Risicomanagement is een middel dat soms tot doel wordt verheven en krijgt dan vaak een technocratisch karakter: handboeken omschrijven weliswaar keurig wat er wanneer moet gebeuren. Denk bijvoorbeeld aan het regelmatig ijken van het risicoprofiel van de organisatie en het rapporteren over de uitkomsten daarvan. Echter, zoals uit de praktijk en uit het onderzoek ‘Risicomanagement in tijden van crisis' blijkt, is dit geen garantie voor adequaat risicomanagement.
Door: Prof.dr. L. Paape RA RO CIA
Ten eerste hoeven niet de juiste risico's gerapporteerd te worden en ook al worden ze juist gerapporteerd dan hoeft dat nog niet te leiden tot de juiste respons van het topmanagement. De onderzoekers van de Rijksuniversiteit Groningen, Nyenrode, NIVRA en PricewaterhouseCoopers kunnen zich niet aan de indruk onttrekken dat risicomanagement soms meer als schaamlap functioneert dan dat het al ver is doorgevoerd en ingebed in de dagelijkse bedrijfsvoering. Zo vroegen zij de bijna honderd respondenten van het onderzoek de kwaliteit van hun risicomanagement van een schoolcijfer te voorzien; gemiddeld gaven zij zich een 6,5. Op grond van de ingevulde surveys hebben de onderzoekers ook een cijfer toegekend aan de respondenten en dat viel aanzienlijk lager uit: een 4,5.
Adequaat risicomanagement
1. Periodiciteit. Een subsantieel deel van de respondenten voert risicoanalyses niet of slechts éénmaal per jaar uit. Hetzelfde geldt voor het intern rapporteren over risico's.
2. Integraal karakter. Ook als het gaat om de vraag met welke diepgang en breedte risico's worden geïnventariseerd, zijn de resultaten niet erg hoopgevend. Integrale analyses – voor zowel strategische, operationele, financiële als compliancerisico's – komen zeer beperkt voor. Dit geldt ook voor de integrale ‘in control'-verklaring.
3. Bedrijfsbrede benadering. De betrokkenheid van verscheidene managementlagen bij risicoanalyses en het afgeven van een ‘in control'-verklaring is eveneens voor verbetering vatbaar. Vaak blijft het beperkt tot de top en worden lagere echelons niet of onvoldoende betrokken.
4. Proactiviteit. Ook de momenten waarop risico's worden geïnventariseerd scoren magertjes. Het gebeurt zeer spaarzaam bij belangrijke – strategische – beslissingen of bijzondere gebeurtenissen en/of incidenten. Dit wordt onder andere bevestigd door het lage aantal organisaties dat het risicoprofiel heeft herzien naar aanleiding van de huidige crisis. Maar ook de lage score (minder dan de helft) voor bespreking van de risico's met Audit Commissie/raad van commissarissen is symptomatisch.
5. Expliciete karakter. Risicotolerantie blijft een lastig begrip; slechts een klein deel van de respondenten heeft dit bepaald en slechts zelden gekwantificeerd.
6. Gestructureerd. Het overgrote deel van de respondenten heeft geen risicoraamwerk zoals COSO in gebruik. De meer traditionele beheersinstrumenten zoals Handboeken AO/IC hebben de overhand en die worden vrij goed gewaardeerd. Sommige beheersmaatregelen zoals scenarioplanning, ‘business continuity planning' en ‘key risk indicators' worden nog nauwelijks gebruikt.
7. Coördinatie. Risicomanagement lijkt nog steeds vooral het domein te zijn van de financiële functies, aangezien in een ruime meerderheid van de gevallen zij als coördinator optreden. Het gebruik van software om risico's te managen, staat nog in de kinderschoenen.
8. Rapportages. Externe rapportages over risicomanagement laten te wensen over. In onze ogen is risicomanagement pas echt effectief als het leidt tot actie. Daarom is het ook verwonderlijk dat in veel gevallen niet wordt gerapporteerd over verbeteracties.
Rol internal auditor
De internal auditor kan diverse rollen vervullen. De wereldwijde beroepsorganisatie IIA Inc. heeft die rollen nauwgezet in kaart gebracht en daarbij tevens aangegeven hoe die rollen zich verhouden tot de internal audit functie. Is de rol een mogelijk te vervullen rol of moet de internal auditor die rol niet aannemen? Er is een driedeling gemaakt: rollen die tot de kern van het beroep horen, rollen die met inachtneming van enkele randvoorwaarden te vervullen zijn en tot slot, rollen die de internal auditor zeker niet behoort te vervullen.
Duidelijk wordt dat de kerntaak natuurlijk is: het beoordelen en het geven van zekerheid over de toepassing van risicomanagement. De internal auditor is de natuurlijke functie om dit te doen. Daarnaast zijn er nog diverse rollen mogelijk mits natuurlijk wordt gezorgd dat de onafhankelijkheid van de auditor niet te zeer in gevaar komt. Deze rollen zijn:
- het helpen faciliteren van het identificeren en evalueren van risico's;
- het coachen van management in het reageren op onderkende risico's;
- het coördineren van bepaalde risicomanagementactiviteiten;
- het (helpen) consolideren van risicorapportages;
- het onderhouden en ontwikkelen van het risicomanagementraamwerk van de organisatie;
- het vervullen van een voortrekkersrol bij het invoeren van risicomanagement in de organisatie;
- het voorbereiden van de risicomanagementstrategie, die vervolgens dient te worden goedgekeurd door het topmanagement.
De belangrijkste boodschap van het IIA Inc. is dat duidelijk moet zijn dat het management natuurlijk zelf eindverantwoordelijk blijft en die verantwoordelijkheid dient zeker niet door de auditor te worden opgepakt. Binnen die marges is er dan nog meer dan voldoende werk te doen en gezien de resultaten van het onderzoek is het meer dan wenselijk dat ook de internal auditor de handen uit de mouwen steekt. Er is nog veel te winnen.
Noot van de redactie:
Dit artikel is een samenvatting en bewerking van het gelijknamige artikel dat in Management Control & Accounting nr. 2-2010 verschijnt. De auteur was betrokken bij genoemd onderzoek.
