In Het Financieele Dagblad van 1 september 2004 stellen Bos en Visser dat de grootste uitdaging uit de code Tabaksblat is om risicomanagement op orde te brengen. Maar implementeren van risicomanagement is meer dan het voldoen aan wetten en regels. Het vraagt om verankering van de risicomanagement functie in de organisatie en het vraagt om cultuurverandering: "in control" willen zijn, niet omdat het moet, maar omdat het beter is.

Op zich is het juist te stellen dat een toenemend aantal boekhoudschandalen heeft geleid tot een wirwar aan nieuwe wet- en regelgeving in Nederland en de rest van de wereld. Al deze regels hebben tot doel om de kans op "lijken in de kast" terug te dringen. Tabaksblat heeft zijn aantreden gedaan om tot een betere Corporate Governance te komen in Nederland, maar ook het Verenigd Koningrijk, Frankrijk en andere EU landen kennen hun eigen "Tabaksblat". Sarbanses-Oxley is in Amerika geïmplementeerd om bestuurders wettelijk verplicht te stellen om te verklaren dat hun interne beheersing met betrekking tot de financiële verslaggeving betrouwbaar is en voor banken heeft Basel II zijn aantreden gedaan om tot een verbeterd kapitaal beslag ('stroppenpot') te komen in meerdere landen. Veelal zijn deze regels gericht op het afdwingen van betrouwbare en tijdige informatievoorziening aan toezichthouders en aandeelhouders. Uiteraard belangrijk, maar van een goed geleide organisatie mag je verwachten dat risicomanagement vanuit een eigen visie breder wordt ingevuld. Dit betekent dat het risicomanagement ook zonder Tabaksblat geïntegreerd zou moeten zijn in de strategie en processen van organisaties. Het onderkennen van de samenhang tussen nagestreefde doelen en samenhangende risico's en dit expliciet meenemen in de besluitvorming, de uitvoering van activiteiten en de verantwoording over het gevoerde beleid, hoort bij goed ondernemerschap. Dit wordt in de gezaghebbende literatuur Enterprise Risk Management (ERM) genoemd. Terecht verwijzen Bos en Visser naar het rapport van COSO (Committee of Sponsoring Organizations of the Treadway Commission), de internationale standaard op dit gebied, die dit najaar definitief zal worden. Deze standaard is niet alleen gericht op het signaleren en rapporteren van risico's, maar onderstreept ook het belang van het tijdig inspelen op interne en externe ontwikkelen, omdat juist dat een voorsprong kan geven op de concurrentie en daarmee kan bijdragen aan effectiever strategisch en operationeel beleid. Ook dit verwachten stakeholders van bestuurders. Onze verwachting is dan ook dat veel organisaties de huidige golf van op regelgeving gebaseerde veranderingen zullen willen aangrijpen om hun gehele risicomanagement aanpak versneld op deze "best practice" te laten aansluiten. Om dit te bereiken zien wij twee randvoorwaarden die in ieder geval ingevuld moeten worden. In de eerste plaats moet, in navolging van de toegenomen aandacht voor risicomanagement in de top van organisaties, nu ook de positie van risicomanagement, conform COSO, in de organisatie verankerd worden. Wij zien dit als een belangrijke succesfactor. Veelal is de risicomanagement functie versnipperd of niet aanwezig, waardoor de meetbare toegevoegde waarde te beperkt is. Voor zover wel in functie, voelen risicomanagers zich vaak als een kapitein zonder brug, met veel verantwoordelijkheden, maar weinig mogelijkheden om de business te sturen. Een uitgelezen moment dus om het risicomanagement te integreren in de dagelijkse bedrijfsvoering, omdat dit tot betere en beter voorspelbare resultaten leidt. Diverse organisatiemodellen zijn hierbij denkbaar. Zo kunnen de risicomanagement rapportage taken worden ondergebracht bij de financiële functie zodat meer synergie wordt verkregen met de planning & control cyclus. Daarnaast zouden verschillende risicobeheersingstaken, bijvoorbeeld met betrekking tot markten, klanten en krediettransacties (bij banken), gedeeltelijk of zelfs geheel kunnen worden geïntegreerd om tot meer synergie in de risicobeoordeling te komen en om kosten te besparen. De tweede randvoorwaarde heeft betrekking op de "control cultuur", de wijze waarop ondernemend gedrag in de organisatie beheerst en beloond wordt. Door de recente incidenten is er weer eens de bewustwording dat de wereld om ons heen complex is en steeds complexer wordt. Dat geldt voor sociale structuren, organisatiestructuren, financiële structuren, technologische mogelijkheden en wetgeving. Deze ontwikkeling die wordt gedreven door onze streven naar vooruitgang, welzijn en welvaart is permanent en vooralsnog onomkeerbaar. Als zekerheden afnemen, staan echte ondernemers op. Bestuurders moeten er voor zorgen dat deze ondernemers kunnen opereren in een omgeving waarin het nemen van gecalculeerde en verantwoorde risico's en het openlijk daarover verantwoording afleggen normaal is. Een dergelijke cultuur, die niet geregeerd wordt door de angst voor claims en rechtszaken, kan alleen ontstaan als de organisatie een eigen visie heeft ontwikkeld op "in control" zijn, en niet verwacht dat de wetgever die bedenkt. Drs. H. van Beek RA en Prof. Dr. J. A. Emanuels RA zijn senior manager respectievelijk partner bij Atos Consulting en verantwoordelijk voor de Enterprise Risk Management solutions. Emanuels is daarnaast deeltijd hoogleraar Internal Control aan de Rijksuniversiteit Groningen. Hinko van Beek en Jim Emanuels