Risicomanagement staat momenteel in de belangstelling, merkt men bij Randstad Professionals en Search & Selection. Controllers hebben hier een grote rol in. Reden te meer om hier eens een praktische discussie over te voeren. De centrale vraag is: Hoe kan risicomanagement bijdragen aan een betere bedrijfsvoering en welke rol speelt de controller hierin?



Bij Randstad Professionals en Search & Selection constateert men dat het vak van de risk manager steeds belangrijker wordt. Dit is deels door de economische crisis ingegeven: banken en verzekeraars, maar ook bedrijven buiten de financiële sector, worden geacht meer aandacht aan risicomanagement te besteden. Niet alleen de aandeelhouders vragen hier om, maar zeker ook de maatschappij. Tijdens het Jaarcongres Controlling op 22 april was Randstad Professionals en Search & Selection gastheer van een rondetafelsessie over dit onderwerp. Te gast waren verschillende risicomanagers en controllers die ook de risk functie in hun portefeuille hebben. Ter discussie stond niet de traditionele invulling van risicomanagement, maar het vraagstuk hoe risicomanagement op strategisch niveau de bedrijfsvoering kan verbeteren. Hoe kunnen tekortkomingen en kansen geïdentificeerd worden en hoe wordt waarde toegevoegd aan de organisatie?



Rolvervulling

In sommige organisaties, zoals bijvoorbeeld Randstad, is risk een aparte functie. Vaak is het echter een integraal onderdeel van de rol van de controller. Huck Chuah, die bij Randstad Nederland de functie van Manager Risk- en Kwaliteitsmanagement vervult, leidt de sessie in. ‘Randstad is een beursgenoteerd bedrijf, waarbij corporate governance en compliance essentiële onderdelen zijn van de risicobeheersing. Vanuit je rol als risk manager wil je toegevoegde waarde leveren. Een belangrijke taak die voor ons vakgebied is weggelegd is bewustzijn creëren tot aan de Raad van Bestuur aan toe. Die moet zeker stellen dat risicobeheersing in alle processen en systemen wordt ingebed.’

Een deelnemer vraagt Chuah of het risk management beleid bij Randstad van boven naar onder wordt vastgesteld. Het antwoord is bevestigend. De top-down risicobenadering helpt om risicomanagement echt gedragen binnen de organisatie te krijgen binnen verschillende entiteiten én landen. Waar Randstad ook mee te maken heeft is het internationale karakter. ‘Randstad is in 44 landen actief en we proberen ons risk management wereldwijd in te bedden in de organisatie. Dit doen we onder andere door lokale directies te vragen van welke risico’s zij bij wijze van spreken ’s nachts wakker liggen. Zo begint het risicobewustzijn onderwerp bij hen meer te leven. Vervolgens gaan we bekijken of de risico’s in voldoende mate worden beheerst. Per jaar wordt geëvalueerd hoe de beheersing van risico’s er voor staat en waar we stappen moeten zetten.’

Als hem gevraagd wordt naar concrete voorbeelden, antwoordt Chuah: ‘bij mijn indiensttreding zag ik steeds vliegtuigen overvliegen boven ons hoofdkantoor in Diemen, vlakbij de Bijlmer, en wie herinnert zich de Bijlmerramp niet? Toen ben ik rond gaan vragen hoe het zit met onze back-up procedures van de servers. Hier bleek op dat moment (nog) geen goede back-up & recovery procedure voor te bestaan. Dit zou betekenen dat we bij een vliegtuigcrash alles kwijt zouden zijn. De directie was hiervan op de hoogte maar de procedure was er nog niet. Sinds enkele jaren hebben we een adequate disaster, back-up & recovery procedure en jaarlijks wordt dit getest. Zo zijn er nog een groot aantal andere voorbeelden te noemen.’

Positieve benadering
Het voorbeeld van Chuah illustreert dat het creëren van awareness een zeer belangrijk issue is voor risicomanagers, merkt Hans Groot (Controller Gemeente Deventer) op. ‘Wat kan zich allemaal voordoen en hoe speel je daar op in?’ Ton Hof (Manager Reporting & Controlling bij Fortis Bank Nederland) legt uit hoe zijn organisatie hier mee omgaat. ‘Om informatie awareness te creëren is het cruciaal om prestatie-indicatoren kleiner te maken op werknemersniveau. Zo stroomt de informatie gemakkelijker door naar boven.’ Ook bij TomTom is risico op een dergelijke manier beheersbaar gemaakt, vertelt Detlef de Vries (VP Finance Europe). ‘Je moet eerst een stukje hygiëne doen en de interne processen op orde krijgen. Zo werd er voorheen bijvoorbeeld weleens een verkeerde prijs ingevoerd in het systeem. Risicomanagement begint bij het op orde brengen van de basics.’ Wim Saly (process risk controller bij Deloitte Nederland) heeft bij zijn bedrijf key controls gerubriceerd en hier prioriteiten in aangebracht. ‘Hoeveel aandacht willen wij aan welk risico schenken? Dit proces is van onder naar boven ingericht, van divisies naar bestuursniveau. Zo is de gehele organisatie in lijn gebracht in termen van risico.’

####

Hans Groot beargumenteert dat organisaties beter van kansen zouden kunnen spreken dan van risico’s. ‘Deze positieve benadering helpt om de mensen mee te krijgen.’ De andere aanwezigen onderkennen dat dit een goede methode is. Chuah vertelt dat het risicomodel binnen Randstad dan ook zo is ingericht. ‘Onze CFO van de holding zei het volgende over het thema; risk management is het controleren van de remmen, maar ook bepalen wanneer we gas kunnen geven. Het identifi ceren van kansen (bij Randstad heet het dan ook risk- én opportunity management) is zeker onderdeel van de functie risk manager. Bij Randstad is het – zoals gezegd – een aparte functie, maar het moet naar mijn mening ook onderdeel van de controller functie zijn. De controller is bij uitstek geschikt om vanuit zijn rol en verantwoordelijkheden iets te zeggen over mogelijke leemtes in het AO/IC van een organisatie: het is aan de controller om dit te benoemen, de impact te kwantifi ceren en beheersmaatregelen voor het voetlicht van het management te brengen. Zo zien wij momenteel lichtpuntjes in onze markten. Hier kan de controller scenario’s op los laten.’ Groot voegt hier nog iets aan toe: ‘Je moet riskmanagement incorporeren in de business control. Hierbij is het belangrijk om de beheersmaatregelen niet puur als rem te laten fungeren. Tijden veranderen en risicomanagement ondersteunt de organisatie om dit te managen.’

Procesverbetering
‘Hoe is de samenwerking met het lijnmanagement?’, vraagt Marina Kersbergen (Consultant Werving & Selectie bij Randstad Search & Selection) de deelnemers. ‘Controllers worden toch nog weleens ervaren als degenen die managers extra werk komen bezorgen. Hoe gaan jullie daar mee om?’ Wim Saly van Deloitte doet dit vooral door risicobeheersing als opportunity te verkopen. ‘We zien het als business proces improvement. Voor proceseigenaren is het interessant om te weten hoe zij hun processen beter kunnen inrichten en zo sneller kunnen reageren. Om dit te bewerkstelligen moet eerst bewustzijn gecreëerd worden, de volgende stap is de responsiveness verbeteren. De grootste uitdaging is om het beeld van de functie te veranderen. Riskmanagement is immers niets anders dan beheerst ondernemen.’

Als risicomanagement wel ergens in de aandacht is komen te staan is het wel de bankensector. ‘Cultuur speelt hier een belangrijke rol in’, zegt Martin Kruit (Vice President bij ABN AMRO). ‘Eigenlijk werd er bij banken niet genoeg verdiend om het genomen risico te rechtvaardigen. Er is nu een grote cultuurwijziging gaande.’

Deze cultuurverandering speelt bij meerdere aanwezigen, ook buiten de bankensector, en is nog altijd één van de grootste uitdagingen van de risk functie. ‘Als je als risicomanager binnenkomt op een afdeling gaan de mensen mee, maar om iets echt te laten beklijven is lastig’, schetst Peter den Boer (Manager Financial Control, The Greenery) het probleem. ‘Daarom doen wij het deels bottum- up en deels top-down. Zo komt de focus op de belangrijkste risico’s te liggen.’

Richard de Ronde (Manager Logistics bij Meneba) herkent deze problematiek. ‘Er speelt ook de kwestie van tegengestelde belangen. De ene manager wil de voorraad omlaag brengen, terwijl een ander veel meer op verkoop zit te hameren. De ene baas zegt dat je het goed doet en vervolgens zegt een ander dat je het slecht doet.’ Om die reden is het belangrijk om risk management in het businessplan te verankeren, denkt Saly. ‘Maak het transparant. Iedere beslissing heeft impact op andere keuzes. Zorg dat de mensen hier zelf mee aan de slag gaan door ze bottum-up te laten rapporteren.’


####

Geïntegreerd risicomanagement
Floris Hoogenboom (Group Controller bij Lely Holding) en Arco Weening (Manager Finance & Control, Stichting Waarborgfonds Eigen Woningen) merken op dat de discussie zich tot dusver alleen op de kleinere procesmatige risico’s geconcentreerd heeft . Hoe gaat een organisatie met grote risico’s om? ‘Het is denk ik belangrijk om als organisatie te bepalen waar je goed in bent’, zegt Erik Elzinga (Concern Controller, Gasunie). ‘Waar wordt het geld mee verdiend? Hierin moeten bewuste keuzes gemaakt worden. Vervolgens moet bepaald worden welke risico’s je als organisatie wilt afdekken.’ ‘Risk management kan je toepassen door aan te sluiten bij de verschillende instrumenten die we reeds gebruiken’, zegt Rolijne van Houten (Finance Manager bij Nuon Warmte). ‘Strategische risico’s behoren integraal onderdeel te zijn van een strategische planningsactiviteit, operationele risico’s beheren wij via kwartaalaudits in het kader van ons business control framework.’ De rol van de controller is belangrijk in dit proces, denkt Chuah. ‘Die moet de organisatie uitdagen. Waar zijn we mee bezig?’

Robin Fennis (Senior Business Controller bij CEVA Logistics) brengt ook nog de factor overnames in de discussie. Dit onderwerp heeft raakvlakken met de eerdere discussies over cultuur. ‘We hebben een Texaans bedrijf overgenomen: een zeer sales-gedreven organisatie’, begint Fennis. ‘In de contracten bespeuren wij andere commerciële risico’s dan dat we gewend waren. Het bedrijf brengt dus in de integratie een cultuurrisico met zich mee. Hoe smelt je twee culturen samen?’ Ton Hof: ‘Bewustwording kost tijd, maar komt er wel. Als wij kijken naar sommige contracten van tien jaar terug, kunnen we constateren dat die nu niet meer afgesloten zouden worden. We hebben hier nog eens heel kritisch naar gekeken. Maak de risico’s inzichtelijk voor die Texaanse jongens. Je kunt ook bepaalde risico’s naar jezelf toetrekken. Maak ze acceptabel.’
Floris Hoogenboom denkt dat het vooral belangrijk is om inzichtelijk te hebben welk type klant een organisatie wilt hebben. Dit kan ook worden opgelegd aan overgenomen bedrijven. Ook Martin Kruit van ABN AMRO denkt dat dit de sleutel is. ‘Met wie wil je als organisatie zaken doen? Dit moet passen bij de risk appetite. Voor risicovolle klanten kun je dan bijvoorbeeld een afwijkende prijs rekenen.’

Marina Kersbergen van Randstad vat als afsluiter de belangrijkste discussiepunten nog eens samen. ‘We hebben het gehad over het creëren van risk awareness. Sponsorship vanuit de top is hierbij belangrijk om risicomanagement echt verankerd te krijgen. Daarnaast is het zaak om de mensen bewust te maken wat het voor hun eigen processen betekent. We hebben gesproken over cultuur en welke rol risicomanagement speelt in een culturele transformatie. Tot slot hebben we het gehad over grote risico’s en overnametrajecten. Een brede en interessante discussie. Dank jullie wel.’

5 takeaways RT risicomanagement

1 Zorg voor sponsorship van de Raad van Bestuur. Dit zorgt voor goede inbedding in alle processen en systemen.

2 Risicomanagement begint bij het op orde krijgen van de interne processen.

3
Spreek vooral ook van kansen in plaats van alleen risico’s. Deze positieve benadering helpt om de mensen mee te krijgen. Maak het voor de mensen inzichtelijk wat de impact op hun processen is en hoe risicobeheersing hen kan helpen.

4 De controller moet de organisatie uitdagen. Waar zijn we mee bezig?

5 Denk goed na over strategische risico’s. Met welke klanten wil je als organisatie zaken doen? Zorg vervolgens voor borging in de operationele processen.