Organisatierisico’s met draagvlak in de organisatie beheersen? Maak gebruik van risk voting!

In Control op organisatierisico’s,
een goede voorbereiding is het halve werk

Risicomanagement helpt organisaties om effectief haar organisatiedoelstellingen te behalen. De bedreigingen gerelateerd aan het behalen van deze organisatiedoelstellingen vormen de risico’s van de organisatie. Risico’s worden vaak benaderd als iets negatiefs. Maar een risico hoeft op zichzelf geen probleem te vormen voor uw organisatie. Het wordt pas een probleem indien het risico zich daadwerkelijk voordoet en helemaal als u dat risico niet in scope had. In het geval dat een organisatierisico zich voordoet, zal de mate van impact afhangen van de mate waarop u als organisatie voorbereid bent op dit risico. 

Om te bepalen welke risico’s de grootste bedreiging vormen, en dit ook een gedragen en integraal beeld van de organisatie te laten zijn, kan gebruik gemaakt worden van het risk voting principe. Hierbij wordt binnen een groep verantwoordelijken gevraagd om op individueel niveau aan te geven hoe acceptabel en wat de impact van een bepaald risico is in hun ogen. In dit artikel beschrijven wij hoe u risico’s kunt inschatten naar kans en impact en hoe het risk voting principe u hierbij kan helpen.

Lees hier meer over risicomanagement en hoe het KCD u hierbij helpt;

Van monoloog naar dialoog

Als u met uw organisatie In Control wilt zijn en blijven, dan is een geïntegreerde risicomanagementfunctie een essentieel onderdeel van de bedrijfsvoering. Hierbij ligt de nadruk op ‘geïntegreerd’. Bij veel organisaties wordt er wel aan risicomanagement gedaan, maar mist voor de risicomanagementfunctie draagvlak binnen de organisatie. Het is vaak alleen de risicomanager die zich hier om bekommert. De business (eerstelijns) is vaak minder betrokken. Om risicomanagement succesvol te laten zijn is het essentieel om de business te betrekken. Zij kunnen vaak het beste risico’s inschatten. Het goed integraal in kaart brengen van de risico’s binnen de organisatie voorkomt problemen op de lange termijn en brengt een stuk minder werk met zich mee dan het continu blussen van brandjes. 

Risicocultuur

Voor een risicobewuste organisatie is een passende risicocultuur vereist. De realisatie van een risicobewuste organisatiecultuur in een organisatie vergt tijd en inspanning. De eerste stappen in een risicocultuur worden meestal gezet in het kader van compliance. Er worden risico’s en beheersmaatregelen gedefinieerd om aan wet- en regelgeving te voldoen. De grote uitdaging hier is om niet alleen vanuit compliance te handelen. Maar risicomanagement te zien als een kans om problemen binnen de business en haar processen te voorkomen. Met een goede voorbereiding is het mogelijk de gevolgen van een risico te mitigeren en zo de kwaliteit te verhogen. Zodra deze gedachtegang gaat leven, zal een risicocultuur ontstaan waarbij risicomanagement niet langer als een verplichte extra activiteit wordt gezien, maar risicogestuurd werken de nieuwe norm is. 

Risk voting

Zodra een risicobewuste organisatiecultuur gaat leven in een organisatie kan de risicomanager samen met key stakeholders en mensen uit de lijn periodiek risicoanalyses uitvoeren. Hierbij worden de belangrijkste risico’s, die invloed op uw doelstellingen kunnen hebben, op organisatie of (primair) proces niveau in kaart gebracht. Middels een heat map wordt integraal inzage geboden in welke risico’s de grootste bedreiging vormen voor uw organisatie en welke u dus wilt beheersen. Op deze risico’s worden beheersmaatregelen gedefinieerd om deze risico’s te voorkomen of te mitigeren. 

Zoals gezegd kan in deze fase het risk voting principe gebruikt worden, om te bepalen welke risico’s de grootste bedreiging vormen en dit beeld niet van één persoon afhankelijk te laten zijn, maar op te bouwen uit een gedragen, integraal beeld. Hierbij wordt binnen een groep verantwoordelijken gevraagd om op individueel niveau aan te geven hoe acceptabel een bepaald risico is in hun ogen aangevuld door de te verwachten impact. Iedere deelnemer kan zijn/haar eigen onderbouwing geven en registreren. Op basis van de verschillende scores en onderbouwingen kan het gesprek met elkaar worden aangegaan om zo een gewogen score te definiëren. Zodra de gewogen score tegen de risicobereidheid van de organisatie wordt afgezet, wordt duidelijk of er beheersmaatregelen getroffen moeten worden om binnen de vastgestelde risk appetite (risicobereidheid van de organisatie) te blijven. 

Hoe het Key Control Dashboard u kan helpen?
De Key Control Dashboard GRC en ISMS risicomanagement software stelt u in staat om middels dit principe de risk appetite van uw organisatie te beheersen. U verkrijgt een risico heatmap voor uw organisatie, processen en projecten, maar kunt uw risico’s ook in kaart brengen voor bijvoorbeeld uw assets en leveranciers. Daarbij draagt onze risk voting functionaliteit bij om een integraal gedragen beeld te realiseren en worden workflows in kaart gebracht om benoemde beheersmaatregelen effectief te controleren en te beheersen. Middels integrale dashboards kunt u monitoren op en rapporteren over de beheersing van uw risico’s. Al vele jaren ondersteunen wij diverse ministeries, ZBO’s, corporaties, financials, provincies en gemeenten met onze software om een effectief risicomanagement proces te borgen. Wij erkennen de uitdagingen op het gebied van gedragen risicomanagement en het realiseren van een geïntegreerde risicobenadering binnen uw organisatie. 

Meer informatie?

Wilt u ook het risk voting principe gaan inzetten in uw organisatie? Laat het ons weten! Wij helpen u graag bij het zetten van de eerste stappen en zorgen dat u op effectieve wijze aantoonbaar In Control bent en blijft op uw risico’s.

Demo Key Control Dashboard aanvragen>

Auteur: Stefan Lisapaly werkt als managing consultant bij het Key Control Dashboard en is verantwoordelijk voor het opzetten en (technisch) ontwikkelen van nieuwe functionaliteiten in de applicatie.