RisicoControlFramework

Logo CORA.png

Onderwerpen die aan bod komen:


Inleiding

De risicoparagraaf bij het processenboek heeft tot doel praktische handvatten te geven bij de uitwerking en uitvoering van risicomanagement door de eerste lijn. Het stuk is daarom zo kort en praktisch mogelijk gehouden, te gebruiken als basis en gericht op de uitvoering. Corporaties kunnen de onderwerpen uit deze paragraaf natuurlijk altijd verder uitwerken in hun eigen risicomanagementbeleid.

Risicomanagement is een continu proces dat tot doel heeft om inzicht te creëren in de negatieve en positieve afwijkingen bij het realiseren van organisatiedoelen. Hierdoor wordt een redelijke mate van zekerheid verkregen over het behalen van doelstellingen. Met dit inzicht kunnen maatregelen worden genomen om risico’s te beheersen, dan wel kansen te benutten.

Daarmee is risicomanagement integraal onderdeel van de bedrijfsvoering op 3 niveau’s:

  1. Strategisch risicomanagement richt zich op risico’s die invloed hebben op het behalen van strategische (lange termijn)doelstellingen.
  2. Tactisch risicomanagement richt zich op de koppeling tussen strategisch en operationeel risicomanagement en biedt vooral (beleids)kaders voor risicobeheersing.
  3. Operationeel risicomanagement richt zich op de uitvoering van primaire en ondersteunende processen en op het beheersen van de risico's die betrekking hebben op de processen en bedrijfsactiviteiten.


RCF 1.png

Figuur 1: Het begrip risico, Michiel Kerstens (HVC)

Het processenboek richt zich voornamelijk op operationeel risicomanagement. In deze paragraaf over risicomanagement wordt hierna ten behoeve van de leesbaarheid het management van kansen verder buiten beschouwing gelaten.

Risico

RCF 2.png

Een risico is de kans op het optreden van een onzekere gebeurtenis met een negatief gevolg voor de organisatie en heeft invloed op het behalen van de organisatie-, afdelings- of procesdoelstellingen van de woningcorporatie. Zie ook dit filmpje.

  • Een risico beïnvloedt bedrijfsdoelstellingen, wat leidt tot afwijkingen van geplande resultaten.
  • Een risico wordt bepaald door oorza(a)k(en) en resulterend(e) gevolg(en).
  • Een risico heeft een kans van voorkomen en een impact (grootte van effect).


Hierbij wordt gekeken naar de kans en impact van het risico, de reeds genomen beheersmaatregelen en het risico dat overblijft, dit is het netto risico.


Het is belangrijk om duidelijk onderscheid te maken tussen risico (gebeurtenis), oorzaak en gevolg. Wanneer oorzaken scherp in beeld zijn kunnen preventieve maatregelen getroffen worden om de kans op het optreden van een risico te reduceren. Wanneer potentiële gevolgen in beeld zijn kunnen zo nodig correctieve maatregelen getroffen worden om de impact van een risico te reduceren.

Risicomanagement

Risicomanagement is gebaseerd op de volgende cyclus.

RCF 3.png


Figuur 3: Risicomanagement process, Michiel Kerstens (HVC)

Identificeren

Voor wat betreft de referentieprocessen van woningcorporaties is de uitdaging om risico’s te identificeren die een negatieve invloed kunnen hebben op het behalen van procesdoelstellingen die doorgaans worden gemeten middels kritieke prestatie-indicatoren. Voor de referentieprocessen is voorwerk verricht door de belangrijkste risico’s in beeld te brengen. De individuele woningcorporatie hoeft alleen nog eigen corporatiespecifieke risico’s toe te voegen, bij voorkeur zo weinig mogelijk (focus aanbrengen). De verwachting is dat op het niveau van processen en bedrijfsactiviteiten de verschillen tussen woningcorporaties beperkt zullen zijn.

Analyseren

In de praktijk zal er sprake zijn van een aantal grote en minder grote operationele risico’s. Uit het oogpunt van doelmatigheid en efficiency moet prioritering aangebracht worden in deze risico’s. Prioritering vindt plaats op basis van kans en impact. De geprioriteerde risico’s vormen de kernrisico’s (ook wel ‘key risks’ genoemd) en geven een indicatie welke risico’s buiten de grenzen van risicobereidheid liggen en beheerst moeten worden of moeten leiden tot een verbetering van het proces. In de referentieprocessen zijn de verwachte kernrisico’s al benoemd. Geadviseerd wordt om per proces niet meer dan 5-7 kernrisico’s vast te stellen.

De risicobereidheid geeft aan wat de aard en omvang van de risico’s is die een woningcorporatie bereid is aan te gaan bij het bereiken van de bedrijfsdoelstellingen. Deze risicobereidheid is kwantitatief van aard (veelal in financiële termen als solvabiliteit, liquiditeit of maximaal operationeel verlies) en kan ook een kwalitatief aspect hebben als het gaat om bijvoorbeeld reputatie, maatschappelijke prestaties, veiligheid en klanttevredenheid.

Beheersen

Op basis van het eigen risicomanagementbeleid beoordeelt elke woningcorporatie welke risico’s buiten de grenzen van risicobereidheid liggen en beheerst moeten worden. Beheersing krijgt gestalte in het treffen van beheersmaatregelen. Ook daarvoor geldt de kunst van het beperken en is de uitdaging om te kiezen voor de kernmaatregelen (ook wel ‘key controls’ genoemd) die essentieel zijn om de kernrisico’s te beheersen. Beheersmaatregelen kunnen bestaan uit de zogenaamde soft controls (mensgerichte beheersinstrumenten) en de hard controls (instrumentele beheersinstrumenten). Voor een goede beheersing zijn hard controls én soft controls noodzakelijk en moet er een goede balans zijn tussen deze twee.

Monitoren

In de fase van monitoren wordt de ontwikkeling van risico’s gevolgd en de effectiviteit van de getroffen beheersmaatregelen. Er is sprake van een PDCA-cyclus op risicobeheersing om zo nodig bij te kunnen sturen wanneer restrisico’s te hoog worden of juist zodanig laag dat maatregelen niet langer nodig of bedrijfseconomisch verantwoord zijn. Monitoring van het actuele risicoprofiel en hoe de risico’s zich op termijn ontwikkelen kan met behulp van Kritieke Risico Indicatoren (KRI’s). Een KRI is vergelijkbaar met een KPI met dien verstande dat een KPI iets zegt over de mate waarin prestaties gerealiseerd worden terwijl een KRI iets zegt over de mate waarin toekomstige risico’s zich kunnen materialiseren. Een KRI is een kwantitatieve maatstaf (bijvoorbeeld een absoluut getal of een ratio) dat de mate van het risico weergeeft. Het is een indicator van de kans van optreden van een risico, de mogelijke schade bij optreden, of beide.

Three Lines Model

Als het gaat over de organisatie van het realiseren van (ondernemings-)doelstellingen, wordt hiervoor vaak het zgn. ‘three lines model’ als kader gebruikt. Het model schrijft niet voor hoe een organisatie risicomanagement moet organiseren en toepassen, maar gaat uit van verschillende ‘lijnen’ waarlangs rollen en verantwoordelijkheden kunnen worden georganiseerd:

Eerstelijnsrollen Eerstelijnsrollen zijn doorgaans het meest direct afgestemd op het leveren van producten en/of diensten aan zowel externe als interne klanten van de organisatie, inclusief ondersteunende functies. Voor een woningcorporatie zijn dit bijvoorbeeld: de afdelingen verhuur, onderhoud en projectontwikkeling. Eerstelijnsrollen zijn primair verantwoordelijk voor het realiseren van de (proces)doelstellingen en daarmee dus ook voor het managen van de risico’s.

Tweedelijnsrollen

Tweedelijnsrollen verlenen ondersteuning aan de eerstelijnsrollen bij het risicomanagement. Tweedelijnsrollen kunnen worden gemixt met eerstelijnsrollen of gescheiden blijven. Vaak ook worden tweedelijnsrollen aan specialisten toegewezen. Voor een woningcorporatie zijn dit bijvoorbeeld: de businesscontroller, de juridisch adviseur, de fiscaal adviseur of de risicomanager.

Derdelijnsrollen

Derdelijnsrollen geven onafhankelijk en objectief zekerheid over de toereikendheid en effectiviteit van governance en risicomanagement. Bij grote woningcorporaties is deze rol vaak belegd bij de internal auditor of internal auditafdeling als onafhankelijke organisatie-eenheid. Bij kleine en middelgrote woningcorporaties worden tweede- en derdelijnsrollen veelal gecombineerd.

Meer informatie over het three lines model vind je hier.

In Kennismodel

Het thema RisicoControlFramework past binnen de metastructuur van de CORA als weergegeven in onderstaande figuur, waarbij in het kennismodel alleen de concepten zijn ingekleurd die relevant zijn voor het thema RisicoControlFramework:

Een procesketen is een samenwerking van meerdere organisaties/organisatieonderdelen met elk een eigen verantwoordelijkheid die de levering van een of meer samenhangende diensten aan een (interne) klant realiseert. (BusinessInteraction) Procesketen Een dienst is een afgebakende prestatie die voorziet in een specifieke behoefte van een klant behorende bij het af te nemen/afgenomen product. (BusinessService) Dienst Een applicatieservice (vrij vertaald gebruikersfunctie) is functionaliteit die een applicatie biedt ter ondersteuning van een werkproces en bedient hiermee een bedrijfsfunctie. (ApplicationService) Applicatieservice Een bedrijfsobjecten-domein is een logisch samenhangende groepering van bedrijfsobjecten. (Grouping) Bedrijfsobjecten-domein Een bedrijfsobject is een al dan niet tastbaar concept waarvan informatie wordt vastgelegd en verwerkt. (BusinessObject) Bedrijfsobject Een doelgroep is een verzameling van bij elkaar horende afnemende rollen. (Grouping) Doelgroep Een afnemende rol is de hoedanigheid waarin c.q. verantwoordelijkheid waarmee een persoon of organisatie een product afneemt. (BusinessRole) Afnemende rol Een bedrijfsfunctie is een coherente verzameling competenties gericht op het leveren van een of meerdere bedrijfsservices. (BusinessFunction) Bedrijfsfunctie Een begrip is een binnen de reikwijdte van de architectuur relevante term met een definitie of omschrijving. (BusinessObject) Begrip Een werkproces is een geordende reeks processtappen die onder verantwoordelijkheid van een enkele bedrijfsfunctie uitgevoerd wordt en die als afgebakend onderdeel van een bedrijfsproces de levering van een deeldienst realiseert. (BusinessProcess) Werkproces Een processtap is een geordende reeks handelingen die onder verantwoordelijkheid van een enkele uitvoerende rol aaneengesloten uitgevoerd wordt en die een afgebakende bijdrage levert aan de uitvoering van een werkproces. (BusinessProcess) Processtap Een handeling is een enkelvoudige toewijsbare activiteit die bijdraagt aan de uitvoering van een processtap. (BusinessProcess) Handeling Een uitvoerende rol is de hoedanigheid waarin c.q. verantwoordelijkheid waarmee een persoon, afdeling of organisatie een toegewezen taak uitvoert. (BusinessRole) Uitvoerende rol Een kanaal is de wijze waarop een bedrijfsservice beschikbaar is voor afnemers. (BusinessInterface) Kanaal Een actor is een persoon of organisatie die in een of meerdere rollen kan acteren. (BusinessActor) Actor Een gebeurtenis is een toestandsverandering binnen de organisatie of in de buitenwereld die een bedrijfsproces doet starten of die uit een bedrijfsproces voortkomt. (BusinessEvent) Gebeurtenis Een koppelvlak (VERA) is een aansluiting met een exacte specificatie via welke applicaties gegevens met elkaar kunnen uitwisselen. (ApplicationInterface) Koppelvlak (VERA) Een prestatie-indicator is een meetbare vertaling van een veelal niet direct meetbare businessdoelstelling. (Value) Prestatie-indicator Een kengetal is een getal dat is uitgedrukt in geld- of in fysieke eenheden en dat de toestand van of de ontwikkeling op een bepaald beleidsterrein weergeeft. (Value) Kengetal Een principe is een richtinggevende uitspraak waar een organisatie zich aan kan verbinden, gericht op het bereiken van een doel op langere termijn. (Principle) Principe Een doelstelling is een richtinggevende uitspraak in termen van een gewenste situatie voor de organisatie en/of voor haar klanten. (Goal) Doelstelling Een sectordoelstelling is een doelstelling die breed voor de gehele sector geldt. (Driver) Sectordoelstelling Een kritieke succesfactor is datgene dat bepalend is voor het welslagen van een bepaalde ambitie. (Requirement) Kritieke succesfactor Een procesindicator is een prestatie-indicator die gekoppeld is aan een bedrijfsproces. (Value) Proces-indicator Een resultaatindicator is een prestatie-indicator die gekoppeld is aan een dienst. (Value) Resultaat-indicator Een bedrijfsservice is een afgebakende prestatie die geleverd wordt als onderdeel van een dienst aan een klant. (BusinessService) Bedrijfsservice Een product is een verzameling van diensten die onder bepaalde leveringsvoorwaarden in zijn geheel wordt aangeboden aan klanten. (Product) Product Een bedrijfsproces is een geordende reeks werkprocessen die onder verantwoordelijkheid van één organisatie wordt uitgevoerd met als doel een dienst te leveren aan een afnemer en die wordt gestart door een specifieke gebeurtenis. (BusinessProcess) Bedrijfsproces Een hoofdbedrijfsfunctie is een coherente verzameling competenties gericht op het leveren van een of meerdere diensten. (BusinessFunction) Hoofdbedrijfsfunctie Een risico is de kans op het optreden van een onzekere gebeurtenis met een negatief gevolg voor de organisatie en heeft invloed op het behalen van de organisatie-, afdelings- of procesdoelstellingen van de woningcorporatie. - Een risico beïnvloedt bedrijfsdoelstellingen, wat leidt tot afwijkingen van geplande resultaten. - Een risico wordt bepaald door oorza(a)k(en) en resulterend(e) gevolg(en). - Een risico heeft een kans van voorkomen en een impact (grootte van effect). (Assessment) Risico BusinessService Deelbedrijfsservice Een gegevensobjecten-domein is een logisch samenhangende groepering van gegevensobjecten. (Grouping) Gegevensobjecten-domein Een gegevensobject is een logische verzameling van gegevens die van vitaal belang zijn voor een bedrijf. (DataObject) Gegevensobject (VERA) Een leverende rol is de hoedanigheid waarin c.q. verantwoordelijkheid waarmee een externe organisatie een door de interne organisatie af te nemen dienst levert. (BusinessRole) Leverende rol Een zaaktype is een generieke omschrijving van zaken van hetzelfde type. (BusinessObject) Zaaktype Een risico-indicator is een meetbare vertaling van een veelal niet direct meetbare ... (Value) Risico-indicator AggregationRelationship bestaat uit AggregationRelationship groepeert ServingRelationship bedient AccessRelationship W TriggeringRelationship veroorzaakt AggregationRelationship Clustert Kan verantwoordelijk zijn voor een verzameling van bedrijfsservices (RealizationRelationship) Verantwoordelijk voor AccessRelationship RW RealizationRelationship realiseert AggregationRelationship bestaat uit AggregationRelationship bestaat uit RealizationRelationship realiseert ServingRelationship bedient ServingRelationship bedient AssignmentRelationship voert uit AssignmentRelationship ondersteunt TriggeringRelationship bedient AssignmentRelationship vervult AssignmentRelationship vervult TriggeringRelationship initieert AssociationRelationship gekoppeld aan AccessRelationship W AggregationRelationship is opgebouwd uit AssociationRelationship heeft betrekking op InfluenceRelationship draagt bij aan RealizationRelationship realiseert SpecializationRelationship is een AssociationRelationship gekoppeld aan SpecializationRelationship is een AssociationRelationship gekoppeld aan AggregationRelationship groepeert AggregationRelationship groepeert ServingRelationship bedient TriggeringRelationship veroorzaakt AggregationRelationship bestaat uit RealizationRelationship realiseert RealizationRelationship verantwoordelijk voor CompositionRelationship Onderdeel van AggregationRelationship clustert AssociationRelationship gekoppeld aan RealizationRelationship realiseert AssociationRelationship gekoppeld aan AssociationRelationship gekoppeld aan AssociationRelationship gekoppeld aan AssociationRelationship Deze svg is op 11-03-2021 14:21:31 CET gegenereerd door ArchiMedes™ © 2016-2021 ArchiXL. ArchiMedes 11-03-2021 14:21:31 CET


Originele kleuren
Vanuit CORA 3
   
   
   
   
Rollenmodel
   
   
Dienstenmodel
   
   
Productenmodel
   
   
Producten en diensten model
   
   
CORA producten en dienstenmodel
   
   
Informatiefunctiemodel
   
   
Applicatiemodel
   
   
CORA processjabloon
   
   
Applicatielaag en services
   
   
BIM
   
   
Bedrijfsfunctiemodel
   
   
Organisatie
   
   
Werkprocesmodel
   
   
Thema procesketen
   
   
Informatiemodel
   
   
Gegevenshuishouding
   
   
CORA procesmodel
   
   
Sturingsmodel
   
   
Bedrijfsprocesmodel
   
   
RCF
   
   
Bedrijfsservicesmodel
   
   
Status
   
   
Prestatiemeting
   
   
Zaakgericht werken
   
   
ArchiMate basiskleuren
   
   
   
   



Logo CORA.png

Deze pagina kwam mede tot stand dankzij een bijdrage van: RiskID