Hoofdstuk 1 – Risico en risicohouding in organisaties
Paragraaf 1.1 Ondernemerschap en risico
De stelling dat ondernemen en risico onlosmakelijk met elkaar verbonden zijn, betekent niet dat de
ondernemer de risico’s die hij neemt zonder meer moet accepteren.
Met andere woorden: de verhouding tussen verwachte opbrengst en risico moet geoptimaliseerd
worden.
Het onderschatten van risico’s kan de continuïteit van de organisatie in gevaar brengen. In veel
organisaties is er een spanning tussen opbrengstmaximalisatie en risicominimalisatie. Dit is onder
andere te verklaren door doordat het maximaliseren van de opbrengsten en het minimaliseren van
risico’s in veel gevallen gescheiden activiteiten zijn.
Paragraaf 1.2 Soorten risico’s
Zuiver risico: risico dat ontstaat doordat er een kleine kans is op een negatieve afwijking ten opzichte
van de normale situatie.
Speculatief risico: risico waarbij zich met ongeveer gelijke kansen zowel positieve als negatieve
afwijkingen ten opzichte van de verwachtingswaarde kunnen voordoen. Door het risico aan te gaan
laat men bewust de mogelijkheid van een bovengemiddeld resultaat open. Naarmate de kansen op
een bovengemiddeld resultaat kleiner worden maar de potentiële omvang van dit bovengemiddelde
resultaat groter, is er meer reden om te spreken van speculatief risico.
Op de beheersing van zuivere risico’s is traditioneel de verzekeringsgedachte van toepassing. Het
identificeren en kwantificeren van zuivere risico’s kan ertoe leiden dat we tot de conclusie komen dat
het zich manifesteren van de schade dusdanige negatieve gevolgen oproept, dat de gevolgen niet te
dragen zijn.
Paragraaf 1.3 Risicoaversie
Bij zuivere risico’s is het duidelijk dat er een afkeer van deze risico’s bestaat. Bij speculatieve risico’s
is dit niet vanzelfsprekend. Bepaalde partijen hebben op de financiële markten een risicoaverse
houding. De consequentie van risicoaversie is dat geldgevers doorgaans een premie verlangen voor
het aangaan van risico en dat geldnemers bereid zijn een zekere premie voor het vermijden van risico
te betalen.
Verwachtingswaarde: som van de mogelijke uitkomsten van een kansvariabele vermenigvuldigd met
de kansen op die uitkomst.
Wanneer iemand een beslissing neemt, staat hem vermoedelijk uitkomst van die beslissing voor
ogen. Deze vermoedelijke uitkomst kan afgezet worden tegen een aantal mogelijke
referentiepunten. Belangrijke referentiepunten zijn in dit verband:
Het aspiratieniveau: wanneer de te bereiken uitkomst dit niveau overtreft is er sprake van
succes. Wanneer de uitkomst lager is dan het aspiratieniveau, is er sprake van een
mislukking.
Het overlevingsniveau: wanneer de te bereiken uitkomst lager is dan dit niveau, komt de
continuïteit in gevaar.
Paragraaf 1.4 De plaats van risicomanagement in de onderneming
Code-Tabaksblat bevat een regel dat een vennootschap risicoanalyses dient uit te voeren. In
hun jaarverslag dienen zij daarover verslag uit te brengen
Basel II en Basel III stelt eisen waaraan banken op het gebied van risicobeheersing moeten
voldoen.
, De Sarbanes-Oxley wet is van toepassing op ondernemingen die in de Verenigde Staten
beursgenoteerd zijn en regelt vooral interne beheersingssystemen en rapportage.
Paragraaf 1.5 Integraal Risicomanagement en COSO
Integraal risicomanagement beoogt het identificeren en beheersen van risico’s een
standaardonderdeel van het besturen van een organisatie te laten zijn.
Definitie van het ondernemingsrisicomanagement door COSO:
een proces dat wordt toegepast bij het formuleren van de strategie binnen de gehele onderneming,
ontworpen om potentiele gebeurtenissen te identificeren en om risico’s te managen, om een
redelijke zekerheid te bieden ten aanzien van de doelstellingen. Het feit dat het integraal is, is
opvallend.
COSO-raamwerk
Terreinen:
- Strategisch: welke bedreigingen zijn er die ervoor kunnen zorgen dat de strategische
doelstellingen niet gehaald worden?
- Operationeel: wat zijn de factoren die een efficiënt en effectief gebruik van middelen die de
organisatie gebruikt, kunnen dwarsbomen?
- Rapportage: waardoor kunnen de interne en de externe informatievoorziening in gevaar
komen?
- Toezicht en regelgeving (compliance): is de organisatie toegerust om aan wettelijke eisen en
aan de regelgeving van toezichthouders te voldoen?
Componenten
- Interne omgeving: risicomanagementbeleid, risicoacceptatiegraad, integriteit, ethische
normen en waarden.
- Vaststellen van doelen: dit moet voordat er geïdentificeerd kan worden of er bedreigingen
zijn.
- Identificatie van gebeurtenissen: risico’s en kansen identificeren van interne en externe
gebeurtenissen die invloed hebben op het halen van de doelstellingen.
- Risicobeoordeling: de analyse van de mogelijke gebeurtenissen die een risico vormen.
- Vastellen van de passende reactie: vermijden, accepteren, verminderen of delen van het
risico.
- Beheersingsactiviteiten: richtlijnen en procedures
- Informatie en communicatie: informatieverzameling
- Monitoring: het hele proces van risicomanagement wordt bewaakt en waar nodig op grond
van evaluaties gewijzigd.
, Paragraaf 1.6 Het inventariseren en analyseren van risico’s
Om de verschillende risico’s te inventariseren kunnen verschillende bronnen worden gebruikt:
1. Historisch materiaal: statistieken, incidentregistratie, gegevens van derden.
2. Observatie en onderzoek: inspectierondes, interviews, vergelijkend onderzoek bij andere
bedrijven.
3. Scenarioanalyse: stimulaties, waarneming van trends, het gebruik van het eigen
voorstellingsvermogen.
De combinatie van effect en waarschijnlijkheid vormt de basis voor het bepalen van een passende
reactie.
Vaak wordt hierbij de methodiek gebruikt dat de verschillende gebeurtenissen zowel in termen van
effect als waarschijnlijkheid een puntenscore krijgen.
R=KxE
Waarin: R = risico
K = kansscore
E = effectscore
Paragraaf 1.7 Reacties op risico’s
Er worden vier mogelijke reacties op risico’s onderscheiden:
Accepteren: risico gering of kosten/gemiste opbrengsten van andere reactie te hoog.
Vermijden: baten wegen niet op tegen mogelijke schaden of kosten wegen niet op tegen
reduceren van het risico.
Reduceren: preventieve maatregelen nemen. Bijv. lening met vaste rente i.p.v. variabele.
Delen van het risico: verzekeren van risico’s. of bijv. vennootschap als ondernemingsvorm
zodat je niet in je eentje risico’s draagt.
Paragraaf 1.8 De organisatie van het beheren van financiële risico’s
Treasury: onderhouden van contacten met de financiële markten: het onderkennen en beheren van
risicoposities.
De frontoffice verricht de transacties met tegenpartijen.
De backoffice verzorgt de bevestigingen aan tegenpartijen en beheert de contracten.
Hoofdstuk 2 – Strategische risico’s
Paragraaf 2.1 het proces van strategiebepaling
Strategie: het beslissen over de richting en reikwijdte van een organisatie op de lange termijn,
waardoor voordeel ontstaat en aan de verwachtingen van stakeholders wordt voldaan.
- Impliciet: niet-geformaliseerd maar die blijkt uit handelingen van de leiding.
- Expliciet: wanneer uitkomsten worden vastgelegd.
Doelstellingen formuleren
- Goals: kwalitatief geformuleerde doelen, zoals ‘een sterke winstgevendheid’.
- Objectives: kwantitatief geformuleerd, zoals ‘een spontane naamsbekendheid van minstens
70%’.
-
Paragraaf 2.2 Kansen en bedreigingen
Verkennen interne en externe omgeving (SWOT)
Externe analyse
Meso -> bewegingen op bedrijfstak-afnemersniveau.
Vijfkrachtenmodel Porter laat concurrentie zien:
Paragraaf 1.1 Ondernemerschap en risico
De stelling dat ondernemen en risico onlosmakelijk met elkaar verbonden zijn, betekent niet dat de
ondernemer de risico’s die hij neemt zonder meer moet accepteren.
Met andere woorden: de verhouding tussen verwachte opbrengst en risico moet geoptimaliseerd
worden.
Het onderschatten van risico’s kan de continuïteit van de organisatie in gevaar brengen. In veel
organisaties is er een spanning tussen opbrengstmaximalisatie en risicominimalisatie. Dit is onder
andere te verklaren door doordat het maximaliseren van de opbrengsten en het minimaliseren van
risico’s in veel gevallen gescheiden activiteiten zijn.
Paragraaf 1.2 Soorten risico’s
Zuiver risico: risico dat ontstaat doordat er een kleine kans is op een negatieve afwijking ten opzichte
van de normale situatie.
Speculatief risico: risico waarbij zich met ongeveer gelijke kansen zowel positieve als negatieve
afwijkingen ten opzichte van de verwachtingswaarde kunnen voordoen. Door het risico aan te gaan
laat men bewust de mogelijkheid van een bovengemiddeld resultaat open. Naarmate de kansen op
een bovengemiddeld resultaat kleiner worden maar de potentiële omvang van dit bovengemiddelde
resultaat groter, is er meer reden om te spreken van speculatief risico.
Op de beheersing van zuivere risico’s is traditioneel de verzekeringsgedachte van toepassing. Het
identificeren en kwantificeren van zuivere risico’s kan ertoe leiden dat we tot de conclusie komen dat
het zich manifesteren van de schade dusdanige negatieve gevolgen oproept, dat de gevolgen niet te
dragen zijn.
Paragraaf 1.3 Risicoaversie
Bij zuivere risico’s is het duidelijk dat er een afkeer van deze risico’s bestaat. Bij speculatieve risico’s
is dit niet vanzelfsprekend. Bepaalde partijen hebben op de financiële markten een risicoaverse
houding. De consequentie van risicoaversie is dat geldgevers doorgaans een premie verlangen voor
het aangaan van risico en dat geldnemers bereid zijn een zekere premie voor het vermijden van risico
te betalen.
Verwachtingswaarde: som van de mogelijke uitkomsten van een kansvariabele vermenigvuldigd met
de kansen op die uitkomst.
Wanneer iemand een beslissing neemt, staat hem vermoedelijk uitkomst van die beslissing voor
ogen. Deze vermoedelijke uitkomst kan afgezet worden tegen een aantal mogelijke
referentiepunten. Belangrijke referentiepunten zijn in dit verband:
Het aspiratieniveau: wanneer de te bereiken uitkomst dit niveau overtreft is er sprake van
succes. Wanneer de uitkomst lager is dan het aspiratieniveau, is er sprake van een
mislukking.
Het overlevingsniveau: wanneer de te bereiken uitkomst lager is dan dit niveau, komt de
continuïteit in gevaar.
Paragraaf 1.4 De plaats van risicomanagement in de onderneming
Code-Tabaksblat bevat een regel dat een vennootschap risicoanalyses dient uit te voeren. In
hun jaarverslag dienen zij daarover verslag uit te brengen
Basel II en Basel III stelt eisen waaraan banken op het gebied van risicobeheersing moeten
voldoen.
, De Sarbanes-Oxley wet is van toepassing op ondernemingen die in de Verenigde Staten
beursgenoteerd zijn en regelt vooral interne beheersingssystemen en rapportage.
Paragraaf 1.5 Integraal Risicomanagement en COSO
Integraal risicomanagement beoogt het identificeren en beheersen van risico’s een
standaardonderdeel van het besturen van een organisatie te laten zijn.
Definitie van het ondernemingsrisicomanagement door COSO:
een proces dat wordt toegepast bij het formuleren van de strategie binnen de gehele onderneming,
ontworpen om potentiele gebeurtenissen te identificeren en om risico’s te managen, om een
redelijke zekerheid te bieden ten aanzien van de doelstellingen. Het feit dat het integraal is, is
opvallend.
COSO-raamwerk
Terreinen:
- Strategisch: welke bedreigingen zijn er die ervoor kunnen zorgen dat de strategische
doelstellingen niet gehaald worden?
- Operationeel: wat zijn de factoren die een efficiënt en effectief gebruik van middelen die de
organisatie gebruikt, kunnen dwarsbomen?
- Rapportage: waardoor kunnen de interne en de externe informatievoorziening in gevaar
komen?
- Toezicht en regelgeving (compliance): is de organisatie toegerust om aan wettelijke eisen en
aan de regelgeving van toezichthouders te voldoen?
Componenten
- Interne omgeving: risicomanagementbeleid, risicoacceptatiegraad, integriteit, ethische
normen en waarden.
- Vaststellen van doelen: dit moet voordat er geïdentificeerd kan worden of er bedreigingen
zijn.
- Identificatie van gebeurtenissen: risico’s en kansen identificeren van interne en externe
gebeurtenissen die invloed hebben op het halen van de doelstellingen.
- Risicobeoordeling: de analyse van de mogelijke gebeurtenissen die een risico vormen.
- Vastellen van de passende reactie: vermijden, accepteren, verminderen of delen van het
risico.
- Beheersingsactiviteiten: richtlijnen en procedures
- Informatie en communicatie: informatieverzameling
- Monitoring: het hele proces van risicomanagement wordt bewaakt en waar nodig op grond
van evaluaties gewijzigd.
, Paragraaf 1.6 Het inventariseren en analyseren van risico’s
Om de verschillende risico’s te inventariseren kunnen verschillende bronnen worden gebruikt:
1. Historisch materiaal: statistieken, incidentregistratie, gegevens van derden.
2. Observatie en onderzoek: inspectierondes, interviews, vergelijkend onderzoek bij andere
bedrijven.
3. Scenarioanalyse: stimulaties, waarneming van trends, het gebruik van het eigen
voorstellingsvermogen.
De combinatie van effect en waarschijnlijkheid vormt de basis voor het bepalen van een passende
reactie.
Vaak wordt hierbij de methodiek gebruikt dat de verschillende gebeurtenissen zowel in termen van
effect als waarschijnlijkheid een puntenscore krijgen.
R=KxE
Waarin: R = risico
K = kansscore
E = effectscore
Paragraaf 1.7 Reacties op risico’s
Er worden vier mogelijke reacties op risico’s onderscheiden:
Accepteren: risico gering of kosten/gemiste opbrengsten van andere reactie te hoog.
Vermijden: baten wegen niet op tegen mogelijke schaden of kosten wegen niet op tegen
reduceren van het risico.
Reduceren: preventieve maatregelen nemen. Bijv. lening met vaste rente i.p.v. variabele.
Delen van het risico: verzekeren van risico’s. of bijv. vennootschap als ondernemingsvorm
zodat je niet in je eentje risico’s draagt.
Paragraaf 1.8 De organisatie van het beheren van financiële risico’s
Treasury: onderhouden van contacten met de financiële markten: het onderkennen en beheren van
risicoposities.
De frontoffice verricht de transacties met tegenpartijen.
De backoffice verzorgt de bevestigingen aan tegenpartijen en beheert de contracten.
Hoofdstuk 2 – Strategische risico’s
Paragraaf 2.1 het proces van strategiebepaling
Strategie: het beslissen over de richting en reikwijdte van een organisatie op de lange termijn,
waardoor voordeel ontstaat en aan de verwachtingen van stakeholders wordt voldaan.
- Impliciet: niet-geformaliseerd maar die blijkt uit handelingen van de leiding.
- Expliciet: wanneer uitkomsten worden vastgelegd.
Doelstellingen formuleren
- Goals: kwalitatief geformuleerde doelen, zoals ‘een sterke winstgevendheid’.
- Objectives: kwantitatief geformuleerd, zoals ‘een spontane naamsbekendheid van minstens
70%’.
-
Paragraaf 2.2 Kansen en bedreigingen
Verkennen interne en externe omgeving (SWOT)
Externe analyse
Meso -> bewegingen op bedrijfstak-afnemersniveau.
Vijfkrachtenmodel Porter laat concurrentie zien:
