E-learning: Valkuilen van succesvol risicomanagement
FinanceHub.nl: Succesvol risicomanagement
Scan jouw organisatie op risico’s en stel een beheersplan op. Verstevig groei en waarborg continuïteit met de cursus Risicomanagement.
Bekijk de module hier
Introductie verschillende valkuilen
“We gaan het hebben over een aantal praktische valkuilen die in de praktijk vaak verstorend werken voor het succesvol implementeren van risicomanagement”, begint expert Urjan Claassen de module. “De valkuilen die ik ga presenteren komen uit verschillende branches naar voren en zijn in de afgelopen jaren verzameld door een heleboel gesprekken met controllers, financieel directeuren en andere betrokkenen rondom het risicomanagementproces. Ik deel graag met jullie de praktische ervaringen die daarbij naar voren zijn gekomen.”
Valkuil 1
“Veel organisaties starten met risicomanagement vanuit een corporate governance code, waarin wordt verlangd dat de raad van toezicht of de raad van bestuur periodiek over de belangrijkste risico’s en beheersingsmaatregelen rapporteert. Op het moment dat een organisatie een heleboel risico’s kent op verschillende hiërarchische niveaus, is het een uitdagende klus om alle risico’s periodiek op een goede manier te consolideren en tot een keuze te komen wat de belangrijkste risico’s zijn.
Het eerste issue dat ik wil bespreken, is hoe je periodiek tot een gestructureerde set van belangrijkste risico’s komt die binnen een organisatie spelen. Belangrijk sleutelelement om daar te komen is het gebruik van een risico-universum. Een risico-universum is eigenlijk een soort set van gemeenschappelijk gedragen risico’s waar iedereen de betekenis van begrijpt. Eigenlijk een soort set van metadata. En die metadata wordt gebruikt door risico’s op verschillende niveaus daaraan te verbinden. Het zorgt ervoor dat mensen met elkaar in gesprek kunnen gaan en dat ze ook verschillende soorten risico’s kunnen plaatsen en begrijpen. Een ander belangrijk voordeel is dat we daarmee de hoeveelheid risico’s per hiërarchisch niveau goed kunnen doseren. Er wordt weleens gezegd dat mensen maar zeven dingen kunnen onthouden. Dat kunnen we heel mooi sturen door middel van het risico-universum.
Ik geef graag een voorbeeld: Op het moment dat je voorzitter bent van een directie en je moet rapporteren over een aantal belangrijke risico’s, start dan met maximaal tien risico’s die te overzien zijn. Deze risico’s hebben een bepaalt abstractieniveau. Bijvoorbeeld veiligheid, compliance of financial reporting. Op het moment dat ik er één risico uitpak (compliance), dan kan ik dat risico toepassen op een aantal afdelingen. Compliance betekent voor een HRM-afdeling het voldoen aan Arbo-wetgeving of het voldoen aan fiscale regelgeving rondom loonbelasting. Voor de financiële verslaggeving afdeling betekent compliance het voldoen aan IFRS. Voor de inkoopafdeling betekent het bijvoorbeeld het voldoen aan aanbestedingsregelgeving. Drie verschillende variaties op hetzelfde thema. Op het moment dat een inkoopafdeling vervolgens gaat praten met zijn afdelingsteam of proceseigenaren, dan kent dat risico weer een nauwgezette inkleuring. Dus aanbesteding betekent dat ik fouten kan maken bij het schrijven van het bestek, het bestellen, het factureren, et cetera. Als ik het heb over Arbo-risico’s kan ik ook weer een heleboel variaties daarbij bedenken. Dus door het gebruik van een passend risico-universum (risk-universe), kunnen risico’s op verschillende niveaus goed worden gedoseerd en de hoeveelheid risico’s behapbaar worden gemaakt zodat iedereen deze kan overzien.”
Door middel van de risk-universe ontstaat een gemeenschappelijke taal waardoor misverstanden worden voorkomen en risico’s gemakkelijk worden geconsolideerd.
“Een belangrijk punt bij de keuze van de risico’s in mijn risk universum is het kiezen van de risico’s die ook aansluiten bij het organigram. Heel concreet: in mijn voorbeeld van een compliance risico is het van belang dat op het moment dat dit risico niet goed wordt beheerst, dat de CFO of Risk Manager heel concreet weet met welke man/vrouw hij in contact kan komen, die vervolgens de details daarvan moet managen. Op het moment dat een risico meerdere eigenaren heeft, wordt het heel moeilijk om mensen gericht aan te spreken. Met de vraag: hoe wordt het risico beheerst en waar staan we om het risico te actualiseren? Het kiezen van de risico-eigenaar is een belangrijke succesfactor en inputvariabele om te komen tot een goed risico universum. Ander belangrijk punt rondom het risico-universum is dat het gedragen wordt en dat het branchespecifiek is. Een belangrijk bezwaar dat in de praktijk vaak voorkomt bij het introduceren van risico’s is dat men het niet herkent: ‘het is niet van onze branche, het is niet van onze sector’. Zorg er dus voor dat risico’s goed gedragen worden door de organisatie en neem de tijd om dat goed af te stemmen.”
Valkuil 2
“De tweede belangrijke valkuil in de praktijk is dat risico’s op operationeel niveau en strategisch niveau door elkaar heen worden behandeld. Er wordt niet gekozen voor een passende set van controlemaatregelen, laat staan dat de samenhang en de causaliteit tussen risico’s wordt bezien. Het heeft tot gevolg dat de effectiviteit van het in control framework in zijn totaliteit niet adequaat functioneert. Wat daarom van belang is voor een succesvolle implementatie is dat goed wordt onderkend op welk niveau het risico zich afspeelt. Dit moet vervolgens via het risk-universe worden geconsolideerd.
Een voorbeeld: op het moment dat we het over compliance risico’s hebben en we gaan dit helemaal afkaderen naar financiële risico’s, Arbo-risico’s en uiteindelijk naar het operationele proces wat daaronder ligt, dan hebben we in het laatste niveau (operationele proces) handmatige controlemaatregelen en applicatie controlemaatregelen nodig om het risico goed het hoofd te bieden. Checks en balances die door de operationele medewerker worden uitgevoerd. Naast die operationele transactiegerelateerde beheersingsmaatregelen hebben we ook nog belangrijke randvoorwaardelijke proces controls nodig. Zoals bijvoorbeeld fysieke beveiliging (deur op slot), functiescheidingen, maar ook algemene ICT controles. Dat zijn veelal beheersingsmaatregelen die onderaan in de organisatie door operationele medewerkers worden uitgevoerd en waarover moet worden gerapporteerd.
Op meer strategisch niveau hebben we een andere set van beheersingsmaatregelen. Daarin willen we eigenlijk de bevindingen op operationeel niveau, de audits ten aanzien van de general IT controls of steekproeven van het management ten aanzien van de effectiviteit van processen, vormen daar het gremium en het controlemechanisme om toezicht te houden op hoe het proces verloopt. Ander niveau, andere set aan gereedschappen om uiteindelijk die verantwoordelijkheid te kunnen dragen. Maar ze moeten wel in verband met elkaar liggen, dus door het uitwerken van risico’s in een duidelijke kerstboom, hoe die met elkaar samenhangen en de causaliteit met elkaar hebben, kunnen we ook de beheersingsmaatregelen op eenzelfde manier uitwerken. Op operationeel niveau beginnende met applicatie en handmatige controles. Op middle managementniveau task-controles, dus toezicht houden door middel van audits, benchmarks, stuurgroepoverleg of management toezicht om feeling te houden; gaan die operationele risico’s goed? Daarmee krijg je assurance dat ik mijn risico op tactisch niveau goed beheers. Op management en senior management niveau worden ook de randvoorwaarden geschapen om de juiste gedragskenmerken bij mensen los te maken. Denk aan het beoordelen of belonen van mensen, door middel van contracten met leveranciers en managementovereenkomsten. Denk aan het duidelijk definiëren van resultaatgebieden tussen mensen, zodat er geen misverstanden kunnen ontstaan. Zo worden risico’s in een kerstboom uitgewerkt en vervolgens geconsolideerd naar een totaal. Door alle niveaus consistent (met elkaar) uit te werken komen we tot een effectief incontrol framework.”
In de module ‘Succesvol Risicomanagement’ op FinanceHub.nl krijgt u nog veel meer tips om het risicomanagement in uw organisatie naar wereldklasse te brengen. Meld u hier aan.