close
Share with your friends

Verzekeraars en pensioenfondsen hechten steeds meer belang aan een goed gestructureerd beleid voor risicomanagement. Dit komt onder meer door de verhoogde aandacht van toezichthouder De Nederlandse Bank (DNB). Maar risicomanagement is meer dan een verplichting: door het te integreren in de bedrijfscultuur creëer je kansen én weet je als bedrijf waar je aan toe bent.

Risicomanagement kent verschillende aspecten. Denk aan het vaststellen van alle risicovolle bronnen binnen het bedrijf en het in kaart brengen van de risicobereidheid. Ook zijn de Kritische Risico-Indicatoren (KRI’s) van belang, met de bijbehorende streef- en tolerantiewaarden waar men op kan sturen. Met al deze factoren wordt beleid uitgewerkt om risico’s binnen een bedrijf te beheersen dan wel bewust te accepteren.

Om deze risico’s goed te kunnen managen is het belangrijk dat een bedrijf haar data en systemen op orde heeft. Als de risicorapportages vervolgens integraal inzicht bieden in de elementen uit het beleid, evolueert het risicomanagementbeleid van een ‘compliance-oefening’ naar een proces dat daadwerkelijk toegevoegde waarde biedt.

Verbinding met cultuur en gedrag

Mensen zijn een van de belangrijkste onderdelen binnen risicomanagement. Zij moeten immers in staat zijn risico’s in te schatten, te meten, te signaleren en te monitoren. Effectief risicomanagement is daarom onlosmakelijk verbonden met cultuur en gedrag. De risicocultuur van een organisatie is de som van alle individuele en bedrijfswaarden, houdingen en gedragingen die bepalen óf en hoe een organisatie is gecommitteerd aan integraal risicomanagement.

Organisaties realiseren zich steeds meer dat het gedrag van medewerkers grote invloed heeft op het reilen en zeilen van de organisatie. Oorzaken van incidenten of misstanden worden tegenwoordig veel vaker gevonden in het gedrag van mensen, in plaats van bijvoorbeeld in technische of systeemfouten. Waar voorheen veelal nieuw beleid werd opgesteld of nieuwe processen werden ingericht in reactie op een incident, is er de laatste jaren sprake van een grotere focus op het verbeteren van de organisatiecultuur. Risicobeleid en het inrichten van processen is immers pas de eerste stap; het implementeren en creëren van bewustwording is een vervolgstap. 

Three lines of responsibilities; samen verantwoordelijk voor risicobeleid

Doordat medewerkers een van de belangrijkste onderdelen binnen risicomanagement zijn, zijn ze ook gezamenlijk verantwoordelijk voor het uitvoeren van risicobeleid. Een veelgebruikt concept waarmee bedrijven laten zien dat ze hun risicomanagementbeleid op orde hebben, is het three lines of defense-model. Deze methode beschrijft drie lijnen binnen een organisatie: de bedrijfsvoering (eerste lijn), een controlerende/coördinerende/adviserende functie (tweede lijn) en de interne audit (derde lijn). Alle lijnen dienen soepel met elkaar samen te werken. Omdat de term ‘three lines of defense’ verdediging suggereert (niet ‘samen’ maar ‘tegen elkaar’ werken), spreken wij liever van ‘three lines of responsibilities’. Daarmee wordt het gezamenlijke belang van de drie lijnen bij het risicomanagement veel beter benadrukt: je doet het samen.

De racewereld is een goed voorbeeld van samen de verantwoordelijkheid nemen voor risico’s. De coureur kan alleen succesvol zijn als zijn teamgenoten zorgen voor een juiste afstelling van de auto, adequate informatie over weersomstandigheden, technische data, etc. Hierdoor kan de coureur afgewogen keuzes maken. De risico’s blijven bestaan, maar er is gezamenlijk bepaald welke risico’s acceptabel zijn en tot welke grenzen.

Meten van de risicocultuur

De manier waarop mensen in een bedrijf met elkaar omgaan, bepaalt dus mede welke risico’s er bestaan. Dat noemen we de risicocultuur. Om die in kaart te brengen, kijken we allereerst naar de organisatiecultuur.

Is het duidelijk wat er van de medewerkers wordt verwacht? En voelen zij de ruimte om vragen te stellen, dilemma’s te bespreken en elkaar feedback te geven?

Om te bepalen hoe de risicocultuur ervoor staat binnen organisaties, maakt KPMG gebruik van het cultuurmodel. Dit model is door ons ontwikkeld op basis van wetenschappelijk onderzoek naar 150 misstanden, en wordt al 25 jaar in organisaties uit alle sectoren in binnen- en buitenland toegepast. Het model bestaat uit acht factoren, zoals Helderheid, Voorbeeldgedrag en Bespreekbaarheid. De kwaliteit van de ene factor heeft invloed op de effectiviteit van de andere. Toezichthouders zoals De Nederlandsche Bank en de Europese Centrale Bank gebruiken het model eveneens in hun toezichthoudende werkzaamheden. Op basis van het cultuurmodel is een vragenlijst ontwikkeld die wetenschappelijk is gevalideerd. Deze vragenlijst wordt online uitgezet binnen organisaties. Aan de hand van de resultaten kunnen gericht acties worden ingezet voor het verder versterken en – waar nodig – verbeteren van de risicocultuur. 

Risicomanagement moet niet gezien worden als ‘een moetje’, maar als een middel waarmee de onderneming beheerst risico’s kan lopen en kansen kan benutten. De medewerker moet in staat zijn om risico’s in te schatten, binnen een ondernemingscultuur die toestaat om risico’s ook écht te benoemen. Als samenwerking het uitgangspunt is, staat niets een goed risicomanagement in de weg!

Onze services