Govert van Koningsveld
Govert van Koningsveld
Associate partner bij Solid Professionals

Integraal risicomanagement (of Enterprise Risk Management hierna ERM) is een term die al jaren wordt gehanteerd. Deze holistische kijk op risicomanagement geeft organisaties handvatten voor een gedegen besturing.

Door COSO is een ERM raamwerk ontwikkeld, dat door Risk Management afdelingen binnen organisaties wordt gehanteerd. Dit raamwerk is recentelijk ingrijpend herzien en benadrukt het belang van strategische risico’s.

De praktijk

Wat in de praktijk opvalt is dat het ERM raamwerk gericht wordt op de risico’s van de operationele besturing van de organisatie. Het ERM raamwerk wordt ingericht en vanuit de risk assessments wordt beoordeeld welke risico’s een bedreiging vormen voor de operationele activiteiten en daarmee op het behalen van de doelstellingen.

Vervolgens worden de bijbehorende controls ingericht die door het lijnmanagement worden uitgevoerd. De 2e lijn risk monitort de uitvoering en rapporteert over eventuele tekortkomingen in de uitvoering dan wel de beheersing.

Indien nog een 3e lijn, in de vorm van internal audit, aanwezig is dan geeft dit extra zekerheid aan het management over de beheersing van de risico’s en daarmee op de realisatie van de doelstellingen. Hiermee lijkt het toepassen van ERM geslaagd.

Strategie ook onderhevig aan risico’s

Op deze manier wordt voorbij gegaan aan de risico’s die de strategie beïnvloeden. In de strategie wordt aangegeven op welke manier je de visie en missie wilt realiseren en de daarbij behorende doelstellingen. Het is echter zo dat de gekozen strategie eveneens onderhevig is aan risico’s.

De General Data Protection Regulation (hierna GDPR) die per mei 2018 van kracht wordt is zo een risico. Deze wet is gericht op het versterken en uniformeren van de gegevensbescherming van EU burgers alsmede over het verstrekken van persoonsdata buiten de EU.

Stel je hebt de strategische keuze gemaakt om door middel van verdere digitalisering je missie als virtuele organisatie vorm te geven. Bij het operationaliseren van de strategie is de inzet van (persoons)data cruciaal. De invoering van de GDPR is een risico voor deze strategische keuze.

Samenvattend

In de praktijk zien wij organisaties het ERM raamwerk implementeren, waarbij de gekozen strategie als gegeven wordt gehanteerd, terwijl die eveneens onderhevig is aan risico’s.

Het is onze taak om de klanten te wijzen op het belang van een juiste toepassing van het ERM raamwerk, opdat ook zij de conclusie trekken dat GDPR en strategisch risicomanagement zeker iets met elkaar te maken hebben. En daarmee dus ook in staat zijn tijdig maatregelen te treffen, om zo de doelstellingen te realiseren.