Over ineffectief risicomanagement gesproken

Recent heeft het Institute of Internal Auditors hun 3 Lines of Defence Model aangepast. Niet alleen is in de naam het woord ‘Defence’ verdwenen, maar ook de positie van risicomanagement is explicieter geworden. Vooral voor de eerste lijn is het nu heel duidelijk: zij zijn verantwoordelijk voor de identificatie van risico’s en het beheersen ervan. De tweede lijn heeft een ondersteunende en adviserende rol in complexe situaties. Een mooie aanleiding om nog eens stil te staan bij effectief risicomanagement. Vanuit de praktijk zijn er een drie rode draden die iedere keer weer naar voren komen wanneer risicomanagement niet effectief blijkt te zijn en dat is het geval bij “zwevende risico’s”, geen risico-eigenaarschap en geen aanspreekcultuur. 

Van zwevende risico’s is sprake als een organisatie met lijsten risico’s werkt die nergens aan zijn gekoppeld. Als risico’s niet vanuit een context worden geïdentificeerd voelen ze vaak als niet relevant en doet niemand er iets mee. Dit leidt tot negatieve energie omdat deze aanpak ervoor zorgt dat de organisatie een negatief en bureaucratisch beeld krijgt van risicomanagement.

Lees verder >>