Waal - Inleiding risicomanagement

u i t g e v e r ij

c o u t i n h o c

Inleiding risicomanagement

 

‘If you don’t invest in risk management, it doesn’t matter what business you’re in, it’s a risky business.’ Gary Cohn

 

Inleiding risicomanagement

Dennis van der Waal

c u i t g e v e r ij

c o u t i n h o

bussum 2019

www.coutinho.nl/inleidingrisicomanagement Je kunt aan de slag met het online studiemateriaal bij dit boek. Dit materi- aal bestaat uit een begrippentrainer en een casus met opdrachten en ant- woorden voor studenten. Voor docenten zijn er powerpoints per hoofdstuk beschikbaar.

© 2019 Uitgeverij Coutinho bv Alle rechten voorbehouden.

Behoudens de in of krachtens de Auteurswet van 1912 gestelde uitzonderingen mag niets uit deze uitgave worden verveelvoudigd, opgeslagen in een geauto- matiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen, of op enige andere manier, zonder voorafgaande schriftelijke toestemming van de uitgever. Voor zover het maken van reprografische verveelvoudigingen uit deze uitgave is toegestaan op grond van artikel 16 h Auteurswet 1912 dient men de daar- voor wettelijk verschuldigde vergoedingen te voldoen aan Stichting Reprorecht (Postbus 3051, 2130 KB Hoofddorp, www.reprorecht.nl). Voor het overnemen van (een) gedeelte(n) uit deze uitgave in bloemlezingen, readers en andere com- pilatiewerken (artikel 16 Auteurswet 1912) kan men zich wenden tot Stichting PRO (Stichting Publicatie- en Reproductierechten Organisatie, Postbus 3060, 2130 KB Hoofddorp, www.stichting-pro.nl).

Uitgeverij Coutinho Postbus 333 1400 AH Bussum info@coutinho.nl www.coutinho.nl

Omslag: Ronald Boiten, Amersfoort

Noot van de uitgever Wij hebben alle moeite gedaan om rechthebbenden van copyright te achter- halen. Personen of instanties die aanspraak maken op bepaalde rechten, wordt vriendelijk verzocht contact op te nemen met de uitgever.

ISBN 978 90 469 0661 3 NUR 801

Voorwoord

Voor veel studierichtingen in het hoger onderwijs geldt dat het van groot belang is dat de toekomstige beroepsprofessionals zich bewust zijn van wel- ke risico’s er spelen bij de werkzaamheden in hun beroepsomgeving. Hier- bij volstaat het niet om puur en alleen naar de eigen functie te kijken: men- sen met uiteenlopende functies dienen binnen een organisatie met elkaar samen te werken om adequaat op risico’s te kunnen reageren. Veel van de huidige literatuur richt zich op risicomanagement vanuit een bepaald vak- gebied of een bepaalde invalshoek. Voorbeelden hiervan zijn risicomanage- ment vanuit het perspectief van verzekeren of vanuit het perspectief van safety and security . In dit boek is bewust gekozen voor een meer algemene benadering, aangezien het voor iedereen van belang is om de samenhang van uiteenlopende soorten risico’s vanuit verschillende perspectieven te begrijpen. Deze samenhang gaat verder dan de organisatie alleen. Ook de externe omgeving is van cruciaal belang. Bij risicomanagement gaat het uiteindelijk om (juiste) strategische en opera- tionele keuzes te maken. Hierbij staat het gedrag van mensen centraal. Pas wan- neer iedereen binnen de organisatie de basisprincipes van risicomanagement kent en begrijpt, is het mogelijk om ‘eenieder dezelfde taal te laten spreken’ bij het maken van keuzes. Dit boek beschrijft de basisprincipes van risicomanagement, met als centraal thema het risicomanagementproces. Het is vanaf jaar 1 in het hoger onderwijs te gebruiken, afhankelijk van het belang en de positie van risicomanagement binnen de studie. Studenten kunnen hierdoor de dwarsverbanden met andere gebieden binnen de studie zien, begrijpen en toepassen, waardoor risicoma- nagement niet als een los, op zichzelf staand proces zal worden beschouwd. Dit boek is een geactualiseerde en uitgebreidere weergave van de eerder ge- schreven readers Introductie Risicomanagement (Van der Waal, 2012) en In- troduction to risk management: Main principles of the risk management pro- cess (Van der Waal & Versluis, 2017). Zodoende wil ik bij dezen Arie de Wild (lector Risicomanagement en Gedragseconomie aan Hogeschool Rotterdam) en Vincent Versluis (oud-vakcollega) bedanken voor de samenwerking bij het schrijven van de eerdere readers en dit boek. Tevens wil ik vakcollega’s Marc Kouwenhoven en Stefan Hassels Monning bedanken voor de inbreng en redac-

tie bij de huidige versie. Dennis van der Waal Vlaardingen, februari 2019

Inhoud

Inleiding

9

1

Geschiedenis van risico en risicomanagement

11

1.1 Geschiedenis van risico

11 12 14

1.2 Geschiedenis van risicomanagement

Opgaven

2 Basisbegrippen van risicomanagement

15

2.1 Risicomanagement 2.2 Soorten risico 2.3 Oorzaak en gevolg

15 20 22 24

Opgaven

3 Risicomanagementproces en -raamwerken

26

3.1 Risicomanagementproces 3.2 Risicomanagementraamwerken

27 29 29 31 32 41

3.2.1 Overeenkomsten en verschillen 3.2.2 Onderdelen van raamwerken en richtlijnen 3.2.3 Voorbeelden van raamwerken en richtlijnen

Opgaven

4 Risicomanagementbeleid en doelstellingen

42

4.1 Risicomanagementbeleid

43 49 51

4.2 Organisatie- en risicomanagementdoelstellingen

Opgaven

5 Risico-identificatie

54

5.1 Identificeren van risico’s

55 58 61 67

5.2 CRSA-methodieken bij het identificeren van risico’s 5.3 Checklists en modellen bij het identificeren van risico’s

Opgaven

6 Risico-inschatting en -beoordeling

68

6.1 Inschatten van risico’s 6.2 Beoordelen van risico’s

69 71 71 74 76 77 77 81 83 84 87 88 90 92 92 93 95 96 99

6.2.1 Beoordelen door verwachte-waardemethode 6.2.2 Beoordelen door Kinney-methode 6.2.3 Registreren van risicobeoordeling 6.3.1 Opstellen van een risicomatrix 6.3.2 Aflezen risicohouding bij een risicomatrix 6.3.3 Beperkingen van een risicomatrix

6.3 Risico’s in een risicomatrix

Opgaven

7 Risicoreacties en beheersmaatregelen

86

7.1 Risicoreacties

7.1.1 Reageren op risico’s 7.1.2 Kiezen van risicoreacties 7.2 Opstellen van beheersmaatregelen

7.2.1 Preventieve en repressieve beheersmaatregelen 7.2.2 Hard en soft controls 7.2.3 Kiezen van beheersmaatregelen 7.2.4 Registreren van beheersmaatregelen

Opgaven

8 Monitoring, communicatie en verslaglegging

102

8.1 Monitoring

103 104 106 109 110 111 113 114 128 137 141

8.1.1 Kritische indicatoren 8.1.2 Verband tussen indicatoren 8.2 Communicatie en verslaglegging

8.2.1 Interne communicatie en verslaglegging 8.2.2 Externe communicatie en verslaglegging

Opgaven

Begrippenlijst

Uitwerkingen van de opgaven

Literatuur

Register

Over de auteur

151

Inleiding

In dit boek worden de beginselen van het risicomanagementproces be- schreven, waarbij de koppeling met Enterprise Risk Management (ERM) wordt gemaakt. Door de diverse stappen van het risicomanagementproces te doorlopen, kan een organisatie zich bewust worden van de risico’s waar- aan de organisatie blootgesteld wordt, om vervolgens verantwoorde keuzes te maken bij de mogelijke beheersing van deze risico’s. Organisaties moeten tegenwoordig de ondernomen activiteiten op het gebied van risicomanagement inzichtelijk maken. Dit geldt zowel nationaal vanuit de Nederlandse Corporate Governance Code (in de volksmond ook wel Code-Van Manen genoemd, voorheen Code-Tabaksblat) als internati- onaal vanuit onder andere de Sarbanes-Oxley Act (VS) en de Combined Code of Corporate Governance (UK). Ook bij specifieke branches wordt vanuit Europese wetgeving geëist dat bedrijven hun risicomanagement op orde hebben. Voorbeelden hiervan zijn Basel III (banken) en Solvency II (verzekeraars). Hierbij moeten de organisaties aantonen in control te zijn. Daarnaast heeft onrust op de financiële markten het belang van een gede- gen risicomanagement binnen organisaties nog eens versterkt. Ten slotte is ook vanuit de maatschappij het verlangen naar risicomanagement ontstaan om adequaat te reageren op sociaal ontwrichtende calamiteiten, zoals aard- bevingen, tsunami’s en terroristische aanslagen. In hoofdstuk 1 van dit boek wordt aandacht besteed aan een korte be- schrijving van de geschiedenis van de begrippen risico en risicomanage- ment. Hoofdstuk 2 gaat in op de basisbegrippen van het vakgebied risico- management. In hoofdstuk 3 worden deze begrippen gekoppeld aan het risicomanagementproces en aan risicomanagementraamwerken. De diver- se onderdelen van het risicomanagementproces worden in de hoofdstuk- ken 4 tot en met 8 uitgebreid behandeld. In hoofdstuk 4 worden de diverse onderdelen van het risicomanagementbeleid beschreven, waarbij de kop- peling wordt gemaakt met de algemene organisatiedoelstellingen en met de doelstellingen rondom risicomanagement. In hoofdstuk 5 worden verschil- lende manieren om risico’s te identificeren beschreven. Hoofdstuk 6 gaat in op de mogelijkheden om de omvang van de risico’s in kaart te brengen, waarna bepaald kan worden welke risico’s als prioriteit gelden. In dit hoofd- stuk wordt ook aandacht besteed aan de verschillende risicohoudingen en het herkennen van deze houdingen binnen een risicomatrix. In hoofdstuk 7 wordt de logische vervolgstap gemaakt naar hoe met risico’s kan worden omgegaan door de risicoreacties en eventuele maatregelen te beschrijven.

9

Inleiding risicomanagement

In hoofdstuk 8 wordt ten slotte aandacht besteed aan het onderdeel moni- toring. Dit onderdeel is de laatste schakel van het risicomanagementproces, maar wordt door het gebruik van verschillende indicatoren eigenlijk gedu- rende het gehele proces toegepast. Ook wordt ingegaan op de communica- tie en verslaglegging rondom risicomanagement. Bij risicomanagement worden geregeld de kleuren groen, geel (of oranje) en rood gebruikt om de aanvaardbaarheidsniveaus van risico’s en doelen te visualiseren. Aangezien dit boek een blauwe steunkleur heeft, is voor blauwtinten gekozen. Bij de onderdelen waar de tinten in het boek verwar- ring kunnen opleveren, staat een korte verwijzing naar deze afwijkende kleuren. Hierbij geldt dat het gebied dat normaliter groen wordt weerge- geven in dit boek een donkerblauwe tint heeft gekregen. Het gebied dat normaal gesproken rood gekleurd wordt, heeft in het boek een blauwe tint gekregen, terwijl het oorspronkelijk gele gebied een lichtblauwe tint heeft gekregen. Binnen de hoofdstukken zijn diverse kaders opgenomen. Bij de kaders is onderscheid gemaakt tussen kaders die praktijkvoorbeelden beschrijven en kaders die gedragsaspecten toelichten. Ondanks het feit dat gedragsaspec- ten buiten de primaire scope van dit boek liggen, is het noodzakelijk om hier aandacht aan te besteden. Bij de kaders met gedragsaspecten wordt een verdeling gemaakt tussen algemene zaken met tips om wel of juist niet te doen en cognitieve biases (denkfouten). Aan het einde van ieder hoofdstuk staat een aantal opgaven over het betreffende hoofdstuk. Tevens zijn aan het eind van het boek de uitwerkingen van de opgaven en een begrippenlijst opgenomen. Op www.coutinho.nl/inleidingrisicomanagement vind je het online stu- diemateriaal bij dit boek. Dit materiaal bestaat uit: • een begrippentrainer • een casus met opdrachten en antwoorden Door middel van het webicoon wordt naar dit materiaal verwezen. Voor docenten zijn powerpoints per hoofdstuk beschikbaar. Website

10

1 Geschiedenis van risico en risicomanagement

In dit hoofdstuk wordt de geschiedenis van de begrippen risico en risico- management toegelicht. Het begrip risicomanagement lijkt iets van de af- gelopen jaren, maar niets is minder waar. De achterliggende gedachte van het begrip heeft in de loop der jaren wel de nodige veranderingen gehad. Logischerwijs is de term risico al iets van alle tijden.

1.1

Geschiedenis van risico

Bernstein (1996) beschrijft in het boek Against the gods: The remarkable story of risk hoe door de jaren is omgegaan met het begrip risico. De auteur geeft overzichtelijk weer wat de ontwikkelingen vanaf het jaar 1200 zijn ge- weest. Hierbij wordt het begrip risico op verschillende manieren uitgebreid toegelicht. In Against the gods: The remarkable story of risk wordt verwezen naar het ontstaan van het hedendaagse getallenstelsel, waardoor het moge- lijk is om berekeningen te maken rondom onzekerheid en risico. Met deze getallen wordt in een later tijdvak door Luca Paccioli, Girolamo Cardano en Galileo een brug geslagen naar de basisprincipes van vooral algebra, kansleer en zelfs gokken. Enkele jaren na het overlijden van Galileo was het onder andere Blaise Pascal die een grote stap in de waarschijnlijkheidsana- lyse maakte. Pascal stelde dat zowel de waarschijnlijkheid als de mogelijke uitkomst een beslissing zou kunnen beïnvloeden. In de achttiende en negentiende eeuwmaakten diverse grote namen, zoals Jacob Bernouille en Carl Fiedrich Gauss, op eigen wijze de koppeling naar het rekenkundig benaderen van risico. Jacob Bernouille legde bijvoorbeeld de eerste link tussen waarschijnlijkheid en de kwaliteit van informatie. Om een uitspraak over de waarschijnlijkheid te kunnen doen, is het noodzake- lijk om goede broninformatie te hebben. Gauss ontwikkelde onder andere de normaalverdeling (ook wel de Gauss-kromme genoemd).

11

1 Geschiedenis van risico en risicomanagement

Rond de twintigste eeuw is het Kenneth Arrow die aantoont dat mensen niet geneigd zijn onzekerheid te accepteren en behoefte hebben aan zekerheid, zelfs bij situaties die zelden voorkomen. Frank Knight (1921) is vervolgens de eerste die twijfelde aan de wiskundige voorspelbaarheid van de toekomst. Bij deze voorspellingen wordt veelal gewerkt met trends uit het verleden die doorgetrokken worden naar de toekomst, ook wel extrapoleren genoemd. Tevens maakt Knight het onderscheid tussen risico en onzekerheid, waar- bij risico als meetbare onzekerheid wordt omschreven en onzekerheid per definitie onmeetbaar is (in paragraaf 2.1 wordt hier meer aandacht aan be- steed). Net als Knight twijfelt ook John Maynard Keynes (1921) aan de wis- kundige voorspelbaarheid van de toekomst. Keynes richt zich hierbij vooral op de klassieke theorie van de economie, waarbij de overheid de economie niet stimuleert. Keynes veronderstelt juist dat door overheidsinterventie de vraagzijde van de economie gestimuleerd of geremd moet worden. Dit is ook wel bekend als de keynesiaanse theorie. Keynes veronderstelt dat toe- komstige gebeurtenissen een kanswaarde (waarschijnlijkheid of frequentie, meer hierover in paragraaf 6.1) hebben, maar dat mensen onvoldoende in- formatie hebben om die kanswaarde te kunnen inschatten. Hierbij is sprake van onzekerheid. Vervolgens worden wel beslissingen genomen en door die beslissingen verandert de wereld, waardoor ‘nieuwe’ onzekerheid ontstaat. Hierdoor is er een sterke behoefte van de mens om invloed uit te oefenen op risico’s en onzekerheden. Vanuit de beschreven ontwikkelingen van het begrip risico zijn de eerste vormen van risicomanagement ontstaan. Een van de eerste pogingen om risico’s te beheersen, dateert al uit de ze- ventiende of achttiende eeuw. Japanse rijstboeren maakten afspraken met kopers om in een later stadium vooraf vastgestelde hoeveelheden rijst te leveren tegen een vooraf vastgestelde prijs (Dionne, 2013). Voor zowel de boer als de koper is een dergelijke afspraak interessant. De boer weet op voorhand dat de rijst wordt afgenomen en welke omzet gerealiseerd gaat worden. Doordat de hoeveelheid bekend is, zal er geen overschot of tekort zijn. Hierdoor wordt zowel het risico rondom de hoeveelheid als het ri- sico rondom de prijs vermeden. Ook de koper zal voordelen hebben van deze afspraak. De koper weet immers zeker wat de kosten van de betref- fende hoeveelheid zullen zijn. Hierdoor wordt het risico dat de rijst in de toekomst meer gaat kosten geëlimineerd. Tegenwoordig worden dergelijke afspraken betiteld als futures of termijncontracten. In de daaropvolgende eeuwen is risicomanagement sterk ontwikkeld, al was dit in eerste instantie Geschiedenis van risicomanagement

1.2

12

1.2 Geschiedenis van risicomanagement

voornamelijk op het gebied van financiële dienstverlening, zoals verzeke- ringen (Simkins & Ramirez, 2007). Rond 1980 ontstonden binnen enkele grote Amerikaanse banken afdelin- gen gespecialiseerd in financieel risicomanagement, waardoor het groeien- de belang van risicomanagement duidelijk zichtbaar werd (Dionne, 2013). In de jaren negentig van de vorige eeuw kwamen bij diverse instellingen schandalen aan het licht waarbij grote verliezen geleden werden. Een van deze schandalen vond in 1995 plaats bij een Britse bank, de Barings Bank. Het ongeautoriseerd handelen van één persoon, in combinatie met een aardbeving in Japan, zorgde voor een verlies van ongeveer 1 miljard dollar en het uiteindelijke faillissement van de gehele bank (Greener, 2006). De omvang van dit schandaal kon niet alleen worden toegewezen aan financi- ële risico’s, aangezien het menselijk handelen en een externe factor als een aardbeving belangrijke factoren in het geheel waren (in paragraaf 3.1 volgt een uitgebreidere toelichting van dit praktijkvoorbeeld). Door dergelijke schandalen kreeg risicomanagement binnen organisaties een bredere benadering dan alleen binnen de financiële afdeling. Hierbij werden zowel andere afdelingen van de organisatie als de externe omgeving betrokken. Dit is het startpunt geweest van Enterprise Risk Management (ERM), waarbij vervolgens bij organisaties ook een nieuwe rol ontstond, te weten de Chief Risk Officer (CRO) (Lam, 2001). In 2002 is de Sarbanes-Oxley Act (SOx) ingevoerd. SOx is de Ameri- kaanse wet die tal van regels oplegt aan bedrijven die aan een Amerikaanse effectenbeurs genoteerd zijn (inclusief buitenlandse filialen) of een buiten- lands bedrijf met een genoteerde vestiging hebben, zoals Ahold. De wet dwingt dergelijke organisaties te rapporteren over de betrouwbaarheid van de interne controles. Enkele jaren later werd de Basel II (Basel Commit- tee on Banking Supervision (BCBS), 2006) gepubliceerd. Hierin wordt be- schreven dat banken zogeheten economisch kapitaal moeten aanhouden om de gevolgen van de risico’s te kunnen dekken. Ondanks het feit dat SOx en Basel II andere achtergronden en doelstellingen hebben, zijn beide ontstaan na schandalen waarbij het ontbreken van risicomanagement ken- merkend was. In hetzelfde decennium ontstonden nog meer risicomanage- mentraamwerken en -richtlijnen, waarbij de focus lag op organisatiebrede benadering van risicomanagement door het bieden van een structuur van criteria, methoden en processen (Risk Management Society (RIMS), 2011). In hoofdstuk 3 wordt hier verder op ingegaan. Na de financiële crisis in 2008 hebben veel organisaties het traditionele risicomanagement met een silobenadering losgelaten en zijn overgegaan op een organisatiebrede benadering (Dornberger, Oberlehner & Zadra- zil, 2014). Bij de silobenadering wordt risicomanagement binnen diverse

13

1 Geschiedenis van risico en risicomanagement

onderdelen van de organisatie los van elkaar uitgevoerd en ontbreekt een samenhang tussen de onderdelen. Daarnaast is in de afgelopen decennia een verschuiving te zien van het financiële perspectief naar het strategische en operationele perspectief. De veranderingen in de wereld volgen elkaar steeds sneller op. Voorbeelden hiervan zijn de veranderingen op technolo- gisch gebied als Big Data, maar ook op sociaal gebied door veranderingen in veiligheid door (dreiging van) terrorisme. In dit verband wordt tegen- woordig vanuit risicomanagement gesproken over een VUCA-wereld . De term VUCA (Whiteman, 1998) is van oorsprong een term uit het leger en staat voor volatility (snelheid van veranderingen), uncertainty (onzekerheid rondom gebeurtenissen), complexity (complexiteit van de omgeving) en ambiguity (onduidelijkheid over oorzaak en gevolg) (Horney, Pasmore & O’Shea, 2010). Door deze VUCA-kenmerken is het voor een organisatie steeds meer van belang om vanuit risicomanagementperspectief in te spe- len op de snellere veranderingen in de omgeving. Opgave 1 a Over welk risicogerelateerd aspect waren Knight en Keynes het eens? b Wat is de beredenering van Keynes bij het genoemde aspect bij vraag a? c Het in dit hoofdstuk besproken standpunt van Knight en Keynes is door de elkaar steeds sneller opvolgende veranderingen in de wereld nog steeds relevant. Hoe worden dergelijke veranderingen ook wel afgekort genoemd? Leg deze term uit. d Waar staat ERM voor en wat houdt de term in? Zie www.coutinho.nl/inleidingrisicomanagement voor een begrippen- trainer bij dit hoofdstuk. Opgaven

14

2 Basisbegrippen van risicomanagement

In dit hoofdstuk komen de basisbegrippen van risicomanagement aan bod. Hierbij wordt onder andere beschreven wat een risico is, welke soorten ri- sico’s er zijn en wat het belang van doelstellingen is binnen risicomanage- ment. Tevens wordt de relatie met termen als oorzaak en gevolg gelegd.

2.1

Risicomanagement

Risicomanagement is het proces waarmee wordt geprobeerd de onzeker- heid rond het behalen van doelstellingen te managen. Dit proces heeft als doel ervoor te zorgen dat deze doelstellingen worden bereikt. Risico’s heb- ben invloed op het behalen van een doelstelling. Bij risico’s gaat het om gebeurtenissen waarvan onzeker is of deze gaan plaatsvinden. Het uitein- delijke gevolg is eveneens onzeker. Wanneer zeker is dat een gebeurtenis wel of niet zal plaatsvinden, is er geen sprake van een risico. In de litera- tuur zijn verschillende meningen over de begrippen risico en onzekerheid te vinden. Knight (1921) maakte al onderscheid tussen beide termen door aan te geven dat een risico een meetbare onzekerheid is (zie paragraaf 1.1). Voor sommige onzekere gebeurtenissen geldt dat het gaat om niet-meet- bare gebeurtenissen. Het kan hierbij bijvoorbeeld gaan om gebeurtenissen die simpelweg nooit eerder hebben plaatsgevonden. Ook kan het zijn dat de onzekere gebeurtenissen niet te kwantificeren zijn, omdat de bijbehorende doelstelling niet van kwantitatieve aard is. Bij andere onzekere gebeurtenissen kan het om wel meetbare gebeurte- nissen gaan. Denk bijvoorbeeld aan een schadeportefeuille, waarbij vanuit het verleden een hoeveelheid data beschikbaar is. Aan de hand van dergelij- ke historische data kunnen de verwachte waarschijnlijkheid en de verwach- te gevolgen van de schadegevallen gemodelleerd worden tot een verwachte schadeportefeuille.

15

2 Basisbegrippen van risicomanagement

Daarnaast kan het begrip risico op verschillende manieren worden geïn- terpreteerd. In de volksmond kan het begrip gezien worden als de kans op de gebeurtenis, de oorzaak van de gebeurtenis, maar ook het gevolg ervan (Van Staveren, 2015). In dit boek wordt een risico gedefinieerd als ‘een on- zekere gebeurtenis met gevolgen voor een doelstelling’. Hierbij kan het gaan om zowel meetbare als niet-meetbare gebeurtenissen. Risicomanagement kan betrekking hebben op de doelstellingen van in- dividuen, projecten, processen en organisaties. Het kan een onbewust en informeel proces zijn, maar het kan ook heel bewust en formeel worden uitgevoerd. In het dagelijks leven zijn mensen veelal onbewust bezig met risicomanagement door na te denken over bepaalde keuzes en de daarbij behorende (mogelijke) gevolgen. Het bewust en formeel uitvoeren van ri- sicomanagement kost tijd en geld. Deze kosten moeten worden afgewogen tegen de mogelijke baten die risicomanagement biedt in een bepaalde situ- atie. Een andere mogelijke combinatie is het bewust, maar informeel bezig zijn met risicomanagement. Deze toepassingsvariant is te herkennen bij start-ups en mkb-bedrijven, die zich continu bewust afvragen welke risico’s de organisatie loopt, maar dit niet formeel vastleggen. Op welke wijze risicomanagement door individuen of in organisaties wordt toegepast, verandert niets aan het feit dat het mensenwerk blijft. In- dividuen of mensen binnen organisaties bepalen voor zichzelf of voor de organisatie doelstellingen. Bij de doelstellingen bepalen deze personen ook welke risico’s beheerst moeten worden en hoe dit gerealiseerd dient te wor- den door middel van maatregelen. Uiteraard wordt hierbij gebruikgemaakt van hulpmiddelen zoals computers, maar de mens is en blijft een bepalende factor bij het bedienen van deze apparaten. De mens speelt dus, net als in veel andere processen binnen organisaties, een cruciale rol. Het gedrag van individuen binnen de organisatie is bepalend voor de werking van risicomanagement. Er kunnen regels en procedures worden opgesteld, maar wanneer deze afspraken vervolgens niet worden nageleefd, hebben de stappen die daarvoor zijn genomen vrijwel geen waarde. De persoon die verantwoordelijk is voor het behalen van de opgestelde doelstelling is tevens verantwoordelijk voor het risicomanagement rond- om de doelstelling. De verantwoordelijke voor het risicomanagement is bij persoonlijke doelstellingen het individu, bij projecten de projectleider, bij processen de proceseigenaar en bij een organisatie uiteindelijk de organisa- tieleiding. Op deze wijze is eenieder van de hiervoor genoemde personen ‘manager’ van de eigen doelstelling, verantwoordelijk voor het behalen van resultaten ten aanzien van de doelstelling en daarom verantwoordelijk voor

16

Made with FlippingBook - professional solution for displaying marketing and sales documents online