Governance, Risk & Compliance (GRC) is een containerbegrip dat een breed vakgebied bestrijkt. Het staat voor op een effectieve en efficiënte manier doelen bereiken in het licht van risico's en onzekerheden. De aandacht voor GRC is door de financiële crisis alleen maar vergroot en vereist herbezinning en pragmatisme.
Risk management, ofwel risicomanagement, is het identificeren en kwantificeren van risico's binnen een organisatie en het opstellen van maatregelen om deze risico's te mitigeren. Risicomanagement zou onderdeel moeten zijn van het beleid van elke organisatie en is een continu proces.
Met een goed risicobeleid kunnen ondernemingen beter anticiperen op mogelijke risico's, zodat ze effectieve beheersmaatregelen kunnen nemen en zo de continuïteit van het bedrijf kunnen waarborgen. Bovendien is het implementeren van een goed risicobeleid voor steeds meer organisaties wettelijk verplicht.
Daarnaast zijn er de algemene modellen, raamwerken, standaarden en methoden. In Nederland worden voor risicomanagement bijvoorbeeld COSO, ISO, INK, Lean Six Sigma, COBIT, IRM, ALARM, Management_of_Risk en RISMAN benut.
Risicomanagement helpt bij het realiseren van doelen, doordat je inspeelt op toekomstige ongewenste gebeurtenissen (risico's). Hierdoor kun je: Tijdig besluiten om actie te ondernemen ter voorkoming of vermindering van risico's.
Vaak worden ze door elkaar gebruikt, terwijl er wel een verschil is. Wat is eigenlijk de betekenis van beide termen? Een gevaar is een constante; Een risico is de kans dat een gevaar zich openbaart maal het effect.
De formulering van een risico
Formuleer het risico concreet. Een risico bestaat uit meer dan één woord. Beschrijf wat er niet goed kan gaan, waardoor dat veroorzaakt wordt en wat het gevolg ervan is. De beschrijving van het risico moet helpen bij de omschrijving van een maatregel.
Ja, in veel branches is het inmiddels wettelijk verplicht om een goed risicobeleid te implementeren. Is dit (nog) niet het geval, dan is het wel raadzaam om zeker een risicobeleid op te stellen.
Strategierisico's zijn de risico's die samenhangen met de strategische keuzes van organisaties. Het zijn risico's die organisaties bewust nemen in de verwachting hiermee bovengemiddelde waarde te creëren.
Het COSO-ERM-model uit 2004 is een risicomanagementmodel waarmee je de relaties tussen risicocategorieën kunt identificeren om te bepalen in hoeverre een organisatie controle heeft over de situatie, oftewel in control is. Op basis van dit model kun je aanbevelingen doen om het risicomanagement te verbeteren.
Compliance is afgeleid van het Engelse werkwoord "to comply", wat in het Nederlands "naleven" betekent. In de financiële sector wordt de term compliance vaak gebruikt. Compliance is een term waarmee wordt aangeduid dat een (financiële) organisatie de geldende wet- en regelgeving in de eigen sector naleeft.
De risicoanalyse bestaat uit drie fasen: het identificeren van gevaren; het vaststellen en nader bepalen van risico's; het evalueren van risico's.
De methode van Fine & Kinney wordt gebruikt om risico's in te schatten en om te bepalen welke acties ondernomen moeten worden. Na inschatting van de waarschijnlijkheid, blootstelling en ernst kan een risicocijfer voor de taak worden berekend. Bepaal eerst hoe vaak een situatie zich voordoet (of kan voordoen).
Gevaar is een intrinsieke eigenschap van een stof, proces, situatie, gereedschap, materiaal, persoon,... dat tot nadelige gevolgen of schade kan leiden.
Knellen, snijden en pletten zijn risico's die zich bij veel werkzaamheden voordoen. Bij het werken met grote machines, maar ook bij bijvoorbeeld werkzaamheden in het restaurant of op kantoor.
Een risico kan in de termen van het risicomanagement zowel positief als negatief zijn. Een negatief risico wordt ook een gevaar, bedreiging, downside risk of statisch risico genoemd. Een positief risico wordt ook een kans of upside risk genoemd.
Key controls is een actuele term voor de belangrijke beheersingsmaatregelen. Een keycontrol is te omschrijven als een actie die een afdeling neemt om een fout of fraude in het financieel beheer te ontdekken of te voorkomen.
Alle werkgevers hebben de algemene plicht om de veiligheid en gezondheid van hun werknemers in alle aspecten van het werk te garanderen. Doel van de risicobeoordeling is de werkgever in staat te stellen maatregelen te nemen om de veiligheid en gezondheid van werknemers te beschermen.
Bij een kwalitatieve risicoanalyse maak je schattingen van de gelopen risico's. Bij een kwantitatieve risicoanalyse worden de risico's in meetbare criteria beschreven, altijd met betrekking tot de beheersaspecten tijd en geld. De meeste studenten voeren een kwalitatieve risicoanalyse uit of een combinatie van beide.
Risicomanagement is bedoeld om risico's beter te beheersen, door de kans van het optreden van risico's vast te stellen, de gevolgen ervan te bepalen en de benodigde maatregelen in kaart te brengen om de gevolgen - waar mogelijk en indien wenselijk - te beperken. Dit geschiedt op basis van risicoanalyses.