Zelfscan Risicomanagement
Welkom bij de Zelfscan Risicomanagement. Met dit document geeft het Commissariaat voor de Media een handreiking voor invulling van risicomanagement bij media-instellingen.
Download Zelfscan Risicomanagement (pdf)
Risicomanagementcyclus
De risicomanagementcyclus in de Zelfscan is gebaseerd op bestaande methoden en bestaat uit vijf processtappen, namelijk:
Stap 2
Risico's identificerenStap 3
Risico's beoordelenStap 4
Beheersmaatregelen nemenStap 5
Monitoren en rapporteren
De genoemde stappen dienen te worden beoordeeld tegen de achtergrond van de volgende randvoorwaarden: adequate governance (A), een gebalanceerde risicocultuur (B) en professionele kwaliteitsborging (C), passend naar de aard, omvang en de hoeveelheid relevante risico’s van de organisatie.
Het schema hierboven is klikbaar en toont vervolgens meer informatie over de processtappen en randvoorwaarden uit de risicomanagementcyclus, inclusief bijbehorende vragen. Je kunt ook het document met de vragen downloaden:
Download Zelfscan Risicomanagement (pdf)
Waarom een Zelfscan?
Effectief risicomanagement stelt media-instellingen in staat tijdig actie te ondernemen om risico’s die een bedreiging vormen voor de uitvoering van de publieke media opdracht te mitigeren of te verminderen. Daarnaast is het de basis voor het risico gebaseerd invulling geven aan de naleving van wet- en regelgeving (meer waar het moet, minder waar het kan).
Media-instellingen zijn zelf verantwoordelijk hun organisatie zo in te richten dat risico’s effectief worden beheerst. Kern van de interne risicobeheersing is risicomanagement. Met de Zelfscan kunnen media-instellingen hun eigen risicomanagement beoordelen aan de hand van een vragenlijst. De Zelfscan geeft ook inzicht in de onderdelen die het Commissariaat in zijn toezicht op de interne risicobeheersing belangrijk acht. De Zelfscan draagt bij aan de dialoog over risicomanagement tussen media-instellingen en het Commissariaat.
Wat is de rol van het Commissariaat voor de Media?
Het Commissariaat heeft een toezichthoudende rol als het gaat om de interne risicobeheersing door media-instellingen en de wijze waarop zij invulling geven aan hun risicomanagementsysteem. In dit toezicht richt het Commissariaat zich op diverse aspecten, waaronder de uitvoering en kwaliteit van het risicomanagement(proces), risico governance, gedrag & cultuur en kwaliteitsborging van het systeem.
Systeemtoezicht
De focus van het toezicht ligt op de kwaliteit en uitvoering van het interne risicomanagementsysteem van de media-instellingen, inclusief de periodieke toetsing van de effectiviteit van dit systeem. Bij incidenten, zoals overtredingen van wet- en regelgeving, richt het toezicht zich niet alleen op het incident zelf, maar vooral ook op de onderliggende oorzaken in de interne risicobeheersing van de media-instelling. Dit Systeemtoezicht begint met het vaststellen of het risicomanagementsysteem voldoende is. De verwachting is dat met het verder professionaliseren van risicomanagement binnen organisaties, er minder toezicht aandacht van het Commissariaat nodig zal zijn.
Wat is de Zelfscan?
De Zelfscan is een vragenlijst die is opgebouwd volgens de verschillende stappen van risicomanagement, de risicomanagementcyclus. De vragenlijst is samengesteld op basis van bestaande modellen en praktijkvoorbeelden. Media-instellingen kunnen de Zelfscan gebruiken voor de beoordeling van de opzet van hun risicomanagementsysteem.
Elke stap in de risicomanagementcyclus wordt geïntroduceerd met een korte toelichting op het betreffende onderdeel, gevolgd door een set relevante vragen. Deze vragen zijn richtinggevend en dienen als voorbeeld voor de vragen die het Commissariaat mogelijk kan stellen bij de uitvoering van toezicht op de interne risicobeheersing. Het Commissariaat kan bepaalde vragen meer nadruk geven dan andere, afhankelijk van de specifieke situatie van de individuele media-instelling. Daarnaast zijn de vragen in de Zelfscan niet allesomvattend. Dat betekent dat het Commissariaat ook andere vragen kan stellen aan de media-instelling.
Aan het einde van de Zelfscan vind je een overzicht van de belangrijkste begrippen. De Zelfscan is ook beschikbaar in een printbare versie, waarbij je bij elke vraag aantekeningen kunt maken. Deze aantekeningen zijn voor eigen gebruik. Het Commissariaat zal de ingevulde Zelfscans niet opvragen. Het invullen van de Zelfscan is niet verplicht.
Wat is de status van de Zelfscan?
Deze Zelfscan geeft weer hoe het Commissariaat de invulling en toepassing van de wettelijke normen beoordeelt. Er zijn verschillende manieren waarop media-instellingen kunnen voldoen aan de wet- en regelgeving. Het Commissariaat verwacht dat een media-instelling gemotiveerd kan aantonen dat ze aan de wet- en regelgeving voldoet.
Relevante wet- en regelgeving
- Mediawet, in het bijzonder artikel 2.3 lid 5, artikel 2.178 lid 1
- Beleidsregel Governance en Interne Beheersing 2017, in het bijzonder artikel 3, 4 en 5
- Gedragscode Integriteit Publieke Omroep 2021, in het bijzonder Principe 6
Begrip risicomanagement
Voor een goede dialoog over risicomanagement is het van belang dat iedereen dezelfde taal spreekt.
Zowel in de praktijk als in de literatuur bestaan verschillende interpretaties en definities van risicomanagement. Zelfs in alledaagse gesprekken worden vaak (onbewust) diverse betekenissen gebruikt. Het is belangrijk om hiervoor een heldere definitie te hanteren.
Twee kernbegrippen vormen het uitgangspunt van de Zelfscan, namelijk “risico” en “risicomanagement”. Het Commissariaat hanteert voor het begrip risico de definitie zoals gebruikt in de NEN-ISO 31000 richtlijn voor risicomanagement. Volgens deze richtlijn is een risico een onzekere gebeurtenis die invloed heeft op het behalen van doelstellingen.
Voor het begrip risicomanagement gebruiken we in deze Zelfscan de definitie het systematische proces om risico’s zodanig te beheersen dat meer zekerheid bestaat dat de organisatie haar doelstellingen zal realiseren. Dit betekent dat risicomanagement een doelgericht, expliciet, gestructureerd, integraal en continu proces is.
De belangrijkste begrippen uit de Zelfscan worden achter in dit document beknopt toegelicht. De toegelichte begrippen zijn in dit document dikgedrukt.
Doelgericht
Risicomanagement levert een bijdrage aan het realiseren van doelen met inachtneming van onzekerheden.
Expliciet
De risico’s en de bijbehorende onzekerheden worden volledig en eenduidig beschreven.
Gestructureerd
Risicomanagement vindt plaats volgens een vooraf bepaalde methodiek.
Integraal
De risico’s worden opgehaald bij, en besproken met alle voor het risico relevante betrokkenen.
Continu
Risicomanagement is een continu (leer)proces.
Download Zelfscan Risicomanagement (pdf)