Inhoud
1 Risico’s en risicomanagement – introductie en ontwikkeling..............................................................4
1.1 Behoefte aan zekerheid................................................................................................................4
1.2 Introductie van het begrip risico...................................................................................................5
1.3 Globale begripsbepaling risicomanagement.................................................................................5
1.4 Redenen voor risicomanagement.................................................................................................6
1.4.1 Wet- en regelgeving...............................................................................................................6
1.4.2 Verzekeringsindustrie............................................................................................................8
1.5 Ontwikkeling van risicomanagement............................................................................................8
1.5.1 Organisaties en richtlijnen.....................................................................................................8
1.5.2 Opkomst van enterprise risk management............................................................................9
1.5.3 Management van verzekerbare risico’s versus ERM..............................................................9
1.5.4 Expertise in risicomanagement................................................................................................10
Samenvatting....................................................................................................................................10
2 Risico’s nader beschouwd..................................................................................................................11
2.1 Definities en beschouwingen van risico’s...................................................................................11
2.1.1 Definitie en formule van risico’s..........................................................................................11
2.1.2 Bedreigingen........................................................................................................................12
2.2 Dynamische en statistische risico’s.............................................................................................14
2.2.1 Dynamische risico’s..............................................................................................................14
2.2.2 Statische risico’s...................................................................................................................14
2.2.3 Relevantie van het onderscheid tussen statische en dynamische risico’s............................15
2.3 Soorten risico’s en risicocategorieën..........................................................................................16
2.4 Indeling van risico’s naar grootte................................................................................................16
3 Risicomanagement, wat is dat?.........................................................................................................18
3.1 Definitie van risicomanagement.................................................................................................18
3.1.1 Definitie enterprise risk management in COSO...................................................................18
3.1.2 Definitie gehanteerd in dit boek..........................................................................................18
3.2 Doelstellingen van risicomanagement........................................................................................19
3.2.1 Strategische doelstellingen..................................................................................................19
3.2.2 Risicomanagementdoelstellingen........................................................................................20
3.3 Risicomanagementbeleid...........................................................................................................21
3.3.1 Onderdelen risicomanagementbeleid.................................................................................21
3.3.2 Randvoorwaarden voor een goed managementbeleid........................................................21
3.4 Plaats van risicomanagement in de organisatie..........................................................................21
1
, 3.4.1 Risicomanager.....................................................................................................................22
3.4.2 Taken van de risicomanager...............................................................................................22
3.4.3 Onderscheid rol risicomanager bij statische en dynamische risico’s...................................23
3.5 Risicomanagementproces...........................................................................................................23
3.5.1 Risicomanagement en de planning-en-controlcyclus..........................................................23
3.5.2 Signaleren van risico’s bij strategieformulering...................................................................24
3.5.3 Realisatie van risicodoelstellingen en terugkoppeling.........................................................24
3.5.4 Bijsturing..............................................................................................................................24
3.6 Bewaking van het proces............................................................................................................24
6 Risico-evaluatie..................................................................................................................................26
6.1.1 Bedreiging voor realisatie van doelstellingen......................................................................26
6.1.2 Kwalitatieve en kwantitatieve bepaling van kans en gevolg................................................26
6.1.3 Kwalitatieve versus kwantitatieve evaluatie van risico’s.....................................................26
6.2 Relatie tussen de kans en de omvang van de schade.................................................................26
6.2.1 Risico: kans en gevolg..........................................................................................................27
6.2.2 Risico: kans, frequentie en gevolg........................................................................................27
6.3 Kwantitatieve evaluatie van risico’s en risicoportefeuilles nader beschouwd............................28
6.3.1 Kans op schade....................................................................................................................28
6.3.2 Risico’s met een lage schadefrequentie...............................................................................28
6.3.3 Enkele benaderingen van kansberekening..........................................................................29
6.3.4 Risico’s met een hoge schadefrequentie.............................................................................29
6.3.5 Omgaan met grote hoeveelheden gegevens.......................................................................29
6.4 Scenariodenken..........................................................................................................................29
6.4.1 Oorzaak-gevolganalyses.......................................................................................................29
6.4.2. Vaststellen van de mogelijke omvang van schade..............................................................29
6.4.3 Schadeverwachtingsscenario’s in de verzekeringsindustrie................................................29
6.5 Risico’s bij de risicoanalyse.........................................................................................................29
7 Risico aan banden gelegd..................................................................................................................31
7.1 Algemene aspecten van het schadepreventiebeleid..................................................................31
7.1.1 Plaats en taak van de risicomanager bij schadepreventie...................................................31
7.1.2 Aspecten van schadepreventie............................................................................................31
7.1.3 Budget.................................................................................................................................31
7.1.4 Delegeren en monitoren......................................................................................................33
7.1.5 Wettelijke voorschriften......................................................................................................33
7.1.6 Onzekerheden van menselijke en technische aard..............................................................33
7.1.7 Menselijke paradox..............................................................................................................34
2
,7.2 Vermijden van risico’s.................................................................................................................34
7.2.1 Vermijden door afstoten......................................................................................................34
7.2.2 Vermijden door verandering................................................................................................34
7.3 Verminderen van risico’s............................................................................................................35
7.3.1 Algemene maatregelen om risico’s te verminderen............................................................35
7.3.2 Instructie en opleiding van medewerkers............................................................................35
7.3.3 Praktische training...............................................................................................................36
7.3.4 Continuïteitsplan.................................................................................................................36
7.3.5 Instructie aan derden...........................................................................................................36
7.3.6 Onderverdeling van activiteiten in plan voor risicovermindering........................................37
7.3.7 Financiering van het risicoverminderingsplan.....................................................................37
3
,1 Risico’s en risicomanagement – introductie en
ontwikkeling
In de moderne samenleving hebben ondernemingen en instellingen te maken met onzekerheden die
steeds complexer van aard zijn en die steeds ingrijpendere gevolgen hebben. Daarnaast toont de
maatschappij een sterke behoefte aan zekerheid en zij probeert risico’s zo veel mogelijk te beperken
en waar mogelijk te elimineren. Als antwoord hierop is in de jaren zestig van de vorige eeuw een
speciale managementdiscipline tot ontwikkeling gekozen: risk management.
Inmiddels zijn er verscheidende gespecialiseerde vormen ontstaan, die zich ook met niet-
verzekerbare risico’s bezighouden. Zo kennen we ‘financial risk management’, ‘project risk
management’ en ‘enterprise risk management’. Deze laatste vorm van risk management combineert
het management van allerlei soorten risico’s, zoals strategischse, financiële en marktrisico’s en van
verzekerbare risico’s, en kan gezien worden als een organisatiebrede paraplu waar alle
risicomanagementinspanningen onder vallen. In dit boek gaan we uit van enterprise risk
management, maar leggen we ook enkele accenten op het beheer van de verzekerbare risico’s. dit
doen we omdat verzekerbare risico’s omvangrijke operationele risico’s van een onderneming
omvatten en het beheersen van deze risico’s de ontwikkeling van risicomanagement oorspronkelijk
heeft geïnitieerd.
1.1 Behoefte aan zekerheid
In het dagelijkse bestaan gaan mensen ervan uit dat de dingen die ze doen of willen, meestal wel
goed gaan. Zeker bewoners van ontwikkelde landen zijn gewend geraakt aan een hoog niveau van
welvaart en in het algemeen ook van welzijn.
Ook al gedragen mensen zich in hun dagelijkse leven niet altijd risicomijdend en doordacht,
vooropgesteld kan desondanks worden dat de behoefte aan zekerheid tot de belangrijkste behoeften
van mensen gerekend mag worden.
De bekende psycholoog Abraham Maslow onderscheidt vijf fundamentele typen van menselijke
behoeften, die qua belangrijkheid zijn te rangschikken op verschillende niveaus van een hiërarchie
(Zie figuur 1.1). Zolang iemands basisbehoeften aan de onderkant van de hiërarchie niet zijn
bevredigd, eisen die zijn aandacht op en laten de overige behoeften hem min of meer koud.
Risico’s zijn er altijd geweest. Deskundigen hebben echter systemen gebouwd en structuren
geschapen, waardoor de kans om getroffen te worden door enig onheil, drastisch is afgenomen. De
perfectie en de betrouwbaarheid van die systemen is erg groot en het vertrouwen erin is – soms niet
geheel terecht – vaak onbegrensd. De complexiteit ervan is echter ook enorm, zo groot zelfs, dat de
beheersbaarheid van die systemen het menselijk vermogen soms te boven gaat.
4
,Mensen proberen risico’s te interpreteren vanuit hun ervaringskader. Vaak houdt dat in dat ze de
verschijnselen terugbrengen tot gebeurtenissen die al vaker hebben plaatsgevonden.
1.2 Introductie van het begrip risico
In de ‘dikke Van Dale’ wordt een risico omschreven als het gevaar van schade of verlies. In deze
beschrijving staan twee componenten, te weten: gevaar en schade of verlies. De eerste component
‘gevaar’ impliceert onzekerheid over de uitkomst. Onzekerheid is dan ook een vereiste om een
gebeurtenis of omstandigheid als risico te bestempelen. De tweede component ‘schade’ of ‘verlies’
toont dat we met risico’s een gebeurtenis met een negatieve uitkomst duiden. Onzekere
gebeurtenissen met negatieve gevolgen kunnen voorkomen op alle vlakken: in de natuur, in de
privélevens van mensen en binnen organisaties, bedrijven en maatschappijen. Dit boek richt zich op
zakelijke risico’s en risicomanagement en zal voornamelijk risico’s van organisaties en bedrijven
behandelen.
1.3 Globale begripsbepaling risicomanagement
Van oudsher hebben mensen moeten leven onder omstandigheden die allerlei onzekerheden met
zich meebrachten. In de westerse maatschappij, zijn mensen erin geslaagd redelijke zekerheden te
schappen waar het gaat om de primaire levensbehoeften. Ze hebben geleerd om te gaan met de
risico’s die het vervullen van deze primaire levensbehoeften bedreigen.
De westerse samenleving is voortdurend op zoek naar mogelijkheden om steeds beter te voorzien in
levensbehoeften van de moderne mens en de kwaliteit van leven te verbeteren. Daartoe hebben ze
ingewikkelde systemen en structuren geschapen, waardoor en waaruit weer nieuwe risico’s zijn
ontstaan. Deze nieuwe risico’s en de aard van de belangen die eraan onderhevig zijn, brengen met
zich mee dat het calamiteitenkarakter ervan is toegenomen. De overbekende rampen en bijna-
rampen die in het recente verleden hebben plaatsgevonden, zijn daarvan voorbeelden.
Tot op de dag van vandaag lijden mensen schade door grote branden of zware stormen, maar ook
door achteraf verkeerde strategische beslissingen of onvoldoende toezicht.
Omvangrijke calamiteiten vormen slechts het topje van een ijsberg van risicoproblemen, waarvan het
merendeel de publiciteit niet haalt, maar waarmee iedereen geconfronteerd kan worden. In het
bedrijfsleven en in publieke instellingen wordt dit inmiddels volledig onderkend. Dit besef heeft
geleid tot het ontwikkelen van het managementconcept dat bekend staat als risicomanagement.
De term ‘risicomanagement’ is een vlag, die verschillende ladingen dekt. Zo wordt het woord
‘risicomanagement’ gebruikt voor de analyse en de beheersing van de risico’s die zijn verbonden aan
een beleggingsportefeuille, aan investeringen en aan kredietverlening, kortom het omgaan met
allerlei zuiver financiële risico’s. In de industriële sector staat de term risicomanagement met name
voor alle maatregelen die zijn gericht op het borgen van de kwaliteit, continuïteit en veiligheid van
processen en producten. In de accountancy heeft risicomanagement vooral betrekking op het al dan
niet voldoen aan voorschriften voor de bedrijfsvoering en verslaglegging (‘compliance’). Bij het
projectmatig werken zoals in de bouw- of ICT-sector, is risicomanagement gericht op de bescherming
van de projectdoelstellingen in termen van budget, tijd en kwaliteit. Juristen zien risicomanagement
vaak als synoniem voor juridische controlling, met name gericht op de analyse en beheersing van
aansprakelijkheidsrisico’s en de juridische onaanvechtbaarheid van concracten.
Naast deze specifieke vormen van risicomanagement, heeft risicomanagement zich ontwikkeld als
onlosmakelijk onderdeel van de algemene aansturing van een onderneming of instelling. Deze
‘algemene’ vorm van risicomanagement is erop gericht de realisatie van de doelstellingen en het
voortbestaan van de onderneming te beschermen en heeft enerzijds betrekking op
ondernemersrisico’s en zoals strategische risico’s (de zogenoemd dynamische risico’s) en anderzijds
op risico’s die kunnen leiden tot schade of verlies en die onlosmakelijk verbonden zijn aan de
5
,activiteiten en middelen van een onderneming of instelling (de zogenoemde verzekerbare of
statische risico’s). Beide soorten risico’s worden verder toegelicht in volgend hoofdstuk.
1.4 Redenen voor risicomanagement
- Toegepast door organisaties die structuur willen geven aan de bescherming van hun
continuïteit en de realisatie van hun doelstellingen.
- Ook de bescherming van mensen en hun belangen, zowel werknemers, omwonenden als
afnemers en andere betrokkenen, is een belangrijke motiverende factor.
- Er zijn echter ook een aantal externe invloedsfactoren die de toepassing van
risicomanagement zo niet verplichten, dan toch zeer wenselijk maken. In deze paragraaf
komen enkele van die invloedsfactoren aan de orde.
1.4.1 Wet- en regelgeving
Risicomanagement komt voort uit de behoefte aan veiligheid en zekerheid en veel van de concrete
sprongen in de ontwikkeling van risicomanagement waren een reactie op omvangrijke rampen. Ook
maatschappelijke ontwikkelingen en wetgeving hebben een impuls gegeven aan de toename van de
belangstelling voor risicomanagement.
Wetgeving relevant voor risicomanagement
Wetgeving waaruit het belang van risicomanagement indirect voortvloeit, betreft onder andere de in
1970 in de Verenigde Staten ingevoerde ‘Occupation Safety and Health Administration’ en de
ontwikkeling van de aansprakelijkheidswetgeving- en jurisprudentie. Ook in Europa is de
ontwikkeling van het aansprakelijkheidsrecht voor veel bedrijven en organisaties aanleiding geweest
om vooral met aansprakelijkheidsrisico’s steeds zorgvuldiger om te gaan. Denk aan de
arbeidswetgeving met bijbehorende uitvoeringsbesluiten, die bedrijven en instellingen steeds
nadrukkelijker dwingen tot een goed gestructureerd risicomanagement inzake arbeidsongevallen en
beroepsziekten.
Wetgeving waar risicomanagement direct uit voortvloeit
Naast de hier besproken wetgeving, waaruit het belang van risicomanagement direct voortvloeit, is
er ook wet- en regelgeving die organisaties rechtstreeks verplicht tot het toepassen van
risicomanagement.
Corporate-governanceregels
Een wet die organisaties rechtstreeks verplicht tot het toepassen van risicomanagement, is
bijvoorbeeld de in 2002 aangenomen (Amerikaanse) wet Sarbanes Oxley, die een reactie was op een
aantal financiële schandalen bij grote ondernemingen in de Verenigde Staten en als doelstelling heeft
de transparantie van organisaties te bevorderen. De wet bevat regels voor financiële controle en
bewaking van de integriteit van ondernemingen en heeft geleid tot de opzet van het ‘enterprise risk
management framework’, een raamwerk voor ‘organisatiebreed’ risicomanagement voor
beursgenoteerde ondernemingen.
In Nederland, is in lijn met Sarbanes Oxley en op basis van de aanbevelingen van de Commissie
Tabaksblat eind 2003, de ‘Nederlandse corporate governance code voor beursgenoteerde
ondernemingen van kracht geworden. Deze code is inmiddels door andere private en (semi)publieke
sectoren aangepast voor het gebruik binnen hun eigen gelederen. De Belgische evenknie hiervan is
de corporate-governanceregelgeving die op basis van de aanbevelingen van de Commissie Lippens
per 1 januari 2006 van kracht is geworden. Voorts heeft in België de Commissie Buysse in maart 2005
soortgelijke aanbevelingen uitgebracht voor niet-beursgenoteerde ondernemingen.
Deze corporate-governancecodes richten zich op een verantwoord ondernemingsbestuur en hoewel
de hoofdaandacht daarbij uitgaat naar het strategisch en financieel beheer, valt daaronder ook het
aantoonbar goed en gestructureerd omgaan met risico’s.
6
, International Financial Reporting Standards
Voor beursgenoteerde ondernemingen in de EU is met ingang van 1 januari 2005 de toepassing van
de International Financial Reporting Standards (IFRS) verplicht geworden. Uit deze eisen met
betrekking tot de financiële verslaglegging vloeien impliciet ook enige bepalingen voort over de wijze
waarop met risico’s kan worden omgegaan, in bijzonder waar het gaat om het aanleggen van
reserves met het oog op mogelijke toekomstige schadegevallen uit statistische risico’s. Daarbij raakt,
zoals we hierna nog toelichten, het zelf dragen van risico bij grote ondernemingen steeds meer in
zwang.
Basel-akkoorden
Een andere ontwikkeling wordt gevormd door de Basel-akkoorden. Met de Basel-akkoorden worden
de (inmiddels drie) akkoorden aangeduid die in de afgelopen decennia zijn gesloten door het Basel
Comité voor internationaal banktoezicht. De akkoorden zijn geïnitieerd door (neerwaartse)
bewegingen van de solvabiliteit van financiële markten en hebben als doel internationale
voorschriften te formuleren voor het vormen van voldoende kapitaalreserves bij banken. De
bedoeling ervan is de financiële veiligheid en gedegenheid van banken te bevorderen en daarmee de
stabiliteit van de financiële wereld als geheel te versterken. Zo verplichtte het Basel I-akkoord banken
om bij toekenning van een krediet telkens een vast percentage van 8% van de gewogen vordering in
de vorm van eigen vermogen te reserveren. Het Basel II-akkoord werkt deze bepaling verder uit door
de kapitaaleis te relateren aan het risicoprofiel van de kredietaanvrager.
In Basel II worden onder meer regels gesteld met betrekking tot het bij de schuldenaar aanwezige
eigen vermogen bij het verstrekken van bedrijfskredieten. Verder is het niveau van de voor de
kredieten te betalen rente niet voor ieder bedrijf hetzelfde, maar is dit afhankelijk van de
kredietwaardigheid. Voor de bepaling van kredietwaardigheid wordt rekening gehouden met het
eigen vermogen, maar ook met factoren als bedrijfsvoering, concurrentiekracht, de in het bedrijf
aanwezige risico’s en de wijze waarop met de risico’s wordt omgegaan.
Om goed voorbereid te zijn op de regels van Basel II, moeten bedrijven goed naar hun risicograad
kijken en, indien een beroep op een bedrijfskrediet bij een financiële instelling wordt overwogen,
zorgen voor een zo gunstig mogelijke risicosituatie in het bedrijf, waaronder ook een zorgvuldige
revisie van schadepreventieniveaus en verzekeringsarrangementen.
Als reactie op de recente financiële crisis heeft het comité het Basel III-akkoord gepubliceerd, dat de
kapitaaleisen voor banken verder verhoogt. De gedachte erachter is dat banken een grotere buffer
moeten hebben voor tijden waarin de situatie op de (financiële) markten verslechtert.
Hoewel de Basel-akkoorden zich in de eerste plaats richten op de bankwereld, zijn de gevolgen voor
het bedrijfsleven als klant van die bankwereld niet te onderschatten. Vooral wanneer het gaat om
kredietverstrekking, richt de aandacht van de banken zich meer dan voorheen op de wijze waarop ij
de bedrijven wordt omgegaan met risico’s.
Solvency II-richtlijn
Tot slot publiceerde de EU in 2009 de Solvency II-richtlijn voor de verzekeringsindustrie. Deze richtlijn
is erop gericht om, net als de Basel-akkoorden, de solvabiliteit van verzekeraars en daarmee de
uitkeringszekerheid van verzekerden te beschermen. De richtlijn bestaat uit drie pilaren die de
volgende onderwerpen regelen:
1. Financiële eisen (bijvoorbeeld voorzieningen die een verzekeraar moet aanhouden)
2. Eisen ten aanzien van governance, risicomanagement en supervisie
3. Eisen ten aanzien van rapportage en transparantie
7
1 Risico’s en risicomanagement – introductie en ontwikkeling..............................................................4
1.1 Behoefte aan zekerheid................................................................................................................4
1.2 Introductie van het begrip risico...................................................................................................5
1.3 Globale begripsbepaling risicomanagement.................................................................................5
1.4 Redenen voor risicomanagement.................................................................................................6
1.4.1 Wet- en regelgeving...............................................................................................................6
1.4.2 Verzekeringsindustrie............................................................................................................8
1.5 Ontwikkeling van risicomanagement............................................................................................8
1.5.1 Organisaties en richtlijnen.....................................................................................................8
1.5.2 Opkomst van enterprise risk management............................................................................9
1.5.3 Management van verzekerbare risico’s versus ERM..............................................................9
1.5.4 Expertise in risicomanagement................................................................................................10
Samenvatting....................................................................................................................................10
2 Risico’s nader beschouwd..................................................................................................................11
2.1 Definities en beschouwingen van risico’s...................................................................................11
2.1.1 Definitie en formule van risico’s..........................................................................................11
2.1.2 Bedreigingen........................................................................................................................12
2.2 Dynamische en statistische risico’s.............................................................................................14
2.2.1 Dynamische risico’s..............................................................................................................14
2.2.2 Statische risico’s...................................................................................................................14
2.2.3 Relevantie van het onderscheid tussen statische en dynamische risico’s............................15
2.3 Soorten risico’s en risicocategorieën..........................................................................................16
2.4 Indeling van risico’s naar grootte................................................................................................16
3 Risicomanagement, wat is dat?.........................................................................................................18
3.1 Definitie van risicomanagement.................................................................................................18
3.1.1 Definitie enterprise risk management in COSO...................................................................18
3.1.2 Definitie gehanteerd in dit boek..........................................................................................18
3.2 Doelstellingen van risicomanagement........................................................................................19
3.2.1 Strategische doelstellingen..................................................................................................19
3.2.2 Risicomanagementdoelstellingen........................................................................................20
3.3 Risicomanagementbeleid...........................................................................................................21
3.3.1 Onderdelen risicomanagementbeleid.................................................................................21
3.3.2 Randvoorwaarden voor een goed managementbeleid........................................................21
3.4 Plaats van risicomanagement in de organisatie..........................................................................21
1
, 3.4.1 Risicomanager.....................................................................................................................22
3.4.2 Taken van de risicomanager...............................................................................................22
3.4.3 Onderscheid rol risicomanager bij statische en dynamische risico’s...................................23
3.5 Risicomanagementproces...........................................................................................................23
3.5.1 Risicomanagement en de planning-en-controlcyclus..........................................................23
3.5.2 Signaleren van risico’s bij strategieformulering...................................................................24
3.5.3 Realisatie van risicodoelstellingen en terugkoppeling.........................................................24
3.5.4 Bijsturing..............................................................................................................................24
3.6 Bewaking van het proces............................................................................................................24
6 Risico-evaluatie..................................................................................................................................26
6.1.1 Bedreiging voor realisatie van doelstellingen......................................................................26
6.1.2 Kwalitatieve en kwantitatieve bepaling van kans en gevolg................................................26
6.1.3 Kwalitatieve versus kwantitatieve evaluatie van risico’s.....................................................26
6.2 Relatie tussen de kans en de omvang van de schade.................................................................26
6.2.1 Risico: kans en gevolg..........................................................................................................27
6.2.2 Risico: kans, frequentie en gevolg........................................................................................27
6.3 Kwantitatieve evaluatie van risico’s en risicoportefeuilles nader beschouwd............................28
6.3.1 Kans op schade....................................................................................................................28
6.3.2 Risico’s met een lage schadefrequentie...............................................................................28
6.3.3 Enkele benaderingen van kansberekening..........................................................................29
6.3.4 Risico’s met een hoge schadefrequentie.............................................................................29
6.3.5 Omgaan met grote hoeveelheden gegevens.......................................................................29
6.4 Scenariodenken..........................................................................................................................29
6.4.1 Oorzaak-gevolganalyses.......................................................................................................29
6.4.2. Vaststellen van de mogelijke omvang van schade..............................................................29
6.4.3 Schadeverwachtingsscenario’s in de verzekeringsindustrie................................................29
6.5 Risico’s bij de risicoanalyse.........................................................................................................29
7 Risico aan banden gelegd..................................................................................................................31
7.1 Algemene aspecten van het schadepreventiebeleid..................................................................31
7.1.1 Plaats en taak van de risicomanager bij schadepreventie...................................................31
7.1.2 Aspecten van schadepreventie............................................................................................31
7.1.3 Budget.................................................................................................................................31
7.1.4 Delegeren en monitoren......................................................................................................33
7.1.5 Wettelijke voorschriften......................................................................................................33
7.1.6 Onzekerheden van menselijke en technische aard..............................................................33
7.1.7 Menselijke paradox..............................................................................................................34
2
,7.2 Vermijden van risico’s.................................................................................................................34
7.2.1 Vermijden door afstoten......................................................................................................34
7.2.2 Vermijden door verandering................................................................................................34
7.3 Verminderen van risico’s............................................................................................................35
7.3.1 Algemene maatregelen om risico’s te verminderen............................................................35
7.3.2 Instructie en opleiding van medewerkers............................................................................35
7.3.3 Praktische training...............................................................................................................36
7.3.4 Continuïteitsplan.................................................................................................................36
7.3.5 Instructie aan derden...........................................................................................................36
7.3.6 Onderverdeling van activiteiten in plan voor risicovermindering........................................37
7.3.7 Financiering van het risicoverminderingsplan.....................................................................37
3
,1 Risico’s en risicomanagement – introductie en
ontwikkeling
In de moderne samenleving hebben ondernemingen en instellingen te maken met onzekerheden die
steeds complexer van aard zijn en die steeds ingrijpendere gevolgen hebben. Daarnaast toont de
maatschappij een sterke behoefte aan zekerheid en zij probeert risico’s zo veel mogelijk te beperken
en waar mogelijk te elimineren. Als antwoord hierop is in de jaren zestig van de vorige eeuw een
speciale managementdiscipline tot ontwikkeling gekozen: risk management.
Inmiddels zijn er verscheidende gespecialiseerde vormen ontstaan, die zich ook met niet-
verzekerbare risico’s bezighouden. Zo kennen we ‘financial risk management’, ‘project risk
management’ en ‘enterprise risk management’. Deze laatste vorm van risk management combineert
het management van allerlei soorten risico’s, zoals strategischse, financiële en marktrisico’s en van
verzekerbare risico’s, en kan gezien worden als een organisatiebrede paraplu waar alle
risicomanagementinspanningen onder vallen. In dit boek gaan we uit van enterprise risk
management, maar leggen we ook enkele accenten op het beheer van de verzekerbare risico’s. dit
doen we omdat verzekerbare risico’s omvangrijke operationele risico’s van een onderneming
omvatten en het beheersen van deze risico’s de ontwikkeling van risicomanagement oorspronkelijk
heeft geïnitieerd.
1.1 Behoefte aan zekerheid
In het dagelijkse bestaan gaan mensen ervan uit dat de dingen die ze doen of willen, meestal wel
goed gaan. Zeker bewoners van ontwikkelde landen zijn gewend geraakt aan een hoog niveau van
welvaart en in het algemeen ook van welzijn.
Ook al gedragen mensen zich in hun dagelijkse leven niet altijd risicomijdend en doordacht,
vooropgesteld kan desondanks worden dat de behoefte aan zekerheid tot de belangrijkste behoeften
van mensen gerekend mag worden.
De bekende psycholoog Abraham Maslow onderscheidt vijf fundamentele typen van menselijke
behoeften, die qua belangrijkheid zijn te rangschikken op verschillende niveaus van een hiërarchie
(Zie figuur 1.1). Zolang iemands basisbehoeften aan de onderkant van de hiërarchie niet zijn
bevredigd, eisen die zijn aandacht op en laten de overige behoeften hem min of meer koud.
Risico’s zijn er altijd geweest. Deskundigen hebben echter systemen gebouwd en structuren
geschapen, waardoor de kans om getroffen te worden door enig onheil, drastisch is afgenomen. De
perfectie en de betrouwbaarheid van die systemen is erg groot en het vertrouwen erin is – soms niet
geheel terecht – vaak onbegrensd. De complexiteit ervan is echter ook enorm, zo groot zelfs, dat de
beheersbaarheid van die systemen het menselijk vermogen soms te boven gaat.
4
,Mensen proberen risico’s te interpreteren vanuit hun ervaringskader. Vaak houdt dat in dat ze de
verschijnselen terugbrengen tot gebeurtenissen die al vaker hebben plaatsgevonden.
1.2 Introductie van het begrip risico
In de ‘dikke Van Dale’ wordt een risico omschreven als het gevaar van schade of verlies. In deze
beschrijving staan twee componenten, te weten: gevaar en schade of verlies. De eerste component
‘gevaar’ impliceert onzekerheid over de uitkomst. Onzekerheid is dan ook een vereiste om een
gebeurtenis of omstandigheid als risico te bestempelen. De tweede component ‘schade’ of ‘verlies’
toont dat we met risico’s een gebeurtenis met een negatieve uitkomst duiden. Onzekere
gebeurtenissen met negatieve gevolgen kunnen voorkomen op alle vlakken: in de natuur, in de
privélevens van mensen en binnen organisaties, bedrijven en maatschappijen. Dit boek richt zich op
zakelijke risico’s en risicomanagement en zal voornamelijk risico’s van organisaties en bedrijven
behandelen.
1.3 Globale begripsbepaling risicomanagement
Van oudsher hebben mensen moeten leven onder omstandigheden die allerlei onzekerheden met
zich meebrachten. In de westerse maatschappij, zijn mensen erin geslaagd redelijke zekerheden te
schappen waar het gaat om de primaire levensbehoeften. Ze hebben geleerd om te gaan met de
risico’s die het vervullen van deze primaire levensbehoeften bedreigen.
De westerse samenleving is voortdurend op zoek naar mogelijkheden om steeds beter te voorzien in
levensbehoeften van de moderne mens en de kwaliteit van leven te verbeteren. Daartoe hebben ze
ingewikkelde systemen en structuren geschapen, waardoor en waaruit weer nieuwe risico’s zijn
ontstaan. Deze nieuwe risico’s en de aard van de belangen die eraan onderhevig zijn, brengen met
zich mee dat het calamiteitenkarakter ervan is toegenomen. De overbekende rampen en bijna-
rampen die in het recente verleden hebben plaatsgevonden, zijn daarvan voorbeelden.
Tot op de dag van vandaag lijden mensen schade door grote branden of zware stormen, maar ook
door achteraf verkeerde strategische beslissingen of onvoldoende toezicht.
Omvangrijke calamiteiten vormen slechts het topje van een ijsberg van risicoproblemen, waarvan het
merendeel de publiciteit niet haalt, maar waarmee iedereen geconfronteerd kan worden. In het
bedrijfsleven en in publieke instellingen wordt dit inmiddels volledig onderkend. Dit besef heeft
geleid tot het ontwikkelen van het managementconcept dat bekend staat als risicomanagement.
De term ‘risicomanagement’ is een vlag, die verschillende ladingen dekt. Zo wordt het woord
‘risicomanagement’ gebruikt voor de analyse en de beheersing van de risico’s die zijn verbonden aan
een beleggingsportefeuille, aan investeringen en aan kredietverlening, kortom het omgaan met
allerlei zuiver financiële risico’s. In de industriële sector staat de term risicomanagement met name
voor alle maatregelen die zijn gericht op het borgen van de kwaliteit, continuïteit en veiligheid van
processen en producten. In de accountancy heeft risicomanagement vooral betrekking op het al dan
niet voldoen aan voorschriften voor de bedrijfsvoering en verslaglegging (‘compliance’). Bij het
projectmatig werken zoals in de bouw- of ICT-sector, is risicomanagement gericht op de bescherming
van de projectdoelstellingen in termen van budget, tijd en kwaliteit. Juristen zien risicomanagement
vaak als synoniem voor juridische controlling, met name gericht op de analyse en beheersing van
aansprakelijkheidsrisico’s en de juridische onaanvechtbaarheid van concracten.
Naast deze specifieke vormen van risicomanagement, heeft risicomanagement zich ontwikkeld als
onlosmakelijk onderdeel van de algemene aansturing van een onderneming of instelling. Deze
‘algemene’ vorm van risicomanagement is erop gericht de realisatie van de doelstellingen en het
voortbestaan van de onderneming te beschermen en heeft enerzijds betrekking op
ondernemersrisico’s en zoals strategische risico’s (de zogenoemd dynamische risico’s) en anderzijds
op risico’s die kunnen leiden tot schade of verlies en die onlosmakelijk verbonden zijn aan de
5
,activiteiten en middelen van een onderneming of instelling (de zogenoemde verzekerbare of
statische risico’s). Beide soorten risico’s worden verder toegelicht in volgend hoofdstuk.
1.4 Redenen voor risicomanagement
- Toegepast door organisaties die structuur willen geven aan de bescherming van hun
continuïteit en de realisatie van hun doelstellingen.
- Ook de bescherming van mensen en hun belangen, zowel werknemers, omwonenden als
afnemers en andere betrokkenen, is een belangrijke motiverende factor.
- Er zijn echter ook een aantal externe invloedsfactoren die de toepassing van
risicomanagement zo niet verplichten, dan toch zeer wenselijk maken. In deze paragraaf
komen enkele van die invloedsfactoren aan de orde.
1.4.1 Wet- en regelgeving
Risicomanagement komt voort uit de behoefte aan veiligheid en zekerheid en veel van de concrete
sprongen in de ontwikkeling van risicomanagement waren een reactie op omvangrijke rampen. Ook
maatschappelijke ontwikkelingen en wetgeving hebben een impuls gegeven aan de toename van de
belangstelling voor risicomanagement.
Wetgeving relevant voor risicomanagement
Wetgeving waaruit het belang van risicomanagement indirect voortvloeit, betreft onder andere de in
1970 in de Verenigde Staten ingevoerde ‘Occupation Safety and Health Administration’ en de
ontwikkeling van de aansprakelijkheidswetgeving- en jurisprudentie. Ook in Europa is de
ontwikkeling van het aansprakelijkheidsrecht voor veel bedrijven en organisaties aanleiding geweest
om vooral met aansprakelijkheidsrisico’s steeds zorgvuldiger om te gaan. Denk aan de
arbeidswetgeving met bijbehorende uitvoeringsbesluiten, die bedrijven en instellingen steeds
nadrukkelijker dwingen tot een goed gestructureerd risicomanagement inzake arbeidsongevallen en
beroepsziekten.
Wetgeving waar risicomanagement direct uit voortvloeit
Naast de hier besproken wetgeving, waaruit het belang van risicomanagement direct voortvloeit, is
er ook wet- en regelgeving die organisaties rechtstreeks verplicht tot het toepassen van
risicomanagement.
Corporate-governanceregels
Een wet die organisaties rechtstreeks verplicht tot het toepassen van risicomanagement, is
bijvoorbeeld de in 2002 aangenomen (Amerikaanse) wet Sarbanes Oxley, die een reactie was op een
aantal financiële schandalen bij grote ondernemingen in de Verenigde Staten en als doelstelling heeft
de transparantie van organisaties te bevorderen. De wet bevat regels voor financiële controle en
bewaking van de integriteit van ondernemingen en heeft geleid tot de opzet van het ‘enterprise risk
management framework’, een raamwerk voor ‘organisatiebreed’ risicomanagement voor
beursgenoteerde ondernemingen.
In Nederland, is in lijn met Sarbanes Oxley en op basis van de aanbevelingen van de Commissie
Tabaksblat eind 2003, de ‘Nederlandse corporate governance code voor beursgenoteerde
ondernemingen van kracht geworden. Deze code is inmiddels door andere private en (semi)publieke
sectoren aangepast voor het gebruik binnen hun eigen gelederen. De Belgische evenknie hiervan is
de corporate-governanceregelgeving die op basis van de aanbevelingen van de Commissie Lippens
per 1 januari 2006 van kracht is geworden. Voorts heeft in België de Commissie Buysse in maart 2005
soortgelijke aanbevelingen uitgebracht voor niet-beursgenoteerde ondernemingen.
Deze corporate-governancecodes richten zich op een verantwoord ondernemingsbestuur en hoewel
de hoofdaandacht daarbij uitgaat naar het strategisch en financieel beheer, valt daaronder ook het
aantoonbar goed en gestructureerd omgaan met risico’s.
6
, International Financial Reporting Standards
Voor beursgenoteerde ondernemingen in de EU is met ingang van 1 januari 2005 de toepassing van
de International Financial Reporting Standards (IFRS) verplicht geworden. Uit deze eisen met
betrekking tot de financiële verslaglegging vloeien impliciet ook enige bepalingen voort over de wijze
waarop met risico’s kan worden omgegaan, in bijzonder waar het gaat om het aanleggen van
reserves met het oog op mogelijke toekomstige schadegevallen uit statistische risico’s. Daarbij raakt,
zoals we hierna nog toelichten, het zelf dragen van risico bij grote ondernemingen steeds meer in
zwang.
Basel-akkoorden
Een andere ontwikkeling wordt gevormd door de Basel-akkoorden. Met de Basel-akkoorden worden
de (inmiddels drie) akkoorden aangeduid die in de afgelopen decennia zijn gesloten door het Basel
Comité voor internationaal banktoezicht. De akkoorden zijn geïnitieerd door (neerwaartse)
bewegingen van de solvabiliteit van financiële markten en hebben als doel internationale
voorschriften te formuleren voor het vormen van voldoende kapitaalreserves bij banken. De
bedoeling ervan is de financiële veiligheid en gedegenheid van banken te bevorderen en daarmee de
stabiliteit van de financiële wereld als geheel te versterken. Zo verplichtte het Basel I-akkoord banken
om bij toekenning van een krediet telkens een vast percentage van 8% van de gewogen vordering in
de vorm van eigen vermogen te reserveren. Het Basel II-akkoord werkt deze bepaling verder uit door
de kapitaaleis te relateren aan het risicoprofiel van de kredietaanvrager.
In Basel II worden onder meer regels gesteld met betrekking tot het bij de schuldenaar aanwezige
eigen vermogen bij het verstrekken van bedrijfskredieten. Verder is het niveau van de voor de
kredieten te betalen rente niet voor ieder bedrijf hetzelfde, maar is dit afhankelijk van de
kredietwaardigheid. Voor de bepaling van kredietwaardigheid wordt rekening gehouden met het
eigen vermogen, maar ook met factoren als bedrijfsvoering, concurrentiekracht, de in het bedrijf
aanwezige risico’s en de wijze waarop met de risico’s wordt omgegaan.
Om goed voorbereid te zijn op de regels van Basel II, moeten bedrijven goed naar hun risicograad
kijken en, indien een beroep op een bedrijfskrediet bij een financiële instelling wordt overwogen,
zorgen voor een zo gunstig mogelijke risicosituatie in het bedrijf, waaronder ook een zorgvuldige
revisie van schadepreventieniveaus en verzekeringsarrangementen.
Als reactie op de recente financiële crisis heeft het comité het Basel III-akkoord gepubliceerd, dat de
kapitaaleisen voor banken verder verhoogt. De gedachte erachter is dat banken een grotere buffer
moeten hebben voor tijden waarin de situatie op de (financiële) markten verslechtert.
Hoewel de Basel-akkoorden zich in de eerste plaats richten op de bankwereld, zijn de gevolgen voor
het bedrijfsleven als klant van die bankwereld niet te onderschatten. Vooral wanneer het gaat om
kredietverstrekking, richt de aandacht van de banken zich meer dan voorheen op de wijze waarop ij
de bedrijven wordt omgegaan met risico’s.
Solvency II-richtlijn
Tot slot publiceerde de EU in 2009 de Solvency II-richtlijn voor de verzekeringsindustrie. Deze richtlijn
is erop gericht om, net als de Basel-akkoorden, de solvabiliteit van verzekeraars en daarmee de
uitkeringszekerheid van verzekerden te beschermen. De richtlijn bestaat uit drie pilaren die de
volgende onderwerpen regelen:
1. Financiële eisen (bijvoorbeeld voorzieningen die een verzekeraar moet aanhouden)
2. Eisen ten aanzien van governance, risicomanagement en supervisie
3. Eisen ten aanzien van rapportage en transparantie
7
