Risicomanagement is meer dan compliance, of zou dat moeten zijn. Het is ook meer dan het routinematig invullen van risicodossiers, of zou dat moeten zijn. Volgens het eerste principe van de ISO 31000-richtlijn voor risicomanagement voegt het waarde toe, maar is dat wel zo? Waarom heeft dan slechts elf procent van de Nederlandse organisaties een volledig organisatie-breed enterprise risk management systeem in gebruik? Dat kan niet zo zijn, omdat de gemiddelde organisatie nauwelijks met financiële risico’s in aanraking komt. Of is het misschien omdat er geen relatie kan worden aangetoond tussen de toepassing van de COSO-ERM standaard en de effectiviteit van organisatiebreed risicomanagement? Het lijkt hoogste tijd voor een andere manier van omgaan met risico’s.
De elf procent, het percentage van de Nederlandse organisaties dat een volledig organisatiebreed enterprise risk management (ERM-)systeem in gebruik heeft, is afkomstig uit een onderzoek uit 2012. Het is uitgevoerd door twee hoogleraren in management accounting en control, Leendert Paape en Roland Speklé, onder 825 organisaties. Dit waren zowel bedrijven als publieke organisaties, met een omzet van minimaal tien miljoen euro. Nu is 2012 al weer even geleden en zou de situatie op het gebied van de brede toepassing van ERM natuurlijk best verbeterd kunnen zijn. Dit optimisme wordt echter onderuit gehaald door het tweede Nationale Onderzoek Risicomanagement, dat in 2014 is uitgevoerd door onder andere de Rijksuniversiteit Groningen en Nyenrode Business Universiteit. Hieraan hebben ruim 700 Nederlandse organisaties deelgenomen. Op een risicomanagement volwassenheidsschaal van 1 tot en met 10 scoort zowel de profit als non-profit sector met gemiddeld 4,5 stevig onvoldoende. Saillant detail, in de tegelijkertijd uitgevoerde zelfevaluatie beoordelen de bestuurders en managers hun risicomanagement met gemiddeld 6,6 als ruim voldoende. Al deze scores zijn nauwelijks hoger dan in die in het vorige onderzoek, uit 2009. Om deze inleiding prikkelend af te sluiten een citaat van Michael Power, professor aan de London School of Economics: ‘The security provided by ERM is at best limited to certain states of the world and at worst it is illusory – the risk management of nothing.’
De risicoparadox
Zowel de resultaten van de genoemde onderzoeken, als de praktijk op het gebied van ontwikkeling en implementatie van risicomanagement voedt de zogenoemde risicoparadox: ‘Risicomanagement lijkt hoogst noodzakelijk om de vaak uitdagende doelstellingen van organisaties te realiseren en wordt desondanks lang niet overal breed, diepgaand en met bewezen effectiviteit toegepast.’
Want is het niet opmerkelijk? Organisaties en projecten, publiek en privaat, in vrijwel alle sectoren hebben te kampen met toenemende complexiteit, tegengestelde belangen, een publieke roep om (meer) verantwoording en aanhoudend guur economisch weer, dat slechts langzaam opklaart. Als reactie hierop is vrijwel elke organisatie aan het veranderen. Risicomanagement, in de zin van effectief en kostenefficiënt omgaan met de bijbehorende onzekerheden, lijkt daarom meer dan ooit noodzakelijk. Echter, het huidige risicomanagement, met de sterke nadruk op (schijn)maakbaarheid en bureaucratische controle wordt dus zelden door iedereen in de organisatie enthousiast omarmd.
Een voorbeeld uit de praktijk. Een honderd procent dochteronderneming van een organisatie in de financiële sector heeft een eigen raad van bestuur en raad van commissarissen. Deze dochteronderneming is helemaal zelf verantwoordelijk voor de bedrijfsresultaten. Echter, de dochteronderneming krijgt het volledige risicomanagement framework van de moederorganisatie opgelegd. Hierbij wordt voorbijgegaan aan de wezenlijke vraag of het framework wel passend is voor het type activiteiten en de organisatie-omvang van de dochteronderneming. De risicomanagement aanpak van de moederorganisatie is immers ingegeven door de aard van de bedrijfsactiviteiten en schaalgrootte van de moederorganisatie, met de daarbij behorende wet- en regelgeving. Het één op één overnemen van die zinvolle benadering voor de moederorganisatie zorgt voor een toename van de bureaucratie en de bijbehorende kosten in de dochteronderneming. De acceptatie van dat framework door managers en medewerkers van de dochteronderneming is dan ook ver te zoeken, omdat geen toegevoegde waarde wordt ervaren. Denk hierbij aan het eerder genoemde eerste risicomanagementprincipe: risicomanagement voegt waarde toe. Kortom, waartoe leidt het doordrukken van het risicobeleid van de moederorganisatie in de dochteronderneming? Dit kunt u zelf wel invullen.
Dit voorbeeld illustreert het gangbare, vanuit controle opgelegde en vaak vooral instrumentele risicomanagement. Deze benadering is feitelijk een kloon van Taylor’s scientific management, dat inmiddels al honderd jaar meegaat. Dergelijk risicomanagement legt de nadruk op verantwoording, beheersing en (steeds meer) controle. Het voedt de illusie van volledige maakbaarheid. Als er desondanks risico’s optreden, dan zorgt de zogenoemde risicoregelreflex vaak voor nog meer protocollen en procedures. Meer van hetzelfde biedt echter geen oplossing voor de grote uitdagingen waarmee vele managers en professionals dagelijks worden geconfronteerd, zoals meer doen met minder mensen, met een hogere kwaliteit en minder risico.
Oplossen van de risicoparadox
Is er ontsnapping mogelijk uit het web van de risicoparadox? Met andere woorden, kan risicomanagement een aantoonbaar nuttige rol gaan spelen om de vaak uitdagende doelstellingen van organisaties te realiseren? Met een organisatiebrede toepassing, met voldoende diepgang en bewezen effectiviteit? Het antwoord hierop is ja, gewoon met risicogestuurd werken. En hierbij hoeft het gangbare risicomanagement niet eens volledig over boord.
Risicogestuurd werken is niets anders dan het toepassen van zes generieke risicoprocesstappen in bestaande werkprocessen, die hierdoor expliciet risicogestuurd worden. De zes risicostappen zijn (1) doelen bepalen, (2) risico’s identificeren, (3) risico’s classificeren, (4) al dan niet risicobeheersmaatregelen nemen, (5) de maatregelen evalueren en (6) de risicorapportage. Deze stappen zijn het resultaat van een filtering op essenties van alle gangbare methoden voor risicomanagement, waaronder COSO-ERM en de ISO 31000-methodiek.
Een voorbeeld van zo’n bestaand werkproces voor de financiële professional is de planning en control cyclus, die naadloos aansluit op de bekende PDCA cirkel van good old Deming. Figuur 1 presenteert de zes generieke risicoprocesstappen voor de planning & control cyclus in de Deming-cirkel.
Figuur 1. De zes generieke risicoprocesstappen in de planning & control cyclus.
Verschil risicomanagement en risicogestuurd werken
Wat zijn nu de verschillen tussen het gangbare risicomanagement, waarvan eerder werd geconstateerd dat het onvoldoende werkt, en risicogestuurd werken? Het gangbare risicomanagement legt als kloon van het Tayloriaanse scientific management de nadruk op systemen, planning, controle, beheersbaarheid. Het versterkt daarmee de illusie van onbegrensde maakbaarheid van organisaties. Risicogestuurd werken legt juist meer nadruk op mens, cultuur, flexibiliteit, leren, aanpassingsvermogen en de realiteit van begrensde maakbaarheid van organisaties. Het is overigens niet zozeer een kwestie van of het één of het ander. Het is vooral een kwestie van wat minder accent leggen op elementen van het conventionele risicomanagement, en wat meer accent leggen op elementen van risicogestuurd werken.
Drie voorbeelden van accentverschillen voor risicogestuurd werken, met name interessant voor de financiële professionals in organisaties:
1. van geld is dominant (risicomanagement) naar waarde is dominant (risicogestuurd werken);
2. van standaardisatie eisen (risicomanagement) naar variatie toelaten (risicogestuurd werken);
3. van risico’s onteigenen (risicomanagement) naar risico-eigenaarschap (risicogestuurd werken). Het eerste accentverschil – van geld naar waarde – biedt ruimte om ook niet-financiële effecten van risico’s mee te wegen in de omgang ermee. Voorbeelden van dergelijke effecten zijn veiligheid, klanttevredenheid en reputatie. Het tweede accentverschil – van standaardisatie naar variatie – is een antwoord op het gegeven voorbeeld van de dochteronderneming die het niet-passende risicomanagement framework van de moederonderneming kreeg opgelegd. Het derde accentverschil – van onteigenen naar eigenaarschap – legt de verantwoordelijkheid voor de omgang met risico’s daar waar ze veelal het beste kunnen worden beheerst: in de werkprocessen waar ze kunnen optreden. Zij die verantwoordelijk zijn voor die werkprocessen zijn ook verantwoordelijk voor de daarmee verbonden risico’s. Het aanbrengen van enkele van dergelijke accenten kan al een behoorlijk verschil maken in de wijze waarop risicomanagement wordt uitgevoerd én resultaat levert.
Drie tips voor effectieve risicosturing
Omdat risicomanagement in veel organisaties vanuit de financiële afdeling wordt uitgevoerd, heeft de controller of financieel manager de sleutel in handen om de transformatie van risicomanagement naar risicogestuurd werken in beweging te brengen. Eerst echter een gewetensvraag: welke rol kiest u binnen het vakgebied management accounting en control? Is dat die van de compliance-politie, controleren of aan de regels is voldaan? Dit betekent vooral in de achteruitkijkspiegel van de verantwoording kijken. Waar u op af koerst gaat dan grotendeels langs u heen. Of kiest u voor de meer strategische rol van het financiële geweten van de organisatie of afdeling? Hierbij kijkt u vooral door de voorruit naar de doelstellingen van de organisatie en de financiële kansen en risico’s die daaraan verbonden zijn. Net als in de auto kijkt u ondertussen natuurlijk regelmatig in de achteruitkijkspiegel. De drie tips voor effectieve risicosturing zijn met name voor die laatste rol interessant.
- Tip 1: Creëer voorwaarden voor risicogestuurd werken
De structuur en cultuur in een organisatie maken of breken risicogestuurd werken. Wees hiervan bewust en breng eens in kaart welke kenmerken van de structuur en cultuur risicogestuurd werken afremmen en welke het bevorderen. Breng dit in het managementteam en doe er wat aan. - Tip 2: Schrap eens wat procedures, protocollen en controles
In de meeste organisaties is het aantal procedures en protocollen met de bijbehorende controles de afgelopen jaren (fors) toegenomen. Schrap er eens een aantal dat niet wettelijk is opgelegd, om te beginnen voor één kwartaal. Evalueer daarna de oogst: wat heeft het voor wie opgeleverd en wat is er mis gegaan? Inderdaad, dit vergt de kunst van het loslaten met enig lef. - Tip 3: Wees zelf expliciet over risico’s én durf keuzes te maken.
Dé twee kernwoorden van risicogestuurd werken zijn expliciet en structuur. Op basis van de organisatiedoelen worden de bijbehorende risico’s expliciet gemaakt en wordt er gestructureerd omgegaan met de zes risicoprocesstappen. Dit zijn eenvoudige stappen, die toch regelmatig tot dilemma’s leiden. Bijvoorbeeld, besluit het managementteam al behoorlijk kleine veiligheidsrisico’s voor het productiepersoneel nog verder verkleinen, tegen aanzienlijke kosten in een zeer prijsconcurrerende markt? Of word besloten om het risico maar te accepteren. Om dergelijke risico-vraagstukken met financiële én andere effecten gaat het immers in organisaties. Hierbij kan de financiële professional vanuit de eigen professie nadrukkelijk(er) stelling nemen. Dit vergt vasthoudendheid, ook weer met enig lef.
Maak het verschil
Om te kunnen voldoen aan enorme uitdagingen, waarmee veel organisaties dag in dag uit worden geconfronteerd, zijn zowel management accounting en control als risicomanagement toe aan vernieuwing. Met een traditionele benadering lopen ze beide vast in het moeras der bureaucratie. Voor risicomanagement betekent dit een terug-naar-de-essentie benadering. Dit met andere accenten ten opzichte van de gebruikelijke instrumentele benadering en inbedding in bestaande werkprocessen. Dit wordt risicogestuurd werken genoemd. Het kan bijvoorbeeld eenvoudig worden opgenomen in de bestaande planning en control cyclus, die hiermee expliciet risicogestuurd wordt. Hierdoor kan op een realistische, effectieve en kosten-efficiënte manier worden omgegaan met (on)voorziene risico’s met financiële oorzaken en/of gevolgen. Een dergelijke werkwijze is nieuw voor veel organisaties. Voorwaarden aan de structuur en cultuur van de organisatie zijn dan ook vereist om een dergelijke innovatie tot een succes te maken. Omdat risicomanagement in veel organisaties uit de financiële hoek komt, kunnen de financiële professionals in de organisatie, zoals de controller en financieel manager, hierbij nadrukkelijk het verschil maken. Dit door met risicosturing het eerste risicomanagement principe concreet te maken: het voegt
Meer lezen
- Kloppenburg, M. (red.), Hoeveel zijn we opgeschoten na de crisis? Tweede Nationaal Onderzoek Risicomanagement in Nederland 2014, Rijksuniversiteit Groningen, Nyenrode School of Accountancy Breukelen, NBA en PwC.
- NEN, Risicomanagement: Principes en Richtlijnen. NEN-ISO 31000:2009 nl, 2009.
- Paape, L. en R.F. Speklé, The Adoption and Design of Enterprise Risk Management Practices: An Empirical Study. European Accounting Review, 2012, 21 (3), 533-564.
- Power, M., The risk management of nothing. Accounting, Organizations and Society, 2009, 34, 849.
- Staveren, M. van, Risicogestuurd werken in de praktijk, Vakmedianet, 2015.
Auteur: Martin van Staveren dr.ir. M.Th. van Staveren MBA is adviseur en kerndocent Risicomanagement
Illustratie: Emanuel/Bagilla
Dit artikel verscheen eerder in cm: nummer 6, 2015.
Geef een antwoord