10 oorzaken waarom risicomanagement niet werkt
Als het over interne beheersing van de organisatie gaat, wordt er vaak gekeken naar de financiële specialisten. De onderstaande punten bieden u handvatten om te signaleren waar er binnen uw eigen organisatie ruimte is voor optimalisatie. De lijst is samengesteld vanuit de dagelijkse praktijk en is niet uitputtend. Aan het einde wordt ingegaan op het verbeteren van de ‘prognosekracht’ als effectieve toepassing van risicomanagement.
Bedenk bij het doornemen van de mogelijke oorzaken dat lijnmanagers risicomanagement vooral dàn als zinvol ervaren, als het hen daadwerkelijk helpt om verwachtingen beter te managen. Te denken valt aan de verwachtingen van belanghouders zoals eigenaren, leidinggevenden, financiers, klanten, zakenpartners, toezichthouders, medewerkers, etc.
1. Risicomanagement is beperkt tot stafafdelingen
Risicomanagement is vooral een feestje van stafafdelingen geworden. Ze houden zich hoofdzakelijk bezig met het invoeren van compliance maatregelen en hebben beperkt contact met de business. Deze situatie komt bijvoorbeeld voor in de financiële sector. Deze stafafdelingen categoriseren de wereld in ‘lines of defence’ en spreken onvoldoende de taal van de lijnmanagers. Die maken zich vooral druk over de beste manier om aan te vallen en zo marktaandeel te veroveren.
2. Er is een gesloten organisatiecultuur
Er is binnen de organisatie een erg dominante leider, die afwijkende meningen niet op prijs stelt. We hebben enkele recente voorbeelden hiervan gezien in de woningcorporatiesector. De leider legt meer nadruk op verwijtbaarheid (afbranden van mensen) dan op vermijdbaarheid (leren van fouten), als er zich incidenten voordoen. Managers en andere medewerkers houden problemen daarom bij voorkeur zo lang mogelijk stil.
Er wordt niet expliciet gesproken over risico’s bij bijvoorbeeld het doen van acquisities, bij productlanceringen of bij het betreden van nieuwe markten. Als er sprake is van aanzienlijke activiteiten in een nieuwe sector, onderkent de leiding nauwelijks dat de organisatie beperkte ervaring heeft met het managen van de daarmee samenhangende risico’s. Zij moedigt excessief risicogedrag juist aan en beloont het met aandacht, bonussen, promoties, etc. Zij geeft geen blijk van de moed en de eerlijkheid, die vereist zijn om belanghouders tijdig te informeren over de mate waarin de doelstellingen naar verwachting zullen worden bereikt.
3. Lijnmanager worden onvoldoende aangesproken op verantwoordelijkheden
De lijnmanagers geloven dat ze ‘in control’ zijn, als ze de procedures en protocollen maar braaf uitvoeren zoals voorgeschreven door de centrale stafafdelingen. Dit komt bijvoorbeeld voor in sterk gereguleerde sectoren zoals de zorg. Bij periodieke voortgangsbesprekingen wordt aan de lijnmanagers nauwelijks deze kernvraag gesteld: hoe zeker ze ervan zijn dat ze in de komende periode de afgesproken resultaten zullen bereiken. En dat er in hun domein geen onaangename verrassingen zullen zijn. Ze worden ook nauwelijks aangesproken op hun resultaten en komen er doorgaans mee weg, als ze afgesproken verbeterplannen niet (tijdig) doorvoeren.
__________________________________________________________________________________
__________________________________________________________________________________
4. Integratie met organisatiedoelstellingen ontbreekt
De relatie tussen de risiocomanagementactiviteiten en de te realiseren strategische agenda (zoals groei, efficiency, innovatie, standardisatie, duurzaamheid, etc.) wordt nauwelijks gelegd. Dit komt bijvoorbeeld voor in de onderwijssector. Er zijn geen duidelijk geformuleerde en gecommuniceerde organisatiedoelstellingen. Daardoor bestaat er ook onduidelijkheid over welke waarde er nu voor welke belanghouders gecreëerd moet worden. De leiding beschouwt dit niet als een probleem: zo wordt het ook lastiger om hen aan te spreken op de behaalde resultaten. Ook de bandbreedten van de aanvaardbaar geachte afwijkingen van de doelstellingen (de risicobereidheid) zijn niet helder. Daardoor blijft vaag welke mate van interne beheersing er nodig is om binnen die marges te blijven.
5. Onzekerheid wordt niet actief gemanaged
De focus bij risicomanagement ligt op het identificeren en wegen van allerhande risico’s. En niet op het proactief managen van de onzekerheden ten aanzien van het realiseren van de doelstellingen. Er wordt veelvuldig gebruik gemaakt van risicoregisters, risicoprofielen, lijsten met top-10 risico’s, etc., waardoor die risico’s gemakkelijk een eigen leven gaan leiden. Deze aanpak komt bijvoorbeeld voor bij ondernemingen met afzonderlijke divisies, werkmaatschappijen, etc. Teveel nadruk op deze geprioriteerde onheilen helpt lijnmanagers ook niet bij het vormen van een evenwichtige kijk op de toekomst.
De leiding organiseert geen ‘pre-mortem reviews’ van strategieën, plannen en projecten om na te gaan of de interne beheersing wel solide genoeg is om de doelstellingen redelijkerwijze te kunnen realiseren. Er wordt hooguit verwacht dat de verantwoordelijke lijnmanagers een losse ‘risicoparagraaf’ opnemen in hun budgetten en projectplannen. Deze behelst in werkelijkheid een opsomming van enkele voor de hand liggende risico’s. De mate waarin de realisatie van welke doelstellingen (met betrekking tot geld, tijd, kwaliteit, etc.) onzeker is wordt echter niet van hen gevraagd. De leiding realiseert zich verder in beperkte mate dat gepresenteerde risicoanalyses vooral meningen zijn over de toekomst. En hoezeer deze analyses worden gekleurd door de persoonlijke voorkeuren, ervaringen, karaktereigenschappen, etc. van de betrokkenen.
####
6. Risicomanagement is te preventief ingestoken
Veel stafafdelingen beschouwen ‘mitigeren’ als het belangrijkste doel bij risicomanagement. Zij proberen de bedrijfsprocessen dicht te timmeren met vooral preventieve maatregelen. Deze tendens komt bijvoorbeeld voor bij overheidsinstanties. Er is daarbij nauwelijks besef dat er geen garanties zijn dat hetgeen heeft gewerkt in het verleden ook effectief zal zijn om problemen te voorkomen in de toekomst.
7. Er is veel interne regelgeving
Er zijn veel interne regelgevers, doorgaans de gespecialiseerde staffuncties, die beheersmaatregelen (huisregels) ontwikkelen, maar met beperkte onderlinge coördinatie en consistentie. Daarbij blijft onduidelijk wat aan het inzicht van de lijnmanagers zelf wordt overgelaten. De leiding organiseert ook nauwelijks tegengas vanuit het lijnmanagement teneinde ‘regelobesitas’ te voorkomen. Deze situatie komt veel voor bij organisaties die opereren in een sterk gereguleerde omgeving.
8. De managementinformatie is onsamenhangend
De leiding ontvangt afzonderlijke periodieke managementrapportages van de verschillende staffuncties over de prestaties, risico’s, incidenten, trends, etc. Er worden echter geen documenten geproduceerd die een gedeeld beeld geven van hoe de vlag erbij hangt (per entiteit, divisie, land, vestiging, etc.). Hierdoor moet de leiding zelf maar thee zien te trekken van alle individuele rapportages, die elkaar ook nog eens regelmatig tegenspreken. Deze situatie komt veelvuldig voor bij zowel profit als non-profit organisaties.
__________________________________________________________________________________
Volg de Vijfdaagse opleiding Risicomanagement | 35 PE punten
Tijdens deze opleiding ontdekt u in vijf dagen alle facetten van integraal risicomanagement. Na afloop scant u uw organisatie op risico’s en stelt u een praktisch en toepasbaar beheersplan op. Verstevig groei en waarborg continuïteit. Voor meer informatie en aanmelden klikt u hier.
__________________________________________________________________________________
9. Internal audit sluit niet aan
De risicoanalyses die de Internal Audit functie opstelt voor het jaarlijkse audit plan sluiten niet aan bij de organisatiebrede risicoanalyses van de leiding. Internal Audit vertrouwt het ook andere stafafdelingen nauwelijks toe om gezamenlijk met het lijnmanagement de gewenste opzet van de interne beheersing te bepalen. De auditors blijven bij hun audits eigen normenkaders hanteren – tot verwarring en ergernis van de overige spelers. Deze situatie komt bijvoorbeeld voor bij volwassen internal auditafdelingen die hun onafhankelijkheid willen benadrukken.
10. Toezicht is ontoereikend
De Raad van Commissarissen bevraagt de leiding nauwelijks over (wijzigingen in) de blootstelling van de organisatie aan significante risico’s en de kwaliteit van de interne beheersing. Deze situatie komt bijvoorbeeld voor in de non-profit sector.
Lijnmanagers ervaren risicomanagement dàn als zinvol, als het hen helpt om de verwachtingen van hun belanghouders effectief te managen. Wat betekent dit concreet? Dat risicoanalyses vooral gericht moeten zijn op het inschatten van de mate waarin de geformuleerde doelstellingen naar verwachting gehaald zullen gaan worden. En dat er gerichte verbeteracties in gang moeten worden gezet, als de conclusie luidt dat de huidige beheersing ontoereikend is om de verwachtingen waar te kunnen maken. De conclusie kan overigens ook betekenen dat (de bandbreedten van) sommige doelstellingen moeten worden bijgesteld op basis van voortschrijdend inzicht.
Conclusie
Goed bekeken draait het bij effectief risicomanagement om het voortdurend verbeteren van de ‘prognosekracht’ van een organisatie. Dat laatste houdt in: de kwaliteit van de periodieke voorspellingen door de verantwoordelijke lijnmanagers m.b.t. de realisatie van hun doelstellingen. Het maken van deugdelijke prognoses vereist dat de desbetreffende manager zich vergewist van de mate van risicoblootstelling en de kwaliteit van de interne beheersing. Het realiteitsgehalte van de afgegeven prognoses vormt een weerspiegeling van de mate waarin hij of zij ‘in control’ is.
Hierdoor verschuift de aandacht van het achteraf meten van de werkelijke resultaten (t.o.v. het plan, budget, etc.) naar het voortdurend proactiever managen van de verwachtingen. En daarmee naar de mate waarin de leiding in de ogen van de belanghouders grip blijkt te hebben op de zaak. Verbetering van de prognosekracht leidt tot versterking van het vertrouwen van en in de leiding. En dat kan moeilijk ‘weggegooid geld’ worden genoemd.
Drs. M. de Pooter RA CMA CFM CIA is eigenaar van MdP | Management, Consulting & Training. Hij adviseert bestuurders en commissarissen over het beter voldoen aan (gewekte) verwachtingen door verbeterde interne beheersing en de communicatie daarover. In vorige functies was hij ondermeer Executive Director ERM bij Ernst & Young Adivisory, European Director Internal Audit bij Office Depot en Director of Finance bij Ernst & Young Global Client Consulting.