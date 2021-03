Maatschappelijke en technologische veranderingen hebben een steeds grotere impact op ons en maken het risicolandschap veranderlijk en onzeker. Om nieuwe en opkomende risico’s te kunnen bijbenen is het nodig dat organisaties de fundamentele principes van risicomanagement heroverwegen, schrijft PwC in een publicatie.

Hebt u antwoorden op belangrijke vragen als: hoe wordt de risico-organisatie bestuurd? Wie heeft er eigenlijk baat bij? Hoe kan risicomanagement binnen de hele organisatie de aandacht vergroten voor nieuwe en opkomende risico’s? Hoe draagt het bij aan besluitvorming in de bedrijfsvoering? Hoe ondersteunt het de uitvoering van de strategie? Hoe beheerst het kosten? En hoe maakt het gebruik van technologie en data-analyses om te transformeren en zo relevant te blijven?

Zeven ingrediënten

Anthony Kruizinga, partner en Risk & Regulation lead bij PwC Nederland, beschrijft zeven ingrediënten om een goede transformatie op tafel te zetten.

1. Vernieuw de risicotaxonomie

“Door maatschappelijke veranderingen is de conventionele risicotaxonomie verouderd. Vanwege opkomende risico’s is een meer vooruitkijkende risicotaxonomie en een bijbehorend risk appetite framework nodig. Daarin integreert u nieuwe risico’s op het gebied van bijvoorbeeld cyber, technologie, gedrag, milieu en klimaat. Ik zie momenteel deze risico’s nog onvoldoende terugkomen in raamwerken voor risicomanagement.”

2. Herstructureer risicomanagement

“De risicofunctie moet de vernieuwde risicotaxonomie weerspiegelen. De meeste organogrammen van de risicofunctie zijn vooral gericht op de belangrijkste risico’s in het verleden en belangrijke nieuwe risico’s zijn onderbelicht. Risicomanagement moet ook veel meer een plek krijgen in ‘de eerste lijn’, Dat betekent dat u businessprocessen zo moet ontwerpen en aanpassen dat ze de vereisten van risicomanagement en regulering inherent omvatten . Op die manier bereikt u wat ik ‘risk management by design’ noem.”

3. Hervorm het personeelsbestand

“Veranderende tijden en nieuwe risicotypes vragen ook om andere vaardigheden. Binnen organisaties zijn risicofuncties traditioneel het domein van mensen met een financieel-economische achtergrond of een profiel als interne controller of accountant. Nu is er meer behoefte aan professionals met verschillende achtergronden en met kennis over technologie, data-analyse, gedrag en klimaatverandering. Mensen die de dynamiek tussen risicomanagement en bedrijfsvoering begrijpen, die voorbij de silo’s van een organisatie kijken, en die de toenemende verbanden tussen verschillende risicotypes begrijpen.”

4. Stem risicomanagement af op strategie, doelstelling en waarden

“Het grootste risico is het niet nemen van risico’s. Om relevant en weerbaar te blijven in een snel veranderende omgeving moet risicomanagement meer op één lijn komen met de bedrijfsstrategie, -doelstelling en -waarden, in plaats van zich alleen maar te richten op voldoen aan wet- en regelgeving. Organisaties met een risicofunctie die de eerste lijn begeleidt in het verantwoord nemen van risico’s, zijn het meest succesvol. Op deze manier kan risicomanagement daadwerkelijk bijdragen aan strategische besluitvorming, met uw doelen, uw klanten en de samenleving in het achterhoofd.”

5. Besteed risicomanagement uit

“Doe waar u het beste in bent en laat anderen de rest doen. Met kosteneffectiviteit hoog op de agenda is het steeds meer gebruikelijk om derde partijen in te zetten om activiteiten rondom risico en controle over te nemen. Vooral als het gaat om werkzaamheden die kunnen worden gerationaliseerd, gestandaardiseerd en geautomatiseerd. Uitbesteden aan een gespecialiseerd service delivery center binnen of buiten uw organisatie leidt niet alleen tot lagere kosten, maar vaak ook tot een hogere kwaliteit. De werkzaamheden overbrengen naar een kosteneffectieve locatie maakt nog meer geld vrij om te investeren in toekomstbestendig risicomanagement.”

6. Rationaliseer uw controleraamwerk

“Om goed te kunnen reageren op alle toezichteisen voor risicobeheersing zijn de afgelopen jaren steeds meer controles toegevoegd. En bijna geen enkele is verwijderd. Het toenemend aantal procedures, lijstjes en aftekeningen hebben geleid tot een gecompliceerd, omslachtig en duur controleproces. U doet er goed aan hier met een frisse blik naar kijken. Ik denk dat je veel controls kunt versimpelen of zelfs kunt uitschakelen, zonder belangrijke risicomitigerende effecten te verliezen. Minder is misschien toch wel gewoon meer.”

7. Benut de kracht van technologie en data

“Data spreken voor zich als je bereid bent om ernaar te luisteren. Ik geloof dat risicomanagement op een meer voorspellende, anticiperende en proactieve manier moet opereren en alles uit nieuwe technologieën en data moet halen om betere inzichten te krijgen. Automatisering, geavanceerde analyses en kwantitatieve modellering maken een preciezere en tijdige risico-identificatie en -kwantificatie, en vervolgens ook -mitigatie mogelijk. Zo krijgt u grip op risico’s voortkomend uit menselijk gedrag, technologische en cyberdreigingen en de impact van klimaatverandering.”