Risico’s als kans: Enterprise Governance, Risk & Compliance

Door Pierre Lommerse

Veel ondernemingen gebruiken inmiddels enterprise performance management om de organisatie te sturen op de uitvoering van de strategie en het creëren van maximale waarde. Om te voorkomen dat organisaties uitsluitend risicomijdend gedrag gaan vertonen, moet enterprise performance management worden samengevoegd met governance, risk en compliance.

Governance, Risk & Compliance

Governance is de noodzaak tot verantwoordelijk management. Dit kan gaan om het waarborgen van een veilige werkomgeving of het formuleren van een effectieve strategie.

Risk is vooraf actie ondernemen op de gevolgen van eventuele gebeurtenissen. Effectief risicomanagement beperkt de onzekerheid door risico’s op brede schaal te identificeren en te beoordelen.

Compliance is het vermogen om aan wet- en regelgeving te voldoen. Momenteel is de druk groot om veel aandacht aan compliance te besteden. De zware administratieve inspanning die compliance met zich meebrengt, weerhoudt ondernemingen er echter van om zich te concentreren op het verbeteren van hun organisatie.

Door deze twee vakgebieden samen ontstaat een completer beeld van de prestaties van een organisatie onder de naam enterprise governance, risk en compliance (EGRC). Binnen het kader van EGRC wordt bepaald waar een organisatie naartoe wil én hoe ze daar komt. Het doel van EGRC is niet om de mate van blootstelling van de onderneming aan risico’s te minimaliseren, maar om risico’s aan te wenden teneinde maximaal concurrentievoordeel te behalen.

Risico, kans of bedreiging?
Risico’s worden vaak als een gevaar beschouwd, maar kunnen ook gezien worden als een kans om toekomstig voordeel te behalen. Wat risico’s en kansen met elkaar gemeen hebben, is dat ze verbonden zijn met gebeurtenissen die zich al dan niet in de toekomst zullen voordoen. Een simpele visie op risicomanagement is dat er meer dingen kunnen gebeuren dan er in werkelijkheid plaatsvinden. Als we in staat zijn de waarschijnlijkheid van mogelijke gebeurtenissen te achterhalen, kunnen we nadenken over de manieren om met verrassingen om te gaan. Zo kan een regenbui een ramp zijn voor de organisatie van een openluchtfestival, maar ook een mogelijkheid om gesponsorde paraplu’s uit te delen.
__________________________________________________________________________________
Cursus Corporate Governance Codes
Corporate governance is verplichte kost voor bestuurders, managers, toezichthouders van beursgenoteerde ondernemingen. Bent u werkzaam in het MKB dan is corporate governance geen verplichting maar wel een zeer mooie tool om vast te stellen of u te allen tijde uw onderneming in control heeft. Doe direct onontbeerlijke kennis op en volg de cursus Corporate Governance Codes. De cursus is tevens te volgens als tweedaagse cursus in combinatie met IFRS Essentials. Klik hier voor het gehele programma en aanmelden
__________________________________________________________________________________

Risk Exposure
Risico’s gaan meestal ook gepaard met extra kosten, aangezien ze kunnen uitgroeien tot problemen. Kansen daarentegen kunnen extra waarde voor de onderneming opleveren, omdat ze in voordelen kunnen worden omgezet. De meeste ondernemingen zijn niet in staat hun blootstelling aan risico (risk exposure) te kwantificeren. Het ontbreekt ze aan een gemeenschappelijke basis voor het evalueren van de verhouding tussen deze exposure en hun risicobereidheid (risk appetite).

Risicobereidheid omvat de mate van risico die een onderneming bereid is te nemen om een verwacht rendement te kunnen realiseren. Het doel is niet om alle risico’s uit te sluiten, maar om de risk exposure in evenwicht te brengen met de risk appetite.

####

Mogelijke risico’s
Risicomanagement moet niet worden verward met het opstellen van een rampenplan. Het begint met het systematisch in kaart brengen van mogelijke risico’s. Vervolgens worden er kwantitatieve methoden toegepast om drie factoren te meten en te beoordelen: de waarschijnlijkheid dat een gebeurtenis zich zal voordoen, de ernst van de gevolgen en het vermogen van het management om op effectieve wijze op de gebeurtenis te reageren. Op basis van deze factoren worden voor elk risico de verschillende risicoreducerende maatregelen en de daarmee gepaard gaande kosten overwogen. Daarnaast wordt gekeken naar mogelijkheden om van deze risico’s te profiteren.

Enterprise GRC
Enterprise GRC kan worden gezien als de inspanning om de risicoprestatie (key risk indicators, KRI’s) aan de bedrijfsprestatie te koppelen (key performance indicators, KPI’s). Risico en onzekerheid zijn te bedrijfskritisch en invloedrijk om eraan voorbij te gaan. Reputatierisico als gevolg van fraude, een vervelend productgerelateerd incident of een andere gebeurtenis die de krantenkoppen haalt, kan de marktwaarde van een bedrijf aanzienlijke schade berokkenen.

Het proces om tot een goed EGRC te komen heeft zowel betrekking op het uitstippelen van de koers door het management — Waar willen we naartoe? — als op het aanreiken van een kompas en navigatiemiddelen om antwoord te krijgen op de vraag: Hoe komen we daar? en: Hoe ver zijn we op weg om deze bestemming te bereiken?

Ten eerste bestaat dit proces uit het definiëren van KRI’s. Dit is van essentieel belang om inzicht te krijgen in de werkelijke oorzaken van risico’s. KRI’s hebben bovendien een voorspellende functie, omdat ze continu de mogelijke gevolgen van de risico’s en de kans dat ze plaatsvinden beschikbaar maken.

Vervolgens worden de visie, de missie en het strategische plan van de onderneming vastgesteld. Tijdens deze stap bepaalt het management op welke markten, producten en klanten het zich wil richten.

Als derde wordt de hoogte van de investeringen bepaald. Financiële en fysieke middelen zijn altijd schaars en moeten daarom op slimme wijze worden ingezet. Hierin moeten ook de kosten voor risicoreducerende maatregelen worden meegenomen. Dit houdt in dat elke extra besteding of investering voor een project een acceptabele ROI moet opleveren. Het management moet een afweging maken tussen de kosten en voordelen van risicoreducerende maatregelen.

Tenslotte worden alle uitvoerende performancemanagementprocessen in werking gesteld. Dit zijn onder andere customer relationship management (CRM), enterprise resource planning (ERP), supply chain management (SCM), activity-based costing (ABC) en Six Sigma-initiatieven. Op het bijbehorende dashboard worden de actuele prestaties en de doel-KPI’s samengebracht met de status van de KRI’s.

__________________________________________________________________________________
Cursus Corporate Governance Codes
Corporate governance is verplichte kost voor bestuurders, managers, toezichthouders van beursgenoteerde ondernemingen. Bent u werkzaam in het MKB dan is corporate governance geen verplichting maar wel een zeer mooie tool om vast te stellen of u te allen tijde uw onderneming in control heeft. Doe direct onontbeerlijke kennis op en volg de cursus Corporate Governance Codes. De cursus is tevens te volgens als tweedaagse cursus in combinatie met IFRS Essentials. Klik hier voor het gehele programma en aanmelden
__________________________________________________________________________________

Periodiek rangschikken van vastgestelde risico’s
Dit proces is een voortdurende cyclus, waarin prestaties en risico’s steeds opnieuw worden beoordeeld en op basis waarvan de strategie wordt aangepast. Het meten en beheren van de risico’s is nu niet langer een intuïtieve aangelegenheid, maar is uitgegroeid tot een gestructureerd proces. Om de risico’s die een sterk kwalitatief en subjectief karakter hebben te kunnen kwantificeren, is het nodig om periodiek de vastgestelde risico’s te rangschikken op volgorde van belangrijkheid.

Het belang van een risicogebeurtenis wordt niet alleen bepaald door de gevolgen ervan, maar ook door de waarschijnlijkheid dat die gebeurtenis zal plaatsvinden. Het opstellen van een risicoscorekaart is daarmee de beste methode om risico’s te kwantificeren, ze met elkaar in verband te brengen en te koppelen aan een doordacht budget voor risicoreducerende maatregelen. Een risicoscorekaart helpt ondernemingen om alle risico’s op één pagina te visualiseren.

####

De afbeelding toont een risicoscorekaart waarvan de verticale as de omvang van de gevolgen van de risicogebeurtenis aangeeft, en de horizontale as de waarschijnlijkheid dat deze gebeurtenis zich zal voordoen. Voor de risico’s in het gedeelte linksonder is het nodig om periodiek te controleren of het risicogehalte toeneemt. In dit stadium is er sprake van weinig tot geen uitgaven op het gebied van risicoreductie. Aan het andere uiteinde, in het gedeelte rechtsboven, staan risicogebeurtenissen (2, 3 en 8) die voortdurend bewaakt dienen te worden en investeringen in risicoreducerende maatregelen vereisen.

Risicoreducerende maatregelen
Het management moet beslissen of deze drie risico´s acceptabel zijn, gezien de mogelijke gevolgen en de waarschijnlijkheid dat ze plaatsvinden. Als deze risico’s niet acceptabel zijn, zou het management ervoor kunnen kiezen om af te zien van datgene wat het risico veroorzaakt, bijvoorbeeld het betreden van een nieuwe markt. De onderneming zou daarnaast risicoreducerende maatregelen kunnen overwegen om de gevolgen en waarschijnlijkheid van de risico’s tot een acceptabel niveau terug te dringen.

Het management moet een afweging maken tussen de kosten en het rendement van de risicoreducerende maatregelen. Zullen de maatregelen ervoor zorgen dat een risicogebeurtenis binnen de vooraf gedefinieerde kaders voor risk appetite blijven? Is het risicogehalte dat na de risicoreducerende maatregel overblijft, acceptabel? Zo niet, welke aanvullende maatregelen kunnen er dan worden getroffen? Wat zijn de kosten en wat zijn de potentiële voordelen van maatregelen die de gevolgen en de waarschijnlijkheid van deze risico’s verder reduceren?

Natuurlijk is het soms veel gemakkelijker om beslissingen te nemen zonder dat de risico’s ervan bekend zijn. Goed inzicht in risico’s maakt de zaken niet altijd eenvoudiger. Wat niet weet wat niet deert, of ‘ongehinderd door kennis van zaken’, zijn uitdrukkingen die dat prima illustreren. Beslissingen die rekening houden met de onderliggende risico’s zijn niet gemakkelijker, wel beter. De risico’s in je ecosysteem moeten zichtbaar zijn, zodat duidelijk is dat op bepaalde momenten de kans op een bepaalde gebeurtenis toeneemt. Dit kan ook een positieve gebeurtenis zijn.

__________________________________________________________________________________
Cursus Corporate Governance Codes
Corporate governance is verplichte kost voor bestuurders, managers, toezichthouders van beursgenoteerde ondernemingen. Bent u werkzaam in het MKB dan is corporate governance geen verplichting maar wel een zeer mooie tool om vast te stellen of u te allen tijde uw onderneming in control heeft. Doe direct onontbeerlijke kennis op en volg de cursus Corporate Governance Codes. De cursus is tevens te volgens als tweedaagse cursus in combinatie met IFRS Essentials. Klik hier voor het gehele programma en aanmelden
__________________________________________________________________________________

Conclusie
Risico’s zijn een integraal onderdeel van ondernemen. Een voorwaarde zelfs. Meer risico betekent ook vaak meer winstpotentieel. Risico’s kunnen ook kansen zijn, waarvan het de moeite waard is om ze goed in kaart te brengen. Risicomanagement zou in die optiek net zo goed – of beter – opportunity management kunnen heten.

Pierre Lommerse is consultant Business Solution bij SAS Nederland

Geselecteerd speciaal voor u: 5 manieren om uw bedrijf om zeep te helpen