‘Risk Management als de fundering van organisatorische veerkracht’

28 september 2023 Banken.nl 6 min. leestijd

Risk Management is als de fundering van een huis. Een cruciaal onderdeel dat vanaf het begin geïntegreerd moet worden in elke organisatiestructuur, omdat het zorgt voor stabiliteit in tijden van tegenvallende resultaten, incidenten of andere disrupties. Aan het woord: Ivar Gruwel, Expert Manager Risk Management bij TriFinance.

Deze robuuste basis is volgens Gruwel de stille kracht die op de achtergrond actief is en helpt de zwaarste stormen te doorstaan. “Risk Management is geen flitsende afdeling die winsten genereert of ambitieuze nieuwe doelen stelt, maar de onzichtbare stabilisator die andere afdelingen in staat stelt gedurfd te opereren binnen de veilige grenzen van gecontroleerd risico.”

De Expert Manager Risk Management van TriFinance stelt dat dat het huidige zakelijke landschap op verschillende fronten snel evolueert en complexe risico’s met zich meebrengt, die de conventionele aanpak van risk management uitdagen. Van operationele tot IT-gerelateerde risico’s; het terrein zou continu in beweging zijn. Gruwel stipt vijf van de belangrijkste trends en ontwikkelingen aan die de aandacht van elke organisatie eisen.

The Three lines of Defence-model

Gruwel legt uit dat in het Three Lines of Defence-model bedrijfsactiviteiten, risicomanagement en compliance en interne audit de drie onderscheidende lagen van verdediging vormen tegen operationele, tactische en strategische risico’s. “Oorspronkelijk was de tweede lijn de drijvende kracht achter risicomanagement, maar nu de eerste lijn steeds meer gewend is geraakt aan het ‘in control’ zijn, heeft deze inmiddels een andere rol aangenomen.”

“De tweede lijn moet nu proactief handelen, aanpassen en evolueren, vooral in opkomende risicodomeinen, zoals cybersecurity en klimaatverandering. Deze evolutie leidt tot een robuust, adaptief risicomanagementsysteem, dat getuigt van een dynamische en interactieve benadering.”

Nieuwe wet- en regelgeving

De voortdurende aanpassingen in wet- en regelgeving, zoals de Corporate Sustainability Reporting Directive (CSRD) en de Digital Operational Resilience Act (DORA), leggen de lat voor bedrijven volgens Gruwel aanzienlijk hoog. Hoewel het implementeren van deze nieuwe regels tijdrovend en kostbaar is, zou de echte complexiteit in de interpretatie en toepassing ervan in de dagelijkse praktijk liggen.

“Vooral voor de tweede lijn, die verantwoordelijk is voor het risicobeheer, vereist dit een multidisciplinaire aanpak. De toenemende werkdruk en diversiteit van deze regels maken dit tot een Herculeaanse taak, die meer dan ooit vraagt om gebruik van gespecialiseerde GRC-tooling.”

“Het inhuren van externe expertise maakt het mogelijk om altijd over actuele kennis te beschikken, zonder dat er interne middelen vrijgespeeld moeten worden om zich toe te leggen op wéér een nieuwe richtlijn of wet. Binnen deze context wordt ook compliance niet langer als een last gezien, maar als een strategische activiteit die bijdraagt aan een duurzame en veerkrachtige bedrijfsvoering”, aldus Gruwel.

Cybersecurity

Cybersecurity speelt een onmiskenbare prominente rol in het moderne risicomanagementlandschap”, vervolgt de risk expert. “Wekelijkse berichten over ransomware-aanvallen onderstrepen de urgentie hiervan. IT-beveiliging is niet langer een luxe maar een bedrijfskritieke noodzaak.”

Deze digitale strijd kan wat Gruwel betreft worden vergeleken met twee concurrerende AI-robots: één ontworpen om te verdedigen, de andere om te infiltreren. “Investeren in robuuste beveiligingsmaatregelen is niet alleen noodzakelijk om aanvallen af te wenden, maar ook om de integriteit van de interne IT-structuur te behouden.”

“Net als bij beveiliging van een huis geldt hier: als de beveiliging op orde is dan wordt de aanvaller waarschijnlijk ontmoedigd en zal hij zijn pijlen op een ander doelwit richten. In deze high-stakes arena vormt cybersecurity een cruciaal element van een geïntegreerde risicomanagementstrategie, waarbij proactieve maatregelen en real-time responsmechanismen hand in hand gaan.”

Verzekeringen in een complexe wereld

Naast de investering in preventieve maatregelen, zou ook de relevantie van cybersecurityverzekeringen aan terrein winnen. Gruwel legt uit dat het doel daarvan niet alleen het dekken van de financiële impact van een aanval is, maar ook om deskundige begeleiding te bieden op een kritiek moment na een incident.

“Veel van de polissen bieden onmiddellijk juridisch en technisch advies, waardoor organisaties in een chaotische situatie kunnen rekenen op de expertise van specialisten. Deze kennis en kunde is essentieel bij het nemen van complexe beslissingen, zoals het wel of niet voldoen aan losgeldeisen bij een ransomware-aanval.”

“In een tijd waarin reactiesnelheid en geïnformeerde besluitvorming het verschil maken tussen herstel en rampspoed, vormt de cybersecurityverzekering een aanvullend en strategisch element van een holistisch beveiligingsplan.”

GRC-tooling

Governance, Risk en Compliance (GRC) is de laatste ontwikkeling die Gruwel aanstipt. Deze tools zouden twee cruciale doelen binnen de zakelijke omgeving vervullen. “Allereerst bieden ze een geautomatiseerd raamwerk om aantoonbaar ‘in control’ te zijn, wat zowel voor interne evaluatie als externe toezichtsinstanties essentieel is.”

Nog belangrijker volgens Gruwel is dat effectieve GRC-tooling organisaties helpt om snel risico’s en inconsistenties te identificeren en hierop te reageren. “Dit gaat verder dan het alleen passief monitoren van controlefuncties, omdat behendigheid in het omgaan met het regelgevende landschap cruciaal is voor de veerkracht van de organisatie.”

Ondersteuning

“Zodoende staan de fundamenten van een organisatie voor verschillende uitdagingen”, vat Gruwel samen. “Er zijn belangrijke trends en verschuivingen gaande in risk management, waaronder het three lines of defence-model, de wet- en regelgeving, cybersecurity, verzekeringen en het aantoonbaar ‘in control’ zijn.”

“Wij ondersteunen onze klanten door gezamenlijk vorm te geven aan de ontwikkelingen. Het is voor ons van groot belang dat dit maatwerk is, zoals blijkt uit onze prestaties bij verschillende financiële instellingen. Of het nu gaat om projecten, implementaties of gewoon om ondersteuning bieden, TriFinance zorgt ervoor dat het fundament verstevigd wordt”, aldus Gruwel.