De Nederlandse code voor corporate governance stelt dat ondernemingen moeten beschikken over adequate en effectieve risicomanagementsystemen. Maar wat bedoelt Tabaksblat met adequaat en effectief? In september introduceerde het Committee of Sponsoring Organizations of the Treadway Commission (COSO) een nieuw raamwerk voor integraal risicomanagement. Dit model biedt ondernemingen waardevolle aanknopingspunten en belooft dé wereldstandaard te worden op het terrein van risicomanagement.

Bestuurders moeten volgens de nieuwe corporate-governancecode een 'in control'- verklaring afgeven waarin ze onder andere verklaren dat de onderneming beschikt over adequate en effectieve risicobeheersings- en controlesystemen. Bovendien moet men helder onderbouwen waarop die verklaring gebaseerd is. Veel bestuurders menen dat ze inderdaad beschikken over een goed systeem voor risicomanagement, al blijft de vraag natuurlijk wel wat Tabaksblat nu precies bedoelt met adequaat en effectief. De code gaat er summier op in en noemt als voorbeeld het COSO-framework voor interne beheersing. De interne financiële beheersing hebben veel bedrijven wel op orde. Maar de financiële risico's die samenhangen met zaken als technologie, fraude of milieu - dat is een ander verhaal. En hoe succesvol bedrijven ook zijn, bij verreweg de meeste organisaties vindt risicomanagement versnipperd plaats: in verschillende landen, in de business units, op stafafdelingen, et cetera. Begrijpelijk, want juist op dat niveau bestaat al van oudsher inzicht in de risico's en worden keuzen gemaakt hoe daarmee om te gaan. Deze risico's worden echter vrijwel altijd onafhankelijk van elkaar beoordeeld. Bovendien gaat de aandacht daarbij van oudsher uit naar verzekerbare en financiele risico's. Op centraal niveau ontbreekt vaak overzicht en inzicht in het volledige risicospectrum. Laat staan dat men er grip op heeft. En als risicomanagement aandacht krijgt van het topmanagement, is dat meestal als reactie op een (dreigend) incident en beperkt de aandacht zich tot één of enkele aspecten. VERLAMMING Bij veel ondernemingen kan risicomanagement dus aanmerkelijk adequater en effectiever worden georganiseerd om met de woorden van de corporate- governancecode te spreken. Vandaar ook dat sommige bestuurders wat moeite hebben met het ondertekenen van de 'in control'-verklaring van Tabaksblat. Om voor zichzelf houvast te creëren laten sommige bestuurders de verklaring bijvoorbeeld ook tekenen door het management. Men hoopt dat dit ertoe leidt dat managers alles in het werk zullen stellen om de Raad van Bestuur een getrouw beeld te geven van het totaal aan risico's. Deze methode heeft evenwel een ongewenst neveneffect. Managers zullen meer dan voorheen op safe spelen en minder bereid zijn risico's te nemen. Zo kan de 'in control'-verklaring van Tabaksblat dus een verlammende werking hebben op zaken als creativiteit en ondernemerschap. Bovendien krijgt men allerlei 'losse' risicobeoordelingen: per business unit, functie, land of afdeling. Zo kan weliswaar op elk afzonderlijk risico worden gestuurd, maar ontbreekt de onderlinge samenhang. Risicomanagement wordt daarmee een blok aan het been in plaats van een kans. WERELDSTANDAARD Bij veel ondernemingen kan risicomanagement dus adequater en effectiever worden ingezet. Hoewel de corporate-governancecode slechts summier ingaat op wat adequaat en effectief dan precies is, is de link naar integraal risicomanagement snel gelegd. Integraal risicomanagement belooft organisaties immers datgene wat Tabaksblat c.s. in de code schrijven: beheersing van de risico's verbonden aan ondernemingsactiviteiten door het bestuur van de onderneming. Op 29 september 2004 lanceerde het Committee of Sponsoring Organizations of the Threadway Commission (COSO) de opvolger van het wereldwijd geaccepteerde model voor interne controle. Enterprise Risk Management - integrated framework zal naar verwachting dé standaard worden op het gebied van risicomanagement. Ook de Nederlandse corporate-governancecode refereert aan COSO wanneer adequaat en effectief risicomanagement aan de orde komt. Het model, dat we voor het gemak COSO II zullen noemen, is een raamwerk voor integraal risicomanagement waarmee het topmanagement van ondernemingen risico's in hun onderlinge samenhang kunnen beoordelen, beheersen, bewaken en financieren. Dit alles ten behoeve van het realiseren van de doelstellingen van de onderneming. Een belangrijk verschil met risicomanagement van vandaag de dag is dat COSO II zich niet beperkt tot de betrouwbaarheid van de financiële verslaglegging. Integraal risicomanagement raakt het gehele risicospectrum. Dat is ook de reden dat risicomanagement volgens het COSO II-raamwerk de gehele organisatie betreft. Het is een proces dat zich dwars door de onderneming voltrekt. Uiteindelijk helpt integraal risicomanagement het management van ondernemingen beslissingen te nemen over risico's in relatie tot de strategische ondernemingsdoelstellingen: gaan we ze uit de weg, accepteren we het huidige risicoprofiel, willen we de risico's reduceren of overdragen? Dat gebeurt proactief en niet, zoals bij internal control veelal het geval is, achteraf. Een goed functionerend, geïntegreerd risicomanagementsysteem zorgt er dus voor dat bestuurders tijdig betere beslissingen kunnen nemen. En dit leidt tot betere resultaten. Integraal risicomanagement beïnvloedt daarnaast het vertrouwen dat organisaties genieten van hun stakeholders. Zo ontstaat betere toegang tot de kapitaalmarkt, omdat schommelingen in de financiële resultaten worden afgevlakt. Daarnaast kan men beleggers beter inzicht geven in de risico's, zodat ook op het gebied van corporte governance voordeel wordt geboekt En omdat het gehele risicospectrum inzichtelijk is, kunnen bijvoorbeeld ook milieu- of frauderisico's worden gereduceerd. Zo werkt integraal risicomanagement ook een betrouwbare reputatie van de onderneming in de hand. Kort samengevat draait het om turning risk into reward: met integraal risicomanagement veranderen risico's in kansen. RISKMAP Het raamwerk van COSO II is veelbelovend, de perspectieven gunstig. Maar op welke wijze kunnen ondernemingen nu concreet werk maken van integraal risicomanagement? De praktische uitwerking van COSO II vindt de komende tijd plaats, maar de methoden en technieken om organisaties te ondersteunen met integraal risicomanagement bestaan al. Aon begeleidt organisaties bij het ontwerpen en implementeren van risicomanagementbeleid, beheersingsprogramma's en de benodigde organisatorische voorwaarden. Een van de concrete instrumenten die we hierbij hanteren is de RiskMap. In één oogopslag kunnen bestuurders zien hoe het ervoor staat met de ondernemingsrisico's en welke mogelijkheden er zijn om erop te anticiperen. Zo wordt risicomanagement een manier om proactief in te spelen op ontwikkelingen die de ondernemingsstrategie raken. Kansen creëren, én ze benutten. Dat is waar het om gaat. Armand Hoftijzer is directeur van Aon Risk Consultants (www.aon.nl)