvoorbeeld veiligheid en informatiebeveiliging;
bedrijfsprocessen:
- governance: taken en verantwoordelijkheden, cultuur en gedrag, overlegstructuren, managementinformatie, ‘key performance indicators’, besturingsprocessen;
- ketens en primaire processen: inkoop, planning, productie, verkoop, magazijnbeheer;
- ondersteunende processen: personeelszaken, IT, administratie;
- systemen: businessapplicaties, cloudtoepassingen, technische (IT-)systemen.

Externe omgeving

privacy

Denk bij de ‘externe omgeving’ aan:

externe stakeholders: concurrenten, financiers, toezichthouders, de Belastingdienst, milieugroeperingen, consumentenorganisaties;
juridisch: privacywetgeving, fiscale wetgeving, veiligheidsvoorschriften, productaansprakelijkheid;
financieel: ontwikkeling van de economie, valutakoersen, rente en inflatie, gedrag van klanten, verwachte schaarsten op inkoopmarkt;
technologie: productinnovaties, IT-ontwikkelingen;
demografie: samenstelling bevolking qua leeftijd, achtergrond, opleiding;
politiek: stromingen, actuele wetsvoorstellen.

2.2.3 Stappen bij de risico-identificatie

processtappen

Risico’s worden in enkele workshops geïdentificeerd door de geselecteerde deelnemers. Hierbij zijn een aantal achtereenvolgende processtappen te onderscheiden.

Stap 1: toelichting risicomanagement

De facilitator begint de eerste workshop met het toetsen of de groep compleet is. Hij stelt vast dat alle geselecteerde deelnemers aanwezig zijn en stelt de vraag: ‘Zijn jullie de juiste groep mensen voor het uitvoeren van de risicobeoordeling?’ Als de groep compleet is, licht de facilitator het risicomanagementproces en -beleid toe. De volgende onderwerpen komen daarbij aan de orde:

de doelstellingen van risicomanagement;
de taken en verantwoordelijkheden;
het risicomanagementproces, methode en tools;
definities van bijvoorbeeld brutorisico, nettorisico, de risicobereidheid van de onderneming en de risicothema’s;
de doelstelling en werkwijze van de risicobeoordeling.

volledig

Het is belangrijk dat de groep zich realiseert dat het belangrijk is volledig te zijn bij de risico-identificatie. Een risico dat niet wordt geïdentificeerd, komt namelijk niet aan de orde in het verdere verloop van risicomanagement!

Brainstorm

brutorisico

nettorisico

De boodschap van de facilitator is: identificeer in deze fase maar zoveel mogelijk risico’s, zonder te letten op de grootte van het risico (brainstormen). Verder is het belangrijk om de nadruk te leggen op het feit dat het om brutorisico’s gaat. Aan de deelnemers wordt gevraagd om de aanwezige beheersmaatregelen in deze fase te vergeten. In een latere fase, bij de risicoanalyse, worden de beheersmaatregelen pas weer van belang en wordt het nettorisico ingeschat.

Stap 2: toelichting contextmodel

De tweede stap in een risicoworkshop is een toelichting van het contextmodel. Sta daarbij geruime tijd stil bij de missie en de doelstellingen van de onderneming. Risico’s zijn immers de onzekere gebeurtenissen die impact hebben op deze doelstellingen. De facilitator licht de context toe en iedereen kan vragen stellen of opmerkingen maken. Het model wordt eventueel aangepast. Iedere deelnemer moet de context begrijpen en onderschrijven.

Stap 3: risico-identificatie

centraal of in groepjes

De volgende stap is de identificatie van de risico’s. Je kunt dit centraal doen of in groepjes. Ga bijvoorbeeld een aantal keren in wisselende groepjes uiteen, waarbij elk groepje telkens een ander deel van de context als uitgangspunt neemt. Elke deelnemer moet uiteindelijk de integrale context doorlopen hebben.

Classificeren van de verschillende risico’s

geen dubbele risico’s

Consolideer de verschillende risico’s gezamenlijk met alle deelnemers en verwijder de dubbele risico’s die bestaan. Toets daarbij integraal of de risico’s voldoen aan de risicodefinitie. Er moet dus bij elk risico sprake zijn van een onzekere gebeurtenis die impact heeft op het behalen van één of meerdere doelstellingen. Stel ook vast op welk risicothema de risico’s betrekking hebben, zoals financieel, reputatie, veiligheid, integriteit en kwaliteit. Deze thema’s zijn voorgeschreven in het risicobeleid. De risico’s worden hiermee geclassificeerd. Deze exercitie is ook een toets of alle thema’s uit het risicobeleid voldoende aandacht hebben gekregen.

Stap 4: risico’s registreren

checklist

Elk risico van de onderneming uit de derde stap moet je gedetailleerd vastleggen. Het is handig om daarvoor een voorgedefinieerde checklist te gebruiken, zodat je geen informatie vergeet. De verzameling van deze risico’s wordt een risicoregister genoemd. Op die manier heb je alle risico’s van de onderneming overzichtelijk op een rijtje.

U bent hier