Nieuwe CRO of oude CFO?
Regelgeving, druk van buitenaf, maar ook interne eisen maken het noodzakelijk dat ondernemingen risicomanagement op een hoger plan tillen. Om dit proces succesvol te laten verlopen dient het risicomanagement goed in de organisatie verankerd te worden. Zo kan er bijvoorbeeld een koppeling aan een planning- en controlcyclus plaatsvinden of kan het risicomanagement opgenomen worden in de projectmanagementmethodiek die al binnen de organisatie wordt gebruikt. Wellicht kunnen zelfs meerdere processen, zoals juridische controle, financiële controle en kwaliteitsmanagement onder de noemer risicomanagement gebundeld worden. Dit alles vraagt om een analyse van de huidige processen, systemen, methoden en beleidsuitgangspunten of om het ontwerp van nieuwe versies hiervan. Bovendien is van de gehele organisatie brede betrokkenheid vereist om risicomanagement te laten werken. Het spreekt voor zich dat de aansturing en inrichting van risicomanagement een fors takenpakket met zich meebrengen. De risicomanager zal een proces van identificatie, evaluatie, beheersing en vastlegging van risico’s moeten initiëren. Dit proces zal niet alleen op strategisch, maar ook op tactisch en operationeel niveau met enige regelmaat moeten worden doorlopen om te waarborgen dat alle relevante risico’s worden gesignaleerd. Nog veel belangrijker is dat door introductie van het risicomanagement op tactisch en operationeel niveau een bijdrage wordt geleverd aan de bewustwording van risico’s bij medewerkers.
Naast het initiëren van het proces zal de risicomanager moeten toezien op een goede kwalitatieve analyse. De risicomanager zal daarom voldoende senior moeten zijn om een eerste inhoudelijk oordeel te kunnen geven over de volledigheid en juistheid van de analyse.
Hij zal de methodiek en toepassing daarvan moeten bewaken en zorg dragen voor een verdere ontwikkeling van model en methodiek. Om voortgang in risicobeheersing te waarborgen is een frequente rapportage door de risicomanager aan de diverse managementniveaus van belang. Daartoe zal de nodige risicomanagementinformatie moeten worden verzameld. De risicomanager zal dus aan diverse kwalificaties moeten voldoen. Een onderneming heeft te maken met een breed scala aan risico’s (zie de ‘risicoradar’). De risicomanager zal daarom moeten beschikken over een gedegen ‘helicopter view’ om alle risico’s te kunnen overzien. Het scala aan risico’s gaat immers veel verder dan alleen de traditionele financiële gevaren. Naast een scherpe analyse, waarbij hij het brede risicospectrum overziet, moet de risicomanager beschikken over de nodige communicatieve vaardigheden (vooral goed luisteren) om de managers de toegevoegde waarde van risicomanagement duidelijk te maken. Bovendien wordt er een beroep gedaan op het financiële inzicht van de risicomanager om een juiste interpretatie te kunnen geven van de financiële gevolgen van incidenten en risico’s en key-performanceindicatoren met betrekking tot risico’s.
LOGISCHE KEUZE Bij veel ondernemingen is het risicomanagement bij finance ondergebracht. Op zich is dit een logische keuze, gegeven de functies en activiteiten die daar al geconcentreerd zijn. Zo zijn controllers gewend kritisch naar bedrijfsprocessen te kijken. Zij kunnen daardoor toezien op de kwaliteit van een goede risicoanalyse. Daarnaast is de financiële afdeling veelal eigenaar van rapportagesystemen. Naast financiële rapportages is het uitbreiden van de verantwoordelijkheid van de afdeling finance met risicorapportages een logische keuze. Eerder hebben we al een koppeling van risicoanalyse aan een door finance geïnitieerde planning- en controlcyclus gesuggereerd. De financiele implicatie van risico’s moet tenslotte ook in voorspellingen en budgetten meegenomen worden. Deze argumenten onderschrijven daarom de traditionele keuze voor risicomanagement als taak van de afdeling finance. Dit vraagt echter aandacht voor de volgende aspecten. Zoals uit de ‘risicoradar’ blijkt, gaat integraal risicomanagement verder dan alleen financieel georiënteerde risico’s. Wij zien dat het voor de afdeling finance vaak lastig is om de vertaling naar andere risicocategorieën te maken. Daarnaast zal aandacht moeten worden besteed aan de functiescheiding. Is finance in staat als controller van de business op te treden en tegelijk mogelijke risico’s te rapporteren die nog niet financieel verwerkt zijn? Nog lastiger is het voor finance om een risicoanalyse van het eigen financiële proces uit te voeren en toe te zien op de juistheid en volledigheid daarvan. Verder worden er geheel andere vaardigheden aangesproken dan die verwacht worden bij de traditionele boekhoudkundige. De risicomanager zal een groot deel van zijn tijd bezig zijn met de training en bewustmaking van medewerkers in de onderneming. Zijn oriëntatie is ex-ante, terwijl finance traditioneel ex-post naar informatie kijkt. Ook is de aard van de informatie van een andere orde: informatie van finance behoort te kloppen, informatie van risicomanagement behoort richting te geven. Kan een afdeling finance omgaan met deze andere werkwijze binnen de eigen geledingen?
Alle argumenten in aanmerking genomen, is het wenselijk om risicomanagement toch een aparte plaats in de organisatie te geven door middel van het benoemen van een chief risk officer. Deze kan, bijvoorbeeld zoals bij Ahold, in de raad van bestuur worden opgenomen dan wel in een laag eronder, direct rapporterend aan een van de bestuursleden.
Eelco Schnezler en Robert ’t Hart zijn respectievelijk Practice Leader Business Risk Consulting en Senior Risk Consultant bij Marsh Risk Consulting