Functionele cookies

Wij plaatsen functionele cookies om deze website naar behoren te laten functioneren en analytische cookies waarmee wij het gebruik van de website kunnen meten. Deze cookies gebruiken geen persoonsgegevens.

Gepersonaliseerde informatie

Hiermee ontvangt u gepersonaliseerde informatie op onze website die wordt afgestemd op uw internetgedrag.

Veel organisaties maken fraaie rapportages. De één ziet er nog mooier uit dan de ander, maar vaak is de basis helemaal niet op orde. Hierdoor wordt incomplete of onjuiste informatie weergegeven of komt de rapportage op een inefficiënte manier tot stand. Pas als de basis van je bedrijfsvoering op orde is, heb je de middelen in handen om tot de informatie te komen die effectieve besturing van je organisatie écht ondersteunt.

In ons vorig artikel kwamen de waarde en inrichting van AO/IC aan bod. In dit artikel lees je meer over de relatie tussen AO/IC en risk & control in een organisatie: in welke mate zijn risico’s acceptabel? Wat is de kans dat risico’s zich voordoen? Welke beheersmaatregelen kan en wil een organisatie inrichten om risico’s het hoofd te bieden?  Lees nu hoe je de verbinding kunt maken tussen AO/IC en geïdentificeerde risico’s met passende beheersmaatregelen, om zo de continuïteit van de bedrijfsprocessen te garanderen.

AO/IC, risico’s & beheersmaatregelen

Een goed ingerichte AO/IC behoudt waarde als deze continu wordt gemonitord en aangepast waar nodig. Denk hierbij aan veranderende omgevingsfactoren of organisatorische wijzigingen. Bovendien kent ieder proces grote en minder grote risico’s waar een onderneming extra alert op moet zijn. Zodra een risico met impact zich voordoet, is het van belang dat je snel en effectief kunt bijsturen om schade te beperken of te voorkomen.

Alleen met een adequaat ingerichte AO/IC is een onderneming in staat een goed beeld te krijgen van de risico’s, deze vervolgens te ‘wegen’ en de juiste (aanvullende) beheersmaatregelen te definiëren om de risico’s (verder) te voorkomen. Voor iedere organisatie is minimaal van belang dat:

  • de belangrijkste risico’s voor de organisatie zijn geïdentificeerd;
  • beheersmaatregelen zijn bepaald (in relatie tot de risicobereidheid);
  • periodieke toetsing (audit) plaatsvindt op deze risico’s en beheersmaatregelen, om te beoordelen in hoeverre deze nog aansluit bij de bedrijfsvoering en (compliant is met) de omgeving.

Risico’s kunnen een bedreiging zijn, maar bieden ook kansen. Als organisatie heb je baat bij het inzichtelijk hebben van je bedrijfsrisico’s, zodat je de juiste maatregelen snel en effectief kunt nemen op het moment dat een risico zich voordoet. Een goed ingerichte AO/IC biedt de handvatten om tot een volledige en correcte lijst met risico’s te komen die daadwerkelijk impact kunnen hebben.

Inrichting en risicobereidheid

Welke beheersmaatregelen moet je inrichten om risico’s te weerhouden zodra ze zich voordoen? We hebben hier geen standaard antwoord op. Deze maatregelen zijn voor elk bedrijf verschillend en hangen af van:

  • de kans dat een risico zich voordoet;
  • de impact van het risico;
  • de bereidheid om met een risico te worden geconfronteerd.

Risico-averse ondernemingen stoppen relatief veel middelen en energie in het voorkomen van risico’s, ook als impact en kans laag zijn. De kans op een stabiele bedrijfsvoering is in dit geval groot, maar de kosten hiervoor zijn ook hoog.

Daarnaast bieden risico’s kansen wanneer je flexibel kunt inspelen op een veranderende omgeving. Organisaties die veel investeren in beheersmaatregelen, zijn in de regel minder wendbaar en daardoor niet in staat dergelijke kansen te grijpen. Organisaties met een hoge risicobereidheid zijn wendbaarder en besteden relatief weinig middelen aan het mitigeren van risico’s. Zij zijn wel veel gevoeliger voor fluctuaties in hun resultaten en kennen meer onzekerheden in hun bedrijfsvoering.

Geïdentificeerde risico’s en bijbehorende risicobereidheid kun je koppelen aan de doelstellingen van jouw organisatie. Door deze te vertalen naar alle geledingen van je organisatie, ontstaat een totaaloverzicht van risico’s en beheersmaatregelen. Adequate borging in de PDCA-cyclus van de organisatie leidt tot continuïteit van processen en werkzaamheden. Onder dit proces verstaan we de periodieke toetsing op:

  • de actualiteit en kwaliteit van de risico’s;
  • de gekwalificeerde en gekwantificeerde risicobereidheid;
  • de adaptatie van de risico’s op de bedrijfsprocessen;
  • de actuele doelen van de organisatie.

Een specifieke functie of afdeling die is ingericht ten behoeve van het vormgeven, implementeren en toetsen van risico’s en beheersmaatregelen versterkt dit proces. Daarmee verschuiven de ontwikkeling en borging van risico’s en beheersmaatregelen van incidenteel naar structureel.

Hoe pak je dit aan?

Stel jezelf vragen bij het starten van een AO/IC- en risk-traject als: ‘Wat is de aanleiding?’ ‘Wat wil je bereiken?’ Daarnaast is het essentieel om vast te stellen of voldoende draagvlak aanwezig is voor een dergelijk traject: de organisatie erkent de problemen en is in staat om te veranderen.

Door middel van een quick scan kun je de huidige stand van zaken identificeren. Breng zowel de status van de AO/IC als de relatie-integratie met de risico’s en beheersmaatregelen in kaart. Hiervoor kun je het volwassenheidsmodel hanteren, waarbij de mate van volwassenheid bepalend is voor het advies over de verdere aanpak.

Neem gerust contact met me op!

Ik sta in mijn kracht als ik gezamenlijk met een team een helder doel realiseer door transparant en gericht te werk te gaan. Ik maak graag verbinding met mensen door tijd en energie te steken in het bouwen van relaties. Toegevoegde waarde lever ik door het verhaal achter de cijfers te vertellen: van statische getallen naar story telling!

Neem contact op Sander Berghuis Finance Consultant
06 1658 21 90
Gerelateerde artikelen
Alle artikelen