Risicomanagement in vijf stappen
De kredietcrisis geeft een impuls aan de ontwikkeling van risicomanagement bij organisaties. Risicomanagement stond voor de crisis nog in de kinderschoenen, maar als gevolg van de boekhoudschandalen, nieuwe wet- en regelgeving en de economische onrust heeft het een hoge prioriteit gekregen. De controller kan hier een belangrijke rol spelen. U vindt hier een praktische handleiding voor het opstellen van een helder risicoprofiel, het dagelijkse proces van risicomanagement en de meest voorkomende valkuilen voor het falen van risicomanagement.
Joost Speekenbrink
De controller is een belangrijke voortrekker in het risicomanagement proces. Zijn toegevoegde waarde ligt in de samenwerking met de directie, het lijnmanagement en functionele experts. Als financieel deskundige en business partner van het management team speelt hij een sleutelrol bij de identificatie, kwantificering en beheersing van risico's. Daarnaast kan hij relevante informatie over risico's samenbrengen en verwerken tot waardevolle managementinformatie. Omdat hij toegang heeft tot alle financiële data is hij in staat om organisatierisico's te vertalen in mogelijke gevolgen voor de doelstellingen, veelal winstgevendheid.
Stap 1 Doelstelling
Voordat gestart kan worden met risicomanagement moet de organisatiedoelstelling in kaart zijn gebracht. Risicomanagement is een directe afgeleide van de organisatiestrategie. In het voorbeeld is de doelstelling tweeledig, enerzijds zo veel mogelijk winst maken en anderzijds de tevredenheid van klanten en medewerkers garanderen. Dit artikel focust op de eerste doelstelling: winstmaximalisatie.
Stap 2 Risico-identificatie
Als de doelstellingen helder geformuleerd zijn wordt bekeken welke gebeurtenissen of risico's deze doelstellingen kunnen beïnvloeden. Dit gebeurd in een risico-sessie die in de regel twee maal per jaar wordt georganiseerd. Een risico-sessie is een bijeenkomst waar alle medewerkers aanwezig zijn die input kunnen leveren over het betreffende onderwerp. Tijdens deze sessie zullen de aanwezigen de risico's vanuit hun eigen perspectief formuleren en alle risico's worden genoteerd. Er ontstaat dus een lijst met alle relevante risico's die de organisatiedoelstelling kunnen beïnvloeden. In ons voorbeeld zijn er drie top-risico's die zijn aangedragen door de medewerkers. Het eerste risico is dat de handelsvoorraad van het bedrijf onderhevig is aan diefstal. Het tweede risico is dat de debiteuren niet op tijd of helemaal niet betalen. Het derde risico is dat de belangrijkste klant naar de concurrent overstapt. Bij het beschrijven van risico's kan gesteund worden op historische gegevens.
Stap 3 Kwantificeren riciso's
De risico's zijn in kaart gebracht en kunnen nu gekwantificeerd worden met een kans- en gevolgklasse. De kwantificering van de risico's gebeurd in de zelfde risico-sessie waarin de risico's geformuleerd zijn. In ons voorbeeld heeft het eerste risico (debiteuren betalen niet of te laat) een kans van optreden van 15 procent. Als het risico optreedt wordt het gevolg geschat op 500.000 euro. Deze inschatting zal gedragen worden door alle aanwezigen in de risico-sessie. Het is gebruikelijk dat er de nodige discussie is over de kans- en gevolgklassen, maar uiteindelijk zullen de aanwezigen zich laten overtuigen door de argumenten van diegene die het risico inbrengt. Daardoor zullen alle aanwezigen zich uiteindelijk herkennen in de waarden van de kans- en gevolgklassen. Met een kans van optreden van 15 procent en een gevolgklasse van 500.000 euro is de verwachtingswaarde van dit risico 75.000 euro. De verwachtingswaarde in euro is dus kans maal gevolg. Alle risico's worden op deze manier gekwantificeerd, waardoor een volgorde van verwachtingswaarden ontstaat. Uiteindelijk wordt zo zichtbaar welke risico's de organisatiedoelstelling het meeste kunnen beïnvloeden. In ons voorbeeld heeft risico nummer 1 de hoogste verwachtingswaarde.
Stap 4 Beheersing
Als de risico's zijn geïdentificeerd en gekwantificeerd komen de beheersmaatregelen in beeld. Deze moeten ervoor zorgen dat het risico niet optreed of dat de kans van optreden of de gevolgen daarvan worden beperkt. Er wordt vastgelegd wie verantwoordelijk is voor bepaalde acties om de risico's te beheersen. In ons voorbeeld zien we dat risico nummer 1 onder andere beheerst kan worden door het debiteurenbeleid op orde te brengen. Vervolgens worden aan alle beheersmaatregelen een actie, deadline en verantwoordelijke medewerker gekoppeld. In ons voorbeeld zijn er twee acties, het debiteurenbeleid op orde brengen en een contract afsluiten met een incassobureau. Beide acties moeten binnen een maand zijn afgerond en de controller is verantwoordelijk. Deze acties worden dan opgenomen in de reguliere actielijsten die binnen het bedrijf gehanteerd worden.
Stap 5 Monitoren
Risicomanagement zal geïntegreerd moeten worden in de dagelijkse gang van zaken en onderdeel uitmaken van periodieke rapportages. Op deze manier wordt het ook geagendeerd in bestaande structuren en overleggen. Aangezien riskmanagement per uitstek een continu proces is, is deze laatste stap zeer belangrijk. In ons voorbeeld is het dus raadzaam de status van de top-10 risico's periodiek te rapporteren. Focus daarbij op de tien risico's met de hoogste verwachtingswaarde omdat deze de grootste invloed kunnen hebben om de doelstellingen van de organisatie. Ook moet er periodiek gerapporteerd worden over de acties die voort zijn gekomen uit de beheersmaatregelen. Is de actie al afgerond en zo niet, wat moet er nog gebeuren om de actie wel af te ronden en wie is hiervoor verantwoordelijk.
Valkuilen risicomanagement
De ervaring leert dat de implementatie van risicomanagement met wisselend resultaat gebeurd. Wat zijn nou eigenlijk de oorzaken dat risicomanagement faalt binnen een organisatie? Een opsomming van de meest voorkomende valkuilen.
1. Detail
Een veelvoorkomende fout is dat de controller in zijn rapportage te veel bezig is met de volledigheid van het risicodossier in plaats van zich te focussen op de top-risico's. De toegevoegde waarde van risicomanagement zit niet in die juistheid en volledigheid, maar in het creëren van bewustwording van de toprisico's. Een lijst met de tien belangrijkste risico's die concreet worden beheerst, zegt meer dan een gedetailleerde lijst met honderden mogelijke risico's.
2. Support van management
Een belangrijke voorwaarde voor de succesvolle implementatie van risicomanagement is dat de directie de toegevoegde waarde inziet van risicomanagement, het ondersteunt en er actief bij betrokken is. Als de directie geen toegevoegde waarde ziet van risicomanagement blijkt het in de praktijk onmogelijk om dit succesvol te implementeren en voor de lange termijn door te zetten. De top risico's van de organisatie moeten dus vooral ook op de agenda staan in directie overleggen en de directie moet sturen op de beheersmaatregelen.
3. Integrale aanpak
Wat bij veel organisaties ontbreekt, is een integrale aanpak van risicomanagement. Dus vanuit een organisatiebreed perspectief de risico's identificeren, kwantificeren en vervolgens de beheersmaatregelen implementeren. Dat betekend dat alle relevante medewerkers van het bedrijf betrokken moeten worden bij risicomanagement. En dan vooral de medewerkers die een goede inschatting kunnen maken van de risico's die de doelstellingen kunnen beïnvloeden. Vaak zie je dat het management team een goede representatie is van het bedrijf omdat alle disciplines hierin vertegenwoordigd zijn. Een risicosessie in het management team zal dus waardevol zijn.
4. Integreren in management control cyclus
Als risicomanagement geen onderdeel uitmaakt van de planning en control cyclus zal het snel van de prioriteitenlijst verdwijnen. Zorg er dus voor dat de top-risico's worden meegenomen in periodieke rapportages en koppel er actiepunten aan. Neem het beheersen van risico's ook mee in beoordelingsgesprekken en in de individuele doelstellingen van medewerkers. Focus dan vooral op de vraag of de risico's waarvoor de medewerker verantwoordelijk is inzichtelijk zijn en voldoende beheerst worden.
Bron: Tijdschrift Controlling december 2010
Bron: Tijdschrift Controlling december 2010