Risicobeoordelingen worden van oudsher geplaagd door subjectiviteit, wat betekent dat men er eenvoudigweg niet op kan vertrouwen dat ze hun doel bereiken. Subjectiviteit verhindert dat de beoordelingen over bedrijfssilo’s heen kunnen worden gebruikt en maakt verificatie door een audit of nalevingsbeoordeling onmogelijk.
Gemeenschappelijke normen en aannames maken de verzamelde informatie in de hele organisatie objectief, kwantificeerbaar en vergelijkbaar, waardoor betere analyse, probleemoplossing en escalatie van problemen mogelijk worden wanneer dat nodig is.
Download ons gratis risicobeoordelingssjabloon met best practices om vandaag nog aan de slag te gaan.
Gratis risicobeoordelingssjabloon: Overzicht
Onze basis risicobeoordelingssjabloon is ontworpen om u te helpen de eerste stappen te zetten in het standaardiseren van uw processen. Het zal u helpen bepalen welke gegevens u moet verzamelen van uw bedrijfsgebieden, belangrijke termen definiëren, en voorgestelde antwoordselecties schetsen.
Het genereert ook automatisch risico heat maps op basis van uw gegevens, en bevat stap-voor-stap instructies voor gebruik.
Door gebruik te maken van ons gratis risicobeoordelingssjabloon zult u goed geplaatst zijn om risico’s in uw organisatie beter te beheren.
Waarom risico’s beoordelen
Risicobeoordelingen zijn een essentieel onderdeel van elk succesvol risicobeheerprogramma. Hoe eenvoudig of complex het raamwerk ook is, gestandaardiseerde beoordelingsresultaten dienen als fundament waarop de rest van uw risicomanagementverantwoordelijkheden, mitigatieactiviteiten en monitoringcontroles worden gebouwd.
Hoe ons sjabloon voor risicobeoordeling u van dienst kan zijn
Succesvolle risicobeoordelingen van ondernemingen kunnen een krachtig hulpmiddel zijn voor strategische besluitvorming op senior niveau door bedrijfsactiviteiten te koppelen aan doelstellingen en de risico’s te identificeren die deze strategische doelstellingen dreigen te doen ontsporen. Wanneer risicobeoordelingen worden uitgevoerd op basis van dezelfde normen en aannames, kunnen ze worden vergeleken en cross-functioneel worden gebruikt voor nauwkeuriger en bruikbaarder risicomanagement.
Het voltooien van een risicobeoordeling: Stap voor stap
Hieronder geven we stap voor stap aan wat er nodig is om een risicobeoordeling te voltooien, zowel bij de gratis download van onze risicobeoordeling template als verder binnen de LogicManager risicomanagement oplossing.
Eenvormige numerieke schaal – LogicManager’s score is gebaseerd op een schaal van 1 tot 10, waarbij 10 de meest ongunstige gevolgen heeft voor de organisatie, en is opgesplitst in 5 emmers om een hoog en laag van elke emmer te bieden. (1-2, 3-4, 5-6, enz.). Het gebruik van een schaal van 10 maakt het rekenen gemakkelijk en het hebben van slechts 5 emmers geeft mensen die beoordelingen doen flexibiliteit om de hoogste of laagste van de 5 emmers te selecteren.
Objectieve evaluatiecriteria – Vaak is de 9 van de een de 7 van de ander. De risicoanalysesjabloon van LogicManager biedt een duidelijke definitie van wat elk van de 5 emmers is in ondubbelzinnige termen. Er zijn meerdere manieren om ernst uit te drukken, zowel kwalitatief als kwantitatief, zoals financieel, juridisch, strategisch, enz. Elk kwalitatief criterium kan een score krijgen om kwantitatief te worden en vergelijkbaar binnen de onderneming. Alle normen kunnen worden vergeleken, inclusief wet- en regelgeving en bedrijfsbeleid en -procedures, met de huidige praktijken.
Gekalibreerde beoordelingscriteria – Binnen LogicManager wordt gebruik gemaakt van een verscheidenheid aan risicobeoordelingscriteria, die allemaal een schaal van 1-10 hebben en gekalibreerd zijn, wat betekent dat de beschrijving van een 7, zelfs als deze in verschillende beoordelingscriteria anders wordt beschreven, dezelfde betekenis heeft wat betreft de ernst. Dit maakt het mogelijk om risicobeoordelingen samen te voegen en zo een holistisch beeld van risico’s te krijgen.
Universele business elementen – Risicobeoordelingen in LogicManager zijn onderverdeeld in basiselementen zoals bedrijfsprocessen en resources, die gestandaardiseerd zijn over bedrijfssilo’s, of business units. Met middelen bedoelen we mensen en leveranciers en de fysieke activa, risicobeoordeling softwaretoepassingen, diensten en data repositories gebruikt in de organisatie. Door de kenmerken van de verkopers afzonderlijk te beoordelen van de producten en diensten die zij verkopen, kunnen risicobeoordelingen worden opgesteld die gemakkelijk kunnen worden geïdentificeerd en objectief blijven wanneer zich veranderingen voordoen, zoals fusies en overnames of de introductie van nieuwe producten, enz. Door complexe, onderling verbonden informatie op te splitsen in bronnen als basisbouwstenen, biedt LogicManager’s Risk Taxonomy Framework een structuur voor informatie en eigenaarschap. Dit stelt iedereen in staat om te begrijpen, bij te dragen en verantwoordelijkheid te nemen voor change management.
Sjablonen voor risicobeoordeling koppelen – De Taxonomietechnologie van LogicManager koppelt elementen aan elkaar, wat betekent dat u met een simpele drag-and-drop leveranciers kunt koppelen aan de producten en diensten die zij leveren en aan de bedrijfsprocessen die daarvan afhankelijk zijn. Koppel elk financieel element aan de bedrijfsprocessen die eraan bijdragen. Koppel alle intern ontwikkelde applicaties en data repositories aan de bedrijfsprocessen die ervan afhankelijk zijn om hun verantwoordelijkheden uit te voeren. Door deze elementen aan elkaar te koppelen ontstaat een holistisch beeld. Een leverancier kan bijvoorbeeld meerdere producten en diensten van verschillende kwaliteit en met verschillende risico’s aanbieden. Door de producten en diensten afzonderlijk te beoordelen en deze risicobeoordelingen te koppelen aan het leveranciersprofiel ontstaat een veel duidelijker beeld van de combinatie van producten, diensten en leveranciers die door een proceseigenaar worden gebruikt.
Common resource bibliotheek – LogicManager’s Taxonomy biedt een gemeenschappelijke resource bibliotheek. Het gebruik van informatie van één gemeenschappelijke plaats maakt het mogelijk om dubbel werk drastisch te verminderen, met name het verzamelen en beheren van informatie, voor zowel u als de proceseigenaren met wie u samenwerkt. De bibliotheek helpt u ook te weten wie er nog meer verbonden is met dezelfde informatie. De sleutel is om uit te vinden hoe al deze bronnen aan elkaar gerelateerd zijn en welke combinatie van deze bronnen het meest belangrijk is voor kritieke gebieden van uw bedrijf.
Versterk het verzamelen van gegevens over bronnen – Met de risicobeoordelingssjabloon van LogicManager voor Excel kunt u aanpasbare gegevensvelden maken voor elk van deze bronelementen, zodat u informatie over silo’s heen kunt verzamelen en gebieden kunt identificeren waar controles en tests kunnen worden geconsolideerd. Verschillende gebieden in de organisatie verzamelen dezelfde informatie voor middelen, ze weten het alleen niet. Bijvoorbeeld, crediteurenadministratie, contractbeheer, leveranciersbeheer, bedrijfscontinuïteit en IT verzamelen allemaal overlappende informatie over uw leveranciers. Door te begrijpen welke informatie wordt verzameld door deze gebieden voor elke resource, kunt u eenvoudig risicobeoordelingen en datavelden rationaliseren en consolideren.
Holistische, nauwkeurige ERM-rapporten – U kunt analyseren, rapporteren en beslissingen nemen met inachtneming van elke relatie met betrekking tot de resource. LogicManager’s business risk assessment template stelt organisaties in staat om een Overall Risk Score te verkrijgen voor elke resource, waarbij expertise over de gehele organisatie wordt gebundeld om tot één geaggregeerd cijfer voor die resource te komen. Alle complexiteit met betrekking tot een resource, zoals een leverancier, wordt vereenvoudigd, maar ondersteund door een gedetailleerd spoor van de objectieve risicobeoordelingen voor alle andere zaken met betrekking tot de resource, zoals het bedrijfsproces, financiële elementen, fysieke activa, toepassingen, gegevens en mensen.
Taken & workflow – In LogicManager kunt u voor elk resource-element per e-mail taakmeldingen versturen voor het scoren van risicobeoordelingen of beoordelingen, documenten zoals contracten bijvoegen, goedkeuringsworkflows starten, aangepaste datavelden verzamelen, historische scores bekijken en nog veel meer.
Wanneer de relaties tussen de resources en de bedrijfsprocessen die er gebruik van maken expliciet worden, kan de organisatie de business impact bepalen. Hoe beter het begrip van de business impact, hoe effectiever de governance activiteit zal zijn. De verbinding met een bedrijfsproces biedt een directe verbinding met de materiedeskundige voor de activiteit die gebruik maakt van de middelen en die de kriticiteit van die middelen voor hun activiteit kent.
Het resultaat is één samenvattende totaalscore voor elk bedrijfsproces, waarin de individuele scores voor elke middelen- en financiële post die aan dat proces is gekoppeld, en de processcore zelf zijn gecombineerd. Met deze informatie, zoals vastgelegd in ons risicobeoordelingsrapporttemplate, kunt u prioriteiten stellen en uw ERM-inspanningen richten.
Het gebruik van een risicobeoordelingssjabloon voor het prioriteren van bedrijfsmaatregelen
Het aantal bedrijfsmaatregelen binnen organisaties neemt gewoonlijk toe. Maatregelen worden vaak toegevoegd op basis van reactie op verliesgebeurtenissen die al hebben plaatsgevonden. Zou het niet waardevol zijn om zich te kunnen richten op toekomstgerichte maatregelen? In de meeste organisaties zijn deze preventieve, pro-actieve maatregelen niet te onderscheiden van reactieve maatregelen, omdat de metingen niet formeel zijn gekoppeld aan verplichtingen of risico’s.
Wat als een risico of activiteit verandert? Organisaties kunnen niet weten hoe en of deze veranderingen hun risicometingen zullen beïnvloeden. Risicobeoordelingen en het koppelen van risico’s aan activiteiten stelt organisaties in staat prioriteiten te stellen voor de activiteiten die moeten worden gemonitord. Door middel van driemaandelijkse (of zelfs jaarlijkse) beoordelingen van bedrijfsrisico’s kunnen organisaties verhoogde dreigingsniveaus detecteren en nieuwe opkomende risico’s identificeren voordat ze werkelijkheid worden en uw risicometrische gegevens buiten tolerantie brengen.
Bedrijfsrisicometrische gegevens zijn belangrijk omdat u niet kunt verbeteren wat u niet kunt meten. Een groot aantal niet-verbonden doelstellingen is echter problematisch omdat:
- Metingsmoeheid – het personeel kan veel maatregelen gewoon negeren vanwege een gebrek aan tijd om ze te beoordelen.
- Verouderde maatregelen – in een veranderende omgeving is er geen effectieve manier om te weten wanneer maatregelen niet langer van toepassing zijn.
- Gebrek aan prioritering – het kiezen van de maatregelen om op te focussen gebeurt waarschijnlijk op een ad hoc basis en op de grillen van het huidige personeel.
- Gebrek aan continuïteit – veranderingen in de organisatie of de ontwikkeling van nieuwe bedrijfsonderdelen kunnen leiden tot nieuwe maatregelen terwijl bestaande maatregelen effectiever kunnen zijn.
- Gebrek aan coördinatie – vaak zijn maatregelen van toepassing op meerdere risico’s of verplichtingen over functionele lijnen heen. Het onvermogen om maatregelen formeel te koppelen aan risico’s of verplichtingen bevordert de interfunctionele coördinatie niet, wat resulteert in bedrijfssilo’s en dubbel werk.
- Verspilde middelen – De hoeveelheid beschikbare middelen om bedrijfsdoelstellingen te verwezenlijken en risico’s te beperken is eindig. Het personeel zal vaak doorgaan met het beheren van verouderde of onbelangrijke maatregelen in plaats van het afstemmen op de huidige eisen.
- Weerstand tegen verandering – Een moeilijkheid om ervaringen uit het verleden toe te passen op een veranderende zakelijke omgeving die resulteert in een neiging om “het wiel opnieuw uit te vinden.”
Veel van de noodzakelijke informatie bestaat vandaag de dag in organisaties; het ontbrekende stuk is het formaliseren van deze kritische verbindingen. Enterprise Risk Management (ERM) software heeft de functionaliteit om risico’s en commitments te identificeren; deze te beoordelen op basis van waarschijnlijkheid, impact en zekerheid; te evalueren of actie nodig is; indien nodig mitigatie of business building activiteiten te bedenken, metingen te specificeren en vast te leggen om de effectiviteit te volgen, en tenslotte de verbinding tussen al deze activiteiten te formaliseren.
Het verbinden van de metingen met de risicobeperkende activiteiten en business initiatief gegevens en vervolgens terug naar het onderliggende risico en commitments levert de volgende voordelen op:
- ERM Rapporten: Expliciete prioritering van maatregelen op basis van een risico/opbrengst index en een dashboard presentatie op het heat map dashboard in LogicManager.
- Operationeel Risico Management: Real-time trending van maatregelen op een continue basis met maatregelconsolidatie gebruikt om managementaandacht te richten op probleemcondities (buiten tolerantie).
- Performance Management: Faciliteer nieuwe bedrijfsinitiatieven bedrijfsmetingen geprioriteerd op risico’s of zakelijke verplichtingen.
- Resource Allocation: Effectiever gebruik van schaarse middelen.
De sleutel is het werken met de functionele managers om de verbindingen te maken. Het directe voordeel is dat maatregelen worden geïdentificeerd die geen verband houden met een risico of initiatief en dat wordt bepaald of ze moeten worden geëlimineerd. Als de verbanden eenmaal zijn gelegd, kunt u de managementtools in uw Enterprise Risk Management-software voortdurend gebruiken om het gebruik van bedrijfsmaatregelen binnen uw organisatie te verbeteren.