6 stappen in risicomanagement

Risicomanagement staat hoog op de agenda van directies en Raden van Bestuur. Veelal gedwongen door de plicht te voldoen aan corporate governance codes, door vragen van een onzeker geworden Raad van Commissarissen of veeleisende afnemers.
 
Dit alles is mede veroorzaakt door de grote beursschandalen van de afgelopen jaren. Is het een hype die over een paar jaar voorbij gaat? Waarschijnlijk niet. De Nederlandse code voor corporate governance, de code Tabaksblat, staat niet op zich. Ook de ons omringende landen hebben vergelijkbare eisen gesteld aan hun ondernemingen.

De Verenigde Staten gaat nog veel verder. Daar waar onze code uitgaat van het principe ‘pas toe of leg uit’, gaat de Amerikaanse Sarbanes-Oxleyact uit van het principe ‘pas toe of ga naar de gevangenis’. Risicomanagement is geen hype.

En alhoewel de code Tabaksblat alleen geldt voor beursgenoteerde ondernemingen zien we dat de code wordt overgenomen door vele andere organisaties. Banken hebben al sinds jaar en dag te maken met expliciete regels op het vlak van risicomanagement.

Zelfs de Nederlandse gemeenten zijn wettelijk verplicht risicomanagement in te richten. Gaat het om het opzetten van een systeem hiervoor dan wordt al snel naar de CFO of de financieel manager gekeken. Hij moet inhoud geven aan dit nieuwe begrip. Na compliance gedreven risicoanalyses is nu de vraag of risicomanagement daadwerkelijk iets kan opleveren.

Zes stappen
Risicomanagement is een hulpmiddel om op een gestructureerde en expliciete manier risico’s in kaart te brengen, te evalueren en – door er pro-actief mee om te gaan – ze beter te beheersen. Risicomanagement is gebaseerd op het maken van risicoanalyses.

De onderneming inventariseert risico’s, kent voor zover mogelijk financiële gevolgen aan de risico’s en verbindt er maatregelen aan. Door al in een vroeg stadium na te denken over de mogelijke risico’s van bepaald beleid, zijn deze nog te voorkomen of eventuele ernstige gevolgen ervan te beperken.

Een eenmalige risicoanalyse is niet voldoende. Pas wanneer de risicoanalyse regelmatig wordt herhaald en geactualiseerd en de eruit voortvloeiende maatregelen een integraal onderdeel van de activiteiten zijn, is er sprake van risicomanagement.

Stap 1: identificatie van risico’s

Bij de identificatie van de risico’s gaat het om alle strategische, operationele, financiële en traditionele (schade) risico’s. Als voorbeeld hebben we hieronder een overzicht opgenomen van de diversiteit aan risico’s. De koppeling naar de doelstellingen van de organisatie en bedrijfsonderdelen is essentieel.

Stap 2: analyse en beoordeling van risico’s

Het in kaart brengen van de risico’s maakt het mogelijk om deze te analyseren. Met risico’s in kaart brengen alleen is een financieel manager er natuurlijk niet. Het is vervolgens van belang om te bezien wat de grootste risico’s zijn. Niet alle risico’s verdienen namelijk dezelfde aandacht; begin daarom met de belangrijkste.

Wij adviseren om de kans op bepaalde risico’s af te zetten tegen de impact die ze (kunnen) hebben. Om een voorbeeld te noemen: de kans op diefstal is vrij klein, de impact waarschijnlijk ook.

Alhoewel de impact van een overstroming op uw bedrijfsterrein groot is, is de kans over het algemeen klein. De kans dat uw grootste afnemer afhaakt, is meestal groter. Net als de impact die dat heeft. Door uzelf iedere keer weer af te vragen hoe groot de kans is en wat de impact is kan een financieel manager bepalen op welke risico’s hij het beste kan inzoomen.

Stap 3: analyse van huidige beheersmaatregelen

Bedrijven kunnen zich onderscheiden ten opzichte van hun concurrentie door hun risico’s efficiënter te beheersen. Een voorbeeld: door een pro-actief hr-beleid, zijn de kosten van ziekteverzuim en ontslagprocedures lager dan die van de concurrent. In deze fase moet worden bepaald of de risico’s niet teveel beheerst zijn en of er blinde vlekken zijn.

Stap 4: ontwerpen en uitvoeren actieplannen

Nadat de reeds getroffen beheersmaatregelen in kaart zijn gebracht, moet de financieel manager een keuze maken. Wat gebeurt er met de risico’s die resten? Hij moet voor elk risico een keuze maken uit de volgende vier opties:
1. Vermijden: dit houdt in dat het beleid waar een risico door ontstaat, wordt beëindigd, op een andere manier wordt vorm gegeven of geen beleid gestart wordt dat een risico met zich meebrengt. Ook kunnen werkprocessen zodanig ingevuld zijn, dat op die manier bepaalde risico’s worden vermeden.
2. Verminderen: door het risico af te dekken door een verzekering, een voorziening of een ander budget in de begroting. Hiermee beperkt de financieel manager de gevolgen van een risico. Tevens kan men bij verminderen denken aan het aanpakken of wegnemen van de oorzaak van het risico.
3. Overdragen: dit kan door het beleid dat een risico met zich meebrengt, uit te laten voeren door een andere betrokken partij die daarmee ook de financiële risico’s overneemt.
4. Accepteren: Kan een risico niet worden vermeden, verminderd of overgedragen, dan kan de financieel manager het risico accepteren. De eventuele financiële schade moet volledig door de weerstandscapaciteit worden afgedekt. Dit betekent niet dat het risico niet beïnvloedbaar is en dat de financieel manager daarom het risico maar helemaal moet accepteren. Het betekent dat het risico op dit moment geaccepteerd wordt en niet op één of andere wijze is afgedekt. Risico’s moeten de verantwoordelijkheid worden van die persoon die ze het beste beheersen kan. Het is daarom noodzakelijk een risico- eigenaar aan te wijzen.

Stap 5: meten, controleren en rapporteren

Risicomanagement is een doorlopend proces. Het is van belang te meten of de actieplannen effect hebben op het risicoprofiel. Ook is risico-informatie te gebruiken voor de planning van de audits.

Stap 6: resultaten integreren in de besluitvormingsprocessen
De risico-informatie is bruikbaar voor analyses omtrent toekomstige besluiten (door middel van de risico-analyses uit het verleden). Bij elk nieuw investeringsvoorstel of omvangrijk project moet de organisatie bewust stil staan bij de risico’s.

Hoe om te gaan met risicomanagement?

Een onderneming neemt per definitie risico’s. Hoe kan een organisatie omgaan met risicomanagement zodat de voorspelbaarheid toeneemt en er dus waarde wordt toegevoegd?

1. Maak risicomanagement geen duur, tijdvretend en geldverslindend project
2. Focus op de top 10 aan risico’s
3. Zorg voor een heldere koppeling met de doelstellingen van de onderneming en de bedrijfsonderdelen
4.Communiceer het belang helder naar de organisatie
5. Zorg voor een heldere taakverdeling
6. Trek het breder dan financiën
7. Gebruik risicomanagement als sturingsmiddel voor het management

Door: Eelco Schnezler, Practice Leader Business Risk Consulting bij Marsh