In 5 stappen naar een risicobewuste strategie

De crisis van de afgelopen twee jaar maakt pijnlijk duidelijk dat risico's stelselmatig zijn genegeerd. Op cruciale momenten hebben risicomanagers geen tegenwicht kunnen bieden aan de zucht naar meer rendement. De balans tussen risico en rendement moet weer teruggebracht worden. Dit artikel beschrijft op welke wijze (top) management een vanzelfsprekende motivatie ervaart om ook naar risico's te kijken en daardoor betere beslissingen kan nemen.

Inleiding
Inleiding (vervolgd)
Stap 1: De Strategiekaart en de risicofactoren
Stap 2: De Risk Assessment Map
Stap 3: De Risk Appetite Map
Stap 4: De Risk-adjusted confrontatiematrix
Stap 5: Inrichten van Risk Control
Samenvatting en conclusies

Inleiding

Het traditionele risicomanagement is failliet. De crisis van de laatste jaren heeft aangetoond dat de aandacht voor de aspecten van risico management niet heeft geleid tot afgewogen beslissingen tussen risico en rendement. De impact van risico management op de echt belangrijke beslissingen is marginaal gebleken. De focus heeft vooral gelegen op het gebied van compliance en operationele risico’s. Deze onderwerpen worden veelal oninteressant gevonden door hogere managementlagen, vooral de commerciële kant van een organisatie. Door de verschillende focus (rendement verhogen tegenover operationele risico’s beperken) zijn de twee management processen verder uit elkaar gegroeid. Strategisch Performance Management en Risico Management zijn in veel organisaties twee volstrekt losstaande processen.

Strategie-executie
Dat deze situatie verre van ideaal is, hoeft geen betoog. Integratie van deze twee processen is één van de kritieke voorwaarden voor een duurzame en meer risicobewuste strategie in veel organisaties. Het geïntegreerde en gebalanceerde proces van strategie-executie met een expliciete risico-visie, noemen we Risk-based Performance Management. De kernvraag, die in dit artikel centraal staat, is dan ook:

‘Hoe kunnen we (top)management een intrinsieke motivatie meegeven om een meer risicobewuste strategie te creëren en uit te voeren, ofwel: hoe implementeren we een Risk-based Performance Management proces?’

In onze visie ligt de oplossing van dit vraagstuk in het inbedden van risicofocus en discussies in instrumenten die het management aanspreken en die al vaak worden gebruikt, zoals de strategiekaart en de confrontatiematrix. Daar waar het huidige instrumentarium niet voldoende blijkt te zijn, voegen we instrumenten toe die dezelfde uitstraling en communicatieve waarde hebben. We bespreken welke 5 stappen genomen kunnen worden om risicomanagement terug te leggen daar waar het echt thuis hoort: aan de strategische tafel.

Risicomanagement
Het failliet van traditioneel risicomanagement In de afgelopen jaren is risicomanagement vaak gedefinieerd als het elimineren of reduceren van de blootstelling aan risico’s met als doel het beschermen van waarde. Kaplan (2009) onderscheidt drie niveaus van risico’s:

• Level 3: Routinematige en compliance risico’s
• Level 2: Strategische bedrijfsrisico’s
• Level 1: Mondiale risico’s.

Level 3 risico’s betreffen vooral operationele risico’s en het niet voldoen aan wet- en regelgeving. Deze risico’s vallen volgens Kaplan in de categorie ‘bekende en vermijdbare risico’s’. Level 2 risico’s betreffen vooral de onzekerheden die gepaard gaan bij het uitstippelen en uitvoeren van een organisatiestrategie. Deze risico’s kunnen worden gekenmerkt als ‘de bekende onzekerheden’. Level 1 risico’s zijn grootheden waarvan we de oorzaak én de oplossing nog niet kennen. Het betreffen risico’s waar zelfs de meest geavanceerde risicomodellen en risico-experts nog niet op voorbereid zijn. We noemen deze de ‘onbekende onzekerheden.’

Compliance
De focus van risicomanagement in de eerste helft van de 21e eeuw heeft vooral gelegen op de level 3 risico’s. Bekende voorbeelden zijn fraudemanagement (het voorkomen van diefstal, inbraak en computerfraude), Disaster Recovery Management (procedures om computer meltdowns te voorkomen en om continue uptime te garanderen) en compliance management (het voldoen aan ingewikkelde en ondoorzichtige wet- en regelgeving). Het resultaat van deze sterke focus is een oerwoud aan wetten en regels, controlerende instanties, een overdaad aan rapportages en ingewikkelde risicomodellen.

De consequentie van de focus laat zich raden: bestuurders en managers begrijpen het niet meer en voelen zich niet thuis in de discussie. Uit een recent onderzoek (Deloitte 2009) blijkt dat de complexiteit van het onderwerp één van de oorzaken is voor beperkt commitment en interesse in het onderwerp risicomanagement. Met name de CEO blijkt zich veelal oncomfortabel te voelen in het begeleiden van complexe risicodiscussies waarin alles met alles samenhangt. Bij cruciale beslismomenten worden vaak alsnog onverantwoorde risico’s genomen. Dit is ook het moment waarop bijvoorbeeld de traditionele risicomanager zich terugtrekt binnen zijn verantwoordelijkheidsdomein: ‘Het is uw beslissing. Veel succes. Ik hoop niet dat ik straks moet zeggen ‘Ik had het toch gezegd’’.

_____________________________________________________________________________

Voorkom verrassingen en benut kansen met Enterprise Risk Management
De tweedaagse cursus Enterprise Risk Management is dé aangewezen methode om onzekere gebeurtenissen, risico’s maar ook opportunities pro-actief en integraal te managen. Daarnaast maakt de toegenomen regelgeving ERM tot een must. Deelname levert u 14 PE punten op.
Klik hier voor het gehele programma en aanmelden.
_____________________________________________________________________________ 

Toch zijn er pogingen ondernomen om managers en bestuurders meer te betrekken. Meestal in de vorm van een ‘Tone at the Top’ waarin de directie het goede voorbeeld belooft en een bijbehorende ‘Code of Conduct’ opstelt. Samen met een set van high level geformuleerde risico’s en aandachtsgebieden, ‘die de continue aandacht heeft van het gehele management’, vormde dergelijke documenten het startschot voor de invoering van een set beheersmaatregelen die door de organisatie na verloop van tijd steeds meer als een moeten werden beschouwd.

####

Inleiding
Inleiding (vervolgd)

Stap 1: De Strategiekaart en de risicofactoren

Stap 2: De Risk Assessment Map

Stap 3: De Risk Appetite Map

Stap 4: De Risk-adjusted confrontatiematrix

Stap 5: Inrichten van Risk Control

Samenvatting en conclusies


Inleiding (vervolgd)


Bankencrisis

Alle goed bedoelde pogingen ten spijt, de kredietcrisis binnen de bankensector (één van de meest gereguleerde sectoren!!), toont aan dat het niet heeft mogen baten. Een hard gelag voor iedereen maar bij uitstek voor risicomanagers. Op een belangrijk seminar van The Conference Board (2009) werd geconcludeerd dat de aanpakken en modellen weliswaar goed, maar uiteindelijk niet toereikend waren geweest: ‘Een te grote focus op Compliance en Reporting en te weinig aandacht voor Strategic en Operations’, en, ‘De risicomanager wordt niet of nauwelijks als een volwaardig strategisch adviseur van directies en raden beschouwd of gehoord’ (The Conference Board 2009).

Kaplan (2009) concludeert dan ook dat écht risicomanagement niet gaat over de Level 3 risico’s. Dergelijke risico’s zijn namelijk bekend en voor elk van deze risico’s kan de afweging gemaakt worden tussen de kosten van beheersing en ‘opbrengsten’ in termen van vermeden boetes, vermeden fraudekosten en reputatieschade. Met andere woorden: risico management op level 3 kan worden gereduceerd tot een speciale categorie ‘investeringsbeslissingen’: afhankelijk van impact en pakkans kun je bewust besluiten bepaalde aspecten van (operational) risicomanagement wel of niet te doen. Daarmee is Level 3 risicomanagement voor strategievorming en strategie-executie een minder relevant en interessant onderwerp. Ook Level 1 risico’s (de ‘unknown unknowns’) zijn voor de beleidsmaker en topmanagers minder relevant. We concentreren ons dan ook vooral op de level 2 risico’s: de known unknowns. Dit zijn namelijk de risico’s waar (top)managers mee te maken krijgen en waarvoor beleid noodzakelijk is.

Risicomanagement en Performance Management
De traditionele aanpak waarbij risicomanagement en performance management processen naast elkaar lopen, dient te worden vervangen door een geïntegreerde en afgestemde benadering, die organisaties in staat stelt om risico’s te integreren binnen de context van hun strategische doelstellingen. We noemen deze benadering Risk-based Performance Management, oftewel een risicobewuste strategie.

Het vertrekpunt van de analyse zijn de strategische performance management processen. Het denkkader rondom strategie-executie en performance management wordt weergegeven door het Performance Management Framework (zie figuur 1). In dit model staat aangegeven hoe het strategieproces loopt en wordt bestuurd (zie Gillissen en Kruger 2009).

Het model bestaat uit vier kernvragen:
1. Results: Wat zijn mijn (strategische) doelen waaraan ik afmeet of ik succesvol ben?
2. Resources: Welke projecten en initiatieven moet ik uitvoeren om mijn doelen te
behalen?
3. Report: Hoe meet ik de voortgang van mijn doelen én mijn initiatieven?
4. React: Hoe ga ik bijsturen en welk gedrag vertoon ik om bij te sturen?

In de vier centrale vragen van het Performance Management model wordt (nog) niet expliciet rekening gehouden met de risico-dimensie en met risicomanagement processen Ervan uitgaande dat het doel is om de huidige strategie meer risicobewust (of risk-based) te maken, kiezen we ervoor om te vertrekken vanuit dit denkkader en niet vanuit de vraag hoe we risicomanagement processen meer aantrekkelijk kunnen maken. Immers, het is hun huidige denken en doen dat we willen verfijnen met risicomanagement aspecten. Dit lijkt een triviaal verschil, maar heeft wel grote implicaties: door te starten bij de instrumenten en processen waar het management zich al mee bezig houdt, is de kans op acceptatie veel groter. Het aanleren van nieuw gedrag en nieuwe inzichten gaat eenmaal makkelijker vanuit een bestaande situatie.

Bij elke vraag in het Performance Management Framework kunnen we een expliciete tegenhanger in het risico management domein stellen:
• Results: zijn de gestelde (strategische) doelen wel haalbaar? En wat zijn mogelijke consequenties van het niet bereiken van het resultaat?
• Resources: Zijn er wel ‘vrij beschikbare’ resources, nadat gecorrigeerd is voor reeds aangegane verplichtingen (mede voor compliance projecten)?
• Report: Welke rapportages geven ons actueel en goed inzicht in de huidige risico exposure?
• React: Welk gedrag vertonen we als management en hoe maken we zichtbaar dat we verantwoording afleggen over zowel rendement als risico?

De integratie van Performance Management met elementen uit de risicomanagement cyclus bestaat daarmee uit het managen van vier ‘cruciale’ afwegingen (zie figuur 2):
• Ambitie vs Haalbaarheid
• Kansen vs Verplichting
• Key Performance Indicators vs Risk Management Indictors
• Resultaatgerichtheid vs Risicobewustzijn

 

Bij Risk-based Performance Management wordt in het streven naar meer waarde de haalbaarheid van de strategische ambitie van tevoren getoetst en kan er gefocust worden op de meest relevante risico’s. Daarbij worden controls op het juiste niveau aangepast met als resultaat een ‘netto effect’ van verbeter- en beheersinitiatieven op de te behalen doelstellingen.

De combinatie van resultaat- en risico-informatie geeft inzicht in de balans tussen risico’s en resultaat en ondersteunt risicobewuste besluitvorming en sturing. Tenslotte zorgt een goede mix van harde en zachte controls voor het gewenste beheersniveau en risicogedrag. Bij de verankering van risicobewuste gedrag in de organisatie gelden de voorbeeldfunctie van het management en de koppeling met een beloningssysteem als belangrijke instrumenten. Het eindresultaat van de integratie van deze twee silo’s is een robuustere strategie waarin op een risicobewuste manier resultaat wordt bereikt. Hoe dit in praktijk kan werken zullen we hieronder in vijf concrete stappen uitwerken. Deze vijf stappen richten zich vooral op de eerste twee fases uit de integratie van de PM en de RM cyclus.

####

Inleiding
Inleiding (vervolgd)
Stap 1: De Strategiekaart en de risicofactoren
Stap 2: De Risk Assessment Map
Stap 3: De Risk Appetite Map
Stap 4: De Risk-adjusted confrontatiematrix
Stap 5: Inrichten van Risk Control
Samenvatting en conclusies

Stap 1: De Strategiekaart en de risicofactoren
Om een goed beeld te krijgen van de haalbaarheid van een strategie, moeten we zoeken naar het instrument waar de strategie geëxpliceerd wordt. Bij vele organisaties heeft de strategiekaart (zie o.a. Gillissen 2006, Kaplan en Norton 2005) zijn intrede gedaan. De strategiekaart is de visuele vertaling van de kritieke succesfactoren van de organisatie. Kritieke succesfactoren zijn doelen die een organisatie nastreeft in verschillende perspectieven (zoals het klantperspectief en het interne processen perspectief). De strategiekaart is de basis voor veel strategische discussies.

Bijna alle strategiekaarten zijn opgesteld vanuit het vertrekpunt van ambitie. De discussie over welke kritieke succesfactoren een organisatie nastreeft, wordt gevoerd vanuit de doelstelling om meer marktaandeel, winst of andere strategische einddoelen te verwezenlijken. De concretisering in termen van product/markt combinaties, klantwaarde, imago, excellente processen en medewerkers volgt daar ‘als vanzelf’ uit.

Discussies over haalbaarheid worden niet vanzelf gevoerd, of worden veelal impliciet gevoerd. Toch kan met weinig moeite de strategiekaart gebruikt worden voor het voeren van een strategische discussie over risico’s. We onderscheiden dan twee categorieën:
• Externe haalbaarheid en risico-factoren
• Interne haalbaarheid en risico-factoren

Met externe haalbaarheid bedoelen we een analyse van het behalen van die doelstellingen waar de organisatie in hoge mate afhankelijk is van externe ontwikkelingen, de markt of de stand van de technologie. Voorbeelden zijn doelstellingen voor product/markt combinaties,
imago, innovatieve technologiëen. Voor deze categorie is het gebruik van het instrument ‘scenario analyse’ een uitstekend middel. Risico-factoren blijken dan bijvoorbeeld de olieprijs, de economische groeiverwachtingen of maatschappelijke discussies over haalbaarheid en wenselijkheid van bepaalde ontwikkelingen of situaties. Denk hierbij aan de discussie over o.a. regulering van de bankensector, de olieramp in Amerika en discussies over de pensioenleeftijd.
_____________________________________________________________________________

Voorkom verrassingen en benut kansen met Enterprise Risk Management
De tweedaagse cursus Enterprise Risk Management is dé aangewezen methode om onzekere gebeurtenissen, risico’s maar ook opportunities pro-actief en integraal te managen. Daarnaast maakt de toegenomen regelgeving ERM tot een must. Deelname levert u 14 PE punten op.
Klik hier voor het gehele programma en aanmelden.
_____________________________________________________________________________

Voor de analyse van de interne haalbaarheid kunnen we stellen dat een groot deel van de geformuleerde doelstellingen in hoge mate gecontroleerd kunnen worden door de organisatie zelf. Voorbeelden zijn de doorlooptijd van processen, de kwaliteit van processen, het al dan niet in huis halen van informatietechnologie of het binden en opleiden van goede medewerkers. Voor de kritieke factoren in deze categorie kunnen we stellen dat de ‘risico’-tegenhanger al bestaat en wellicht zelfs al gemeten wordt. Iedereen weet immers dat de keerzijde van snelheid een grotere kans op fouten met zich meebrengt. Zo is ‘foutgevoeligheid’ dus de risico-factor van ‘snelheid’. Focus op kwaliteit kan leiden tot overmatige controle en dus op verlies van snelheid. ‘Traagheid’ is daarmee de risico-factor van kwaliteit.

####

Inleiding
Inleiding (vervolgd)
Stap 1: De Strategiekaart en de risicofactoren
Stap 2: De Risk Assessment Map
Stap 3: De Risk Appetite Map
Stap 4: De Risk-adjusted confrontatiematrix
Stap 5: Inrichten van Risk Control
Samenvatting en conclusies


Stap 2: De Risk Assessment Map

Een goed instrument om de impact van beide categorieën visueel te maken is de Risk Assessment Map. Dit instrument zet voor de kritieke factoren uit de strategiekaart de haalbaarheid af tegen de impact van het niet-halen van de doelstelling (zie figuur 3). Uit de analyse van de haalbaarheid komt een kwalitatieve inschatting over de mate van onzekerheid van de strategische doelstelling.

Bovendien kan de discussie worden aangevuld met de vraag over ‘hoe erg’ het is al de doelstelling niet (of ten dele) wordt behaald. Ook hier zijn er duidelijke gradaties te onderkennen. Als er bijvoorbeeld in de veiligheid van een product iets mis gaat (denk aan het terugroepen van vele miljoenen auto’s), heeft dit een veel hogere impact dan het niet halen van een tevredenheidscore bij een telefonische helpdesk.

 

Uit de kleurstelling van de Risk Assessment Map kan men visueel in één oogopslag zien waar de meeste risico’s gelopen worden. Het invullen van de Risk Assessment Map is een kwalitatieve exercitie, net zoals het opstellen van de strategiekaart. Het doel is niet om een wetenschappelijk, kwantitatief onderbouwde analyse te maken van de risico’s (zoals het COSO model soms suggereert), maar om aan de management tafel met elkaar van gedachte te wisselen over de plekken binnen de organisatie waar de meeste risico’s gelopen worden.

####

Inleiding
Inleiding (vervolgd)
Stap 1: De Strategiekaart en de risicofactoren
Stap 2: De Risk Assessment Map
Stap 3: De Risk Appetite Map
Stap 4: De Risk-adjusted confrontatiematrix
Stap 5: Inrichten van Risk Control
Samenvatting en conclusies


Stap 3: De Risk Appetite Map

Ondernemen is echter nooit zonder risico’s. Sterker nog: succesvolle strategieën gaan uit van een zekere mate van risico die je als onderneming moet nemen om een voordeel te halen ten opzichte van je concurrenten. Soms moet het latje ‘bewust hoog’ worden gelegd, om bijvoorbeeld marktaandeel te veroveren, een doorbraak te forceren in een technologie of een product op tijd op de markt te krijgen. De Risk Assessment Map geeft geen uitsluitsel over de vraag of het risico wel acceptabel is. Het toont alleen die elementen waar er risico gelopen wordt. Daarom is de Risk Assessment Map een ‘tussenstation’ voor de echte strategische discussie: zijn we bereid om de risico’s te accepteren? Welk risico willen we eigenlijk lopen en welke willen we ten koste van alles vermijden? Met andere woorden: welk Risk Appetite hebben we als management?

 

De linkerkant van figuur 4 geeft het begrip ‘Risk Appetite’ grafisch weer. Het linkerbolletje is het vertrekpunt. Het gekleurde bolletje is het beoogde doel (of target). Het doel ligt duidelijk boven de vertrekwaarde. Een lage risk appetite (weergegeven door de meest linkse accolade) geeft aan dat er een kleine marge naar beneden wordt geaccepteerd, maar zeker niet lager dan de huidige waarde. Het ‘upward potential’ hoeft echter ook niet veel groter te zijn. Een hoge risk appetite (de meest rechtse accolade) laat een groter scala aan uitkomsten toe: zowel resultaten die boven de gestelde target liggen als ook die ver onder de gestelde en huidige norm liggen.

Mensen die beleggen worden ook expliciet gevraagd naar hun ‘risk appetite’. Door vragen te stellen als ‘bent u bereid meer dan 10% rendementsverlies in één jaar te accepteren?’ komen beleggingsinstellingen achter het profiel van hun klanten en voldoen ze daarmee aan de zorgplicht. Zo kan ook in management teams men elkaar expliciet de vraag stellen: ‘zijn we bereid genoegen te nemen met 10% minder productverkopen?’ of ‘willen we het risico lopen dat we 15% van onze strategische vacatures niet ingevuld krijgen?’. Ook hier gaat het niet om de exacte getallen, maar om het bewustwordingsproces binnen het management dat sommige doelstellingen niet gehaald kunnen worden en dat een aantal leden van het team daar een meer of mindere risiconeutrale houding tegenover hebben.

De rechterkant van figuur 4 toont de afweging tussen risk appetite en risico blootstelling. De risicoblootstelling halen we uit de Risk Assessment Map. Alleen die kritieke factoren die zowel een hoge impact als een hoge onzekerheid vertonen nemen we mee in de analyse van risico exposure: het gaat hier immers om een strategische visie op risico en niet op het operationele afhandelen van kleine schadegevallen, inbraak etc.

De Risk Appetite Map maakt de (o3n)balans tussen gewenst en feitelijk risico inzichtelijk. Op de diagonaal van de matrix staan factoren die in balans zijn: hier is het gewenste risico (de appetite) en het blootgestelde risico (exposure) ‘aligned’: er worden risico’s genomen die ook gewenst zijn. De rechter-onderkant van de matrix weerspiegelt het grootste probleemgebied: strategische doelen waar een lage risk appetite voor gewenst is, maar waar een hoge exposure wordt gelopen. Daar loopt een organisatie dus echt een strategisch risico ‘van de eerste orde’ en moeten er zo snel mogelijk aanvullende beheersmaatregelen genomen worden. De linker-bovenkant van de matrix weerspiegelt het ‘tweede-orde’ strategisch risico: voor doelstellingen die in dit gebied worden ‘gescoord’, geldt dat er minder risico wordt gelopen dan in feite gewenst is. Minder risico betekent in veel gevallen ook minder rendement. Er wordt dus in feite te voorzichtig gehandeld door het management cq. Het bestuur.

Het proces van het opstellen en bediscussiëren van de Risk Appetite Map is zeer vergelijkbaar met het proces van het opstellen van een strategiekaart. Het ‘scoren’ op de Risk Appetite Map is geen wetenschappelijk en kwantitatieve exercitie. De ‘riskmanager’ of manager met risk management in zijn portefeuille kan de discussie uiteraard faciliteren, maar het succes hangt af de kwaliteit van het doorlopen proces. Cruciale succesfactoren zijn daarom:

• Evenredige inbreng van alle management leden.
• Facilitatie door een ‘niet-manager’ (dit kan een externe zijn, of een stafmedewerker van de organisatie die ‘onafhankelijk’ en ‘zonder eigenbelang’ is).
• Duidelijk en transparant besluitvormingsproces of consensusvorming.
• De redenering is belangrijker dan de feitelijke positionering: kan het resultaat beargumenteerd en uitgelegd worden aan de rest van de organisatie?
• Visuele simpliciteit en communicatieve waarde van het resultaat.
• Regelmatige evaluatie van de Risk Assessment Map binnen het MT.

Het resultaat is een bewuste én gelijkgestemde houding van het management team. De Risk
Appetite Map is daarmee, naast de strategiekaart, één van de belangrijkste stuurinstrumenten voor het management als het gaat om strategisch risicomanagement.

####

Inleiding
Inleiding (vervolgd)
Stap 1: De Strategiekaart en de risicofactoren
Stap 2: De Risk Assessment Map
Stap 3: De Risk Appetite Map
Stap 4: De Risk-adjusted confrontatiematrix
Stap 5: Inrichten van Risk Control
Samenvatting en conclusies


Stap 4: De Risk-adjusted confrontatiematrix

Voor het prioriteren van de organisatiebrede initiatieven, kan gebruik worden gemaakt van de confrontatiematrix (zie Gillissen en Kruger 2009). In deze matrix worden de strategische initiatieven gepositioneerd in de rijen en de strategische doelstellingen in de kolommen. Per initiatief wordt visueel aangegeven hoe de bijdrage van het initiatief aan de strategische doelstelling is. De confrontatiematrix wordt samengesteld door een uitgebreide inventarisatie van de lopende én geplande projecten. We noemen dit ook wel de strategische projecten portfolio. In het kader van een risicobewuste strategie stellen we twee (proces)aanpassingen aan de confrontatiematrix voor.

Voor de projecten en strategische doelen die voorkomen in het rechts-onder-gebied van de Risk Appetite Map moeten zo snel mogelijk beheersmaatregelen genomen worden om de risicoblootstelling te verminderen (om zo ‘aligned’ te zijn met de gewenste risk appetite). De eerste aanpassing is dus om na te gaan waar er binnen de strategische projecten-portfolio extra maatregelen moeten worden genomen om de risk-exposure te verminderen. Dit is dus de ‘verticale’ benadering, waarbij vooral gefocust wordt op die kritieke factoren uit de Risk Appetite Analyse. Voor elk van deze strategische doelen wordt expliciet de vraag gesteld welke nieuwe maatregelen genomen dienen te worden cq welke bestaande processen aanscherping verdienen. Dit leidt veelal tot één tot twee nieuwe maatregelen per strategisch doel.

Deze (nieuwe) maatregelen moeten altijd en expliciet ‘concurreren’ met allerlei initiatieven gericht op versnelling van groei, omzet, klantwaarde, met andere woorden: kansen gericht op het behalen van de ambitie. Onze ervaring is dat in de confrontatiematrix geen onderscheid wordt gemaakt naar ‘typen’ van initiatieven en dat dikwijls de ‘verplichte nummers’ niet op de confrontatiematrix staan. Het gevolg is dat de organisatie gebukt gaat onder de last van ‘te veel’ initiatieven: tijdens het jaar komt men er namelijk achter dat er naast de reeds geplande verbeterprojecten nog nieuwe risicomanagement projecten gestart ‘moeten’ worden en dat de druk op de organisatie te groot wordt. Het absorptievermogen heeft immers dan zijn grenzen bereikt. Bovendien versterkt de overload aan projecten vaak het negatieve imago van risicomanagement: verplichte nummers die niemand leuk vindt, waar eigenlijk geen tijd voor is en die dus veel energie kosten en weinig zichtbaars opleveren.

De tweede aanpassing ligt voor de hand. Door de introductie van een ‘projecttype’ kunnen de confrontatiematrix verfijnen en beter sorteren en beslissen. De volgende projecttypen kunnen onderscheiden worden:

• Compliance: verplichte projecten in het kader van wet-en regelgeving (compliance).
• Strategisch Onderhoud: beheer en onderhoud aan strategisch kritieke systemen (denk aan bv vervanging van bancaire systemen).
• Risicobeheer: projecten voor het terugdringen van risk exposure.
• Kwaliteit: projecten voor behoud van kwaliteit en continuïteit van processen.
• Groei: projecten ter verbetering van groei en uitbreiding in de markt.

Gillissen en Kruger (2009) hebben aangegeven dat de prioritering van strategische projecten sowieso gebalanceerd moet gebeuren:
• Binnen de perspectieven van de strategiekaart.
• Binnen het meerjaren-perspectief van de strategische horizon.
• Binnen de afdelingen van de organisatie.
_____________________________________________________________________________

Voorkom verrassingen en benut kansen met Enterprise Risk Management
De tweedaagse cursus Enterprise Risk Management is dé aangewezen methode om onzekere gebeurtenissen, risico’s maar ook opportunities pro-actief en integraal te managen. Daarnaast maakt de toegenomen regelgeving ERM tot een must. Deelname levert u 14 PE punten op.
Klik hier voor het gehele programma en aanmelden.
_____________________________________________________________________________

Daar voegen we in dit artikel dus aan toe: ‘binnen de projecttypen’. Daarbij dient opgemerkt te worden dat de compliance projecten verplicht uitgevoerd dienen te worden en de strategisch onderhoudsprojecten alleen kunnen worden uitgesteld bij hoge uitzondering. Het toekennen van projecttypen aan de verbeterinitiatieven leidt dus onvermijdelijk tot een beperking van de initiatieven gericht op groei en ambitie. Er vindt dus als het ware een correctie plaats op het aantal groeigerichte initiatieven, hetgeen de kwaliteit van alle wel uit te voeren projecten ten goede komt. Het risico van ‘projectfalen’ als gevolg van een overbelasting van de organisatie wordt sterk verminderd. De portfolio van strategische projecten komt meer in balans en het draagvlak binnen de organisatie wordt groter. De confrontatiematrix is dus op twee manieren risk-adjusted of risicobewust gemaakt: door het expliciet toevoegen van risicobeheersmaatregelen vanuit de strategiekaart én door te visualiseren en te prioriteren op basis van risk-based projecttypen.

####

Inleiding
Inleiding (vervolgd)
Stap 1: De Strategiekaart en de risicofactoren
Stap 2: De Risk Assessment Map
Stap 3: De Risk Appetite Map
Stap 4: De Risk-adjusted confrontatiematrix
Stap 5: Inrichten van Risk Control
Samenvatting en conclusies

Stap 5: Inrichten van Risk Control
Veel organisaties hebben een redelijk tot goed werkend management informatie voorzieningsproces. Een aantal organisaties werkt al met Key Performance Indicators of Management Dashboards. Voor deze organisaties is het niet moeilijk om hun set aan prestatie indicatoren uit te breiden met Risico Management Indicatoren. Kruger (2007) beschrijft dat de problemen met management dashboards zelden technisch van aard zijn, maar dat de oorzaken van slecht gebruik zijn gelegen in een slecht ontwerp. Het gebruik van de strategiekaart als basis voor het risk-adjusted management dashboard biedt een goede garantie voor het selecteren van de juiste KPI’s en Risk indicators.

Maar risk control gaat verder dan alleen KPI’s. Het gaat ook om de attitude en houding binnen de organisatie ten aanzien van risk control. Bij het bedenken en ontwerpen van controls is het van belang om een adequate mix te hebben in de hard controls en de soft controls (Van Kuijck 2008). De hard controls zijn te definiëren als meetbare afspraken en richtlijnen waarvan wordt vastgesteld dat deze nageleefd zijn. Het meten van deze controls is vaak objectief te doen omdat het afgesproken spelregels zijn binnen een organisatie. De Heus en Stremmelaar (De Heus, 2000) hebben soft controls als volgt gedefinieerd: ‘Een beheersingsmaatregel welke – meer dan hard controls – ingrijpt op c.q. appelleert aan het persoonlijk functioneren van de medewerkers. Soft controls zijn op te vatten als maatregelen die van invloed zijn op bijvoorbeeld motivatie, loyaliteit, integriteit, inspiratie en normen en waarden van medewerkers.’ Onderstaand een overzicht met voorbeelden van hard en soft controls.

Het gaat hierbij om de balans tussen hard en soft controls. Hierbij zorgen de soft controls voor de juiste drive en houding in de organisatie om er met elkaar voor te gaan. Belangrijk is het met elkaar praten over risico’s, de houding van het management ten aanzien van risico’s, het willen leren van omissies in een beheersmaatregel of onvoorziene risico’s die zich toch voordeden, elkaar aanspreken op gedrag, houding en openheid ten aanzien van risico’s en de vaardigheid en kennis om risico’s te kunnen inschatten en te mitigeren.

Voor het communiceren van informatie over resultaten en risico’s is het van belang rekening te houden met de wijze waarop dit gebeurt en het (gewenste) effect op het gedrag dat wordt beoogd. Zo blijken we in het algemeen meer risicomijdend te zijn voor verliezen dan risiconemend voor winsten van een gelijke omvang. Zelfs door hetzelfde beslissingsprobleem anders te benaderen en te presenteren, nemen we andere beslissingen en maatregelen.

Gedragspsycholoog Kahneman noemt hierbij als voorbeeld de fenomenen ‘framing’ (Kahneman, 1981) en ‘loss aversion’ (Kahneman, 1991). Bij het rapporteren en communiceren van risico’s en prestaties is het van belang om bewust met deze fenomenen om te gaan. Zo kan het wenselijk zijn om ter voorkoming van het optreden van bepaalde risico’s een grotere gedragsverandering (bijv. meer risicomijdend) teweeg te brengen. In dat geval is het voor de hand liggend om gegevens dusdanig te presenteren dat deze in overeenstemming zijn met de beoogde gedragsverandering. Waar het om gaat is dat het presenteren en bespreken van KPI’s en/of KRI’s aansluit bij de ambitie, risk appetite en de cultuur van de organisatie.

De geschetste stappen in dit artikel suggereren dat er tijdens het bespreken van de strategiekaart, de Risk Assesement Map en de Risk Appetite Map voldoende aandacht wordt besteed aan ‘het ontwerp’: de juiste vragen en discussies worden gevoerd, waardoor ook de juiste indicatoren worden benoemd. Belangrijk in deze discussie is om op te merken dat er niet alleen gestuurd moet worden op het meten van de Key Risk Indicator, maar ook op het meten van de voortgang van de beheersprojecten en de verbeterinitiateven (zie Gillissen 2006). Het regelmatig evalueren en bespreken van de Risk Asssement Map en de Risk Appetite Map zijn dan ook integraal onderdeel van het Risico Control proces. Vandaar dat we ook spreken over Risico Management Indicatoren. Dit is een breder concept dan Risk Indicators. De combintatie van KPI’s uit de strategiekaart, de KRI’s uit bijvoorbeeld de Risk Assessment Map en de voortgangsbespreking van de Risk-Adjusted Confrontatiematrix vormt een goede basis voor Risk Control op de strategie.

In de praktijk blijkt dat er twee belangrijke soft controls zijn die een grote invloed hebben op het risico bewustzijn en de verankering ervan. Dit zijn ‘Tone at the Top’ (voorbeeldfunctie van het management) en ‘het bevorderen van bepaald gedrag middels een koppeling naar bonus en beloningssystemen’.

Bij de eerst soft control, de voorbeeldfunctie van het management, moet men in gedachte houden dat het management voortdurend wordt gevraagd om openheid rondom haar risico management. Hiertoe behoren niet alleen de interne controls maar ook de wijze waarop men reageert op risico’s. Wetende dat verhouding risico – rendement een fundamenteel onderdeel van de bedrijfsdynamiek is, ligt het voor de hand om risico informatie mee te nemen in de interne communcatie. Door frequent te communiceren over de beheersmaatregelen voor strategisch riscio (bijvoorbeeld door de Risk Appetite Map gezamenlijk met de Strategiekaart te presenteren) en hier open over te zijn, geeft het management tegelijkertijd het goede voorbeeld.

Het succes van de hier beschreven stappen wordt dan ook voor het grootste deel bepaald door specifieke competenties van directie en management. Vice versa kunnen we stellen dat het doorlopen van deze stappen de competenties voeden en de tope-at-the top zichtbaar maken voor de medewerkers. Het intern publiceren van een Risk Appetite Map of een Risk Adjusted Confrontatiematrix geeft expliciet vorm én inhoud aan risicobewustzijn. Door risico’s vast te leggen inclusief de bijbehorende controls, wordt er een trackrecord opgebouwd dat niemand kan ontkennen. Zelfs als een risico optreedt waardoor de strategie implementatie ontspoort. Het najagen van ambities betekent nu eenmaal risico’s nemen.

De tweede belangrijke soft control is het stimuleren van gewenst risicogedrag. Nu blijkt in de praktijk dat dit vaak pas echt tot leven komt wanneer dit meetbaar wordt gemaakt en gekoppeld wordt aan een beloningsysteem [Buehler, 2008]. Hierbij geldt dat niet alleen het grijpen van kansen en het behalen van targets beloond moet worden, maar tevens de inspanningen die worden verricht om dit op een beheerste en acceptabele wijze te doen. Er is een aantal succesfactoren te benoemen voor een goede variabele beloningsstructuur en
-cultuur. De belangrijkste factoren zijn:

• De beloning moet gekoppeld zijn aan beïnvloedbare doelstellingen: het uitkeren van een bonus moet namelijk direct te relateren zijn aan bepaald gedrag.
• De hoogte van de variabele beloning mag niet meer dan gemiddeld 50% van het jaarsalaris zijn. Anders wordt de prikkel om alleen het belang van de bonus na te jaren te groot, terwijl ‘het dagelijkse werk’ ook goed gedaan moet worden.
• De verdeling tussen korte en lange termijn uitbetaling moet in balans zijn. Het stimuleert om bijvoorbeeld salesbonussen maandelijks uit te keren. Anderzijds moeten beloningen voor bijvoorbeeld risico’s en duurzaam beleid worden ‘gereserveerd’ totdat de lange termijn doelen zijn gerealiseerd. Dit kan best een periode van 2-3 jaar betreffen.
• De variabele beloning van het top-management zijn direct afhankelijk van de bonussen van het ‘middelmanagement’ en van de individuele medewerker. Pas als de managementlagen onder het (top) management een variabele beloning uitgekeerd krijgen, verdient het topmanagement zelf een bonus.

De valkuil is om risicomijdend gedrag te belonen. Risicomijdend is iets heel anders dan risicobewust. Risicomijdend betekent dat je als manager opzettelijk geen risico’s neemt en risico per definitie als iets negatiefs beschouwt. Risicobewust is dat er bewuste risico’s gelopen worden en dat er kansen zijn (mits beheerst). KPI’s en beloning op risicomijdend gedrag dient voorkomen te worden.

Het koppelen van variabele beloning aan bepaalde risicogebieden of aan een aantal strategische beheersmaatregelen bevordert wel het risicobewust gedrag van managers. Eén manier is om een variabele beloning te koppelen aan het implementeren en onderhouden van de hard en soft controls. Hiermee laat je als organisatie zijn dat risicobewust handelen een kern-onderdeel van je strategie is. De weg naar een risicobewuste strategie gaat niet vanzelf. Net als vele organisatieontwikkelingen, kunnen er duidelijke stadia van volwassenheid worden gedefinieerd.

####

Inleiding
Inleiding (vervolgd)
Stap 1: De Strategiekaart en de risicofactoren
Stap 2: De Risk Assessment Map
Stap 3: De Risk Appetite Map
Stap 4: De Risk-adjusted confrontatiematrix
Stap 5: Inrichten van Risk Control
Samenvatting en conclusies

Samenvatting en conclusies
In dit artikel zijn we ingegaan op de vraag hoe je een risicobewuste strategie kunt implementeren. Onze visie begon bij het stellen dat de perceptie en beleving rondom het begrip ‘risico’ moet veranderen van negatief naar (minimaal) neutraal en dat (top)managers een intrinsieke motivatie gaan ontwikkelen over de kansen van Risk-based Performance Management. Om dit te bereiken vertrekken we vanuit het interessedomein van het management: de strategie en de strategiekaart. Met de instrumenten zoals Risk Assessment Map, de Risk Appetite Map en de Risk-adjusted Confrontatiematrix, verfijnen we het strategie-implementatieproces met risicobewuste elementen. Het toevoegen van Risico Management indicatoren en het aanpassen aan de beloningsstructuur vergroot het risicobewustzijn en maakt Risk-based Performance Management tot een systematisch onderdeel van de bedrijfsvoering.

Net zoals het management direct verantwoordelijk is voor het realiseren van haar doelstellingen en hierbij denkt aan verbeterinitiatieven en het grijpen van kansen, zo denkt zij in de risicobewuste strategie ook aan beheersinitiatieven en het voorkomen van verstoringen. Door de heldere relatie tussen doelstellingen en risico’s is zij ook hier direct verantwoordelijk voor en wordt dit niet uitbesteed aan stafafdelingen. Door verbeter- en beheersinitiatieven in een gezamenlijk programma op te nemen, wordt de strategie op een robuustere wijze uitgevoerd. Risico management draagt zo bij aan het waardecreatieproces en is niet alleen gefocust op waardebescherming.

Merlijn Gillissen is partner bij Decido. Hij is gespecialiseerd in performance management vraagstukken en het ontwerp en de implementatie van management dashboards.

Met dank aan Maurice Meijers voor research op het domein risico management en het aandragen van tekstsuggesties.

Aanbevolen literatuur
• Buehler, K., A. Freeman A., Hulme R., The Risk Revolution – The Tools: The New
Arsenal of Risk Management, McKinsey Working Papers on Risk, Number 1, September
2008
• COSO, Strengthening Enterprise Risk Management for Strategic Advantage., 2009.
• Courtney, Kirkland and Viguerie, Degrees of Uncertainty from Strategy Under
Uncertainty, Harvard Business Review, November 1997.
• Damodaran, A., Strategic Risk Taking, A Framework for Risk Management, Wharton
School Publishing, 2008
• De Heus en Stremmelaar, Auditen van soft controls, Kluwer, 1ste druk 2000.
• Deloitte, The Risk Intelligent Enterprise, article series published on www.deloitte.com.
• Dickstein, D.I., R.H. Flast, No Excuses, A Business Process Approach to Managing
Operational Risk, John Wiley & Sons, 2009.
• Ernst & Young Nederland LLP, Lessons form Change, 2009
• Gillissen, M, Actionable Information calls for extending Traditional BI, Butler Groep
Review, 2006
• Gillissen, M., en M. Kruger, Van Ambitie naar Succes; Resultaatsturing in theorie en
praktijk, Decido 2009.
• Kahneman, D., and A. Tversky, The Framing of Decisions and The Psychology of
Choice, Science 211, 453…458, 1981.
• Kahneman, D., en A. Tversky. Loss Aversion in Riskless Choice: A Reference-
Dependent Model, Quarterly Journal of Economics, 106, 1038…1061, 1991.
• Kaplan, R, Risk Management and the Strategy Execution System, Balanced Scorecard
Report, November 2009
• Kaplan, R. and D. Norton, Strategy Maps, Harvard Business Press 2005
• Kruger, M, Manangement Dashboards, stuurinstrument of vrijblijvend speeltje?,
Business Process Magazine 2007
• Kuijck, F.A.J. van, RA RO EMIA en Drs. R.M.J. van Vugt RA, Risicomanagement –
Leiderschap, meer dan de som der delen….! 2008
• Mockler, R.J., Readings in Management Control. New York: Appleton-Century-Crofts.
pp. 14–17, 1970.
• Pourquery, P., Marrying Risk and Strategy to Create Value, Boston Consulting Group,
2007.
• Taleb, N.N., The Fourth Quadrant: A Map of the Limits of Statistics, Edge, 2008.
• The Conference Board, Research Report sponsored by Oliver Wyman, Building Risk
Awareness into Performance: Integrating ERM and Performance Management, 2009.

Gerelateerde artikelen