Risk Management – de cruciale do’s en don’ts

‘Wat zie je als het grootste risico voor je bedrijf?’ Dat vraagt Gert-Jan Willig, risicomanagementexpert (sinds 1 januari werkzaam bij het Havenbedrijf Rotterdam na jarenlang bij eerst PWC en daarna ASMI te hebben gewerkt), regelmatig aan deelnemers van de training risicomanagement waarvoor hij kerndocent is. ‘Het antwoord hangt af van de bedrijfstak en soort bedrijf waarin iemand werkzaam is.’ 

Voor tech-bedrijven is het verouderen van technologie het grootste risico dat ze structureel het meeste marktaandeel en geld kan kosten. ‘Een voorbeeld is Nokia’, zegt Willig. ‘15 jaar geleden hadden we allemaal zo’n telefoon, maar de strijd om de (smart)phones hebben ze toch verloren terwijl dat toen voor onmogelijk werd gehouden. Een onderneming kan lange tijd zeer stabiel opereren, maar een nieuw distributiemodel (bijv. a la Zalando) van een concurrent kan plotsklaps een grote bedreiging vormen en zelfs de continuiteit van je bedrijf bedreigen. Voor veel ondernemingen is reputatieschade een van de grootste denkbare risico’s, al is dat vaak lastig in geld uit te drukken, maar dat de impact groot kan zijn behoeft weinig betoog.’  

Gert-Jan Willig begon zijn carriere bij PwC in de auditgerelateerde adviespraktijk. In de jaren 90’ zag hij de opkomst van risicomanagement. Ook toen al leidden gebeurtenissen met grote schade op bedrijven naar de vraag in hoeverre die terug te leiden waren naar voorzienbare risico’s of gebeurtenissen die te voorkomen waren, aldus Willig.

 

‘Was de beheersing daarvan niet beter en structureel in te regelen? Vanaf 2003, na het beruchte Enron-schandaal, kwam de Amerikaanse Sarbanes Oxley wetgeving en werd verplicht risk management vooral gericht op de betrouwbaarheid van de externe financiele verslaggeving. Zeker in het begin was de uitleg van de wetgeving zeer stringent en werd ieder mogelijk rapportagerisico, groot of klein van aard, met dezelfde inspannning te lijf gegaan. Risk-based assessments bij de afweging en keuze van beheersmaatregelen werden nog in veel mindere mate toegepast. Gelukkig is daarin veel ten goede gekeerd en heeft de wetgeving toch vooral de rol van stok achter de deur gekregen die de kwaliteit van het verslaggevingsproces bewaakt.’   

De vraag die deelnemers Willig het vaakste stellen in de cursus is hoe zij de algemene Enterprise Risk Management (ERM)-handvatten naar hun eigen praktijk kunnen vertalen. ‘Dat hangt natuurlijk helemaal af van het type organisatie, dus die vraag kan ik hier moeilijk eenduidig beantwoorden’, aldus Willig. Wel deelt hij de belangrijkste do’s en don’ts. 

Do’s – ‘Zorg dat het gevoerde risk management begint aan de top en verder zo veel mogelijk aanhaakt bij de bestaande organisatiestructuren, processen en verantwoordelijkheden. Ga niet iets volledig nieuws neerzetten in je bedrijfsomgeving, maar zorg dat je het zoveel mogelijk integreert met je huidige managementcyclus, planning & control en governance. Dat begint op hoogste niveau, waar strategische risico’s spelen en waar men de toon van het bedrijf bepaalt. Met behulp van het ERM-model kun je versterking aanbrengen waar je nog zwaktes toont door bijvoorbeeld naast financiële risico’s ook operationele, strategische en compliance risico’s te beschouwen. Het model begint met de doelen die de organisatie tracht te bereiken, het benoemen van de risico’s die een bedreiging vormen voor het behalen van die doelstellingen en vervolgens het helpen ontwerpen van de juiste beheersmaatregelen en dit als proces binnen de organisatie te borgen.’ 

Don’ts – Het grootste risico is volgens Willig dat ERM een papieren tijger wordt. ‘De toegevoegde waarde moet voortdurend aantoonbaar zijn. Het ontbreken van toegevoegde waarde is dus de grootste don’t wat mij betreft. Dat ontstaat wanneer je het te beleidsmatig insteekt, maar het verder niet in de organisatie landt. Het managen van risico’s moet echt ‘leven’ en onderdeel worden van de bedrijfscultuur. Een discussie over ‘risk appetite’, wat vinden we acceptabel als risico en wat niet meer, behoort daar nadrukkelijk bij. Om het echt te laten landen is wel een lang traject van twee tot drie jaar’, stelt Willig. 

De redenen waarom het vaak misgaat zijn divers. Enerzijds ligt het veel al aan onvoldoende volwassen control, denk aan eenmalige projecten of nieuwe activiteiten, anderszins is er sprake van overmoed en te veel aan vertrouwen in een vanzelfsprekende goede afloop. Onderschatting dat het wellicht ook eens tegen kan zittten en het daar onvoldoende proactief op inspelen. Te veel vertrouwen ook dat tegenvallers of slecht nieuws op tijd worden gemeld, terwijl daar in de cultuur wellicht juist te weinig ruimte voor bestaat. Anderzijds vraag je jezelf af ‘waarom ging men niet eerder kijken bij dat buitenlandse pretpark in aanbouw of zag men zaken echt niet aankomen, zoals bij die groeiende voorraden op de balans?

Een ander groot risico voor ieder bedrijf is het fenomeen ‘groepsdenken’ – oftewel te veel sociaal wenselijk denken binnen een groep. Hierbij omringen managers zich te veel met ja-knikkers die zelfs bij de meest riskante ideeën onvoldoede tegenwerpingen of kritische geluiden laten horen.

‘Wellicht de belangrijkste factoren bij risk management zijn uiteindelijk het gedrag en de cultuur’, vervolgt Willig. ‘Een agressieve bonuscultuur heeft inherent een keerzijde, namelijk een hoger risicoprofiel doordat de grenzen eerder worden opgezocht. Je hebt dan voldoende ‘checks and balances’ nodig om de risico’s bij dat gedrag te mitigeren. Cultuur is belangrijk omdat signalen dat risico’s zich kunnen voordoen wel tijdig bij de juiste mensen – meestal het bestuur – moeten landen. Bestuurders hebben nog wel eens het gevoel dat ze door hun managers goed op de hoogte worden gehouden, maar op kritische momenten horen ze het slechte nieuws toch te laat. Risicomanagement is per definitie een kritische noot, want het betekent veelal het nemen van maatregelen en soms het bijstellen of wijzigen van plannen. Niet iedereen staat er voor open die boodschap te zenden of te ontvangen.’ 

Hoe kun je voorkomen dat je in deze valkuil trapt? Volgens Willig is het vooral belangrijk dat je de risico’s systematisch identificeert en bespreekbaar maakt. In een risicoregister kun je risico’s bijhouden en de gevolgen (impact) en kans. Vervolgens ga je de strategie bepalen voor de beheersing van die risico’s. ‘Je kunt risico’s naast beheersen door maatregelen ook accepteren zoals ze zijn, ze vermijden of ze verzekeren’, aldus Willig. ‘Je kunt ze overdragen aan anderen, bijvoorbeeld middels een joint venture of samenwerking. Een goed voorbeeld hiervan het ontwikkelen van hightech producten voor je afnemers terwijl deze participeren in de ontwikkeling ervan. Je belangrijkste afnemers laten investeren in de op maat te ontwikkelen technologie en het creëren van een zekerdere afzet van je producten in de toekomst.’ 

De million-dollar question, volgens de risk management expert, is hoe je zeker kunt weten dat je in control bent. Willig: ’100 procent zeker weten kan natuurlijk nooit. Zwarte zwanen kunnen altijd opduiken. De financiële crisis als gevolg van de besmette hypothekenmarkt was zo’n black swan. Bijna niemand zag zo’n dramatische crisis in de financiële sector aankomen op een enkele roepende in de woestijn na. Niemand zag dat hedendaagse financiële instellingen zo met elkaar verweven zijn dat de hele sector naar beneden zou worden gesleept, en uiteindelijk de reële economie ook zou worden geraakt.’ 

Afgezien of je het (als onderneming) zou moeten willen is ‘100 procent in control’ niet mogelijk. Wel kan een hogere mate van zekerheid worden gecreëerd door goed risico management, en dat is succesvol Enterprise Risk Management. Kortom, zoveel mogelijk binnen je mogelijkheden doen om de uitkomst van je bedrijfsvoering zeker te stellen. Als het mis gaat heeft iedereen namelijk het hoogste woord. Waarom hadden we geen werkend risico management, hadden we geen afspraken en waar waren de auditors? Waarom hebben we ons onderhanden werk niet beter geanalyseerd? Waarom zijn we daar niet eens gaan kijken bij die projecten? En hadden we maar geluisterd naar de waarschuwingen. Als risk manager heb je toch de taak de cultuur te beïnvloeden dat men voor risico signalen open staat. Een crisis zoals de meltdown van kerncentrale Fukoshima in Japan komt altijd heel onverwachts, maar achteraf zijn er voldoende waarschuwingen geweest. Al ruim honderd jaar stond een steen in de nabijheid van de plek van de centrale met de tekst: ‘hier niet bouwen, tsunami gevaar!’

Risicomanagement kan niet veel ellende voorkomen, maar ook een competitief voordeel opleveren, besluit Willig. ‘Dat betekent dat je het bewustzijn op voldoende niveau houdt en voldoende prikkels doet uitgaan naar de organisatie om over risico’s na te denken. De risicomanager heeft de taak de boel scherp te houden en het proces in gang te houden, want als het lang goed gaat verliest men toch meer en meer de interesse. Maar hij of zij moet niet als politieagent te werk gaan, maar als iemand die in dit proces faciliteert en waar mogelijk praktische zorgen wegneemt.’