Risicomanagement

4.3.1 Inleiding

Uit een onderzoek uitgevoerd door PKF en CFDG (2007) onder Britse FWI’s kwam naar voren dat het gebruik van risico managementsystemen blijft toenemen bij FWI’s. Meer dan 95% van respondenten gaf aan een risico managementsysteem te gebruiken voor

groeistrategieën, waarderen van projecten, investeringsbeslissingen en beslissingen ten aanzien van het reservebeleid. Er zijn echter nog maar weinig FWI’s in Engeland die een risico management systeem volledig hebben geïmplementeerd in de organisatie. Om duidelijk te krijgen wat wordt verstaan onder een risicomanagement systeem, wordt in paragraaf 4.3.2 een algemeen beeld gegeven van wat een risicomanagement systeem is. Vervolgens worden in paragraaf 4.3.3 specifiek voor FWI’s key elementen genoemd die toepasbaar zijn voor het risicomanagement systeem.

4.3.2 Het risicomanagement systeem

Volgens de Groot (2006) dienen, voor een goede corporate governance, organisaties zich bewust zijn van de risico’s waaraan zij onderhevig zijn en daarover rapporteren. Zoals in paragraaf 4.2 beschreven kunnen risico’s worden ingedeeld in verschillende categorieën. Op basis van deze indeling kan voor een organisatie een risicoprofiel worden geschetst. De verschillende risicocategorieën, financiële risico’s, operationele risico’s, externe risico’s, beheersingsrisico’s en compliance risico’s, beïnvloeden elkaar. Daarom is het van belang dat risicomanagement intergraal risicomanagement is.

COSO (2004) verstaat onder integraal risico management een proces dat wordt beïnvloed door het bestuur van de organisatie, haar management en ander personeel, dat is toegepast bij

het bepalen van de strategie en door de gehele organisatie is geïmplementeerd. Het risicomanagement systeem is ontworpen om mogelijke gebeurtenissen die de organisatie kunnen beïnvloeden te identificeren en om risico’s zo te managen dat ze overeenkomen met het toegestane risiconiveau. Op deze manier moet er redelijke zekerheid gegeven kunnen worden ten aanzien van het behalen van de doelstellingen.

Hillson (2002) legt bij het definiëren van risicomanagement, naast het minimaliseren van de kans en consequenties van negatieve gebeurtenissen, ook de nadruk op het maximaliseren van de kans en consequenties van positieve gebeurtenissen die invloed kunnen hebben op de doelstelling. Risicomanagement is een systematisch proces van identificeren, analyseren en reageren op risico’s. Het doel van risicomanagement is om het een organisatie mogelijk te maken haar doelen te bevorderen in de meest directe, efficiënte en effectieve manier (Williams e.a., 1995).

De Groot (2006) geeft de volgens hem belangrijkste onderdelen van een risico

managementsysteem. Om te beginnen is het van belang dat de risico’s waaraan de organisatie en haar activiteiten bloot staan, worden onderkend en in kaart gebracht. Dit is de risico-onderkenning (risk identification) en risicobeschrijving (risk description). Vervolgens moeten de geconstateerde risico’s beoordeeld worden (risk assessment). Hierbij gaat het voornamelijk om de vraag hoe groot de kans is dat een risico zal voorkomen en hoe groot de impact van het risico zal zijn. Op de risico’s die voldoende ernstig zijn moet de organisatie adequate reacties formuleren (risk responding). Tenslotte moet er een risicocontrole plaatsvinden die waarborgt dat de reacties van de organisatie op geconstateerde risico’s ook daadwerkelijk worden geïmplementeerd. De onderdelen risico-onderkenning, risicobeschrijving, risicobeoordeling en risicoreactie vallen volgens de Groot binnen de term risicobeheersing uit best practice bepaling II.1.3 van de Code Tabaksblat. Risicobeheersing en het onderdeel risicocontrole samen kunnen dan als risicomanagement worden aangeduid.

4.3.3 Risicomanagement voor fondsenwervende instellingen

Volgens Herman (2002) nemen veel non-profit organisaties relatief veel risico. Voor het beheersen van deze risico’s is een risicomanagement systeem extra van belang. Herman (2002 geeft aan dat risicomanagement in de non-profit sector vrij ingewikkeld is. De

Commission (2007) bij de bestuurders, maar zij kunnen dit uitvoeren wel delegeren naar de managers. De bestuurders moeten uiteindelijk met redelijk vertrouwen kunnen zeggen dat:

- De risico-onderkenning, risicobeoordeling en management van risico’s is gekoppeld aan het bereiken van de doelstelling van de FWI;

- Het proces alle risicogebieden dekt en primair is gericht op de grote risico’s; - Het proces een risicoprofiel probeert te maken dat het acceptabele risiconiveau

weergeeft;

- De resultaten van de risico-onderkenning, evaluatie en management worden gereviewed en worden overwogen;

- Risico management een voortdurend en ingewerkt systeem is in het management en in de operationele procedures.

Er zijn verschillende modellen die gebruikt kunnen worden voor het identificeren en managen van risico’s. Ieder van deze heeft een aantal key elementen die essentieel zijn voor het

begrijpen van risico management. De key elementen die een FWI volgens de Charity Commission (2007) kan toepassen zijn:

o Een risico beleid vaststellen. Om een risico beleid vast te stellen moet de risico tolerantie

en een risico profiel worden bepaald. Hierbij gaat het er om wat voor risico nog wel wordt geaccepteerd en wat niet. De bestuurders moeten duidelijk aan de managers

communiceren wat de grenzen zijn, zodat duidelijk is welke risico’s geaccepteerd kunnen worden en welke risico’s niet acceptabel zijn;

o Identificeren van risico’s en controle maatregelen. Iedereen in de gehele organisatie moet

betrokken worden bij het identificeren van de risico’s. Over het algemeen kunnen risico’s worden gezocht in de categorieën die in paragraaf 3.3 zijn genoemd;

o Risico’s vaststellen. De geïdentificeerde risico’s moeten in perspectief worden gebracht in

termen van kans van voorkomen en impact. Op deze manier kan bepaald worden welke risico’s zeer serieus moeten worden genomen (grote impact en grote kans van voorkomen) en welke risico’s het minst serieus genomen kunnen worden (kleine impact en kleine kans van voorkomen). Grote risico’s zijn die risico’s die een grote kans hebben zich voor te doen en een behoorlijke impact kunnen hebben op de operationele werkzaamheden, het behalen van doelstellingen of het imago van het goede doel;

o Evalueren welke acties genomen moeten worden. De volgende acties zijn mogelijk:

- Vermijden van het risico;

- Risico delen met anderen;

- De blootstelling van de instelling aan het risico verminderen;

- Risico verminderen of laten verdwijnen door het invoeren of verbeteren van controle procedures;

- Tegen het risico een verzekering afsluiten;

- Het risico vanwege lage kans van voorkomen en impact alleen ieder jaar reviewen. Het doel van risicomanagement is het verminderen van het merendeel van de

geïdentificeerde risico’s tot een acceptabel niveau van risico’s die overblijven nadat geschikte maatregelen zijn genomen. Bestuurders moeten bepalen in hoeverre de overgebleven risico’s acceptabel zijn;

o Periodieke monitoring en beoordeling. Om er zeker van te zijn dat nieuwe risico’s

geïdentificeerd worden en om veranderingen van oude risico’s vast te stellen is het nodige dat er periodieke monitoring plaatsvindt. Risicomanagement moet daarom ook worden gezien als een proces.

4.3.4 Samenvatting

Risicomanagement is een systematisch proces van identificeren, analyseren en reageren op risico’s. Door dit proces kan er een redelijke mate van zekerheid gegeven worden dat de doelstellingen worden behaald. Het is belangrijk dat risicomanagement door de gehele organisatie is geïmplementeerd. De belangrijkste onderdelen van een risicomanagement systeem zijn risico onderkenning, risicobeschrijving, risico beoordeling, formuleren van adequate reacties en risicocontrole. Voor FWI’s zijn de belangrijkste onderdelen voor

risicomanagement: een risico beleid vaststellen, risico’s en controle maatregelen identificeren, risico’s vaststellen, evalueren welke acties genomen moeten worden en periodieke monitoring en beoordeling.