Waardetoevoegend risicomanagement

Prestatiemanagement en risicomanagement zijn waardetoevoegende business management-activiteiten. Ze vullen elkaar goed aan en in combinatie kunnen ze een significante bijdrage leveren aan het verbeteren van de financiële en operationele prestaties van een onderneming.

Bedrijven zijn dagelijks bezig met het managen van hun risico's en het verbeteren van hun prestaties om winst te maken en aandeelhouderswaarde te creëren. Toch zijn  prestatiemanagement en risicomanagement vaak nauwelijks op elkaar afgestemd.

Het verbeteren van de prestaties van de onderneming is een fundamentele taak van mensen die beslissingen nemen en daadwerkelijk aan de knoppen zitten. Dat is - van hoog tot laag in de organisatie - het lijnmanagement dat dagelijks bezig is met de bedrijfsvoering en het halen van targets.

Risicomanagement is daarentegen bij veel bedrijven het werkgebied van risk managers, compliance officers en internal auditors. Deze corporate stafffuncties zijn met name vanuit het hoofdkantoor actief en staan soms op afstand van de business.

Prestatiemanagement en risicomanagement kunnen elkaar echter goed aanvullen. Een effectieve integratie leidt tot verbeterde bedrijfsprestaties en de creatie van aandeelhouderswaarde. De kerngedachte van risk based performance improvement (rpi) is dat de financiële resultaten worden bepaald door de operationele prestaties.

Deze zijn op hun beurt het gevolg van fundamentele performance drivers zoals een duidelijke strategie, een ervaren en competent  managementteam of een resultaatgerichte cultuur met gemotiveerde mensen.

Negatief of positief effect
Interne en externe risico's beïnvloeden de financiële resultaten, operationele prestaties en fundamentele performance drivers. Dat zijn gebeurtenissen die een negatief of positief effect hebben op de onderneming. Daarnaast kunnen we een derde type risico onderkennen. Dit betreft het risico dat managementinformatie en financiële rapportages die organisaties intern of extern gebruiken voor strategische, operationele of financiële beslissingen, niet relevant of betrouwbaar zijn.

De risico's die een directe relatie hebben met de prestaties en performance drivers dienen te worden beheerst door middel van effectieve 'controls'. De samenhang tussen prestatiemanagement en risicomanagement is geïllustreerd in het rpi-model. Om een rpi-framework te implementeren en te komen tot een proces op basis waarvan de organisatie de bedrijfsprestaties kan verbeteren, dienen de volgende stappen te worden genomen:

1 Vertaling van ondernemingsdoelstellingen naar financiële performance drivers en key performance indicatoren (kpi's).
Rpi begint met het vertalen van de ondernemingsdoelstellingen naar de belangrijkste financiële resultaatgebieden en bijbehorende prestatie-indicatoren. Dit zijn veelal generieke factoren zoals omzetgroei, bedrijfsresultaat of cashflow. Als een organisatie niet alleen op winst maar ook op waarde stuurt, kan deze value based-prestatie-indicatoren hanteren (bijvoorbeeld economic value added).

2 Identificatie van operationele performance drivers en kpi's.
Op basis van logische relaties tussen oorzaak en gevolg moet de organisatie de belangrijkste operationele factoren bepalen die van invloed zijn op de financiële resultaten.

De uitdaging is hier tweeledig. Allereerst: zeer veel interne factoren bepalen het financiële resultaat. Het is daarom belangrijk om alleen de factoren te selecteren die een significante impact hebben op de financiële prestaties. Hierbij kan men denken aan aantal klachten, leverbetrouwbaarheid en voorraadhoogtes, maar ook aan de voortgang van een internationaal outsourcingsproject, een meerjaren-implementatie van een groot it-systeem of de effectiviteit van een bedrijfsintegratieproces.

Niet alle performance drivers kunnen eenvoudig worden gemeten of uitgedrukt in een kpi, maar ze hebben vaak wel grote invloed op de efficiency van de bedrijfsvoering, de productiviteit van de medewerkers of de tevredenheid  van de klanten. Ten tweede: de organisatie moet de relatie en afhankelijkheden tussen de operationele factoren onderling goed begrijpen. Bijvoorbeeld: productiefouten in de fabriek leiden ertoe dat de verkoopafdeling de producten moeilijker of alleen tegen prijsverlagingen kan verkopen.

Daarnaast is het door de verkoopafdeling bepaalde brede productassortiment, in combinatie met grote en kleine verkooporders die productie speciaal op maat moet produceren, ervoor verantwoordelijk dat medewerkers de machines in de fabriek continu moeten bijstellen. Dat leidt tot een verhoogde kans op productiefouten.

3 Identificatie van fundamentele performance drivers en kpi's.
De derde stap bestaat uit het identificeren van de achterliggende factoren die bepalend zijn voor de operationele prestaties. Deze fundamentele performance drivers hebben betrekking op zaken als strategie, management, organisatiestructuur, cultuur, systemen en mensen. Ook aspecten als de complexiteit van de organisatie, de relatie met klanten en toeleveranciers of de samenwerking met een business partner kunnen we zien als fundamentele prestatiebepalende factoren.

4 Identificatie van performance risico's.
De vierde (en belangrijkste) stap is het identificeren van risico's die direct invloed hebben op de prestaties en performance drivers. Hierbij gaat het niet alleen om negatieve risico's (zoals het verliezen van een grote klant) maar ook om positieve risico's (zoals een daling van inkoopprijzen). De risico´s kunnen worden weergegeven in een performance driver tree.

5. Risico assessment.
De vijfde stap bestaat uit het uitvoeren van een risico assessment. Hierbij bepaalt de organisatie per risico wat de kans is dat het risico zich voordoet. Tevens bepaalt de onderneming de impact op de performance driver als het risico zich voordoet. Hierdoor ontstaat niet alleen een prioritering van risico´s, maar wordt tevens inzichtelijk wat de gevoeligheid is van de performance driver voor het risico. Uitgangspunt hierbij is de huidige situatie: de risico assessment moet uitgaan van de effectiviteit van de beheersmaatregelen waarover de organisatie beschikt (controls in place).

6 Risico-indicatoren.
Vervolgens moet de organisatie key risico indicatoren (kri's) bepalen die aangeven in hoeverre een risico zich begint voor te doen. Bijvoorbeeld: de organisatie ziet de days sales outstanding als een operationele prestatie-indicator. Het afnemen van de klanttevredenheid is een risico dat van invloed is op het betalingsgedrag van afnemers. De organisatie kan dan periodieke klanttevredenheidsonderzoeken of de ontwikkeling in het aantal klachten gebruiken als risico-indicatoren. Het bepalen van risico-indicatoren is soms lastig en niet altijd mogelijk.

Een voorbeeld: wat is de kri behorende bij het risico dat door verkopers gemaakte prijsafspraken niet duidelijk worden vastgelegd in het crm-systeem? En dat daardoor klantorders vervolgens tegen een verkeerde prijs door de binnendienst worden verwerkt? In dat geval kan de organisatie kiezen voor periodieke risico assessments of systeem audits. Tevens blijkt vaak dat de informatie die benodigd is om de risico- indicator te berekenen wel beschikbaar is, maar als zodanig nog niet expliciet wordt gebruikt. De organisatie moet informatie zo veel mogelijk halen uit bestaande systemen. Vermijd handmatige bewerkingen.

7 Risicorapportages.
Nadat de kri's zijn bepaald, dient de organisatie deze te integreren in het maandelijkse managementrapportageproces. Logischerwijs is business control de aangewezen functie om deze rapportages te verzorgen. Deze functie geeft aan en verklaart tevens wat het verschil is tussen de werkelijke kri-waarde en de norm.

8 Control gap identificatie.
Het identificeren en rapporteren van kri's is slechts één kant van de medaille. De andere kant bestaat uit het in kaart brengen van  de beheersmaatregelen die de risico´s (zouden  moeten) afdekken. In het voorbeeld van een risico in klanttevredenheid kunnen we denken  aan standaard kwaliteitscontroles of de klant proactief benaderen met de vraag of de levering en het product naar wens waren. Als een vereiste beheersmaatregel ontbreekt, is sprake van een control gap.

9 Ontwikkeling aanvullende beheersmaatregelen.
De organisatie moet de ontbrekende beheersmaatregelen aanpakken door het ontwikkelen van additionele controlactiviteiten. Hiermee dicht de onderneming - althans op papier - de control gap en moet het risico afdoende zijn afgedekt.

10 Effectiviteitsbeoordeling.
De laatste stap bestaat uit het periodiek beoordelen van de effectiviteit van de beheersmaatregelen. Dit kan betekenen dat de onderneming uitgebreid aan control testing  moet doen, maar dat hoeft niet. Veelal is het ook mogelijk om te steunen op self assessments of company level controls zoals een grondige financiële analyse.

Een organisatie is er namelijk niet bij gebaat om zo veel mogelijk controls te hebben. Dit leidt tot bureaucratie en inefficiënte processen. Prestatiemanagement en risicomanagement vullen elkaar goed aan en een effectieve integratie leidt tot verbeterde bedrijfsprestaties.

Voorwaarde is wel dat het  opmanagement risicomanagement niet positioneert als een compliance proces dat leidt tot het maken van flow charts en risk and control matrices. Risicomanagement is een waardetoevoegende en prestatieverhogende functie die op een natuurlijke manier onderdeel uitmaakt van de normale bedrijfsvoering.

Hier is ook een taak weggelegd voor de controller. Deze vervult reeds een brugfunctie tussen het analyseren en rapporteren van de bedrijfsprestaties enerzijds en het monitoren en beheersen van risico's anderzijds.

Marcel de Jongh, manager van de finance & performance practice van Protiviti, een adviesbureau op het gebied van business risk, technology risk en internal audit services.