De controller als risicoleider

De controller als risicoleider

In veel organisaties, publiek en privaat, staan de controllers vóór het risicomanagement. Letterlijk én figuurlijk. Letterlijk omdat hun afdeling verantwoordelijk is voor de opzet en de werking van de interne risicobeheersings- en controlesystemen. Figuurlijk omdat ze door hun eigen opstelling, vaak onbewust, het uitvoeren van risicomanagement in de rest van de organisatie onbedoeld voor de voeten lopen. Hoe hiermee om te gaan? Door als controller de rol van risicoleider op zich te nemen.

In hedendaagse organisaties werken verschillende soorten controllers. Ze hebben verschillende namen en verschillende taken en verantwoordelijkheden. Die zijn niet altijd even helder en vaak complementair. De concern controller, eindverantwoordelijk voor de planning en controlcyclus in de organisatie, is de sparring partner van het bestuur of de directie. De business controller is een toekomstgerichte ‘kritische vriend’ van managementteams en helpt met het implementeren van de uitgezette strategieën.

De verantwoordelijkheid voor de financiële rapportage en de stuurinformatie ligt bij de financial controller. Gezamenlijk staan deze controllers voor het doeltreffend, doelmatig en rechtmatig omgaan met de financiële middelen van de organisatie. De interne risicobeheersings- en controlesystemen zouden hen daarbij moeten ondersteunen. Om die systemen goed te laten werken is er ‘input’ nodig uit de organisatie, ofwel actuele en relevante risico-informatie. En daar gaat het nogal eens schuren.

Integraal omgaan met risico’s: door iedereen

In 2017 verscheen het sterk aangepaste COSO-ERM raamwerk voor risicomanagement. Dit internationale raamwerk wordt veel gebruikt door de grotere Nederlandse bedrijven en overheidsinstellingen. Het leest als één groot pleidooi voor het integreren van risicomanagement in alle activiteiten en processen van de organisatie. Een veelzeggend citaat: ‘Integrating enterprise risk management with business activities and processes results in better information that supports improved decision making and leads to enhanced performance.’

Dit betekent volgens het COSO-raamwerk dat iedereen in de organisatie risicomanager zou moeten zijn: ‘Everyone is a risk manager.’ Een opvatting die elders in de organisatie nogal eens de wenkbrauwen doet fronsen: ‘Daar hebben we toch aparte risicomanagers, of op z’n minst controllers voor?’ Een betere vertaling is dan ook van iedereen risicomanager naar iedereen risicoleider, waarbij risicoleiderschap tonen niets anders is dan het steeds weer doelgericht omgaan met risico’s in dat wat je al doet. In tegenstelling tot risicomanager of controller is risicoleider geen functie. Een risicoleider is wel een rolmodel in het expliciet, realistisch, gestructureerd omgaan met onzekerheden, risico’s en kansen om de beoogde doelen van de organisatie te helpen realiseren.

Van verdediging naar verantwoording

Naast de opvatting dat omgaan met risico’s iedereen in de organisatie aangaat heeft de vernieuwde COSO-ERM benadering nog een opvallende verandering ten opzichte van het verleden in petto. De naamgeving voor de veelgebruikte structuur voor risicobeheersing, de zogenoemde three lines of defence, is gewijzigd in een three lines of accountability.

De focus verschuift hierbij van het verdedigen tegen risico’s naar afleggen van verantwoording over het omgaan met risico’s. De verantwoordelijkheid voor het omgaan met risico’s ligt hierbij nadrukkelijk in de eerste lijn, de lijnorganisatie, de businessunits of afdelingen. Daar ligt immers ook de verantwoordelijkheid voor het realiseren van de organisatiedoelen, die door optredende risico’s worden beïnvloed. De tweede lijn, bijvoorbeeld de afdeling bedrijfsvoering met de controllers, faciliteert de eerste lijn hierbij. De auditors in de derde lijn monitoren dit proces en geven suggesties voor bijsturing en aanpassing van de risicomanagementprocessen.

In deze benadering van risico-verantwoordelijkheden en daarmee risico-eigenaarschap is het essentieel dat de controllers hun eigen rol beperken tot het faciliteren van risicomanagement. En dus niet in de valkuil van het uitvoeren van risicomanagement tuimelen. Dat uitvoeren van risicomanagement is immers aan de lijn. Hetzelfde geldt overigens voor risicomanagers en risicocoördinatoren. Ook zij zouden zich moeten beperken tot een louter faciliterende rol, waarbij ze natuurlijk wel hun expertise over effectieve risicomanagementprocessen kunnen inzetten.

Controller: stap in je voorbeeldrol

Wat betekent dit allemaal voor controllers? Dat ze de rest van de organisatie niet onbedoeld en onbewust voor de voeten lopen, door de uitvoering van risicomanagement over te nemen van de rest van de organisatie. Wat dan wel? Dat ze de units en afdelingen in de eerste lijn helpen, faciliteren, ondersteunen met het effectief omgaan met risico’s in al hun dagelijkse activiteiten. Hierbij helpt een aantal vaardigheden voor risicoleiderschap, die controllers zichzelf kunnen aanleren.

Zo kunnen controllers als risicoleider een voorbeeldrol vervullen voor de rest van de organisatie. Vervolgens kunnen ze de anderen in de organisatie – directieleden, managers, inhoudelijke professionals – helpen om zich die vaardigheden ook eigen te maken. Zo ontstaat stap voor stap een organisatie waarin iedereen risicoleiderschap kan tonen. Dit om de organisatiedoelen te realiseren, ondanks alle dynamiek en onvoorspelbaarheid waar veel organisaties, privaat en publiek – mee hebben te doen.

De risicomanagerDe risicoleider
1 Doet aan risicomanagement1 Werkt risicogestuurd
2 Heeft risico's als focus2 Heeft doelen als focus
3 Objectiveert en kwantificeert3 Subjectiveert en kwalificeert
4 Beheerst risico's4 Gaat om met risico's
5 Benut modellen5 Benut processen
6 Is een staffunctie6 Is een rolmodel
Figuur 1. Vergelijking risicomanager-risicoleider met 6 kenmerken (Bron: Iedereen risicoleider: waarde realiseren en behouden in een onzekere wereld)

Figuur 1 geeft de verschillen aan tussen de traditionele risicomanager – met taken die nogal eens door de controller worden uitgevoerd – en de hedendaagse risicoleider. Een risicoleider werkt risicogestuurd met doelen als focus. Risico’s worden gesubjectiveerd, waarbij verschillen in risicoperceptie bespreekbaar zijn. Omgaan met risico’s betekent dat risico’s ook bewust kunnen worden geaccepteerd of zelf opgezocht, om doelen te realiseren. Een risicoleider voegt dit toe in bestaande processen en activiteiten. Hij of zij vervult hierbij een rol, als onderdeel van zijn of haar functie, bijvoorbeeld als controller.

Basisvaardigheden voor risicoleiderschap

Hoe word je een risicoleider? Is dat iedereen gegeven, of vraagt dit een speciaal aangeboren talent? Ja, het is iedereen gegeven en nee, er is geen specifiek talent voor nodig. Hoewel de ene persoon er meer aanleg voor heeft dan de andere. Maar met de bereidheid tot wat persoonlijke ontwikkeling kan iedereen in de organisatie risicoleiderschap ontwikkelen. Dus ook de controller.

Voor het ontwikkelen van risicoleiderschap is wel een sprong in het diepe nodig, zo leert de ervaring. Een sprong in de diepten van ons brein. Om zo inzicht te krijgen in onze drie psychologische basisbehoeften. Deze basisbehoeften zijn de behoefte aan geborgenheid, aan autonomie en aan erkenning. Het probleem is dat deze behoeften continu met elkaar botsen. Zo vraagt geborgenheid om veiligheid, en daarmee om het mijden van onzekerheden en risico’s. Autonomie betekent vrijheid. Dat vraagt vaak om het nemen van risico’s. Bij erkenning gaat het om balanceren tussen je enerzijds onderscheiden en anderzijds in verbinding blijven met de anderen in de organisatie: je collega-controllers, het management, de inhoudelijke professionals.

Deze basisbehoeften sturen in belangrijke mate ons gedrag bij het omgaan met onzekerheden, risico’s en kansen. Vaak is dit onbewust gedrag, waarvan we ons met wat oefening wel degelijk bewust kunnen worden. De persoonlijke ontwikkeling van risicoleiderschap begint dus met het herkennen en erkennen van je eigen psychologische basisbehoeften, en wat dat in de werkpraktijk betekent voor jouw eigen omgaan met onzekerheden, risico’s én kansen. Vervolgens kun je anderen hiermee helpen.

Margriet Sitskoorn is hoogleraar klinische neuropsychologie aan de Universiteit van Tilburg. Zij doet al jarenlang onderzoek naar vaardigheden om succesvol te kunnen werken in een dynamische, onzekere, complexe en ambigue werkomgeving. De zogeheten prefrontale hersenschors van ons brein blijkt essentieel om succesvol te kunnen werken in een dynamische werkomgeving. Daarom wordt dit deel ook wel het executieve brein genoemd. Samen met de bijbehorende netwerken zorgt dit deel van de hersenen voor onze executieve vaardigheden. Dit zijn vaardigheden als je aandacht richten, vasthouden, verdelen en weer loslaten. Andere executieve vaardigheden zijn je emoties reguleren en impulsen onderdrukken in een omgeving vol verleidingen. Flexibel omgaan met onverwachte veranderingen is ook zo’n vaardigheid. Deze vaardigheden vormen de basisvaardigheden voor risicoleiderschap.

Het interessante is dat we deze vaardigheden kunnen trainen door ons brein te trainen, zoals we onze spieren kunnen trainen. De trainingsmethoden variëren: meditatietechnieken, jezelf regelmatig blootstellen aan een verrijkende, stimulerende omgeving (natuur, museum) en bijvoorbeeld zorgen voor voldoende goede nachtrust. Hersenscans tonen aan dat de structuur van het brein hierdoor daadwerkelijk verandert, waardoor onze basisvaardigheden voor risicoleiderschap zich ontwikkelen.

Risicoleiderschapsvaardigheden voor de controller

De basisvaardigheden voor risicoleiderschap vormen de voedingsbodem voor het ontwikkelen van specifieke vaardigheden voor risicoleiders. Deze vaardigheden kunnen we inzetten in dat wat we al doen, zoals het doorlopen van de planning & controlcyclus. Figuur 2 toont de gangbare risicostappen in een PDCA-cyclus. De controller herkent in deze PDCA-cyclus onmiddellijk de planning en controlcyclus: jaarplannen van de afdelingen met doelen en kpi’s (plan), uitvoering van die plannen (do), kwartaal- of maandrapportages, waarin de voortgang wordt gecheckt en wordt bijgestuurd (check en act).

Als voorbeeld bevat de figuur zes vaardigheden voor risicoleiderschap, die specifieke aandacht kunnen krijgen in de verschillende fasen van de planning en controlcyclus. Aandachtspunten voor de vaardigheid doelen leiden maken zijn bijvoorbeeld onderscheid maken tussen doelen en wensen, en doelen op verschillende organisatieniveaus met elkaar verbinden, inclusief de bijbehorende risico’s en kansen. Voor het maken van scherpe keuzes zijn een heldere missie en visie onontbeerlijk, evenals duidelijke kaders voor bijvoorbeeld de risicobereidheid van de organisatie. Ook het maken van bewuste, onderbouwde en uit te leggen keuzes over het al dan niet nemen van risicobeheersmaatregelen hoort hierbij.

Risicoleiderschap
Figuur 2. Risicogestuurd werken met vaardigheden voor risicoleiderschap in de PDCA-cyclus (Bron: boek Iedereen risicoleider: Waarde realiseren en behouden in een onzekere wereld)

De controller als risicoleider

Het artikel eindigt zoals het begon. In veel organisaties, publiek en privaat, staan de controllers vóór het risicomanagement. Letterlijk én figuurlijk. Letterlijk omdat hun afdeling verantwoordelijk is voor de opzet en de werking van de interne risicobeheersings- en controlesystemen. Figuurlijk met hun eigen opstelling, waardoor ze het uitvoeren van risicomanagement in de rest van de organisatie nogal eens onbewust en onbedoeld voor de voeten lopen. Hoe hiermee om te gaan? Door als controller de rol van risicoleider op je te nemen.

Deze rol start met een integrale benadering van risicomanagement in de organisatie. Omgaan met risico’s is van iedereen in de organisatie, niet alleen van de controllers en hun afdeling. Het eigenaarschap voor omgaan met risico’s is een lijnverantwoordelijkheid en geen verantwoordelijkheid van de controller. Waar de controller wél voor verantwoordelijk kan worden gehouden is de mate en wijze van ondersteuning bij het omgaan met risico’s, in alle bestaande activiteiten en processen in de organisatie. Sterker nog, de controller kan een stimulerende voorbeeldrol als risicoleider vervullen. Om zo de organisatie letterlijk en figuurlijk ruimte te bieden in het verantwoord omgaan met onzekerheden, risico’s en kansen, voor het realiseren van ambitieuze doelen in een dynamische en uitdagende omgeving.

Meer lezen?

  • COSO, Enterprise risk management: Integrating with strategy and performance, Durham N.C.: Committee of Sponsoring Organizations of the Treadway Commission, 2017
  • Staveren, dr. M. van, Iedereen risicoleider: Waarde realiseren en behouden in een onzekere wereld, Management Impact, 2020

Dit artikel is verschenen in cm: 2020, afl. 8 en geactualiseerd op 22 juli 2024.

Martin van Staveren

Martin van Staveren

Risicodeskundige

Dr. Martin van Staveren doceert, adviseert en schrijft over omgaan risico’s binnen organisaties. Hij is onder andere kerndocent risicomanagement, Universiteit Twente en doceert in diverse collegereeksen van Nyenrode Business Universiteit. Hij is auteur van de boeken Risicogestuurd werken (2015), Risicoleiderschap (2018) en Iedereen Risicoleider: Waardevolle doelen realiseren én behouden in een onzekere wereld (2020).

Boekhoudschandaal: Accountant Ahold blikt terug

Boekhoudschandaal: Accountant Ahold blikt terug

Thijs Smit, intern accountant bij Ahold ten tijde van het boekhoudschandaal, heeft geen spijt dat hij destijds misstanden binnen het supermarktconcern aan het licht heeft gebracht. "Het was het waard, ik had niet anders gekund."

AI Act dwingt controllers om ook op dit vlak in control te zijn

AI Act dwingt controllers om ook op dit vlak in control te zijn

Om ervoor te zorgen dat AI (kunstmatige intelligentie) veilig en betrouwbaar wordt ontwikkeld en toegepast, is per 1 augustus 2024 in de Europese Unie de AI-verordening in werking getreden. Dit zijn Europese eisen en kaders voor AI. Wat moeten controllers en CFO's van de verordening weten?

Met algoritmes en AI het risico op fraude met facturen minimaliseren

Met algoritmes en AI het risico op fraude met facturen minimaliseren

De verwerking van facturen is de voorbije jaren in hoog tempo gedigitaliseerd. Dit proces verloopt hierdoor een stuk efficiënter en sneller. Maar volgens John Schouten van ISPnext is het veel te vroeg om tevreden achterover te leunen. Fraudeurs worden namelijk steeds slimmer en vormen een serieuze bedreiging. Hoe kan de afdeling Finance dit gevaar elimineren?

Hoe nuttig is een preventieve healthcheck van de onderneming?

Hoe nuttig is een preventieve healthcheck van de onderneming?

Mkb-ondernemers merken te laat dat het de verkeerde kant opgaat met hun bedrijf. Op het moment dat ze dat wel zien, is een faillissement vaak niet meer te voorkomen. De controller kan dergelijke signalen in de cijfers zien, maar kan vanuit de beroepskennis ook andere signalen eerder herkennen, nog voordat het bedrijf echt ziek wordt. Uit voorzorg een healthcheck door de controller als bedrijfsdokter, is dat een oplossing? Studenten van Hogeschool Rotterdam zochten het uit.

Algemene Rekenkamer: risico's te weinig benoemd in Rijksbegroting

Algemene Rekenkamer: risico's te weinig benoemd in Rijksbegroting

In een analyse van de Rijksbegroting stelt de Algemene Rekenkamer dat het kabinet te weinig kijkt naar financiële risico's. Ook zijn doelstellingen veelal abstract omschreven en zijn financiële plannen niet te herleiden naar scherpe doelen.

CFO Royal HaskoningDHV: 'Finance staat of valt met financial control'

CFO Royal HaskoningDHV: 'Finance staat of valt met financial control'

Business control kan sexy overkomen, maar zonder de basis van financial controlling wordt het niets. Jasper de Wit, CFO bij Royal HaskoningDHV, pleit voor meer aandacht voor de basis van finance. "Daar valt of staat finance mee."

6 tips om gevaarlijke e-mails te ontwapenen

6 tips om gevaarlijke e-mails te ontwapenen

Slimme oplichters doen specifiek onderzoek naar jouw organisatie en collega's om met die informatie bijvoorbeeld betalingen los te krijgen. Gangbare tips om valse e-mails te herkennen werken dan ook niet altijd meer. Maar er zijn wel alarmsignalen. Cm: geeft zes tips om te voorkomen dat je wordt opgelicht.

Risicoverantwoordelijkheden: drie lijnen in het zand?

Risicoverantwoordelijkheden: drie lijnen in het zand?

Het blijft me verwonderen: de worsteling met risicoverantwoordelijkheden in veel organisaties. Dit ondanks het ogenschijnlijk simpele Three Lines of Defence model, in 2020 omgedoopt tot het Three Lines model. Veel organisaties hanteren dit model, waarin risicoverantwoordelijkheden zijn geregeld. Althans, op papier. In de praktijk blijken het nogal eens drie lijnen in het zand: één golf en weg zijn ze. Wat kunnen controllers hieraan doen?

Deurwaarder krijgt meer werk

Deurwaarder krijgt meer werk

Nadat gerechtsdeurwaarders enkele jaren steeds minder beslagleggingen en dagvaardingen hoefden uit te voeren, steeg dat weer in 2022. In 2023 is het aantal gelijk gebleven, maar de beroepsorganisatie van deurwaarders verwacht een lichte stijging.

Wat is een (circulair) businessmodel?

Wat is een (circulair) businessmodel?

Een businessmodel is de manier waarop organisaties waarde creëren. Een businessmodel is opgebouwd uit drie elementen.

6 maatregelen om cyberrisico's te verkleinen

6 maatregelen om cyberrisico's te verkleinen

Het voorkomen van een datalek of besmetting met gijzelsoftware is slechts deel technologie. People, process, technology, zegt men in de organisatieleer vaak en ook voor digitale beveiliging zijn mensen en processen twee héél belangrijke elementen. ICT-beveiliging is slechts deels een technologievraagstuk. Cm: zet een aantal manieren om je bedrijf te beveiligen op een rij.

Sander Oude Luttikhuis: 'Finance moet terug naar de kern'

Sander Oude Luttikhuis: 'Finance moet terug naar de kern'

Het moeten niet alleen spreadsheets zijn die de toon zetten. Belangrijker is het gedrag van mensen binnen organisaties. Daar hamert drs. ing. Sander Oude Luttikhuis, senior lecturer corporate finance, op. 'Financieel leiderschap is het spel meespelen.'