Interne audit - Risico management

Risico's zijn overal. Risicomanagement is een hulpmiddel om op een gestructureerde manier risico's in kaart te brengen, te evalueren en (door pro-actief mee om te gaan) ze beter te beheersen. Het managen van risico's bestaat uit het doorlopen van zes stappen.

Onderdelen van de risicomanagement checklist zijn in ieder geval:

• De identificatie van risico's
• Analyse en beoordeling van risico's
• Analyse van de huidige beheersmaatregelen
• Ontwerpen en uitvoeren van actieplannen
• Meten, controleren en rapporteren
• Ten slotte resultaten integreren in besluitvormingsprocessen

De indentificatie van risico's 

Bij de identificatie van risico's gaat het om de operationele, financiële, strategische en traditionele risico's. Hierbij is de koppeling naar doelstellingen die de organisatie en bedrijfsonderdelen hebben vastgesteld immers van essentieel belang.

Analyse en beoordelen van risico's

Door risico's in kaart te brengen wordt het mogelijk gemaakt om deze te analyseren. Vervolgens is het van groot belang om te bezien wat de grootste risico's zijn. Niet alle risico's verdienen dezelfde aandacht; begin daarom met de belangrijkste risico's.

Analyse van huidige beheersmaatregelen

Door risico's binnen een organisatie efficiënter te beheersen kan onderscheid van de concurrentie worden gemaakt. Waarbij het in deze stap belangrijk is om te bepalen of de risico's niet teveel beheerst zijn, en of er zogenoemde 'blinde vlekken' zijn.

Ontwerp en uitvoeren van actieplannen

Nu de beheersmaatregelen in kaart zijn gebracht moet er een keuze gemaakt worden. Wat gebeurt er met de risico's die overblijven? De organisatie moet voor bovendien elk risico een keuze maken uit een van de volgende vier opties:

• Verminderen. Door het risico af te dekken door middel van een verzekering, voorziening of een ander budget in de begroting. In deze stap kan er ook gedacht worden aan het aanpakken of wegnemen van de oorzaak van het risico.
• Vermijden. Het beleid waar een risico door ontstaat zal op een andere manier vorm gegeven moeten worden, of geen beleid gestart worden wat een risico met zich meebrengt.
• Overdragen. Hierbij wordt het beleid dat een risico met zich meebrengt uitgevoerd door een andere betrokken partij. Deze partij neemt hierbij ook de financiële risico's over.
• Accepteren. Wanneer een risico niet kan worden vermeden, verminderd of overgedragen kan de organisatie het risico accepteren. Dit betekent niet dat het risico niet beïnvloedbaar is en dat de organisatie daarom het maar helemaal moet accepteren. Het risico is momenteel geaccepteerd en wordt niet op een of andere manier afgedekt. De persoon die het risico beste kan beheersen moet verantwoordelijk worden hiervoor. Het is daarom noodzaak een risico-eigenaar te benoemen.

Meten, controleren en rapportage

Risicomanagement is een doorlopend proces. Het effect van de actieplannen op het risicoprofiel daarom zal gemeten moeten worden. Ook is risico-informatie te gebruiken om audits te plannen.

Resultaten integreren in besluitvormingsprocessen

Risico-informatie is zeer bruikbaar voor het analyseren van toekomstige besluiten. Dit kan uitgevoerd worden door middel van de risico-analyses uit het verleden. Bij elk nieuw voorstel of project zal de organisatie bewust moeten zijn van de risico's.

Brown Paper Audit als tool voor interne audits. 

De Brown Paper Audit kan als tool dienen om interne audits te houden en te verbeteren op het gebied van samenwerken, het voorkomen van verspillingen en het verhogen van de (klant)waarde.