Risk management

Risk management: waarom is het belangrijk?

Khalid Toufik
12 september 2022
 | Leestijd:

Risk management gebeurt veelal achter de schermen. Het beeld bestaat dat het onderwerp alleen relevant is voor de grote corporates. En dat het in kaart brengen van risico’s alleen draait om financiële risico’s. Feit is dat het werk van een risk professional voor iedereen belangrijk is. Voor medewerkers, maar ook voor klanten en in sommige gevallen zelfs voor de maatschappij als geheel. In deze blog bespreken we het onderwerp risk management vanuit verschillende perspectieven. Want elke organisatie bestaat uit mensen, processen en tal van andere zaken die van invloed zijn op het voortbestaan van het bedrijf. Onze consultants leveren bijvoorbeeld elke dag op operationeel of strategisch niveau een belangrijke bijdrage aan de risicobeheersing van ons financiële stelsel. En dat geldt voor jou waarschijnlijk ook. Hier is waarom…

Goed risicomanagement: veiligheid in het bedrijfsleven voorop

Risk management in een bedrijfscontext draait primair om het planmatig anticiperen op gevaren binnen of voor een organisatie. Om risk professionals daarbij te ondersteunen bestaan er frameworks, waaronder Kaplan, het 3lines model (3LM), de Nederlandse Governance Code, de Baseline Informatiebeveiliging Overheid (BIO) en het Watermeloen model. Allemaal hebben ze het doel om risk management praktisch uitvoerbaar te maken en daarin alle belanghebbenden binnen een organisatie op de juiste manier te informeren en betrekken bij het proces van risicobeheersing. De belangrijkste missie van een risk manager is tenslotte om een volledig beeld te hebben van zaken die een negatieve impact kunnen hebben op het bedrijfsresultaat. En die vervolgens te kwantificeren. En die risico’s, dat kunnen er een heleboel zijn.

Van slechte PR tot privacy: gevaar schuilt overal

Denk aan een schandaal dat enorm veel reputatieschade oplevert. Dat is niet alleen een nachtmerrie voor de PR-afdeling, maar ook iets wat een risk manager probeert te voorkomen, of al ingecalculeerd heeft als het risicomanagement goed is georganiseerd. Denk aan het Dieselschandaal bij een bekende Duitse autofabrikant of het handelen in rommelhypotheken van een aantal Amerikaanse banken, wat tot een wereldwijde financiële crisis leidde in 2008. Het zijn gelijk twee voorbeelden van een operationeel risico en een financieel risico. De een vond plaats in het hart van de organisatie, de ander had directe gevolgen voor de financiële positie en het voortbestaan van de banken zelf.

Deze voorbeelden zijn zeker niet uitputtend. Cybercrime en de strenge AVG-eisen nemen risico’s met zich mee voor de IT infrastructuur van organisaties en de privacy van klanten en consumenten. Binnen organisaties moeten alle werkprocessen zo ingeregeld zijn dat consumenten, wetten, werknemers en waakhonden geen enkele reden tot onvrede mogen hebben. En dat is een flinke klus voor elke risk professional. Kortom risk management kan gaan over het beleggingsbeleid van een pensioenfonds, maar ook over hoe de marketingafdeling van de Mediamarkt omgaat met jouw betaalinformatie.

Risk management betekent weten wat er speelt

Risk management vraagt dus de volledige aandacht voor wat er binnen het bedrijf gebeurt op beleids-, proces- en productniveau. Ook is een risk manager op de hoogte van wat er in de markt gebeurt, bijvoorbeeld op het gebied van wetgeving en innovaties. Een bedrijf dat onvoldoende meegaat met de tijd loopt het gevaar verouderde producten te bieden, verouderde systemen te gebruiken en dus op termijn de concurrentiestrijd te verliezen. Daarmee is risk management wellicht het beste middel tegen tunnelvisie en struisvogelpolitiek.

Risico’s versus kansen: risk management als startpunt voor je bedrijfsstrategie

De risicomedaille heeft ook een kansrijke keerzijde. Want je volledig en continu focussen op de gevaren biedt ook mogelijkheden. Weten wat de risico’s zijn geeft perspectief voor het oplossen van problemen, soms nog voordat ze ontstaan. Je risicomodellen op orde hebben geeft inzicht in thema’s die op de korte en lange termijn op de agenda dienen te komen van het bestuur van een organisatie. Daarmee kan de risk manager leverancier zijn van belangrijke input voor directies en beleidsadviseurs.

De voordelen van ISO en andere standaarden voor risico-inventarisatie

Om bedrijven te helpen bij het opstellen van risico’s zijn er algemene standaarden in het leven geroepen, zoals de ISO-standaard (International Standards Organisatie). Dergelijke standaarden bieden risk managers niet alleen handvatten voor risk management en compliance, maar voorzien bedrijven ook van een certificering. Voldoen aan de standaard en de stempel krijgen die daarbij hoort wekt bij (potentiële) klanten en partners het vertrouwen dat er aandacht is voor bedrijfsrisico’s. Zo’n “bewijs” van goed risk management vertelt dat de informatieverwerking, systemen, naleving van wetten, financiële administratie en privacy binnen de organisatie op orde zijn. De certificeringen zie je daarom ook vaak op de website van organisaties terug komen, maar zullen ook bij due diligence-onderzoeken voorafgaand aan fusies of overnames de nodige geruststelling bieden.

Waarom risk management in finance prioriteit heeft

Omdat veel bedrijven een winstoogmerk hebben en omdat élke organisatie, publiek en privaat, efficiënt moet zijn om bestaansrecht te houden heeft risk management altijd ook een belangrijke financiële component. Een belangrijke afweging die je maakt bij elke risico-analyse is dan ook: wat zijn de financiële implicaties van dit risico? Kortom, een risico is pas echt goed in kaart gebracht als het gekwantificeerd is. Een branche waar financiële risico’s in het bijzonder veel aandacht krijgen is de financiële sector. Samen managen banken, verzekeraars en pensioenfondsen voor miljarden aan vermogen van bedrijven én particulieren. Zowel op klantniveau als beleggingsniveau moeten financiële dienstverleners daarom de nodige checks & balances inrichten.

Banken en financiële dienstverleners als poortwachter van economische en maatschappelijke stabiliteit

Zoomen we in op banken bijvoorbeeld, dan heeft risk management zowel een bedrijfskundige en strategische als maatschappelijke functie. De Wet op het financiële toezicht (Wft) en de Wet ter bestrijding van witwassen en de financiering van Terrorisme (Wwft) zien er bijvoorbeeld op toe dat de kernprocessen voor medewerkers en klanten voldoen aan juridische eisen en normen. Maar naast bijvoorbeeld de klantonderzoeken naar de herkomst van geld en vermogen houden bankmedewerkers (actuarissen, risk managers, auditors en risk consultants) zich ook bezig met strategische vraagstukken. Dat doen ze onder andere door te rapporteren over inkomsten, uitgaven, beleggingen en voorspellingen voor de toekomst. Het een beschermt de samenleving tegen malafide klanten, de ander beschermt de organisatie tegen slecht beleid en externe risico’s. Maar beide hebben de speciale aandacht van de risk manager.

Opvangen net zo belangrijk als voorkomen

We blijven bij de banken. Want risk experts bij deze instellingen moeten voortdurend afwegingen maken op basis van tal van variabelen en scenario’s. Denk aan economische trends die zich op de kapitaalmarkt voordoen, of demografische ontwikkelingen binnen de samenleving. Een pandemie is weliswaar moeilijker met een rekenmodel te voorspellen, maar de risk manager die daar iets voor incalculeert bewijst dat er weinig risico’s zijn die hij over het hoofd zou zien. Omdat risico’s vrijwel altijd een financiële consequentie hebben is het aan te raden dat organisaties een financiële klap kunnen opvangen. Voor de grootbanken is dat vanwege het too big too fail-principe en de ontwrichtende effecten van een faillissement nóg belangrijker. Goed risicomanagement helpt daarbij en vormt een samenspel tussen de risk professional en andere stakeholders binnen de bank.

Medewerkers als bron van informatie

Risk managers die zich bezighouden met het in kaart brengen van mogelijke bedreigingen kunnen dat niet doen zonder gedegen informatie. Datavergaring is dan ook een belangrijk onderdeel van het werk van een risicospecialist. Die informatie ophalen kan op verschillende manieren. De workshop-methode richt zich met name op het trainen van medewerkers. Risico ondervangen door kennis en verantwoordelijkheid laag in de organisatie te beleggen is volgens sommige experts de beste manier om risico’s te beperken. Andere methodes zijn risk self assements aan de hand van vragenlijsten voor personeel en het watermeloen-model. Hierbij stelt de risk consultant de “key risks and controls” op en legt deze ter aanvulling en controle voor aan medewerkers die primair verantwoordelijk zijn voor de bijbehorende activiteiten. Ook hier blijkt, risk management is een samenspel tussen de risk professionals én de rest van de organisatie.

Raadpleging externe bronnen vaak essentieel voor compleet risicobeeld

Niet alle data raadpleeg je intern. Ook nieuws, bedrijfsinformatie, sanctielijsten en PEP-lijsten (Politically Exposed Persons) kunnen, afhankelijk van het type organisatie, relevante informatiebronnen zijn voor een risk manager. Een risk professional die hiervan gebruikmaakt zal bovendien minder snel last krijgen van de tunnelvisie en struisvogelpolitiek die soms op de loer liggen zolang het goed gaat. Een goede risicomanager waardeert het goede, maar houdt rekening met het slechtste.

Werken als risk manager?

Neem dan contact op met een van onze Interim Recruiters, of bekijk onze traineeships voor jouw carrièrepad binnen de financiële dienstverlening

Ook interesse in een traineeship bij Talent&Pro?

Deel dit artikel

Welk traineeship past bij jou?

Waar ligt jouw ambitie? Wat is jouw talent? Met de Talent&Pro-test kun je snel zien welk traineeship past bij jouw skills en persoonlijkheid.

Iphone hand vrijstaand 1_edit_TPmodellen_v2-01