5 stappen naar effectief risicomanagement (en 4 valkuilen)

Het is evident dat het management van organisaties steeds meer wordt uitgedaagd om transparant te zijn over hun strategie en de daarmee samenhangende ‘risk appetite’, de bereidheid om risico’s te nemen. Er bestaat een direct verband tussen risico en rendement waardoor management kan inschatten hoeveel risico zij bereid zijn om te nemen bij het realiseren van hun organisatiedoelstellingen. In de jaren voor de crisis ging de belangstelling vooral uit naar rendement. Het is dan ook logisch dat er de laatste jaren steeds meer aandacht komt voor risico’s. In toenemende mate is de bewuste invoering van risicomanagement de eerste stap naar professionele beheersing van de organisatierisico’s.

Stappenplan risicomanagement

Stap 1. Organisatiedoelstelling
Voordat gestart kan worden met risicomanagement moet de organisatiedoelstelling in kaart zijn gebracht. Risicomanagement is een directe afgeleide van de organisatiestrategie. In het fictieve voorbeeld van handelsbedrijf XYZ, dat in dit stappenplan gesproken wordt, is de doelstelling tweeledig; enerzijds zo veel mogelijk winst maken en anderzijds de tevredenheid van klanten en medewerkers garanderen. Dit stappenplan focust op de eerste doelstelling: winstmaximalisatie.

Stap 2. Identificatie van risico’s
Als de doelstellingen helder geformuleerd zijn wordt bekeken welke gebeurtenissen of risico’s deze doelstellingen kunnen beïnvloeden. Dit gebeurt in een risicosessie die in de regel twee maal per jaar wordt georganiseerd. Een risicosessie is een bijeenkomst waar alle medewerkers aanwezig zijn die input kunnen leveren over het betreffende onderwerp.

Tijdens deze sessie zullen de aanwezigen de risico’s vanuit hun eigen perspectief formuleren en alle risico’s worden genoteerd. Er ontstaat dus een lijst met alle relevante risico’s die de organisatiedoelstelling kunnen beïnvloeden. In het voorbeeld van handelsbedrijf XYZ zijn er drie toprisico’s die zijn aangedragen door de medewerkers. Het eerste risico is dat de handelsvoorraad van het bedrijf onderhevig is aan diefstal. Het tweede risico is dat de debiteuren niet op tijd of helemaal niet betalen. Het derde risico is dat de belangrijkste klant naar de concurrent overstapt. Bij het beschrijven van risico’s kan gesteund worden op historische gegevens.

Stap 3. Kans & gevolg klassen
De risico’s zijn in kaart gebracht en kunnen nu gekwantificeerd worden met een kans- en gevolgklasse. De kwantificering van de risico’s gebeurt in de zelfde risicosessie waarin de risico’s geformuleerd zijn. In het voorbeeld van handelsbedrijf heeft het eerste risico (debiteuren betalen niet of te laat) een kans van optreden van 15 procent. Als het risico optreedt wordt het gevolg geschat op 500.000 euro.

Deze inschatting zal gedragen worden door alle aanwezigen in de risicosessie. Het is gebruikelijk dat er de nodige discussie is over de kans- en gevolgklassen, maar uiteindelijk zullen de aanwezigen zich laten overtuigen door de argumenten van diegene die het risico inbrengt. Daardoor zullen alle aanwezigen zich uiteindelijk herkennen in de waarden van de kans- en gevolgklassen. Met een kans van optreden van 15 procent en een gevolgklasse van 500.000 euro is de verwachtingswaarde van dit risico 75.000 euro. De verwachtingswaarde in euro’s is dus kans maal gevolg.

Alle risico’s worden op deze manier gekwantificeerd, waardoor een volgorde van verwachtingswaarden ontstaat. Uiteindelijk wordt zo zichtbaar welke risico’s de organisatiedoelstelling het meeste kunnen beïnvloeden. In het voorbeeld heeft risico nummer 1 de hoogste verwachtingswaarde (zie Tabel 1).

Tabel 1: Risicodossier van handelsbedrijf XYZ (klik hier voor vergroting)

Stap 4. Beheersmaatregelen
Als de risico’s zijn geïdentificeerd en gekwantificeerd komen de beheersmaatregelen in beeld. Deze moeten ervoor zorgen dat het risico niet optreed of dat de kans van optreden of de gevolgen daarvan worden beperkt. Er wordt vastgelegd wie verantwoordelijk is voor bepaalde acties om de risico’s te beheersen.
__________________________________________________________________________________
Voorkom verrassingen en benut kansen met Enterprise Risk Management
De tweedaagse cursus Enterprise Risk Management is dé aangewezen methode om onzekere gebeurtenissen, risico’s maar ook opportunities pro-actief en integraal te managen. Daarnaast maakt de toegenomen regelgeving ERM tot een must. Klik hier voor informatie en aanmelden.
__________________________________________________________________________________

In het voorbeeld zien we dat risico nummer 1 onder andere beheerst kan worden door het debiteurenbeleid op orde te brengen. Vervolgens worden aan alle beheersmaatregelen een actie, deadline en verantwoordelijke medewerker gekoppeld. In ons voorbeeld zijn er twee acties, het debiteurenbeleid op orde brengen en een contract afsluiten met een incassobureau. Beide acties moeten binnen een maand zijn afgerond en de controller is verantwoordelijk. Deze acties worden dan opgenomen in de reguliere actielijsten die binnen het bedrijf gehanteerd worden.

####

Stap 5. Integreren in bedrijfsvoering
Risicomanagement zal geïntegreerd moeten worden in de dagelijkse gang van zaken en onderdeel uitmaken van periodieke rapportages. Op deze manier wordt het ook geagendeerd in bestaande structuren en overleggen. Aangezien riskmanagement per uitstek een continu proces is, is deze laatste stap zeer belangrijk.

In het voorbeeld is het dus raadzaam de status van de top-10 risico’s periodiek te rapporteren. Focus daarbij op de tien risico’s met de hoogste verwachtingswaarde omdat deze de grootste invloed kunnen hebben om de doelstellingen van de organisatie. Ook moet er periodiek gerapporteerd worden over de acties die voort zijn gekomen uit de beheersmaatregelen. Is de actie al afgerond en zo niet, wat moet er nog gebeuren om de actie wel af te ronden en wie is hiervoor verantwoordelijk.

Valkuilen risicomanagement

De ervaring leert dat de implementatie van risicomanagement met wisselend resultaat gebeurd. Wat zijn nou eigenlijk de oorzaken dat risicomanagement faalt binnen een organisatie? Een opsomming van de meest voorkomende valkuilen.

Valkuil 1. Mate van detail
Een veelvoorkomende fout is dat de controller in zijn rapportage te veel bezig is met de volledigheid van het risicodossier in plaats van zich te focussen op de toprisico’s. De toegevoegde waarde van risicomanagement zit niet in die juistheid en volledigheid, maar in het creëren van bewustwording van de toprisico’s. Een lijst met de tien belangrijkste risico’s die concreet worden beheerst, zegt meer dan een gedetailleerde lijst met honderden mogelijke risico’s.

Valkuil 2. Management support
Een belangrijke voorwaarde voor de succesvolle implementatie van risicomanagement is dat de directie de toegevoegde waarde inziet van risicomanagement, het ondersteunt en er actief bij betrokken is. Als de directie geen toegevoegde waarde ziet van risicomanagement blijkt het in de praktijk onmogelijk om dit succesvol te implementeren en voor de lange termijn door te zetten. De top risico’s van de organisatie moeten dus vooral ook op de agenda staan in directie overleggen en de directie moet sturen op de beheersmaatregelen.
__________________________________________________________________________________
Voorkom verrassingen en benut kansen met Enterprise Risk Management
De tweedaagse cursus Enterprise Risk Management is dé aangewezen methode om onzekere gebeurtenissen, risico’s maar ook opportunities pro-actief en integraal te managen. Daarnaast maakt de toegenomen regelgeving ERM tot een must. Klik hier voor informatie en aanmelden.
__________________________________________________________________________________

Valkuil 3. Organisatiebreed perspectief
Wat bij veel organisaties ontbreekt, is een integrale aanpak van risicomanagement. Dus vanuit een organisatiebreed perspectief de risico’s identificeren, kwantificeren en vervolgens de beheersmaatregelen implementeren. Dat betekent dat alle relevante medewerkers van het bedrijf betrokken moeten worden bij risicomanagement. En dan vooral de medewerkers die een goede inschatting kunnen maken van de risico’s die de doelstellingen kunnen beïnvloeden. Vaak zie je dat het managementteam een goede representatie is van het bedrijf omdat alle disciplines hierin vertegenwoordigd zijn. Een risicosessie in het management team zal dus waardevol zijn.

Valkuil 4. Management control cyclus
Als risicomanagement geen onderdeel uitmaakt van de planning en control cyclus zal het snel van de prioriteitenlijst verdwijnen. Zorg er dus voor dat de toprisico’s worden meegenomen in periodieke rapportages en koppel er actiepunten aan. Neem het beheersen van risico’s ook mee in beoordelingsgesprekken en in de individuele doelstellingen van medewerkers. Focus dan vooral op de vraag of de risico’s waarvoor de medewerker verantwoordelijk is inzichtelijk zijn en voldoende beheerst worden.

Joost Speekenbrink is Register Controller en partner bij Financial Executives, een adviesbureau voor financieel interim management.

Ook interessant voor u: Voldoen aan compliance: 9 inzichten van finance professionals