Maatschappelijke en technologische veranderingen hebben een steeds grotere impact op ons en maken het risicolandschap veranderlijk en onzeker. Om nieuwe en opkomende risico’s te kunnen bijbenen is het nodig dat organisaties de fundamentele principes van risicomanagement heroverwegen.
Hebt u antwoorden op belangrijke vragen als: hoe wordt de risico-organisatie bestuurd? Wie heeft er eigenlijk baat bij? Hoe kan risicomanagement binnen de hele organisatie de aandacht vergroten voor nieuwe en opkomende risico’s? Hoe draagt het bij aan besluitvorming in de bedrijfsvoering? Hoe ondersteunt het de uitvoering van de strategie? Hoe beheerst het kosten? En hoe maakt het gebruik van technologie en data-analyses om te transformeren en zo relevant te blijven?
Hieronder zeven ingrediënten om een goede transformatie op tafel te zetten.
Door maatschappelijke veranderingen is de conventionele risicotaxonomie verouderd. Vanwege opkomende risico’s is een meer vooruitkijkende risicotaxonomie en een bijbehorend risk appetite framework nodig. Daarin integreert u nieuwe risico’s op het gebied van bijvoorbeeld cyber, technologie, gedrag, milieu en klimaat. Ik zie momenteel deze risico’s nog onvoldoende terugkomen in raamwerken voor risicomanagement.
De risicofunctie moet de vernieuwde risicotaxonomie weerspiegelen. De meeste organogrammen van de risicofunctie zijn vooral gericht op de belangrijkste risico’s in het verleden en belangrijke nieuwe risico’s zijn onderbelicht. Risicomanagement moet ook veel meer een plek krijgen in ‘de eerste lijn’, Dat betekent dat u businessprocessen zo moet ontwerpen en aanpassen dat ze de vereisten van risicomanagement en regulering inherent omvatten . Op die manier bereikt u wat ik ‘risk management by design’ noem.
Veranderende tijden en nieuwe risicotypes vragen ook om andere vaardigheden. Binnen organisaties zijn risicofuncties traditioneel het domein van mensen met een financieel-economische achtergrond of een profiel als interne controller of accountant. Nu is er meer behoefte aan professionals met verschillende achtergronden en met kennis over technologie, data-analyse, gedrag en klimaatverandering. Mensen die de dynamiek tussen risicomanagement en bedrijfsvoering begrijpen, die voorbij de silo’s van een organisatie kijken, en die de toenemende verbanden tussen verschillende risicotypes begrijpen.
Het grootste risico is het niet nemen van risico’s. Om relevant en weerbaar te blijven in een snel veranderende omgeving moet risicomanagement meer op één lijn komen met de bedrijfsstrategie, -doelstelling en -waarden, in plaats van zich alleen maar te richten op voldoen aan wet- en regelgeving. Organisaties met een risicofunctie die de eerste lijn begeleidt in het verantwoord nemen van risico’s, zijn het meest succesvol. Op deze manier kan risicomanagement daadwerkelijk bijdragen aan strategische besluitvorming, met uw doelen, uw klanten en de samenleving in het achterhoofd.
Doe waar u het beste in bent en laat anderen de rest doen. Met kosteneffectiviteit hoog op de agenda is het steeds meer gebruikelijk om derde partijen in te zetten om activiteiten rondom risico en controle over te nemen. Vooral als het gaat om werkzaamheden die kunnen worden gerationaliseerd, gestandaardiseerd en geautomatiseerd. Uitbesteden aan een gespecialiseerd service delivery center binnen of buiten uw organisatie leidt niet alleen tot lagere kosten, maar vaak ook tot een hogere kwaliteit. De werkzaamheden overbrengen naar een kosteneffectieve locatie maakt nog meer geld vrij om te investeren in toekomstbestendig risicomanagement.
Om goed te kunnen reageren op alle toezichteisen voor risicobeheersing zijn de afgelopen jaren steeds meer controles toegevoegd. En bijna geen enkele is verwijderd. Het toenemend aantal procedures, lijstjes en aftekeningen hebben geleid tot een gecompliceerd, omslachtig en duur controleproces. U doet er goed aan hier met een frisse blik naar kijken. Ik denk dat je veel controls kunt versimpelen of zelfs kunt uitschakelen, zonder belangrijke risicomitigerende effecten te verliezen. Minder is misschien toch wel gewoon meer.
Data spreken voor zich als je bereid bent om ernaar te luisteren. Ik geloof dat risicomanagement op een meer voorspellende, anticiperende en proactieve manier moet opereren en alles uit nieuwe technologieën en data moet halen om betere inzichten te krijgen. Automatisering, geavanceerde analyses en kwantitatieve modellering maken een preciezere en tijdige risico-identificatie en -kwantificatie, en vervolgens ook -mitigatie mogelijk. Zo krijgt u grip op risico’s voortkomend uit menselijk gedrag, technologische en cyberdreigingen en de impact van klimaatverandering.
In de komende weken ga ik samen met enkele PwC-collega’s deze zeven uitdagende noten één voor één kraken, en toelichten hoe u uw risicotransformatie kunt waarmaken. Maar voordat we dit gaan doen, verken ik in mijn volgende blog hoe u kunt investeren in een transformatietraject, terwijl u tegelijkertijd onder druk staat om op korte termijn kosten te reduceren. Houd ons dus in de gaten.
Playback of this video is not currently available
Lees ook deel 1 van deze blogreeks:
De Covid-19-pandemie heeft het tempo waarin risicovolle gebeurtenissen plaatsvinden en zich verspreiden, verhoogd. Risico’s die eerst nog ver weg en onwaarschijnlijk leken, zijn de norm geworden. Om beter voorbereid te zijn op het onverwachte, is het belangrijk dat uw organisatie weerbaar is. Op die manier kunt u sneller en adequater reageren op veranderingen en nieuwe wet- en regelgeving.
Is uw aanpak voor risico’s geschikt voor de wereld van morgen? Wij ondersteunen u daar graag bij. Want morgen maak je samen_
Partner, Risk & Regulation lead, PwC Netherlands
Tel: +31 (0)61 308 76 37