De meeste goededoelenorganisaties noemen iets over risico’s in hun jaarverslag. Uit ons onderzoek blijkt echter dat risicomanagement bij meer dan 90% van de organisaties geen zichtbaar integraal onderdeel is van de planning & control cyclus. Ook blijkt uit ons onderzoek dat er bij de helft van de organisaties geen koppeling is tussen de onderkende risico’s en de organisatiedoelstellingen. Tijdens bestuursvergaderingen is het onderwerp ‘risico’s’ geen vast agendapunt. Wellicht komt het onderwerp risico wel ter sprake, maar wordt het niet vastgelegd. Als er al een risicoanalyse wordt opgesteld, dan is dit hooguit eens per jaar. Er wordt soms vermeld dat deze is bedoeld voor het bepalen van de benodigde continuïteitsreserve in de jaarrekening. Sturing van organisaties zou idealiter moeten plaatsvinden aan de hand van vooraf onderkende doelstellingen en de bijbehorende risico’s.
Risicomanagement behoort in de eerste instantie een plek te hebben aan de bestuurstafel. Het is belangrijk dat hier de noodzaak van risicomanagement wordt ingezien. Door het bestuur moet de eerste stap worden gezet om risicomanagement te verbinden met de organisatiecultuur. Ook ligt hier de verantwoordelijkheid om voldoende draagvlak te creëren voor risicomanagement binnen de organisatie want het is belangrijk dat managers van alle afdelingen binnen de organisatie in staat zijn om risico’s te signaleren en te monitoren. Medewerkers zullen gemotiveerd worden om risico’s te signaleren als zij over de juiste informatie beschikken om deze risico’s te kunnen signaleren. Zo draagt risicomanagement bij aan het realiseren van de organisatiedoelstellingen.
Het opstellen van een risicomanagementbeleid zorgt voor structuur aan de invulling van risicomanagement en zorgt dat duidelijk is hoe taken en verantwoordelijkheden binnen de organisatie zijn verdeeld. In dit beleid wordt beschreven wat de organisatiedoelstellingen en gewenste resultaten van de organisatie zijn en op welke wijze de organisatie haar risicomanagementbeleid wil invullen. Het risicomanagementbeleid hoeft niet ieder jaar te worden aangepast, maar wel is het goed om deze jaarlijks te actualiseren. De inhoud van het beleid dient bekend te zijn binnen de gehele organisatie.
Risicomanagement is een continu proces omdat risico’s meebewegen met de ontwikkeling van de organisatie en veranderingen in de omgeving. Daarom moet een risico-inventarisatie en risicoanalyse regelmatig - minimaal eens per kwartaal - plaatsvinden waarbij wordt nagegaan of risico’s nog actueel zijn en of risico’s moeten worden bijgesteld. De organisatie kan zo reageren op veranderingen in de omgeving. Ook bij belangrijke gebeurtenissen, zoals nieuwe projecten en strategische beslissingen, of na incidenten, dient een risico-inventarisatie en -analyse uitgevoerd te worden. De risicobereidheid moet per risico worden bepaald. Risico’s behoren beoordeeld te worden op kans en impact en de risicoreactie moet hierop gebaseerd worden. Deze informatie dient vastgelegd te zijn en gedeeld te worden met de medewerkers. De richtlijnen en procedures binnen de organisatie horen hierop afgestemd zijn zodat medewerkers risico’s kunnen identificeren en de impact van een gebeurtenis kunnen inschatten.
Boven alles is het belangrijk om binnen de organisatie het gesprek over risico’s aan te gaan en ervoor te zorgen dat risicobeleid een onderdeel wordt van de organisatiecultuur. Maak om te beginnen van risicomanagement een vast agendapunt tijdens bestuursvergaderingen.