Auteur: Manu Steens
In deze bijdrage geef ik mijn eigen mening, niet die van enige organisatie.
Deze methode, sluit aan bij de COSO-ERM-aanpak als het gaat om centraal stellen van de doelstellingen van de onderneming en het entiteitsbreed identificeren van zowel statische als dynamische risico’s.
De structuur is een matrix
De structuur is een matrix die je vorm geeft door enerzijds de doelstellingen (Strategische en operationele doelstellingen) en anderzijds mogelijke interne en externe factoren, de quick scan.
Deze matrix-aanpak bevordert de volledigheid van de risico-identificatie en geeft een structuur voor de ordening van de risico’s.
Meer bepaald ziet de risicomatrix er uit zoals hieronder weergegeven:
| volgnr | Aspecten Quick Scan bevindingen | Risico’s: incident, kans, schadeoorzaak en schadegevolg vermelden | ||||||||
| Strategische doelstellingen | SD1 | SD2 | … | |||||||
| Operationele doelstellingen | OD1-1 | OD1-2 | … | OD2-1 | OD2-2 | … | … | … | … | |
| 1 | Procesmanagement | |||||||||
| 2 | Belanghebbendenmanagement | |||||||||
| 3 | Monitoring | |||||||||
| 4 | Organisatiestructuur | |||||||||
| 5 | Human Resources Management | |||||||||
| 6 | Organisatiecultuur | |||||||||
| 7 | Informatie en communicatie | |||||||||
| 8 | Financieel management | |||||||||
| 9 | Facilitymanagement | |||||||||
| 10 | Informatie en communicatietechnologie | |||||||||
| 11 | Externe factoren | |||||||||
Dit beantwoordt drie essentiële vragen
Door deze matrix in te vullen beantwoordt de CRO drie essentiële vragen:
- Welke doelstellingen van de entiteit zijn onderwerp voor onderzoek?
- Welke onderdelen / aspecten van de organisatie zijn onderwerp voor onderzoek?
- In welke risico’s wens je nader inzicht?
In een eerste stap ga je met een quick scan globaal na aan welke potentiële risico’s de entiteit bloot staat.
Als tweede stap zal de CRO op systematische wijze moeten nagaan welke van de in de quick scan onderkende risicoprobleemvelden in zijn bedrijf voorkomen en welke een nader onderzoek vergen. Daarvoor moet hij de desbetreffende interne en externe deskundigen en het management team bevragen.
Het uitwerken van een quick scan kan doorgaans door een bevraging te doen bij de deskundigen, wat zij globaal zien als realistische risico’s ivm de aspecten van de leidraad. Dit kan je verder aanvullen met een deskresearch waarbij je gebruik maakt van jaarverslag, audit rapporten, risico-inventarissen van arbeidsveiligheid, brandpreventieplannen, continuïteitsplannen, incidentenregistraties, schadehistoriek inclusief registratie van bijna schaden.
Nadien “weeg” je de matrix tav de quick scan in stap 2, waarbij je duidelijk moet kiezen welke risico’s vat hebben op welke strategische en operationele doelstellingen. In periodieke interviews met het management team vraag je dan welke risico’s zij zien, hoe deze risico’s de organisatie beïnvloeden en wat ze doen om deze te beheersen. Een insteek van bestaande beheersmaatregelen kan eerder reeds opgenomen worden in de quick scan.