Risico-identificatiebenadering

Auteur: Manu Steens

Deze methode, sluit aan bij de COSO-ERM-aanpak als het gaat om centraal stellen van de doelstellingen van de onderneming en het entiteitsbreed identificeren van zowel statische als dynamische risico’s.

De structuur is een matrix die wordt vorm gegeven door enerzijds de doelstellingen (Strategische en operationele doelstellingen) en anderzijds mogelijke interne en externe factoren, de quick scan.

Deze matrix-aanpak bevordert de volledigheid van de risico-identificatie en geeft een structuur voor de ordening van de risico’s.

Meer bepaald ziet de risicomatrix er uit zoals hieronder weergegeven:

volgnr Aspecten Quick Scan bevindingen Risico’s: incident, kans, schadeoorzaak en schadegevolg vermelden
Strategische doelstellingen SD1 SD2
Operationele doelstellingen OD1-1 OD1-2 OD2-1 OD2-2
1 Procesmanagement
2 Belanghebbendenmanagement
3 Monitoring
4 Organisatiestructuur
5 Human Resources Management
6 Organisatiecultuur
7 Informatie en communicatie
8 Financieel management
9 Facilitymanagement
10 Informatie en communicatietechnologie
11 Externe factoren

Door deze matrix in te vullen beantwoordt de CRO drie essentiële vragen:

  1. Welke doelstellingen van de entiteit zijn onderwerp voor onderzoek?
  2. Welke onderdelen / aspecten van de organisatie zijn onderwerp voor onderzoek?
  3. In welke risico’s wordt nader inzicht gewenst?

In een eerste stap wordt aan de hand van een quick scan globaal nagegaan aan welke potentiële risico’s de entiteit bloot staat.

Als tweede stap zal de CRO op systematische wijze moeten nagaan welke van de in de quick scan onderkende risicoprobleemvelden in zijn bedrijf voorkomen en welke een nader onderzoek vergen. Daarvoor moet hij de desbetreffende interne en externe deskundigen en het management team bevragen.

Het uitwerken van een quick scan kan doorgaans door een bevraging te doen bij de deskundigen, wat zij globaal zien als realistische risico’s ivm de aspecten van de leidraad. Dit kan verder aangevuld worden met een deskresearch waarbij gebruik gemaakt wordt van jaarverslag, audit rapporten, risico-inventarissen van arbeidsveiligheid, brandpreventieplannen, continuïteitsplannen, incidentenregistraties, schadehistoriek inclusief registratie van bijna schaden.

Nadien wordt de matrix “gewogen” tav de quick scan in stap 2, waarbij duidelijk gekozen moet worden welke risico’s vat hebben op welke strategische en operationele doelstellingen. In periodieke interviews met het management team wordt dan gevraagd welke risico’s zij zien, hoe deze risico’s de organisatie beïnvloeden en wat er wordt gedaan om deze te beheersen. Een insteek van bestaande beheersmaatregelen kan eerder reeds opgenomen worden in de quick scan.

Manu Steens

Manu werkt bij de Vlaamse Overheid in risicomanagement en Business Continuity Management. Op deze website deelt hij zijn eigen mening over deze en aanverwante vakgebieden.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts