Wij merken in gesprekken over Risicomanagement dat risicomanagement vooral nog wordt beleefd als beheersing van risico’s, waarbij uit voorzorg allerlei beheersmaatregelen moeten worden genomen. Dit gevoel wordt vaak versterkt door de traditionele modellen voor Risicomanagement. Maar vooral ook doordat de traditionele Risicomanagers vasthouden aan de Three-Lines-of-Defense. Gevolg is dat de verantwoordelijkheid van het beheersen van risico’s ligt bij de risicomanager. Juist deze verantwoordelijkheid is het sleutelwoord wat Risicomanagement kan leren van Finance, HR en IT.
Vroeger vond “de Business” het budget maar een Finance-feestje, nu omarmen ze het en is Finance de business gesprekspartner hierin geworden. Hetzelfde geld voor HR, daar is “de business” zelf ook verantwoordelijk voor aanname van personeel en coaching. Ook IT heeft deze transformatie ondergaan en is men zelf verantwoordelijk voor aanpassingen in de applicaties die zij gebruiken. De Finance, HR en IT-afdelingen zijn in bovenstaande processen slechts coördinerend.
En dat is precies waar het kantelpunt zit voor risicomanagement en risicomanagers. Beleg de risico’s bij degene die er voor verantwoordelijk zijn en de risicomanager moet durven loslaten en vertrouwen op “de business”.
Dit kantelpunt staat overigens ook al in de nieuwste model van COSO-ERM uit 2017. Zij spreken niet meer over Three-Lines-of-Defence (LoD), maar over een Three-Lines-of-Accountability (LoA).
Onze mening is dat er sprake is van een 5-Lines-of-Accountability, omdat naast de externe accountant ook Toezichthouders mede-verantwoordelijk zijn voor de risico’s binnen de organisatie.
Meer weten over Risicomanagement 2.0? Neem vrijblijvend contact met ons op.