Risicomanagement niet alleen voor riskprofessionals

14-12-2018

De wereld van nu lijkt meer onvergeeflijk, zowel op het gebied van politiek, economie, technologie, milieu als demografische ontwikkelingen. Daarom moeten we opnieuw nadenken over de organisaties in het algemeen, de governance en de cultuur daarvan én de bestaande mindset omtrent risico’s en de werking van risicomanagement, betogen Tonny Dekker en Jack Mills van EY. ‘Er is een nieuwe mindset nodig voor het digitale tijdperk. Laat risicomanagement niet alleen over aan riskprofessionals.’

Risicocultuur speelt een belangrijke rol in het benodigde digitaal vertrouwen. Deze relevante risicocultuur kan vorm krijgen door betere afstemming tussen de risicogovernance, top management en het bestuur in de strategievorming. Op deze manier worden scenario’s in de strategievorming goed afgestemd met het risicoprofiel. Zowel risk professionals als overige medewerkers en management in de organisatie als geheel moeten in staat zijn om data, tools en ervaring zodanig te ontwikkelen dat ze gecombineerd in staat worden gesteld revolutionaire veranderingen met vertrouwen aan te pakken, waardoor waarde ontwikkeling en marktdifferentiatie mogelijk is.

Blind staren op verleden
Omdat veel organisaties zich op dit moment blind staren door terug te kijken en te leren van de fouten, blijft de mindset en cultuur in veel gevallen gefocust op het vermijden en managen van risico. Echter, voor overleving en groei in dit digitale tijdperk moet risicomanagement meervoudig zijn: zowel leren van het verleden en heden als kijken naar de toekomst. Het digitale tijdperk biedt naast de veranderingen en de daarmee samenhangende risico’s ook alle mogelijkheden om juist meer grip en daarmee vertrouwen te creëren. Maar hoe kunnen we weloverwogen keuzes maken bij een digitaal landschap dat zich blijft veranderen? In een wereld waarin niet of te langzaam vooruitgang maken het grootste risico kan zijn, is het belangrijk dat organisaties weten hoe ver zij de grenzen kunnen opzoeken. Hoe kijk je als toezichthouder mee over de schouders van het bestuur in dergelijke levensvraagstukken?

Digitale risico’s
Digitale risico’s veranderen het ecosysteem van de organisatie waardoor het zal leiden tot aanpassingen in de traditionele bedrijfsonderdelen. Alhoewel een holistische blik op risico’s van vitaal belang is om te begrijpen hoe de digitale risico’s invloed hebben, wordt het verschil gemaakt in de details. Zodoende moet een holistisch inzicht in digitale risico’s en mogelijkheden worden aangesloten op een genuanceerd inzicht van een expert, omdat de digitale risico’s niet alleen verschillend tot uiting komen in elke industrie en elk bedrijf, maar evengoed een verschillende impact hebben op elk bedrijfsonderdeel. Een gecentraliseerd risicomanagement zal het om die reden waarschijnlijk aan specifieke kennis ontbreken, wat betekent dat risicomanagement niet overgelaten kan worden aan alleen de risk professionals. Effectief risicomanagement moet, net zoals de uitvoering van strategie, een gedeelde verantwoordelijk zijn van de gehele organisatie om succesvol te navigeren door het digitale tijdperk.

Vragen voor toezichthouder
Door de beslisser te begeleiden met het begrijpen van het totaalbeeld van risico’s, zal de toezichthouder van de toekomst in staat moeten zijn om keuzevorming en de lange termijn agenda te onderkennen wanneer zij haar besturen beoordeelt. Elke toezichthouder zou zichzelf de volgende vragen moeten stellen:

  • Hanteert het bestuur een gebalanceerde risicostrategie voor de verschillende risico categorieën: negatieve, positieve en externe?
  • Is haar risicobereidheid gelijk aan de strategische prioriteiten van de organisatie en daarbij behorende risicocultuur?
  • Wordt er gebruik gemaakt van opkomende technologieën om negatieve risico’s beter te mitigeren en positieve risico’s te benutten?
  • Welke impact heeft automatisering op de rollen en verantwoordelijkheden binnen de verschillende lines of defence?
  • Haalt het bestuur en haar management het maximale risicobegrip uit data voor de besluitvorming – verleden, heden en toekomst?
  • Heeft het managementteam en haar bestuur de juiste vaardigheden om te anticiperen op de wisselende eisen van het risicomanagement?
  • Kijkt het bestuur wel buiten de grenzen van de onderneming, samen met partners uit het ecosysteem, om betere resultaten te behalen?

Een nieuwe mindset voor het digitale tijdperk
Het digitale tijdperk biedt ondernemingen kansen voor enorme waardecreatie. Voordeel halen uit deze verschuiving betekent een verandering in de manier van hoe wij denken te moeten werken. Zowel in de manier van hoe waarde wordt gecreëerd als in de manier om het aanwezige risico te managen, hetzij door middel van vermijden, dan wel het benutten van risico. De uitkomst van deze verschuiving in paradigma zal een vernieuwde risicofunctie zijn: een functie die de organisatie in staat stelt om risico te omarmen, de uitvoering meer risicovoorspellend te maken en de beschikbaarheid geeft om nieuwe technologieën en risico ecosystemen te gebruiken voor betere uitkomsten en lagere kosten, zonder daarbij het onafhankelijke perspectief te verliezen dat belangrijk is voor het managen van risico’s. Maar het grootste risico blijft dat de organisaties te langzaam of geen vooruitgang boeken, terwijl de snelheid van ontwikkelen van nieuwe en bestaande risico’s hoger is dan ooit. Daarmee verlies je het (digitale) vertrouwen van aandeelhouders, werknemers en consumenten en geeft je een opening aan de concurrentie. In de toekomst zal de digitale wereld ons van alle kanten benaderen. Behoud van het vertrouwen van alle stakeholders zal alleen mogelijk zijn, wanneer we onze risicomanagementvaardigheden ook digitaal ontwikkelen, zodat organisaties in staat zijn om kansen met vertrouwen aan te pakken. En het is dit digitaal vertrouwen dat van levensbelang is voor de organisaties. Elke toezichthouder zal er dus goed aan doen dit als centraal thema in haar activiteiten van toezicht naar voren te laten komen.

Training Diagnose Innovatievermogen, 7 maart 2019, Delft, €695,-
Kun je als internal auditor zicht krijgen op die innovatiekracht en wendbaarheid en hoe zou je die kunnen diagnosticeren en daarover rapporteren?

Training Hacking voor auditors, 7 mei 2019, Amsterdam, €695,-
Niet langer is cybersecurity een onderwerp dat alleen bij de IT-afdeling op de agenda staat. Hoe kun je als auditor zelf penetratietesten uitvoeren?

Bron: nationaalregister.nl
Auteurs: Tonny Dekker en Jack Mills (EY)
Dit artikel is gepubliceerd in: GU2018dec

Terug naar het nieuwsoverzicht

IIA Nederland

088-0037100
iia@iia.nl
Burgemeester Stramanweg 102A
1101 AA Amsterdam
Postbus 22657
1100 DD Amsterdam
Contact opnemen

Audit Magazine

Audit Magazine

Lidmaatschap

IIA is dé toonaangevende beroepsorganisatie voor internal auditors. Een lidmaatschap laat u delen in de collectieve kennis van alle vakgenoten in de wereld.
Meer informatie