U bent hier

Onderneming & Administratie
Risicomanagement9. Risicomanagementbeleid implementeren9.2 Componenten van risicomanagementbeleid
Voor Onderneming & Administratie

9.2 Componenten van risicomanagementbeleid

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: april 2025

Het risicomanagementbeleid is een (schriftelijke) uitwerking van de kaders van het risicomanagement van de onderneming. Het beleid is in te delen in vier componenten:

  • opzet van de risicomanagementorganisatie (zie paragraaf 9.2.1);
  • gekozen risicostrategie (paragraaf 9.2.2);
  • risicojaarplan (paragraaf 9.2.3);
  • procedures, instructies en tools (paragraaf 9.2.4).

9.2.1 Opzet van de risicomanagementorganisatie

Binnen deze component bepaal je de organisatorische aspecten van het risicomanagement. Je beschrijft de verantwoordelijkheden van alle verschillende werknemers.

Bij grotere ondernemingen kan het voorkomen dat de verantwoordelijkheden van afdelingen en organen als internal audit, compliance, control en het audit committee afzonderlijk zijn beschreven.

Bestuurder

Een bestuurder is eindverantwoordelijk voor de risicobeheersing van de onderneming. In principe stelt hij het beleid van de onderneming vast (inclusief de daarin gedefinieerde risicobereidheid), inventariseert, begrijpt en beheerst hij de strategische risico’s en draagt hij commitment en het belang van risicomanagement proactief uit.

Managers

stimuleren

Staf- en lijnmanagers zijn verantwoordelijk voor risicomanagement binnen de afdelingen. Zij stimuleren als het goed is een gezonde risicocultuur binnen de afdeling, identificeren en rapporteren gewijzigde omstandigheden en risico’s, en implementeren en monitoren voldoende effectieve beheersmaatregelen.

Werknemers

analyse

Alle werknemers begrijpen en werken mee aan risicomanagementprocessen, en melden ineffectieve en inefficiënte beheersmaatregelen, risico-incidenten en bijna-incidenten. Ook werken ze mee aan de door het management geïnitieerde analyse van incidenten.

Welke taken verricht de risicomanager?

actueel

De risicomanager stelt het risicomanagementbeleid op en houdt het beleid actueel. Ook moet hij het management faciliteren bij de toepassing van het risicomanagementproces. Hij monitort de juiste en tijdige toepassing van het risicomanagementbeleid en consolideert risicomanagementrapportages vanuit de staf en rapporteert direct daarover aan het bestuur.

Positionering

kleine ­onderneming

Als je een specifieke functie inricht voor risicomanagement (een risicomanager of een risicoafdeling), leg je ook de positionering van deze functie vast in het beleid. Bij een kleine onderneming is het logisch de verantwoordelijkheden van de risicomanager onder te brengen bij bijvoorbeeld een directielid of een controller. Om het belang en de onafhankelijkheid van risicomanagement te verankeren is positionering direct onder de directie een goede keuze.

Communicatie- en rapportagelijnen

rapporteren

schade te ­beperken

Ten slotte beschrijf je in deze eerste component de communicatie- en rapportagelijnen. Vaak gebruik je al bestaande rapportagelijnen om daarin ook te rapporteren over risico’s. Er zijn ook ondernemingen die specifiek rapporteren over risicomanagement. Ook is het belangrijk om de ‘escalatielijnen’ te bepalen die je kunt gebruiken als bijvoorbeeld in de praktijk risicoadviezen niet worden opgevolgd. Je moet specifiek aandacht besteden aan de communicatie over risico-incidenten. Juiste, tijdige en volledige communicatie is belangrijk om eventuele schade te beperken en om de juiste maatregelen te treffen ter voorkoming van incidenten. Daarnaast is de afhandeling van incidenten een indicatie van de mate waarin risicomanagement effectief functioneert.

9.2.2 Gekozen risicostrategie

De risicostrategie van een onderneming beschrijft waarom risicomanagement belangrijk is en hoe je risicomanagement toepast.

Een van de belangrijkste onderdelen van de risico­strategie is de definitie van de risicobereidheid. De definitie moet duidelijk maken welke risico’s wél en welke risico’s niet acceptabel zijn. De definitie van de risicobereidheid moet daarom per risico ‘meetbaar’ zijn.

Risicostatement

attitude van de werknemer

De risicostrategie begint met een pakkend ‘risicostatement’. Dit risicostatement moet uitstralen wat de (gewenste) ­attitude is van elke werknemer met betrekking tot risico’s en risicobewustzijn. In de risicostrategie beschrijf je de doelstellingen van risicomanagement.

Classificeren

risicothema

In de strategie moet je ook de risico’s van de onderneming classificeren en beschrijven. Bij het classificeren van de risico’s maak je een opsomming van de risicothema’s die goed aansluiten bij de activiteiten van de onderneming. Wat zijn de grote en kleine risico’s voor de onderneming? Denk hierbij aan strategie, financiën, reputatie, veiligheid, integriteit, IT en kwaliteit.

Methoden

Het risicomanagementproces moet je in grote lijnen schetsen. Daarnaast moet je bepalen hoe vaak (frequentie) en op welke managementniveaus een risicoassessment moet plaatsvinden. Tevens kies je welke risicoassessmenttechnieken daarbij kunnen of moeten worden gebruikt. Te denken valt onder andere aan vragenlijsten of enquêtes, risicoworkshops, procesanalyses, SWOT-analyses (SWOT = strongness, weakness, opportunities and threats) en PESTEL-analyses (analyseren van omgevingsfactoren, zoals politieke, economische, sociaal-culturele, technologische, ecologische en legale factoren).

Rapporteren

periodiek

tegenstanders

Ook de concrete afspraken over het monitoren en rapporteren behoren tot de risicomanagementstrategie. Wie monitort wat en wie legt verantwoording af waarover? Sommige ondernemingen kiezen ervoor om periodiek (bijvoorbeeld jaarlijks) een ‘in control statement’ op te stellen. Dit betekent het afleggen van verantwoording over de werking van beheersmaatregelen die gericht zijn op het wegnemen of reduceren van de gevolgen van risico’s. Voorstanders hiervan beweren dat dit leidt tot een reductie van kosten, betere prestaties en een bevordering van transparantie naar toezichthouders. Tegenstanders beweren dat de toepassing van ‘in control statements’ leidt tot onnodige extra administratieve lasten en schijnzekerheid. Het is belangrijk om je hierbij te focussen op de belangrijkste risico’s (key risks) en beheersmaatregelen (key controls).

Zorg ervoor dat de ‘in control statements’ controleerbaar zijn. Dat betekent een verplichte en adequate onderbouwing van de periodieke ‘in control statements’. Dus geen statements op basis van het onderbuikgevoel!

Training

Voldoende kennis over risicomanagement is een randvoorwaarde voor een goede risicobeheersing. In deze strategie werk je uit hoe je het kennisniveau op niveau brengt en houdt. Dit betekent een goed uitgewerkt opleidingsplan. Je kunt ervoor kiezen om onderscheid te maken tussen de opleiding voor managers en voor werknemers. Managers zijn eindverantwoordelijk voor het risicomanagement van hun afdeling en verdienen een zwaardere training.

Besluitvorming

afweging

Een ander onderwerp in de risicomanagementstrategie gaat over de besluitvormingsprocessen. Dagelijks worden op vele plekken in een onderneming besluiten genomen. Aan veel besluiten gaat een afweging van alternatieven, kosten, baten en risico’s vooraf. Risicomanagement is ervoor om deze afwegingen goed te maken. Daarom moet je inventariseren welke besluitvormingsprocessen er zijn en welke eisen worden gesteld aan risico-inschattingen en -afwegingen. Kijk daarbij ook naar crisissituaties of calamiteiten.

9.2.3 Risicojaarplan

uitwerken

Het is aan te bevelen om in het beleidsdocument ook een hoofdstuk over risico op te nemen voor het komende jaar. Daardoor blijft risicomanagement op het netvlies. In het jaarplan kun je de volgende zaken uitwerken:

  • het jaarbudget;
  • de prioriteiten en focusgebieden voor komend jaar;
  • de planning en de ontwikkelingen in het personeelsbestand.

9.2.4 Richtlijnen, procedures en tools

tools

Om het risicomanagementbeleid in de praktijk toe te passen moet je richtlijnen, procedures en tools ontwikkelen en beschikbaar stellen. Je kunt daarbij denken aan werkinstructies, opleidings- en trainingsmateriaal, ondersteunende documentatie voor elke fase in het risicomanagementproces (de risicotoolbox), sjablonen, checklists en technische hulpmiddelen. Er zijn inmiddels diverse softwareproducenten die geautomatiseerde tools op de markt hebben gebracht ter ondersteuning van het risicomanagementproces.