Auteur: Manu Steens
Deze methode, sluit aan bij de COSO-ERM-aanpak als het gaat om centraal stellen van de doelstellingen van de onderneming en het entiteitsbreed identificeren van zowel statische als dynamische risico’s.
De structuur is een matrix die wordt vorm gegeven door enerzijds de doelstellingen (Strategische en operationele doelstellingen) en anderzijds mogelijke interne en externe factoren, de quick scan.
Deze matrix-aanpak bevordert de volledigheid van de risico-identificatie en geeft een structuur voor de ordening van de risico’s.
Meer bepaald ziet de risicomatrix er uit zoals hieronder weergegeven:
| volgnr | Aspecten Quick Scan bevindingen | Risico’s: incident, kans, schadeoorzaak en schadegevolg vermelden | ||||||||
| Strategische doelstellingen | SD1 | SD2 | … | |||||||
| Operationele doelstellingen | OD1-1 | OD1-2 | … | OD2-1 | OD2-2 | … | … | … | … | |
| 1 | Procesmanagement | |||||||||
| 2 | Belanghebbendenmanagement | |||||||||
| 3 | Monitoring | |||||||||
| 4 | Organisatiestructuur | |||||||||
| 5 | Human Resources Management | |||||||||
| 6 | Organisatiecultuur | |||||||||
| 7 | Informatie en communicatie | |||||||||
| 8 | Financieel management | |||||||||
| 9 | Facilitymanagement | |||||||||
| 10 | Informatie en communicatietechnologie | |||||||||
| 11 | Externe factoren | |||||||||
Door deze matrix in te vullen beantwoordt de CRO drie essentiële vragen:
- Welke doelstellingen van de entiteit zijn onderwerp voor onderzoek?
- Welke onderdelen / aspecten van de organisatie zijn onderwerp voor onderzoek?
- In welke risico’s wordt nader inzicht gewenst?
In een eerste stap wordt aan de hand van een quick scan globaal nagegaan aan welke potentiële risico’s de entiteit bloot staat.
Als tweede stap zal de CRO op systematische wijze moeten nagaan welke van de in de quick scan onderkende risicoprobleemvelden in zijn bedrijf voorkomen en welke een nader onderzoek vergen. Daarvoor moet hij de desbetreffende interne en externe deskundigen en het management team bevragen.
Het uitwerken van een quick scan kan doorgaans door een bevraging te doen bij de deskundigen, wat zij globaal zien als realistische risico’s ivm de aspecten van de leidraad. Dit kan verder aangevuld worden met een deskresearch waarbij gebruik gemaakt wordt van jaarverslag, audit rapporten, risico-inventarissen van arbeidsveiligheid, brandpreventieplannen, continuïteitsplannen, incidentenregistraties, schadehistoriek inclusief registratie van bijna schaden.
Nadien wordt de matrix “gewogen” tav de quick scan in stap 2, waarbij duidelijk gekozen moet worden welke risico’s vat hebben op welke strategische en operationele doelstellingen. In periodieke interviews met het management team wordt dan gevraagd welke risico’s zij zien, hoe deze risico’s de organisatie beïnvloeden en wat er wordt gedaan om deze te beheersen. Een insteek van bestaande beheersmaatregelen kan eerder reeds opgenomen worden in de quick scan.