Trends en ontwikkelingen in risicomanagement

Welke risico's krijgen de meeste aandacht in organisaties: businessrisico's, operationele risico's, wet- en regelgevingrisico's of financiële risico's? Uit recent onderzoek van Grant Thornton blijkt dat operationele, juridische en financiële risico's relatief veel aandacht krijgen. In dit artikel vindt u de laatste trends op het gebied van risicomanagement. Deze inzichten kunt u gebruiken om het risicomanagement in uw organisatie nog beter in te regelen.

De Raad van Bestuur en de Raad van Commissarissen van een organisatie zouden een raamwerk voor risicomanagement met elkaar moeten delen. Dit raamwerk moet bestaan uit een overzicht en omschrijving van de belangrijkste risico’s, een kwantificering van de risico- en risicomanagementkosten en criteria om tot besluiten te komen. Hoewel commissarissen over het algemeen tevreden zijn over de huidige kwaliteit van risicomanagement, wordt een verdere verbetering wenselijk geacht. Daarbij realiseren zij zich nog onvoldoende welke weg ze nog te gaan hebben om tot een volwassen risicomanagement te komen. Een van de grote uitdagingen is de voltallige RvC mee te krijgen in dit proces.

Dit is een van de conclusies uit het jaarlijkse commissarissenonderzoek met de titel ‘Meer druk op de ketel bij de RvC’, dat dit jaar is uitgevoerd onder 129 commissarissen, van wie er 41 persoonlijk zijn geïnterviewd. Uit het onderzoek blijkt dat de commissarissen de kennis van risicomanagement bij de RvC als competentie voldoende vinden. Wel wordt over de hele linie voor de nabije toekomst een bescheiden versterking opportuun geacht. Bij coöperaties, stichtingen en overheidsbedrijven is de gewenste verbetering echter substantieel.

De aandacht voor risicomanagement wordt door de commissarissen eveneens voldoende geacht. Wel leeft breed de opvatting dat de aandacht in de toekomst omhoog moet. Dit speelt vooral bij commissarissen van coöperaties, stichtingen, overheidsbedrijven en familieondernemingen. Bedacht dient te worden dat deze opvattingen gelden voor de RvC als collectief. Dat de RvC voldoende kennis heeft over risicomanagement, wil niet zeggen dat dit voor elke commissaris opgaat. Misschien gaat het zelfs voor maar één commissaris op, maar wordt dit voldoende geacht voor het goed functioneren van de RvC. En over dit laatste kan zeker worden gediscussieerd.

Belangrijkste risico’s
Gevraagd naar het belang dat commissarissen toekennen aan verschillende soorten risico’s, scoren reputatie, strategie, eenmalige operaties en betrouwbaarheid van de financiële rapportage het hoogst. Kenmerkend voor de meeste van deze risicocategorieën is dat deze moeilijk te beheersen zijn: ze zijn veelal afhankelijk van externe factoren, in zekere mate onvoorspelbaar, en kunnen grote gevolgen hebben voor het resultaat.

De RvC wordt blijkbaar het meest wakker gehouden door risico’s die niet volledig kunnen worden beheerst en waar de raad toch verantwoordelijk voor wordt gesteld. Commissarissen hechten minder belang aan risico’s die geheel buiten de invloedssfeer van de organisatie liggen en waarvan alleen de gevolgen zijn te managen, zoals inflatie, disruptie van het financiële systeem, politieke ontwikkelingen en regelgeving.
__________________________________________________________________________________
Volg de Vijfdaagse opleiding Risicomanagement | 35 PE punten
Tijdens deze opleiding ontdekt u in vijf dagen alle facetten van integraal risicomanagement. Na afloop scant u uw organisatie op risico’s en stelt u een praktisch en toepasbaar beheersplan op. Verstevig groei en waarborg continuïteit. Klik hier voor meer informatie en aanmelden.
__________________________________________________________________________________

Ook schalen commissarissen het belang van dagelijkse operationele risico’s die met een zekere regelmaat voorkomen, wat lager in. Deze zijn veelal wel intern te managen. Opvallend is wel dat daar waar meer commissarissen over een en hetzelfde bedrijf uitspraken deden, het belang van de afzonderlijke risico’s nogal eens sterk uiteenliep. Ook hebben sommige commissarissen dit onderdeel van het onderzoek maar gedeeltelijk ingevuld. Dit is mogelijk een indicatie van onvoldoende volwassenheid in het (systematisch) omgaan met risico’s en risicomanagement.

Rapportagefrequentie
In het algemeen krijgen operationele, juridische en financiële risico’s relatief veel aandacht, in die zin dat er een hoge rapportagefrequentie is. Informatie over deze risico’s is vaak wat beter beschikbaar door de hogere frequentie van voorkomen en de wettelijke plicht tot verantwoording. Bedrijven zijn historisch gezien al gewend om periodieke rapportages te ontvangen over de gang van zaken in termen van de financiële uitkomsten en de operationele dagelijkse zaken.

De vraag is of deze rapportages ook zijn vertaald in een risicorapportage of dat dit de klassieke voortgangsrapportage is. Verder is er binnen een projectomgeving relatief meer aandacht voor risk control, omdat de doelen daarin vaker meer kwantitatief en explicieter zijn gesteld, bijvoorbeeld in de vorm van een kostenbudget, de tijd van oplevering etc. Er wordt relatief weinig gerapporteerd over reputatierisico en informatiebeheer(IT-)risico. Deze geringe rapportage(frequentie) hangt vermoedelijk mede samen met het veronderstelde moeilijk meetbare karakter (reputatie) en de vereiste kennis (IT).

####

Koplopers in het risicomanagement, met relatief veel risicorapportages, zijn de grotere commerciële ondernemingen. Het mkb en de overheidsbedrijven lopen achter met de rapportage van risico’s. Commercie en schaal lijken van invloed op de risicomanagementpraktijk. Op basis van de interviews bleek dat over de rapportage en de frequentie daarvan binnen een en dezelfde RvC soms zeer verschillend werd gedacht. Variërend van ‘dit geschiedt elke maand’ tot ‘bij ons wordt er niets over gerapporteerd’. Bij enkele grotere bedrijven, en dan met name de genoteerde ondernemingen, leek de aandacht voor risicomanagement een redelijk volwassen stadium te hebben bereikt. Bij diverse andere bedrijven was dat bepaald niet het geval.

De onderzochte risico’s zijn geclusterd in 4 risicocategorieën: businessrisico (reputatie + business), operationeel risico (eenmalig, intern en externe partijen), wet- en regelgevingrisico en financieel risico. De figuur geeft de frequentieverdeling van de twee belangrijkste risicocategorieën.

Wat betreft de twee belangrijkste risico’s wordt in 50 procent van de gevallen een businessrisico genoemd en in 25 procent een operationeel risico. Wet- & regelgevingrisico’s (10 procent) en financiële risico’s (15 procent) zijn niet de belangrijkste risicocategorieën. Gevoeligheidsanalyse en kwantificering zijn geen gemeengoed voor de twee belangrijkste risico’s en betreffen voornamelijk businessrisico’s. Om na te gaan hoe risicomanagement bij de commissarissen wordt beleefd, is gevraagd hoe zij het risicoprofiel en de risk appetite van hun bedrijf zouden omschrijven. De antwoorden zijn vervolgens geclusterd aan de hand van een kwalificatie (hoog, laag, gemiddeld etc.), een beschrijving van de risico’s of een kwalificatie en beschrijving, en ‘geen idee of geen antwoord’.

Het grootste deel van de commissarissen (45 procent) geeft niet alleen een kwalificatie, maar ook een beschrijving van het risicoprofiel. Bij de commissarissen van de genoteerde bedrijven komt dit met 64 procent vaker voor dan bij de commissarissen van de niet-genoteerde bedrijven (40 procent). Vermoedelijk speelt hier mee dat bij de genoteerde bedrijven in het verlengde van de SOX-activiteiten al veel eerder en veel omvattender aandacht is geschonken aan riskmanagement.

Een kwart van de commissarissen geeft alleen een beschrijving van het risicoprofiel, een vijfde volstaat met een kwalificatie en 9 procent geeft geen antwoord of heeft geantwoord geen idee te hebben hoe zij het risicoprofiel van hun bedrijf moeten omschrijven. Voor de vermelding van alleen een kwalificatie op de vraag naar het risicoprofiel en de risk appetite van de organisatie kunnen we enig begrip opbrengen, maar een buitenstaander kan daarmee moeilijk uit de voeten.
__________________________________________________________________________________
Volg de Vijfdaagse opleiding Risicomanagement | 35 PE punten
Tijdens deze opleiding ontdekt u in vijf dagen alle facetten van integraal risicomanagement. Na afloop scant u uw organisatie op risico’s en stelt u een praktisch en toepasbaar beheersplan op. Verstevig groei en waarborg continuïteit. Klik hier voor meer informatie en aanmelden.
__________________________________________________________________________________

Een antwoord als ‘laag’ of ‘hoog’ geeft onvoldoende inzicht. Wat hoog is, kan in de ogen van een ander juist laag zijn. Ook is het lastig een oordeel over de juistheid van de kwalificatie te vormen, bijna een derde van de opmerkingen betreft een vorm van beschrijving. Bij de beschrijving en de kwalificatie van risico zijn de meest genoemde ingrediënten: de markt (20 procent), het bedrijf zelf in brede zin (13 procent) en het product/de dienst (9 procent).

Bij het bedrijf in brede zin is diverse keren gewezen op het krijgen of behouden van de gewenste kwaliteit en hoeveelheid medewerkers, maar ook op de kwaliteit van de menselijke factor als onderscheidende variabele in positieve zin. Bij het product of de dienst is een aantal malen genoemd het risico van veroudering door het eventueel niet kunnen bijbenen van technologische ontwikkelingen.

Aan de andere kant is diverse keren het unieke karakter van de product- of dienstportfolio naar voren gebracht. Opvallend is dat er slechts twee opmerkingen zijn gemaakt in relatie tot de concurrentie. Daarvan had er één betrekking op handhaving van de positie van marktleider.

Nog duidelijker dan bij de omschrijving van het risicoprofiel manifesteert zich bij de gevraagde omschrijving van de risk appetite het probleem dat dergelijke begrippen in commissarisland nog geen gemeengoed zijn. Het aantal opmerkingen van de deelnemende commissarissen bij de risk appetite was aanzienlijk geringer dan de opmerkingen die werden geplaatst bij het risicoprofiel. Van de onderzochte commissarissen heeft 16 procent geen antwoord gegeven of gezegd geen idee te hebben wat ze zich moeten voorstellen bij het begrip risk appetite.

Het kan zijn dat de bedenkers van dit begrippenapparaat te veel vanuit hun discipline denken en zich onvoldoende realiseren dat hun jargon bij niet-financieel geschoolde commissarissen een andere, en soms helemaal geen beleving heeft. Het kan ook zijn dat een deel van de commissarissen een te beperkte opvatting heeft over de mate waarin zij zich dienen te verdiepen in begrippen die zij van huis uit niet hebben meegekregen. Een derde verklaring is wellicht dat bij sommige bedrijven risicomanagement, risicoprofiel en risk appetite niet op de agenda staan of hebben gestaan. In het laatste geval is het voor de betrokken commissarissen te hopen dat zij op korte termijn niet worden geconfronteerd met zaken die zij eigenlijk hadden moeten kunnen voorkomen.

Wij zijn geneigd de resultaten als enigszins zuinigjes te betitelen. Op een paar uitzonderingen na zijn de meeste beschrijvingen van het risicoprofiel dan wel de risk appetite zeer summier en onvoldoende duidelijk voor een derde. Het is zelfs de vraag of de collega-commissarissen van hetzelfde bedrijf zich herkennen in elkaars beschrijving. Concluderend kunnen we stellen dat risicomanagement, risicoprofiel en risk appetite als begrippen bepaald nog niet breed zijn aangeslagen bij de commissarissen. We hebben wel de indruk dat de commissarissen bij de genoteerde bedrijven in dit opzicht een stap verder zijn dan hun collega’s bij de niet-genoteerde bedrijven.

Behandeling risicomanagement
Als risicomanagement binnen een bedrijf wordt behandeld, is de auditcommissie (indien aanwezig) daarvoor doorgaans de plaats. Uit het onderzoek blijkt een sterke oriëntatie op een financiële insteek van de auditcommissie. Er zijn ook commissarissen die een pleidooi houden om meer ruimte te krijgen voor de inbreng van anderen dan alleen de klassiek financieel geschoolden in de auditcommissie. Wanneer een bedrijf bijvoorbeeld sterk leunt op procestechniek, is een inbreng vanuit deze hoek zeer wenselijk en vermoedelijk ook zeer waardevol.

De vraag is hoe risico’s op dit gebied door leken adequaat kunnen worden ingeschat. Ook de terugkoppeling in de RvC van de bevindingen van de auditcommissie vindt op zeer uiteenlopende manieren plaats. Deze varieert van een mondeling verslag tot een separate vergadering voor risicomanagement. De eerste variatie is niet meer van deze tijd en zal volgens ons binnen afzienbare tijd uitsterven.

BART JONKER is partner bij Grant Thornton, AALT KLAASSEN is zelfstandig ondernemer en HERBERT RIJKEN is hoogleraar aan de Vrije Universiteit Amsterdam. Dit artikel is op persoonlijke titel geschreven en is gebaseerd op een onderzoek van de laatste twee auteurs. Grant Thornton is al drie jaar als partner verbonden aan het onderzoek, waarin ook de Finem en de Governance University hebben geparticipeerd. Het volledige onderzoek is te vinden op www. gt.nl/commissarissenonderzoek of www.Finem.nl.

Redactie FM
Gerelateerde artikelen
01 mei 2024

FM Dag 2024: Hoe ziet de next step in finance volgens Pleo eruit?

29 april 2024

VLC & Partners: Ongelukken op de werkvloer en verborgen gevaren voor bestuurders

29 april 2024

Knot: ‘Verlies centrale banken houdt mogelijk langer aan (dan voorspeld)’

26 april 2024

Milieuregels weren bestelauto’s uit Nederlandse binnenstad

25 april 2024

Rapport: “Gevolgen chemische stoffen structureel in kaart brengen”

24 april 2024

Acht op de tien ondernemers vindt regeldruk te hoog

24 april 2024

Sijbesma: “Rechtszaken kunnen rem zetten op verduurzaming bedrijven”

24 april 2024

Coface: “Financiële stabiliteit in onzekere tijden”

Meld je aan voor de nieuwsbrief


Ontvang waardevolle artikelen, checklists, interviews en whitepapers in je mailbox.

Aanmelden

Vacatures

Group Controller
Laudame Financials namens Jiffy Group
Recruitment Consultant
Laudame Financials B.V.
Teamleider Payroll
Eastmen

Markt Update

Bedrijven betalen meer bruto-uurloon
Loonontwikkeling bedrijven...
Omzet detailhandel stijgt door food, meubels- en techomzet dalen
Omzet retail stijgt, maar niet...
CBS: Dalende trend afzetprijzen industrie houdt aan
Industrie...

Personalia

Derk-Jan Stol CFO Alpina Group
Opvolger van Arto Willemsen treedt...
ING: Next Gen-manager wordt COO Wholesale Banking
Frank Jan Risseeuw is door...
Laura van Geest nog vier jaar topvrouw van AFM
De topvrouw heeft er nu...

Whitepapers

Hoe kun je je organisatie naar een hoger niveau tillen met Jedox Smart Finance?
Je weet dat informatietechnologie essentieel...
Meesterschap in financiën: strategieën en tools voor moderne Financial Controllers
Ontdek strategieën en tools die...
De digitale transformatie van ESG-data
De Corporate Sustainability Reporting Directive...

Vragen over adverteren?

Kan ik je van dienst zijn met een toelichting of advies? Bel of mail gerust. Ik neem graag de tijd voor je.

Daan Commandeur
Partner Manager

0628068433
daancommandeur@sijthoffmedia.nl