Governance, Risk & Compliance: Op zoek naar het risico ‘IJsbeer’

Een oliemaatschappij betaalt een hoop geld voor licenties om te mogen boren naar olie in de buurt van Alaska. Het bedrijf kan hier de komende jaren miljoenen barrels ruwe olie oppompen. De prognoses zijn rooskleurig, maar dan gooit een ijsbeer roet in het eten. Milieuactivisten claimen dat het boren naar olie de natuurlijke habitat van deze beschermde diersoort in gevaar brengt.

Mocht de ijsbeer op de lijst met bedreigde diersoorten komen, dient het bedrijf rekening te houden met aanzienlijke belemmeringen. Zo is de ijsbeer ongewild een ondernemingsrisico geworden. Mocht uiteindelijk blijken dat het om winbare reserves gaat, dan zullen deze vanzelfsprekend zichtbaar worden in de kwartaalcijfers. Het risico ‘IJsbeer’ heeft niemand echter ingecalculeerd.

Rooskleurig beeld
Is dit echt gebeurd? Dat laten we even in het midden. Wat echter als een paal boven water staat is dat bedrijven wanneer zij over geforcaste, langere termijn cijfers spreken veelal een rooskleurig beeld van de werkelijkheid schetsen.

Het risico IJsbeer zullen weinig oliemaatschappijen verwerken in hun forecast. Net zomin als het risico Lekkage, het risico Milieuramp, Aardbeving, Bedrijfsspionage of het risico Grote Klant Vertrekt. De prognoses van elke onderneming bieden vooral een optimistische kijk op de toekomst en blaken van zelfvertrouwen met betrekking tot het eigen kunnen. Maar zou het niet verstandiger zijn om prognoses te maken die beter aansluiten bij de realiteit van alledag?

Prognoses waar het risico IJsbeer, of om het even welk ander risico, in meegenomen zijn? Een dergelijke aanpak heeft twee grote voordelen. Enerzijds zorgt het verdisconteren van risico’s in de prognoses voor realistische voorspellingen. Anderzijds dwingt het ondernemingen tot een serieuze inventarisatie, management en prioriteitstelling van de aanwezige risico’s.

GRC nieuwe prioriteit
Risico’s zijn een hot thema. Het containerbegrip Governance, Risk & Compliance (GRC) staat hoog op de agenda van elk zichzelf respecterend bedrijf. Enerzijds omdat het in veel gevallen verplicht is opgelegd door wet- en regelgeving. Anderzijds vanwege het simpele feit dat bedrijven zich in zekere zin ook moreel verplicht voelen om zich over dit soort zaken te buigen.

Daarnaast beseff en steeds meer bestuurders zich dat elke kleine of grote ramp ooit begon als een theoretisch risico. Een incident – lekkage, ongeval, spionage, of wat dan ook – kan catastrofale gevolgen hebben voor de onderneming en een zwaar beslag leggen op mensen, middelen en de bedrijfsvoering.

Bedrijven zouden dit soort risico’s dan ook helder in kaart moeten brengen om ze te kunnen managen. GRC is echter nog allerminst gemeengoed. Uit recent onderzoek van IBM onder ruim 1200 CFO’s blijkt slechts 52% van de respondenten een soort formele aanpak van risicomanagement vastgesteld had.

Minder dan de helft van de ondervraagden vindt dat de eigen onderneming effectief met risico’s omgaat. Dat blijkt ze overigens geen windeieren te leggen. Hetzelfde onderzoek toont aan dat bedrijven die veel energie steken in het mitigeren van risico’s beduidend succesvoller zijn dan bedrijven die dat nalaten. Samenvattend: om de in potentie verwoestende impact van risico’s te beperken, is een een volwassen, strategische benadering van Governance, Risk & Compliance cruciaal.

Volwassen aanpak
Zo’n volwassen, strategische aanpak staat vooral gelijk aan een gecoördineerde, gecentraliseerde en geautomatiseerde benadering van GRC. Gecoördineerd houdt in dat (landen)vestigingen van grote organisaties niet elk het wiel uitvinden maar de GRC-uitdaging in nauwe samenwerking met elkaar oppakken.

Daarnaast is het belangrijk dat alle GRC-data (protocollen, gegevens, wetgeving, modellen) op één centrale plek bijgehouden worden. Dat voorkomt dat vestigingen elk op basis van andere modellen of gegevens beslissingen nemen. Als er veranderingen plaatsvinden, hoeft de nieuwe data bovendien maar op één plaats ingevoerd te worden.

Tot slot is het aan te raden om de GRC-processen waar mogelijk te automatiseren. End-to-end GRC-processen brengen beheersing, inzicht en transparantie en leiden op de langere termijn tot aanzienlijke concurrentie- en kostenvoordelen. GRC wordt vaak gezien als een lastig en noodzakelijk kwaad.

GRC biedt echter ook interessante kansen. Wie immers zicht heeft op risico’s, kan daar beter op inspelen en er zelfs actief op gaan sturen. Prestatiemanagement – sturen op basis van Key Performance Indicators (KPI’s) – is gemeengoed. Bedrijven die niet alleen hun prestaties managen maar ook hun risico’s, zetten een nieuwe stap.

Corporate Performance Management – kortweg CPM – staat voor de integrale benadering van bedrijfsprocessen, doelstellingen, meetwaarden en methodieken teneinde de prestaties van een organisatie te managen en te monitoren. Organisaties staan bloot aan allerlei risicotypen – zaken waar ze weinig of geen grip op hebben en een negatief (of positief) effect kunnen hebben op de financiële resultaten of de operationele prestaties.

Een aantal van die risico’s heeft een directe link met de bedrijfsprestaties. Het is de kunst om juist die risico’s te isoleren die een directe link hebben met prestaties, performance drivers en kpi’s. Het risico IJsbeer zou daar in het geval van de oliemaatschappij een voorbeeld van kunnen zijn, net als elk ander risico dat tot op zekere hoogte te kwantificeren is.

Combinatie voegt waarde toe
De combinatie van prestatie- en risicomanagement kan waarde toevoegen aan de business management-activiteiten. Ze vullen elkaar goed aan en in combinatie kunnen ze een signifi – cante bijdrage leveren aan het verbeteren van de financiële en operationele prestaties van een onderneming.

Om maximaal te profiteren van de voordelen die deze combinatie biedt, zouden organisaties moeten onderzoeken hoe prestatieen risicomanagement zich binnen de onderneming tot elkaar verhouden en welke risico’s direct verbonden zijn met performance drivers. Het resultaat is een model voor risk based performance improvement (RPI).

Wanneer deze onderlinge relaties aan de oppervlakte zijn gebracht, is het zaak om die risico’s te beheersen. Het risico IJsbeer bijvoorbeeld, vraagt misschien wel om vroegtijdig onderzoek naar de aanwezigheid van bedreigde dier- of plantensoorten in potentiële wingebieden. Meer inzicht in een dergelijke beïnvloedende factor vermindert het risico op een foute boorkeuze. Het risico IJsbeer wordt beter beheersbaar en kan bovendien meegenomen worden in de prognoses. Dit vergroot het inzicht voor alle stakeholders van de onderneming.

De weg naar een RPI-framework
Om de onderlinge verbondenheid van risico’s en drivers aan het licht te brengen, kunnen ondernemingen een aantal concrete stappen ondernemen. Het opzetten van een model voor risk-based performance improvement begint met het vertalen van ondernemingsdoelstellingen naar performance drivers.

Vervolgens is het zaak om te bepalen door welke operationele factoren de financiële resultaten het sterkst beïnvloed worden. Ook fundamentele performance drivers zoals management, mensen, cultuur en strategie dienen in kaart gebracht te worden. Daarna is het zaak om vast te stellen wat de positieve en negatieve risico’s zijn die invloed hebben op de prestaties en peformance drivers van de organisatie.

Deze risico’s dienen onderzocht en ingeschat te worden. Met andere woorden: hoe groot is het risico IJsbeer? Als duidelijk is welke risico’s in welke mate van invloed zijn op bedrijfsprestaties kunnen de key-risico indicatoren (KRI’s) bepaald worden. Dergelijke KRI’s tonen aan in welke mate bepaalde risico’s zich daadwerkelijk voordoen of dreigen voor te doen.

Zo zou het toevoegen van nieuwe dieren op de lijst met bedreigde diersoorten de ijsbeer-KRI verder in het rood kunnen zetten. Als alle KRI’s voldoende in kaart gebracht zijn, is het zaak ze op regelmatige basis te betrekken bij de aansturing van de onderneming – bijvoorbeeld door de risico’s regelmatig te voorzien van nieuwe informatie op dit vlak of de informatie te betrekken in het managementrapportageproces.

Een dergelijk framework kan leiden tot verbetere bedrijfsprestaties en de creatie van aandeelhouderswaarde. Door risico’s direct te verbinden met de winstgevendheid, wordt het immers mogelijk om realistische forecasts te maken waarin al te rooskleurige verwachtingen waar nodig getemperd worden.

Een dergelijke mate van inzicht werpt een heel ander licht op forecasts van bedrijven en maakt dat deze hun risico’s effectiever en slagvaardiger gaan mitigeren. Bovendien ontstaat er één enkele waardevolle set van gegevens en feiten over die business. Deze set vormt een waarheidsgetrouwe afspiegeling van de werkelijke performance – ondersteund door harde data.

De nadruk verschuift van transactie naar analyse – data wordt informatie, informatie wordt inzicht. Betreft al het bovenstaande een hemelbestormend nieuw inzicht? Nee. Ondernemers en ondernemingen van elke grootte hebben bepaalde risico’s natuurlijk altijd ingecalculeerd. Maar naarmate risico’s complexer en indirecter worden, zijn ze steeds lastiger te beoordelen of te beïnvloeden.

De integratie van risico’s in alledaagse rapportage- en stuurprocessen vraagt bovendien het nodige op het gebied van dataverzameling en -verwerking. Inmiddels is de software op niveau en is er voldoende rekenkracht. In combinatie met de sterke aandacht voor Governance, Risk & Compliance is er voldoende momentum. De KRI wacht een gouden toekomst. Of dat ook voor de ijsbeer geldt, blijft de vraag.

Martin de Schiffart, Productmanager Office of the CFO, SAP Nederland