In preventieve zin hebben maatregelen tot doel te voorkómen dat zich situaties voordoen die de continuïteit van de organisatie kunnen aantasten. En indien een risico manifest is geworden, zorgen detective maatregelen ervoor dat zo spoedig mogelijk bekend wordt dát een bedreiging zich voordoet.
Repressieve maatregelen zijn maatregelen die genomen worden voor als de negatieve gebeurtenis heeft plaats gevonden. De preventieve maatregel (vooraf) heeft niet kunnen voorkomen dat de negatieve gebeurtenis (achteraf) heeft kunnen plaats vinden.
Preventief zijn maatregelen die vooraf door of namens de leiding zijn genomen rekeninghoudend met betrouwbaarheidsrisico's. Repressief zijn maatregelen door of namens de leiding genomen gericht op de naleving en werking van de preventieve maatregelen.
Beheersmaatregelen is de Nederlandse term voor het Engelse controls: het gaat om maatregelen die je neemt ter beheersing van één of meerdere risico's. Het zijn dus precies dezelfde concepten. In het Engels betekent beheersen to control, terwijl het Nederlandse controleren in het Engels to check is.
Beheersmaatregelen zijn de maatregelen die je neemt om de risico's waaraan een onderneming blootstaat te beheersen. Deze beheersmaatregelen worden vervolgens vertaald naar beleid en procedures.
De formulering van een risico
Formuleer het risico concreet. Een risico bestaat uit meer dan één woord. Beschrijf wat er niet goed kan gaan, waardoor dat veroorzaakt wordt en wat het gevolg ervan is. De beschrijving van het risico moet helpen bij de omschrijving van een maatregel.
Hard controls zijn meer de formele maatregelen, meestal vastgelegd in een document. De harde maatregelen raken met name dus ook 'hardere' aspecten van de organisatie, zoals planning en control, taken, verantwoordelijkheden en bevoegdheden.
Soft controls zijn op te vatten als maatregelen die van invloed zijn op bijvoorbeeld de motivatie, loyaliteit, integriteit, inspiratie en normen en waarden van medewerkers.” (p. 22). Het gaat hierbij om gedrag van werknemers dat op een indirecte manier via overtuigingen en attitudes wordt beïnvloed.
Maatregelen die zich richten op het herkennen en opsporen van risico's.
De repressieve maatregelen zijn voor een deel afhankelijk van de aard van het strafbare feit, maar ze bestaan altijd uit drie stappen: 1. alarmeren 2. maatregelen nemen 3. rapporteren.
Repressief optreden. Repressief optreden is het controleren op het naleven van de regels, met als doel ongewenste situaties op te sporen. Dit kunnen regels zijn uit bijvoorbeeld een beschikking (zoals een vergunning of een subsidiebesluit) of uit wetten, AmvB's of verordeningen.
beteugelend, onderdrukkend, bedoeld om te onderdrukken - Woordfeit: Repressief `onderdrukkend` en repressie `onderdrukking` komen al in de zestiende eeuw voor in het Nederlands.
Preventieve maatregelen geven aan wat als ongewenst gedrag wordt beschouwd, waardoor ook gewenst gedrag wordt bevorderd. De belangrijkste maatregelen van administratieve organisatie en interne controle zijn: Controletechnische functiescheidingen. Toewijzen van taken, bevoegdheden en verantwoordelijkheden.
Sociale controle is de beheersing van het gedrag van individuen en groepen door de samenleving. Door sociale controle wordt bewerkstelligd dat mensen zich aanpassen aan gedrag dat van hen in de groep verwacht wordt. Gedrag in groepen wordt bepaald door sociale normen.
Het Management Control Framework (MCF) legt de verbinding tussen interne sturing van de organisatie en de externe verantwoording richting bestuur en toezichthouders. Het framework bevat specifieke inhoud voor specifiek thema's, zoals AVG, BIO, COBIT, Dynamics, ISAE3402 en ISO27001/2.
Een managementcontrolsysteem of besturingsmodel is een verzameling van (beheers)instrumenten die managers inzetten om richting te geven aan de organisatie en haar processen. Maar bovenal wordt door het inzetten van beheersinstrumenten geprobeerd het gedrag van medewerkers te beïnvloeden.
De methode van Fine & Kinney wordt gebruikt om risico's in te schatten en om te bepalen welke acties ondernomen moeten worden. Na inschatting van de waarschijnlijkheid, blootstelling en ernst kan een risicocijfer voor de taak worden berekend. Bepaal eerst hoe vaak een situatie zich voordoet (of kan voordoen).
De risicoanalyse bestaat uit drie fasen: het identificeren van gevaren; het vaststellen en nader bepalen van risico's; het evalueren van risico's.
Een risico kan in de termen van het risicomanagement zowel positief als negatief zijn. Een negatief risico wordt ook een gevaar, bedreiging, downside risk of statisch risico genoemd. Een positief risico wordt ook een kans of upside risk genoemd.
Risk management, ofwel risicomanagement, is het identificeren en kwantificeren van risico's binnen een organisatie en het opstellen van maatregelen om deze risico's te mitigeren. Risicomanagement zou onderdeel moeten zijn van het beleid van elke organisatie en is een continu proces.