My Essay

Analyse en beheersing van risico’s

Written by

A.B.M. van Kempen

in

Risico en risk appetite in context

Risico’s krijgen pas betekenis wanneer zij worden bezien in relatie tot doelstellingen, context en bestuurlijke keuzes. Risicoanalyse is daarom geen op zichzelf staande exercitie, maar een manier om inzicht te krijgen in waar en waarom de organisatie kwetsbaar is, en in hoeverre die kwetsbaarheid aanvaardbaar wordt geacht.

Een praktisch hanteerbare risicoanalyse kent in dit verband een samenhangende structuur die begint bij het bruto risico en eindigt bij de beoordeling van het netto risico ten opzichte van de geldende risk appetite.

Risico

Een risico kan worden omschreven als de mogelijkheid dat een gebeurtenis of omstandigheid de realisatie van doelstellingen negatief beïnvloedt. In veel benaderingen wordt risico daarbij uitgedrukt als een combinatie van kans en impact. Deze benadering is behulpzaam om risico’s te structureren, maar kent ook duidelijke beperkingen.

In sectoren waar risico’s goed kwantificeerbaar zijn, zoals in delen van de financiële sector, kan risicoanalyse in belangrijke mate kwantitatief worden ingevuld. Kans en impact laten zich daar vaak in geld, frequenties of bandbreedtes uitdrukken. In professionele dienstverlening, en in het bijzonder in de accountancy, is een dergelijke kwantificering slechts beperkt mogelijk. Veel risico’s hebben betrekking op kwaliteit, oordeelsvorming, gedrag en reputatie, en laten zich niet zinvol reduceren tot cijfers.

In die context is risicoanalyse primair kwalitatief van aard. Kans en impact worden niet exact berekend, maar ingeschat op basis van professionele ervaring, inzicht in processen en begrip van de organisatorische context. Pogingen om dergelijke risico’s alsnog te kwantificeren, bijvoorbeeld door scores of gewichten toe te kennen, creëren vaak een schijnzekerheid die het inzicht niet vergroot.

Naast negatieve gevolgen kan risico ook een positieve dimensie hebben. Upside risk ziet op de mogelijkheid dat onzekerheid juist leidt tot kansen, bijvoorbeeld door innovatie, groei of nieuwe dienstverlening. Downside risk betreft de potentiële negatieve gevolgen van diezelfde onzekerheid. In professionele dienstverlening is het doorgaans de downside risk die centraal staat in compliance en risicobeheersing, omdat deze raakt aan kwaliteit, integriteit en publieke belangen. Upside risk speelt vooral een rol in strategische besluitvorming en behoort primair tot het domein van het bestuur.

Bruto risico

Het bruto risico betreft het risico dat zich zou voordoen indien geen enkele vorm van risicobeheersing aanwezig zou zijn. Het gaat hierbij om de aard en omvang van potentiële negatieve gevolgen, los van bestaande maatregelen, processen of controles. Bruto risico’s maken zichtbaar waar de organisatie van nature kwetsbaar is, gegeven haar diensten, cliënten, markten en werkwijze.

Bruto risk appetite

De bruto risk appetite geeft een indicatie van de mate waarin het bestuur bereid is risico’s te accepteren vóór toepassing van beheersmaatregelen. Deze appetite fungeert niet als directe stuurvariabele, maar als interpretatiekader. Zij zegt iets over de bestuurlijke houding ten opzichte van risico’s en de mate waarin men bereid is “stoer in de wedstrijd te staan”.

Voor toezichthouders en andere belanghebbenden biedt de bruto risk appetite inzicht in:

  • de risicobereidheid van het bestuur;
  • de mate waarin risico’s bewust worden opgezocht of juist vermeden;
  • en het risico dat men bereid is te lopen indien beheersmaatregelen (tijdelijk) falen.

De combinatie van een hoge bruto risk appetite met een lage netto risk appetite duidt op een organisatie die bereid is risico’s aan te gaan, maar sterk inzet op beheersing. Een lage bruto risk appetite wijst juist op een defensieve houding, waarbij risico’s al in een vroeg stadium worden vermeden.

Interne risicobeheersing

Interne risicobeheersing omvat het geheel aan maatregelen, processen, controles en gedragsnormen dat is ingericht om risico’s te mitigeren. Deze beheersing kan zowel formeel als informeel van aard zijn en strekt zich uit over verschillende organisatieniveaus. De effectiviteit van interne beheersing bepaalt in belangrijke mate in hoeverre bruto risico’s worden teruggebracht.

Opzet, bestaan en werking

Bij de beoordeling van interne risicobeheersing is het van belang onderscheid te maken tussen opzetbestaan en werking van beheersmaatregelen. Dit onderscheid voorkomt dat conclusies worden getrokken op basis van schijnbare effectiviteit en maakt inzichtelijk waar beheersing daadwerkelijk tekortschiet.

Opzet ziet op de vraag of een beheersmaatregel, indien deze correct zou functioneren, het onderliggende risico daadwerkelijk mitigeert. Het gaat hier om de logische en inhoudelijke geschiktheid van de maatregel. Een maatregel kan correct zijn uitgevoerd en consequent worden toegepast, maar alsnog onvoldoende bijdragen aan het beheersen van het beoogde risico wanneer de opzet tekortschiet.

Bestaan betreft de vraag of de beheersmaatregel daadwerkelijk is geïmplementeerd. Een goed ontworpen maatregel die slechts op papier bestaat, draagt niet bij aan risicobeheersing. Bestaan heeft daarmee betrekking op de feitelijke aanwezigheid van processen, controles of afspraken binnen de organisatie.

Werking ziet op de vraag of de maatregel in de praktijk functioneert zoals bedoeld. Hierbij gaat het om de effectiviteit van de maatregel zoals deze is geïmplementeerd: wordt de maatregel consistent toegepast, en leidt dit tot het beoogde effect?

Het onderscheid tussen deze drie aspecten is van belang omdat zij niet vanzelfsprekend samenlopen. In het bijzonder kan een situatie ontstaan waarin een maatregel aantoonbaar werkt, maar in opzet onvoldoende is afgestemd op het onderliggende risico. In dergelijke gevallen bestaat het risico dat incidenten uitblijven door toeval of aanvullende omstandigheden, terwijl het fundamentele risico onvoldoende is beheerst. Dit kan leiden tot een vals gevoel van zekerheid.

Een zorgvuldige risicoanalyse vereist daarom dat beheersmaatregelen niet alleen worden beoordeeld op hun feitelijke werking, maar ook expliciet worden getoetst op hun opzet en bestaan.

Netto risico en netto risk appetite

Het netto risico is het risico dat resteert na toepassing van de interne beheersingsmaatregelen. Dit risico wordt afgezet tegen de netto risk appetite: het niveau van risico dat de organisatie daadwerkelijk bereid is te accepteren.

De netto risk appetite vormt daarmee het daadwerkelijke toetsingskader. Zij is bepalend voor de vraag of aanvullende maatregelen nodig zijn, of dat het resterende risico als aanvaardbaar wordt beschouwd.

Gap-analyse

De vergelijking tussen het netto risico en de netto risk appetite resulteert in een gap-analyse. Deze analyse maakt zichtbaar waar sprake is van een overschrijding van de acceptabele risicogrenzen. Niet de omvang van het risico op zichzelf is daarbij doorslaggevend, maar het verschil tussen gewenst en feitelijk risiconiveau.

Strategische, tactische en operationele risico’s

Binnen professionele dienstverlening is het gebruikelijk onderscheid te maken tussen strategische, tactische en operationele risico’s. Dit onderscheid helpt om risico’s te plaatsen binnen verschillende organisatieniveaus en maakt zichtbaar waar keuzes worden gemaakt en waar effecten zich manifesteren.

Strategische risico’s

Strategische risico’s hebben betrekking op keuzes die het bestuur maakt ten aanzien van de koers en positionering van de organisatie. Deze risico’s hangen samen met onder meer:

  • het dienstenportfolio;
  • de doelgroepen en markten waarin wordt geopereerd;
  • groeiambities, fusies en overnames;
  • beloningsstructuren en verdienmodellen;
  • en de wijze waarop kwaliteit en integriteit worden gewogen ten opzichte van commerciële doelstellingen.

Strategische risico’s kenmerken zich doordat zij vaak pas op langere termijn zichtbaar worden. De gevolgen manifesteren zich niet zelden op operationeel niveau, terwijl de oorsprong ligt in bestuurlijke keuzes.

Tactische risico’s

Tactische risico’s zien op de inrichting van de organisatie en de vertaling van strategische keuzes naar structuren, processen en systemen. Het betreft onder meer:

  • de inrichting van werkprocessen;
  • de verdeling van verantwoordelijkheden en bevoegdheden;
  • de beschikbaarheid van capaciteit en expertise;
  • de ondersteuning door IT-systemen;
  • en de wijze waarop beleid wordt uitgewerkt in procedures en richtlijnen.

Tactische risico’s bepalen in belangrijke mate of strategische keuzes uitvoerbaar zijn. Onvoldoende doordachte inrichting kan ertoe leiden dat operationele risico’s structureel toenemen.

Operationele risico’s

Operationele risico’s doen zich voor in de dagelijkse uitvoering van werkzaamheden. Zij hebben betrekking op menselijke fouten, drukte, tijdsgebrek, onduidelijke instructies, systeemfouten en afwijkingen van vastgestelde werkwijzen. Operationele risico’s zijn doorgaans het meest zichtbaar, omdat zij zich manifesteren in incidenten, fouten of klachten.

Operationele risico’s worden in de praktijk vaak afzonderlijk benaderd. Daarbij wordt echter gemakkelijk over het hoofd gezien dat veel operationele problemen het gevolg zijn van strategische of tactische keuzes die eerder zijn gemaakt.

Risicodomeinen binnen professionele dienstverlening

Bij de analyse en beheersing van risico’s binnen professionele dienstverleners is het behulpzaam onderscheid te maken tussen verschillende risicodomeinen. Deze domeinen overlappen elkaar in de praktijk regelmatig, maar hebben elk een eigen invalshoek en dynamiek. In deze paragraaf wordt ingegaan op kwaliteit, integriteit en financiële risico’s.

Kwaliteit als risicodomein

Kwaliteit vormt binnen professionele dienstverlening een kernrisico. Onvoldoende kwaliteit raakt direct aan het vertrouwen van cliënten, toezichthouders en het maatschappelijk verkeer, en kan leiden tot tuchtrechtelijke, civielrechtelijke en reputatieschade. Om kwaliteit hanteerbaar te maken, is het noodzakelijk dit begrip concreet te operationaliseren.

Kwaliteit van een geleverde dienst of een product kan in de praktijk langs drie samenhangende vragen worden beoordeeld:

  1. Voldoet de dienst aan de vaktechnische normen die voor die dienst gelden? Dit betreft de inhoudelijke juistheid en zorgvuldigheid van de dienstverlening, bezien vanuit de toepasselijke professionele standaarden, beroepsregels en vaktechnische richtlijnen. Deze normen verschillen per discipline, maar vormen steeds het primaire referentiekader voor de beoordeling van kwaliteit.
  2. Ligt aan de dienst een dossier ten grondslag dat de dienst reproduceerbaar maakt? Reproduceerbaarheid betekent dat een derde, op basis van het dossier, kan begrijpen hoe de dienst tot stand is gekomen. Het gaat daarbij niet uitsluitend om het eindresultaat, maar om de gevolgde redeneringen, gemaakte afwegingen en relevante aannames. Zonder een deugdelijk dossier is kwaliteit niet toetsbaar en daarmee in professionele zin niet aantoonbaar.
  3. Is voldaan aan formele eisen en wettelijke verplichtingen? Dit betreft legal compliance: naleving van toepasselijke wet- en regelgeving, zoals eisen ten aanzien van onafhankelijkheid, privacy, dossierbewaring en andere formele randvoorwaarden. Deze eisen vormen geen substituut voor vaktechnische kwaliteit, maar zijn wel een noodzakelijke voorwaarde.

Deze drie vragen maken zichtbaar dat kwaliteit meer omvat dan inhoudelijke juistheid alleen. Een dienst kan vaktechnisch correct zijn, maar alsnog tekortschieten wanneer zij niet navolgbaar is vastgelegd of wanneer niet aan formele eisen is voldaan.

Dossiervorming bij adviesdiensten

Bij bepaalde adviesdiensten is volledige reproduceerbaarheid van het resultaat niet altijd mogelijk. Strategisch advies, corporate finance-dienstverlening of andere vormen van maatwerkadvies kennen vaak een contextafhankelijk en niet-deterministisch karakter. Dit doet echter niets af aan de eis dat de totstandkoming van de dienst navolgbaar moet zijn.

Ook bij dergelijke diensten moet het dossier ten minste inzicht geven in:

  • de aard en reikwijdte van de opdracht;
  • de relevante feiten en uitgangspunten;
  • de gehanteerde aannames;
  • de gemaakte afwegingen en keuzes;
  • en de wijze waarop tot het uiteindelijke advies is gekomen.

Een praktische toetssteen hierbij is de vraag of de dienstverlening, op basis van het dossier, overtuigend kan worden toegelicht tegenover een derde, zoals een toezichthouder of rechter. Wanneer de totstandkoming van een dienst uitsluitend kan worden gereconstrueerd uit losse e-mails of een persoonlijke inbox, ontbreekt een dossier in professionele zin. Dossiervorming is geen archief van communicatie, maar een gestructureerde geschiedschrijving van professioneel handelen.

Integriteit als risicodomein

Integriteitsrisico’s hebben betrekking op de wijze waarop professionals omgaan met belangenconflicten, onafhankelijkheid, vertrouwelijkheid en ethische afwegingen. Deze risico’s manifesteren zich niet uitsluitend in incidenten, maar ook in structurele keuzes, beloningsprikkels en cultuur. Integriteit is daarmee zowel een individueel als organisatorisch risicodomein.

Financiële risico’s

Financiële risico’s zien op de continuïteit en weerbaarheid van de organisatie. Hieronder vallen onder meer risico’s met betrekking tot verdienmodellen, aansprakelijkheden, claims, financiering en afhankelijkheden van cliënten of markten. Financiële risico’s staan zelden op zichzelf en zijn vaak het gevolg van keuzes binnen andere risicodomeinen, met name kwaliteit en integriteit.

Compliance als legal compliance

In dit verband wordt met compliance uitsluitend legal compliance bedoeld: het voldoen aan toepasselijke wet- en regelgeving. Compliance vormt daarmee geen zelfstandig risicodomein naast kwaliteit en integriteit, maar een randvoorwaarde die deze domeinen doorkruist. De compliancefunctie als organisatorische rol wordt in latere paragrafen afzonderlijk besproken.

Andere perspectieven op kwaliteit

In de literatuur en praktijk bestaan uiteenlopende perspectieven op kwaliteit. Vanuit het perspectief van de cliënt wordt kwaliteit regelmatig gedefinieerd als het voldoen aan verwachtingen, of als ervaren toegevoegde waarde. Dit debat speelt al decennia binnen de professionele dienstverlening en is in zichzelf legitiem.

In het kader van dit hoofdstuk wordt dat perspectief echter niet leidend geacht. De hier gehanteerde benadering van kwaliteit is primair normatief en toetsbaar van aard, en sluit aan bij de wijze waarop kwaliteit wordt beoordeeld door toezichthouders, tuchtrechters en in het civiele recht. Het betreft daarmee kwaliteit bezien vanuit het perspectief van compliance en professionele verantwoording, en niet vanuit klanttevredenheid of commerciële waardering.

Risicoreacties

Na het identificeren en analyseren van risico’s volgt de vraag hoe met deze risico’s wordt omgegaan. In de praktijk worden vier basisreacties onderscheiden: accepterenvermijdenoverdragen en beheersen. Deze reacties sluiten aan bij verschillende risicoprofielen en organisatieniveaus en zijn niet onderling hiërarchisch. Het kiezen van een risicoreactie is altijd een bewuste afweging.

Accepteren

Bij het accepteren van een risico wordt het risico bewust aanvaard zonder aanvullende beheersmaatregelen te treffen. Acceptatie impliceert niet dat het risico wordt genegeerd, maar dat het resterende risico wordt beschouwd als aanvaardbaar binnen de geldende risk appetite. Acceptatie kan zowel het gevolg zijn van een expliciete afweging als van de constatering dat verdere beheersing niet doelmatig of proportioneel is.

Vermijden

Vermijden houdt in dat activiteiten of omstandigheden die tot een risico leiden, geheel of gedeeltelijk worden beëindigd of niet worden aangegaan. Deze risicoreactie komt vooral in beeld wanneer risico’s de grenzen van de risk appetite structureel overschrijden of wanneer beheersmaatregelen onvoldoende effectief zijn. Vermijden kan ingrijpende gevolgen hebben voor de dienstverlening of strategische positionering van de organisatie. Vermijden ligt met name voor de hand als keuze wanneer een bruto risico de grenzen van de bruto risk appetite overschrijdt.

Overdragen

Bij overdracht wordt het risico geheel of gedeeltelijk bij een derde partij neergelegd. Dit kan bijvoorbeeld plaatsvinden door middel van verzekeringen, contractuele afspraken of uitbesteding. Overdracht betekent niet dat het risico volledig verdwijnt. In veel gevallen resteert een vorm van rest-risico, bijvoorbeeld ten aanzien van toezicht op de derde partij of reputatie-effecten.

Beheersen

Beheersen betreft het treffen van maatregelen die erop zijn gericht de kans op of de impact van een risico te verminderen. Dit kan variëren van procesaanpassingen en controles tot opleiding, cultuurmaatregelen en governance-interventies. Beheersing is zelden absoluut en vereist voortdurende aandacht om effectief te blijven.

PDCA als leer- en beheersingsmechanisme

De PDCA-cyclus (Plan-Do-Check-Act) wordt binnen professionele dienstverlening veelvuldig gebruikt als kader voor kwaliteitsborging en risicobeheersing. De cyclus biedt een logisch en overzichtelijk model om werkzaamheden te plannen, uit te voeren, te toetsen en waar nodig bij te stellen. In de context van risicobeheersing is PDCA primair te begrijpen als een leer- en verbetermechanisme, en niet als een afzonderlijk controle- of toezichtsinstrument.

PDCA in de eerste lijn

De PDCA-cyclus behoort integraal tot de verantwoordelijkheid van de eerste lijn. Het is de lijn die werkzaamheden uitvoert, risico’s veroorzaakt én beheerst. Dat geldt voor alle fasen van de cyclus. Plan, Do, Check en Act zijn geen afzonderlijke functies, maar onderdelen van één doorlopend proces binnen de primaire dienstverlening.

Het plaatsen van (delen van) de PDCA-cyclus buiten de eerste lijn leidt tot rolverwarring en ondermijnt het leervermogen van de organisatie. In het bijzonder geldt dit voor de Check-fase.

De Check-fase als interne controle

De C uit PDCA betreft de interne toetsing van het eigen handelen. Het gaat hierbij om het vaststellen of werkzaamheden zijn uitgevoerd zoals bedoeld, of beheersmaatregelen zijn toegepast zoals ontworpen, en of uitkomsten aansluiten bij de gestelde normen en verwachtingen.

Voor accountants en aanverwante professionals is deze fase herkenbaar als AO/IB: de administratieve organisatie en interne beheersing zoals die binnen de eerste lijn is ingericht. De Check-fase is daarmee geen externe beoordeling, maar zelfcontrole, ingebed in het primaire proces.

PDCA en risicobeheersing

Binnen het kader van risicobeheersing vervult PDCA een dubbele functie. Enerzijds ondersteunt de cyclus het consistent toepassen van beheersmaatregelen. Anderzijds maakt zij zichtbaar waar beheersing tekortschiet en waar bijsturing nodig is. De effectiviteit van risicobeheersing hangt daarmee in belangrijke mate af van de kwaliteit van de Check- en Act-fasen.

PDCA biedt geen garantie dat risico’s worden uitgesloten. Wel faciliteert de cyclus dat afwijkingen worden gesignaleerd en dat van ervaringen wordt geleerd. In die zin is PDCA geen sluitstuk van risicobeheersing, maar een mechanisme om beheersing voortdurend te toetsen en aan te passen.

Afbakening ten opzichte van monitoring en assurance

Het is van belang PDCA scherp te onderscheiden van monitoring en assurance. Monitoring betreft het volgen en analyseren van processen en uitkomsten door een andere lijn dan de uitvoerende. Assurance ziet op het onafhankelijk geven van zekerheid over de opzet en werking van beheersing.

Deze activiteiten maken geen onderdeel uit van de PDCA-cyclus zelf. Wanneer zij wel als zodanig worden gepositioneerd, ontstaat het risico dat verantwoordelijkheden verschuiven en dat de eerste lijn haar eigen leer- en controlefunctie verliest.

Monitoring, assurance en de lijnen

Bij de analyse en beheersing van risico’s wordt vaak onderscheid gemaakt tussen verschillende organisatielijnen. Dit onderscheid is bedoeld om verantwoordelijkheden te verduidelijken, maar leidt in de praktijk regelmatig tot verwarring, met name waar het gaat om monitoring en assurance.

Monitoring

Monitoring betreft het volgen, analyseren en signaleren van ontwikkelingen in processen, risico’s en beheersmaatregelen. Monitoring wordt uitgevoerd vanuit een andere positie dan de uitvoerende lijn en heeft tot doel inzicht te geven in de mate waarin beheersing functioneert.

Monitoring maakt geen onderdeel uit van de PDCA-cyclus zelf. Waar PDCA is gericht op leren en bijsturen binnen de eerste lijn, is monitoring gericht op het verkrijgen van overzicht en het signaleren van patronen en afwijkingen vanuit een meer afstandelijke positie. Monitoring ondersteunt daarmee het bestuur en management bij hun verantwoordelijkheid voor risicobeheersing, maar vervangt deze niet.

Assurance

Assurance ziet op het onafhankelijk geven van zekerheid over de opzet, het bestaan en de werking van beheersmaatregelen. Dit vereist een positie die losstaat van zowel uitvoering als monitoring. Assurance veronderstelt daarmee het bestaan van een derde lijn.

Binnen veel professionele dienstverleners, en in het bijzonder binnen accountantskantoren, is een dergelijke derde lijn in de praktijk beperkt aanwezig of geheel afwezig. Desondanks wordt in rapportages en governance-structuren regelmatig impliciet uitgegaan van een mate van assurance die feitelijk niet wordt geleverd.

De feitelijke rolverdeling in de praktijk

In de praktijk vervult de compliancefunctie vaak een hybride rol. In plaats van zich primair te richten op monitoring vanuit de tweede lijn, verschuift de compliancefunctie regelmatig naar activiteiten die behoren tot de Check-fase van de PDCA-cyclus binnen de eerste lijn. Daarmee wordt compliance feitelijk onderdeel van de uitvoering, terwijl de formele verantwoordelijkheid bij de eerste lijn blijft liggen.

Deze verschuiving leidt tot een diffuus verantwoordelijkheidsbeeld. De eerste lijn verliest een deel van haar eigen leer- en controlefunctie, terwijl monitoring en assurance onvoldoende tot ontwikkeling komen. Het gevolg is dat risico’s wel worden besproken en gedocumenteerd, maar dat het zicht op de daadwerkelijke effectiviteit van beheersing beperkt blijft.

Gevolgen voor risicobeheersing

Wanneer monitoring en assurance niet helder zijn gepositioneerd, ontstaat het risico dat een organisatie zichzelf een mate van zekerheid toedicht die niet wordt waargemaakt. Het onderscheid tussen uitvoeren, volgen en beoordelen vervaagt, waardoor tekortkomingen in beheersing pas laat of niet worden onderkend.

Een zorgvuldige risicoanalyse en -beheersing vereist daarom niet alleen aandacht voor maatregelen en processen, maar ook voor de positie van degene die deze observeert en beoordeelt.

Audit, onderzoek en RCA

Binnen het kader van risicobeheersing worden verschillende vormen van toetsing en analyse gebruikt. Audit, onderzoek en Root Cause Analysis (RCA) worden in de praktijk regelmatig door elkaar gehaald, terwijl zij een wezenlijk verschillende functie hebben. Een scherp onderscheid is nodig om deze instrumenten effectief en proportioneel in te zetten.

Audit

Een audit is gericht op het toetsen van de opzet, het bestaan en de werking van processen en beheersmaatregelen aan vooraf vastgestelde normen of criteria. De kern van een audit is normgerichtheid: het oordeel ontstaat door vergelijking met een referentiekader.

Audits zijn bij uitstek geschikt om vast te stellen of beheersing aanwezig is en functioneert, maar minder geschikt om te verklaren waarom afwijkingen optreden. In het kader van risicobeheersing levert een audit daarmee inzicht in de mate van beheersing, niet in de achterliggende oorzaken van tekortkomingen.

Onderzoek

Onderzoek richt zich op het vaststellen van feiten en omstandigheden rondom een concrete gebeurtenis, melding of incident. Het doel is reconstructie: wat is er gebeurd, wanneer, door wie en onder welke omstandigheden.

In tegenstelling tot audit is onderzoek niet primair normatief, maar descriptief. Het resultaat van een onderzoek is een feitelijk beeld, dat als basis kan dienen voor verdere beoordeling of besluitvorming. Onderzoek kan zowel binnen als buiten een formele auditcontext plaatsvinden.

Root Cause Analysis

Root Cause Analysis is gericht op het begrijpen van de onderliggende oorzaken van een probleem of incident. Waar audit en onderzoek zich richten op wat er is gebeurd of of beheersing aanwezig is, richt RCA zich op de vraag waarom een afwijking heeft kunnen ontstaan.

RCA is geen schuld- of sanctiemechanisme, maar een leerinstrument. Het doel is niet het aanwijzen van individuen, maar het identificeren van structurele oorzaken, zoals gebrekkige processen, onduidelijke verantwoordelijkheden, culturele factoren of onjuiste aannames. In die zin sluit RCA direct aan bij het leerkarakter van de PDCA-cyclus.

Samenhang en toepassing

Audit, onderzoek en RCA vervullen elk een eigen rol binnen risicobeheersing. Zij zijn complementair, maar niet uitwisselbaar. Het toepassen van het verkeerde instrument op een probleem leidt tot beperkte of misleidende inzichten. Een audit zonder RCA laat oorzaken onverklaard; een RCA zonder feitelijke basis mist richting; onderzoek zonder normatief kader leidt niet tot beheersing.

Effectieve risicobeheersing vraagt daarom om een bewuste keuze van het juiste instrument, passend bij het doel en de context.

Terug naar de inhoudsopgave

Klik hier voor de inhoudsopgave.

Reacties

Één reactie op “Analyse en beheersing van risico’s”

  1. Compliance in accountancy – My Essay Avatar
    Compliance in accountancy – My Essay

    […] Analyse en beheersing van risico’s […]

    Like

More posts