Er wordt nogal eens verondersteld dat de grootste uitdaging van de code-Tabaksblat erin bestaat het risicomanagement op orde te brengen. Maar implementeren van risicomanagement is meer dan het voldoen aan wetten en regels. Het vraagt om verankering van de risicomanagementfunctie in de organisatie en om cultuurverandering: 'in control' willen zijn, niet omdat het moet, maar omdat het beter is.

"De code-Tabaksblat geeft een flinke stimulans om het risicomanagement te professionaliseren", stellen W.J. Bos en C. Visser in Het Financieel Dagblad van 1 september jl. En op zich is het juist dat een toenemend aantal boekhoudschandalen heeft geleid tot een wirwar aan nieuwe wet- en regelgeving in Nederland en de rest van de wereld. Al deze regels hebben tot doel om de kans op 'lijken in de kast' terug te dringen. In Nederland is Tabaksblat verschenen om tot een betere corporate governance te komen, maar het Verenigd Koningrijk, Frankrijk en andere EUlanden kennen hun eigen Tabaksblat. Sarbanes-Oxley is in Amerika geïmplementeerd om bestuurders wettelijk te verplichten om te verklaren dat hun interne beheersing met betrekking tot de financiële verslaggeving betrouwbaar is, en voor banken heeft Bazel II zijn intrede gedaan om tot een verbeterd kapitaalbeslag ('stroppenpot') te komen in meerdere landen. Veelal zijn deze regels gericht op het afdwingen van betrouwbare en tijdige informatievoorziening aan toezichthouders en aandeelhouders. Dit is uiteraard belangrijk, maar van een goed geleide organisatie mag je verwachten dat risicomanagement vanuit een eigen visie breder wordt ingevuld. Dit betekent dat het risicomanagement ook zonder Tabaksblat geïntegreerd zou moeten zijn in de strategie en processen van organisaties. Het onderkennen van het verband tussen nagestreefde doelen en daarmee samenhangende risico's en dit expliciet meenemen in de besluitvorming, de uitvoering van activiteiten en de verantwoording over het gevoerde beleid, hoort bij goed ondernemerschap. Dit wordt in de gezaghebbende literatuur enterprise risk management (ERM) genoemd. Terecht verwijzen Bos en Visser naar het rapport van COSO (Committee of Sponsoring Organizations of the Treadway Commission), de internationale standaard op dit gebied, die dit najaar definitief zal worden. Deze standaard is niet alleen gericht op het signaleren en rapporteren van risico's, maar onderstreept ook het belang van tijdig inspelen op interne en externe ontwikkelingen, omdat juist dat een voorsprong kan geven op de concurrentie en daarmee kan bijdragen aan effectiever strategisch en operationeel beleid. Ook dit verwachten stakeholders van bestuurders. BEST PRACTICE Onze verwachting is dan ook dat veel organisaties de huidige golf van op regelgeving gebaseerde veranderingen zullen willen aangrijpen om hun gehele risicomanagement versneld op deze 'best practice' te laten aansluiten. Om dit te bereiken zien we twee randvoorwaarden waaraan in ieder geval moeten worden voldaan. In de eerste plaats moet, in navolging van de toegenomen aandacht voor risicomanagement in de top van organisaties, nu ook de positie van risicomanagement, conform COSO, in de organisatie verankerd worden. We zien dit als een belangrijke succesfactor. Veelal is de risicomanagementfunctie versnipperd of niet aanwezig, waardoor de meetbare toegevoegde waarde te beperkt is. Voor zover wel in functie voelen risicomanagers zich vaak als een kapitein zonder brug, met veel verantwoordelijkheden, maar weinig mogelijkheden om de business te sturen. Een uitgelezen moment dus om het risicomanagement te integreren in de dagelijkse bedrijfsvoering, omdat dit tot betere en beter voorspelbare resultaten leidt. Diverse organisatiemodellen zijn hierbij denkbaar. Zo kunnen de risicomanagement rapportagetaken worden ondergebracht bij de financiële functie, zodat meer synergie wordt verkregen met de planning & control- cyclus. Daarnaast zouden verschillende risicobeheersingstaken, bijvoorbeeld met betrekking tot markten, klanten en krediettransacties (bij banken), gedeeltelijk of zelfs geheel kunnen worden geïntegreerd om tot meer synergie in de risicobeoordeling te komen en om kosten te besparen. De tweede randvoorwaarde heeft betrekking op de 'controlcultuur', de wijze waarop ondernemend gedrag in de organisatie wordt beheerst en beloond. Door de recente incidenten is er weer de bewustwording dat de wereld om ons heen complex is en steeds complexer wordt. Dat geldt voor sociale structuren, organisatiestructuren, financiële structuren, technologische mogelijkheden en wetgeving. Deze ontwikkeling, die wordt gedreven door ons streven naar vooruitgang, welzijn en welvaart, is permanent en vooralsnog onomkeerbaar. Als zekerheden afnemen, staan echte ondernemers op. Bestuurders moeten ervoor zorgen dat deze ondernemers kunnen opereren in een omgeving waarin het nemen van gecalculeerde en verantwoorde risico's en het openlijk daarover verantwoording afleggen normaal is. Een dergelijke cultuur, die niet geregeerd wordt door de angst voor claims en rechtszaken, kan alleen ontstaan als de organisatie een eigen visie heeft ontwikkeld op 'in control' zijn, en niet verwacht dat de wetgever die bedenkt. Drs. H. van Beek RA en prof.dr. J.A. Emanuels RA zijn senior manager respectievelijk partner bij Atos Consulting en verantwoordelijk voor de enterprise risk management solutions. Emanuels is daarnaast deeltijd hoogleraar Internal Control aan de Rijksuniversiteit Groningen.