risicomanagement in de praktijk

Risico’s niet goed afdekken is over het algemeen geen onwil, maar meer onnadenkendheid. Als altijd alles goed gaat, wordt de noodzaak – het belang – om actief met risicomanagement aan de slag te gaan niet gevoeld. Zeker bij kleinere organisaties is men druk met de dagelijkse gang van zaken, de toko draaiend houden slokt alle tijd op. Het gaat toch allemaal prima wordt dan gedacht, waarom moeilijk doen? Maar je kunt er vergif op innemen dat er een dag komt dat het niet meer prima gaat. Hoe voorkom je die dag?

Risico’s beheersbaar houden kan met goed risicomanagement. Begin met het houden van sessies met de medewerkers van de verschillende afdelingen. De centrale vragen daarbij zijn: welke risico’s kun je lopen, welke risico’s ben je bereid te nemen en welke niet, en welke beheersmaatregelen kun je nemen? Onbewust doen medewerkers vaak al de goede dingen, dus de basis ligt er deels al. Als controller denk je mee, ondersteun je. Laat het een bottom-up-proces zijn – van operationeel naar tactisch naar strategisch – dat zorgt ook voor draagkracht onder de medewerkers en verhoogt het risicobewustzijn van alle betrokkenen.

Vervolgens stel je een Risico Register op, daarin staat alle opgehaalde informatie. Dat wordt doorvertaald naar een beleidsdocument waarin staat welke risico’s je accepteert, en welke maatregelen je treft voor de niet-acceptabele risico’s. Na bespreking van de aanbevelingen in het managementteam, wordt de stap naar de praktische uitvoering gemaakt. Een Intern Controleplan en een planning worden opgesteld zodat alle belangrijke processen minimaal eenmaal per jaar worden geaudit. En dan is het: gewoon beginnen! Laat de controles vooral in de eerste lijn (van het three-linesmodel) uitvoeren en focus je als controller op de tweede en/of derde lijn.