Group controller Shell: koppeling risicomanagement en prestaties
Terwijl risico en prestaties nauw met elkaar verbonden zijn, worden in de meeste ondernemingen performance en risico onafhankelijk van elkaar gemanaged. Bovendien bestaat er vaak onduidelijkheid of verschil van inzicht over de risicobereidheid van de organisatie. Bij de bedrijfsvoering richten ondernemingen zich met name op prestaties en bepalen ze hun eigen doelstellingen, kritieke prestatie-indicatoren (KPI’s) en targets. Aan de andere kant focust de risicomanagementfunctie zich op risico, waarbij eigen risicoprofielen worden opgesteld, soms met bijbehorende kritische risico-indicatoren (KRI’s).
Idealiter wordt een keuze ten aanzien van activiteiten en prestaties op een risicobewuste wijze gemaakt, uitgaande van de risicobereidheid van de organisatie. Deze keuze blijkt lastig in de praktijk te brengen. Voorbeelden hiervan zijn de ondergang van de DSB Bank en de ramp met het olieplatform van BP in de Golf van Mexico.
De vraag die centraal stond tijdens de rondetafel die PwC voor het jaarcongres Finance Transformation organiseerde, luidde dan ook: Hoe integreren we het risicomanagement in een cultuur waar hoge prestaties worden verwacht? In een onderzoek dat PwC vooraf onder de deelnemers aan de rondetafel deed, gaf 20 procent aan dat er binnen zijn onderneming één geintegreerd managementsysteem of proces voor de rapportage van zowel risico’s als prestaties aanwezig was. De helft van de aanwezigen stelde bovendien dat de eindverantwoordelijkheid voor risico- en prestatiemanagement in de onderneming verspreid is belegd.
Integratie risico- en prestatiemanagement
Pim Roest, partner bij PwC, stelde dat er een aantal succesfactoren aan te wijzen is bij het linken van prestatie- en risicomanagement. “Veel hangt af van de organisatie: er moeten geen concessies worden gedaan aan de kwaliteit van risicomanagers, de prioriteitstelling van de top is belangrijk, en er moet sprake zijn van een goede afstemming tussen centraal en decentraal.”
Verder moet er volgens hem een duidelijk rapportagesysteem aanwezig zijn en is de bedrijfscultuur mede bepalend. “Medewerkers moeten worden getraind en moeten de geïntegreerde werkwijze accepteren. De processen moeten goed zijn ingericht, waarbij er sprake is van voldoende controles, regelmaat en discipline. Risico’s dienen zo veel mogelijk te worden gekwantificeerd en geëvalueerd vanuit de totale portfolio van risico. Het risicoprofiel wordt periodiek of bij elke belangrijke wijziging in de bedrijfsvoering geëvalueerd.”
Bij Royal Dutch Shell is de koppeling tussen prestatie- en risicomanagement expliciet en iets wat is geborgd in het ‘control framework’. Group Controller Martin ten Brink van Shell legde de aanwezigen uit hoe Shell omgaat met risico en prestatie. Het ‘control framework’ bestaat uit drie dimensies. Allereerst is er de organisatie, bestaande uit de board, de soort bedrijfsvoering, de staffuncties en de juridische entiteiten. De tweede dimensie wordt gevormd door het fundament van de onderneming: de gedragscode en de principes van de bedrijfsvoering. Hieronder valt ook de mate van risicobereidheid van het management. De derde dimensie wordt gevormd door de processen, hierin wordt het delegeren van autoriteit, het formuleren van de strategie, het planningsproces en naleving van wet- en regelgeving vastgelegd.
Risico is onvermijdelijk, anders krijg je de daarmee gepaard gaande beloning ook niet, aldus Ten Brink. “Het gaat er niet om om risico’s vermijden, maar om er bewust mee om te gaan. Het begint met het formuleren van de doelstelling voor de bedrijfsvoering, we verwachten dat daarbij ook wordt gekeken naar de ontwikkelingen in de omgeving waarin we opereren. Mensen met businessverantwoordelijkheid worden geacht een inschatting te maken van de mogelijke risico’s bij het behalen van hun doelstellingen. De risico-inschatting is geen separate functie, maar een integraal onderdeel van de taken van het management. De risico’s worden op die manier in kaart gebracht en dan wordt gekeken naar de risicobereidheid en relevante mitigerende maatregelen. Het risico wordt meebeschouwd in het formuleren en evalueren van prestatiedoelstellingen.”
####
Ten Brink (Shell) vervolgt: “Bij de identificatie van risico’s wordt gekeken naar de dimensie van de risico’s, de kans dat iets gaat gebeuren. Soms is dit zeer nauwkeurig aan te geven, soms slechts kwalitatief. Daarnaast wordt gekeken naar de impact op de business en of de trend in de risicoomgeving positief of negatief is. Dan wordt het acceptatieniveau afgewogen en of er al dan niet reden is om de risicomaatregelen aan te passen.”
Ten Brink benadrukt dat het een dynamisch proces is met veranderingen van kwartaal tot kwartaal. Een mogelijke vijfde dimensie is volgens hem de snelheid waarmee een risico kan omslaan in een existentiële dreiging. Binnen Shell bestaan er volgens Ten Brink risico- managementtechnieken op verschillende niveaus. “Op strategisch niveau werken we bijvoorbeeld sinds de jaren zestig met scenarioplanning: beschrijven hoe de toekomst eruit zou kunnen zien, waarbij de veranderingsprocessen inherent consistent (moeten) zijn. Een ander voorbeeld is het proces van toewijzen van kapitaal aan de verschillende onderdelen in de portfolio. Daarnaast is er het operationele risico, waarbij risicoidentificatie een grote rol speelt.”
“We rekenen veel projecten door met diverse technieken. Op het gebied van veiligheid nemen we veiligheidsmaatregelen op in het ontwerp van installaties. Op tactisch niveau gebruiken we methodieken zoals ‘value at risk’ in trading operaties. Andere technieken zijn hedges (valuta), kredietbeoordelingen, marge per jaar versus krediet exposures, waarmee een duidelijke link tussen risico en resultaten wordt gelegd.”
Op de vraag van een van de aanwezige CFO’s of er bij Shell een chief risk officer is, gaf Ten Brink te kennen hier niet in te geloven. “De persoon die verantwoordelijk is voor de business of een project, is ook verantwoordelijk voor het managen van de risico’s. Ik geloof niet in het concept van een aparte chief risk officer.”
Bij Shell wordt het risicomanagementproces ondersteund vanuit de financiële afdeling. “Overal in de organisatie zitten risicohouders, er moet duidelijkheid zijn over het rekenschap afleggen over resultaten en het eigenaarschap van risico’s. Het gaat om grote projecten en segmenten. Een verantwoordelijke manager kan de risico’s zo opnoemen, het moet een dynamisch gebeuren zijn.”
In de taxatie van de prestaties wordt bij Shell niet alleen uitgegaan van de resultaten van jaar tot jaar, maar vooral ook gekeken naar de laatste schattingen van het jaar en de factoren die de ambities en mogelijkheden een andere kant op sturen. Het gebeurt zo dynamisch mogelijk en de vraag die vanuit prestatieperspectief wordt gesteld is: lever je af wat de omgeving en de middelen je in staat stellen te doen? Bijvoorbeeld in de Golf van Mexico kon niet op dezelfde wijze worden geïnvesteerd als was gepland, doordat het niet was toegestaan putten te boren. Deze keuze scheelt dus in omzet en marge, maar er is in dat geval geen sprake van presteren onder het gewenste niveau.”
Op de vraag of Shell naast KPI’s ook aparte KRI’s vaststelt, antwoordt Ten Brink: “Het is meer een discussie tussen businessperformance en risico.” De prestatierapportages bevatten een profiel van de risicoportefeuille. Bij Shell worden verschillende soorten risico’s uiteindelijk vertaald naar één noemer, waardoor ze vergelijkbaar worden.
####
Het linken van prestatie en risico biedt commerciële kansen
Een voorbeeld van de risicoafwegingen waarmee Shell te maken heeft, is volgens ten Brink de keuze tussen olie- of gasproductie. “We produceren bijna net zo veel olie als gas. Uit oogpunt van duurzaamheid is gas in het voordeel, maar op de korte termijn kan het afhankelijk van de relatieve prijsontwikkelingen ook een zekere ‘exposure’ met zich meebrengen. We kijken bijvoorbeeld ook naar de ontwikkelingen in de auto-industrie. Elektrische auto’s zullen zich vooral in stedelijke gebieden meer gaan manifesteren. Wat is de voetafdruk van elektriciteit tot wielen als de stroom is opgewekt met kolen? Wat betekent dit voor onze strategie?”
“We willen de CO2-uitstoot beperken en tegelijkertijd CO2-opslagcapaciteit ontwikkelen. Voor de marktwerking heb je daarvoor een CO2-prijs nodig.” Een deelnemer kaartte het probleem aan van de beleving van verschillende culturen binnen een onderneming. “Als je vanuit het hoofdkantoor regels stelt, hoe zorg je er dan voor dat die regels ook gaan leven aan de andere kant van de wereld? Hoe borg je de integriteit van subcontractors?”
Volgens Ten Brink is het zaak om expliciet te zijn over de gewenste gedragscode en het eigen personeel en contractors actief te managen op dat aspect. “Het leeft wel onder de medewerkers, we zijn duidelijk over de consequenties van ongeoorloofd gedrag. Het merk Shell vertegenwoordigt een enorme waarde en waar ter wereld en in welke cultuur je ook werkt, als je iets doet wat niet kan, gaat dit ten koste van je reputatie. Het kan soms zo ver gaan dat we ervoor kiezen geen zaken te doen.”
“Je zou je kunnen afvragen of het wat oplevert om jezelf ethisch en risicobewust in de markt te zetten. Er zijn weinig harde cijfers beschikbaar, maar we geloven er sterk in dat het zich op de lange termijn zal vertalen in betere resultaten. Risicobewust gedrag is het fundament onder het mandaat om te kunnen blijven opereren. Bij het verkrijgen van licenties speelt het imago van het bedrijf mee, en zoals voormalig Shell-topman Jeroen van de Veer het verwoordde: “Reputatie komt te voet en vertrekt in een Ferrari.”
Een vraag onder de aanwezigen was hoe Shell omgaat met de verschillende risico-inschattingen van managers, de een is voorzichtiger dan de ander. “Dit geldt niet alleen binnen de organisatie, maar gaat verder. Risico’s beperken zich niet tot interne of technische risico’s, maar manifesteren zich bijvoorbeeld ook in een buurt die een bepaalde installatie niet wil, zoals Barendrecht. Daar moet je een dialoog over aangaan. We nemen de risicobereidheid van verschillende stakeholders mee in de besluitvorming. Het komt voor een groot deel ook aan op het vertrouwen in en de kwaliteit van je mensen.”
Geintegreerd prestatie- en risicomanagement voegt waarde toe
Ter afsluiting van de rondetafel concludeert Pim Roest van PwC dat ‘performance leaders’ risicomanagement in de bedrijfsvoering van de organisatie integreren. Door de integratie wordt risicomanagement een terugkerend thema op de agenda: bij beslissingen over bedrijfsactiviteiten en te behalen prestaties vormt het daarmee gepaard gaande risico een integraal onderdeel van de afweging. Hierdoor is de onderneming in staat over een langere periode beter en stabieler te presteren dan de concurrenten.