Governance en risicobeheer: systemen beter dan handwerk

In februari 2009 concludeerde de Organisation for Economic Cooperation and Development (OECD) in het rapport Corporate Governance Lessons from the Financial Crisis dat de financiële crisis in belangrijke mate kan worden toegeschreven aan falende en ontoereikende governance van ondernemingen. Het rapport onderscheidde een aantal zwakheden in 'verantwoord ondernemen'. Niet de systemen, maar vooral de procedures en/of de uitvoering ervan schoten tekort.

Het rapport onderscheidde een aantal zwakheden in ‘verantwoord ondernemen’. 1 Niet de systemen, maar vooral de procedures en/of de uitvoering ervan schoten tekort. De risico’s van de ondernemingen waren onvoldoende in kaart gebracht of kregen te weinig aandacht. Risicobeheer leek eerder een bedrijfsactiviteit dan ondernemingsbeleid. Niet alleen was de openheid van de bedrijven zelf beneden de maat, ook de boekhoudkundige regels en de taakuitoefening van de overheden bleken ontoereikend om het ontstaan van de crisis te voorkomen. Misschien wel de aanjager van veel ellende was het belonings- en bonussysteem, dat niet zelden geen enkele relatie had met de strategie en een acceptabel risiconiveau van de onderneming, met name op de langere termijn. We spreken in dit verband overigens niet uitsluitend over financiële instellingen, wel over minder optimale samenstellingen van raden van bestuur.

KRACHT VAN SOFTWARE
Natuurlijk kan software de menselijke factor nooit vervangen waar het gaat om het waarborgen van verantwoord ondernemen, risicobeheer en best practices. Het besturen, leiding geven, beoordelen en nemen van beslissingen vereist menselijke inzet. Maar al deze menselijke inzet kan anderzijds weer niet zonder deugdelijke software en informatieverwerking. Zeker niet nu organisaties steeds complexer worden en (wereldwijde) marktsituaties snel veranderen. Software kan bijdragen aan

• het opstellen en sturen van een bedrijfsstrategie en bedrijfsdoelstellingen door alle lagen van de organisatie
• het verbinden van projecten en initiatieven aan strategieën en doelstellingen
• het vaststellen, onderhouden en bewaken van alle cijfermatige en procedurele gegevens (key performance indicators), afgezet tegen de overeengekomen strategieën en doelstellingen
• het verkrijgen van inzicht in en het adequaat reageren op hieraan verbonden risico’s en gevolgen, met inbegrip van het signaleren van veranderingen
• het bewaken van de doelmatigheid van programma’s, processen, systemen en besturingsinstrumenten om de risico’s binnen aanvaardbare grenzen te houden.

Al deze aan het OECD-rapport ontleende aandachtspunten zijn feitelijk alleen door een geïntegreerde, ondernemingsbrede oplossing voor optimalisatie van bedrijfsprestaties aan te pakken. De software moet overigens niet worden beschouwd als een extra last of verplichting van overheidswege (compliance), maar levert juist door de verbetering van de transparantie in de bedrijfsprocessen en de ondersteuning van betere beslissingen ook (concurrentie)voordeel op. Investeren in kwaliteit is meer dan ooit van essentieel belang.

CONCRETE VERBETERINGEN DOOR GEBRUIK VAN DE JUISTE SOFTWARE

Informatie over mogelijke gevaren bereikte in een aantal gevallen het bestuur of zelfs de hogere leiding van de organisatie niet, zo stelt het rapport van de OECD. Software die voorziet in een tijdige en juiste escalatie van informatie, dient in ieder geval realtime en historische data te verwerken.

Het systeem biedt een op praktijkervaringen gebaseerd (rapportage)raamwerk voor de identificatie van (interne) bedrijfsrisico’s, het analyseren van risico’s verbonden aan samenwerking en het beheren of bewaken van maatregelen en beslissingen om risico’s te verkleinen. Daarbij worden gebruikers in staat gesteld zelf de voor hen relevante informatie op te vragen vanuit alle geledingen in de organisatie.

Daarvoor moeten koppelingen met betrokken data worden gelegd. Belangrijk is dat de analyse zich in begrijpelijke en eventueel grafische vorm laat weergegeven. Hiervoor staan bijvoorbeeld scorecards en control dashboards ter beschikking. De procedures worden ook zo opgesteld dat – indien nodig – de informatie door de software wordt aangeboden zonder dat de gebruiker daar uitdrukkelijk actie voor heeft ondernomen.

Te denken valt aan: uitzonderingsregels, fouten en het naderen of overschrijden van kritische waarden. Risicobeheer mag niet van ‘handbediening’ afhankelijk zijn en de relevante informatie mag in geen geval té ‘veilig’ opgesloten blijven in silo’s. Anderzijds moet de software er ook voor zorgen dat het omzeilen van beveiligingen of rapportages is uitgesloten. Analyses moeten leiden tot een kosten-batenplaatje. Risicobeheer is niet slechts reactief, maar toont proactief de balans tussen nieuwe kansen en financiële, wettelijke en operationele risico’s.

SOFTWARE MOET GOED MET CIJFERS OVERWEG KUNNEN
Veel, zo niet alle strategische beslissingen van de leiding in organisaties zijn gebaseerd op en resulteren in cijfers. Plannen en argumenten, prioriteitstellingen, taken en evaluaties worden onderbouwd met cijfermateriaal, van detail tot grote lijn. Strategiemanagement in een organisatie berust op drie pijlers: doelen, initiatieven en de belangrijkste prestatieindicatoren. Op basis daarvan zijn verantwoordelijkheden aan medewerkers te delegeren.

• De doelen die men bepaalt, betreffen altijd meerdere belanghebbenden op meerdere niveaus; ze moeten daarom interactief worden vastgesteld, regelmatig worden bijgewerkt en expliciet met operationele activiteiten en initiatieven in de organisatie worden verbonden.
• Initiatieven zijn alleen op verantwoorde wijze te nemen, indien daar inzicht in de strategische relevantie van projecten aan ten grondslag ligt; voorrang toekennen en keuzen maken.
• De belangrijkste prestatie-indicatoren zijn cijfermatige gegevens waarop iedereen kan vertrouwen; ze bieden de mogelijkheid om tot in details af te dalen en cijfers zo te ordenen of te organiseren dat ze zijn te personaliseren voor elke medewerker.

WAT WEET DE DIRECTIE?
Uit een recent onderzoek in de VS kwam naar voren dat niet meer dan 51 procent van de ondervraagde hoogste leidinggevenden meende adequaat aan de verantwoordelijkheid te kunnen voldoen om de talrijke risico’s van de organisatie te bewaken. Het onderwerp ‘risicobeheer’ blijft tot de grootste zorgen van de directeuren en CEO’s behoren. Dit wordt bevestigd door een ander onderzoek.

KPMG vroeg in 2009: “In welke mate bent u tevreden over de doelmatige processen die uw bestuur heeft ingericht voor risicobeheer?” Slechts 12 procent van de directeuren zei zeer tevreden te zijn, matig tevreden was 35 en niet tevreden 17 procent. Hoewel negen van de tien hoogste leidinggevenden in het bedrijfsleven zeiden dat informatie over risicobeheer van het grootste belang was voor het succes van de zaak op langere termijn, dacht slechts 23 procent daarover voldoende informatie te hebben. Zoveel is wel duidelijk: als een organisatie niet beschikt over een ondernemingsbreed proces en systeem voor risicobeheer, kan een verantwoord bestuur door de hoogste leiding niet effectief zijn.

EXORBITANTE BELONING SCHAADT AANZIEN EN OVERLEVINGSKANSEN OP LANGERE TERMIJN
Software oordeelt niet over de hoogte van salarissen. Uit risicoanalyses komt nooit de (on)redelijkheid van bonussen naar voren. Complianceregels worden door geen enkel softwarepakket gegenereerd. Maar wel kan software door alle geledingen van de organisatie met cijfers strategieën en doelen aantonen. Zo laten bonussen en variabele beloningen zich cijfermatig onderbouwen. Die metingen maken duidelijk of ze al dan niet gerechtvaardigd zijn.

CONCLUSIE: ‘PREPARE FOR THE UNEXPECTED’
Zelfs de beste systemen en processen voor een verantwoord bestuur van ondernemingen kunnen nooit voor 100 procent fouten uitsluiten. Anticiperen en adequaat reageren op (verwachte) veranderingen heeft een inherent risico. Bestuur en dagelijkse leiding van een organisatie die niet beschikt over een effectieve informatiehuishouding, zullen waarschijnlijk nooit een redelijk niveau van risicobeheer van de grond krijgen. Verrassingen zullen zich altijd voordoen, met de kans op desastreuze gevolgen.

Bestuurders zullen nooit verantwoord kunnen besturen zonder kennis van de risico’s. En die kennis kan slechts geput worden uit een ondernemingsbrede oplossing, die gekoppeld is aan strategische data, gegenereerd door het continu bewaken en testen van alle relevante instrumenten. Key performance indicators en compliance vereisen een voortdurende analyse van alle processen en een permanent bewustzijn in de gehele organisatie, van laag tot hoog en omgekeerd.

Dit betekent ook dat de transparantie voor iedere verantwoordelijke op het eigen werkniveau is gewaarborgd. De software die voor risicomanagement en compliance wordt ingezet, beperkt zich niet tot delen van de onderneming of deeltaken, maar houdt ‘voeling’ met alle processen. ‘Prepare for the unexpected’ is dus niet afwachten en zien wat er komt, maar weten wat de kwetsbaarheden zijn en scenario’s voorbereiden, gebaseerd op kennis en inzicht.

Verminderde of gespreide risico’s betekent ook: minder reserves om risico’s op te kunnen vangen. Het verlagen van de bedrijfskosten is evenwel niet het eerste doel. Wel zwaarwegend is het sturen op operationele en financiële duurzaamheid. Een governancestrategie maakt een organisatie alert en versterkt het reactievermogen.

MARTIN DE SCHIFFART is Manager Solutions–Office of the CFO bij SAP Nederland

Gerelateerde artikelen