De P&C-cyclus met betrekking tot risicomanagement ziet er globaal als volgt uit:
- Uitgangspunt is het vastgestelde risicoregister HR van het voorafgaand jaar;
- Op basis van een HR-brede inventarisatie van risico’s en een bijeenkomst van CvB en een aantal directeuren en risk manager waarin de uitkomst van deze inventarisatie wordt besproken, volgt jaarlijks een up-date van het risicoregister van HR. Aan deze risico’s worden eigenaren gekoppeld die beheersmaatregelen formuleren om niet of onvoldoende gemitigeerde risico’s af te dekken. Tevens worden voor significante risico’s scenarioberekeningen m.b.t. de financiële consequenties gemaakt;
- Het opvolgen van de beheersmaatregelen is de verantwoordelijk van de individuele directies;
- Periodiek vindt in de bilo’s met de directies door het CvB monitoring plaats van het adequaat opvolgen van de aanbevelingen en maatregelen;
- Periodiek beoordeelt de Raad van Toezicht (een update van) het risicoregister van HR.