Procesgericht risicobeheer

Enterprise Risk Management (ERM)

Wat is ERM?

ERM is een aanpak – bestaande uit methodes & processen – om risico’s en opportuniteiten te beheren, teneinde de bedrijfsmissie te realiseren en haar objectieven te bereiken.

Waarom ERM?risk_management

De identificatie en het pro-actief beheer van risico’s en opportuniteiten laten een organisatie toe om de waarde voor al haar belanghebbenden te creëeren en vooral te beschermen; niet alleen waarde voor de eigenaars (aandeelhouders), maar ook voor haar medewerkers, klanten, leveranciers, eventuele regulatoren, enz.; kortom de maatschappij in het algemeen.

Hoe ERM toepassen?

Er bestaan verschillende concepten (ERM-frameworks) die je voor jouw organisatie kan overwegen. Enkele voorname zijn:

ERM en Business Process Management

Het is niet de bedoeling om deze concepten in details te beschrijven, want de respectievelijke links kunnen jou daarbij helpen.  Wel licht ik graag toe hoe de kennis van de eigen bedrijfsprocessen bijdraagt aan een effectief risicobeheer; de negende reden om de bedrijfsprocessen binnen jouw eigen organisatie grondig te kennen en te modelleren.

Risk management process - NLEigenlijk bestaat risicobeheer uit volgende voorname activiteiten; noem het ‘Risico Beheer proces’:

Zoom NL1. Identificeer de risico’s: de ergste risico’s zijn dikwijls deze die onbekend zijn. De eerste stap is dus de identificatie van de risico’s. Het goede nieuws is dat dit veel gemakkelijker is wanneer je de processen in kaart gebracht hebt. Want dan komt het er op aan om te bepalen welke gebeurtenissen en activiteiten aan de basis (kunnen) liggen van risico’s. De figuur aan de linkerzijde illustreert hoe je een risico kan documenteren in een procesmodel; in dit geval het risico “vergetelheid om staal te nemen” uit het proces “Ontvangst & controle van grondstoffen” (blog van 5 februari 2015). Merk ook de specificatie “Controleer of staal genomen werd“, inclusief de link naar het document dat de Key Risk Indicator (KRI) beschrijft.

Risk matrix NL2. Evalueer de risico’s: eens een risico is bekend, dan kan je zijn impact (ernst) alsook zijn waarschijnlijkheid inschatten. Dit kan je doen aan de hand van een zogenaamde risicobeoordeling matrix (zie afbeelding hier rechts). Wanneer je zowel impact als probabiliteit van een risico bepaald hebt, kan je trouwens zijn waarde berekenen. Bv. voor een risico met als impact € 1 miljoen en een waarschijnlijkheid van 5%, is de waarde € 50.000. Volledige uitsluiting van dit risico is dus € 50.000 waard.

Naast het prioriteren van risico’s, kan je ze ook op andere manieren categoriseren. Bv. naar onderscheid tussen interne vs. externe risico’s, strategische vs. operationele risico’s, enz.

3. Beperk risico’s: vooral “onaanvaardbare” risico’s, moeten beperkt – idealiter uitgesloten – worden. Door vermindering van hetzij de waarschijnlijkheid, hetzij de ernst van het risico, of beiden.  Je kan zelfs beslissen om zich tegen risico’s te verzekeren. Risicobeperking is ook dikwijls een vorm van procesbeheer. Zo kan je in bovenstaand voorbeeld (vergetelheid om een staal te nemen), de goederenontvanger via het systeem dwingen om de staalname te bevestigen vooraleer een goederenontvangst nota te kunnen afdrukken. Zodat de ontvanger niet kan vergeten een staal te nemen. Want de leverancier zal niet vertrekken zonder de nota na het lossen van de grondstof. Dit is een voorbeeld van Poka-Yoke techniek om te voorkomen dat het risico zich voordoet.

4. Controleer risico’s: voorgaande activiteiten hebben weinig zin zolang je de risico’s niet opvolgt noch controleert. Daarom hoort bij risicobeheer ook een actieplan om de risico’s te monitoren en om de effecten van beperkingsmaatregelen op te volgen. In analogie met KPI’s (= Key Performance Indicators – zie ook de blog van 5 maart 2015), kan je voor belangrijke risico’s best een Key Risk Indicator (KRI) bepalen, gebruikmakend van een risico fact sheet. Wens je (gratis) een template van zo’n KRI? Vraag het gewoon aan via onderstaand reactie vak of via het contactformulier.

Het is duidelijk dat Process Management dus ook bijdraagt aan een effectief risicobeheer – en dus aan ERM. Noem het procesgericht risicobeheer.

Wil je meer weten over ERM? Schrijf iets over jouw ervaring met ERM in het vak “Reacties” onderaan deze blog (bv. of er binnen jouw organisatie aan ERM gedaan wordt, hoe het geïmplementeerd is, welke uitdagingen ermee gepaard gingen, enz.) en ontvang in ruil hiervoor een bundeltje interessante documenten m.b.t. het COSO ERM framework.

P.S.: Als je deze informatie nuttig vond, aarzel dan niet om ze te delen met je Facebookvrienden en –fans, LinkedIn contacten, Twitter volgers en Google+ circles via de share knoppen hieronder. Bedankt!

Bron: Afbeelding 1