MCA 2 Risicomanagement ... - Executive Finance€¦ · dit artikel uitgevoerd in samenwerking met...

Drs. D.H.J. Freriksen RO, D.M. Swagerman en L. Paape RA RO CIADennis Freriksen is werkzaam als riskmanagement-consultant bij PricewaterhouseCoopers (PwC) teAustralië. Ten tijde van het onderzoek was hij werk-zaam binnen de advisorypraktijk van PwC te Amster-dam. Dirk Swagerman is hoogleraar Controllingaan de Economische faculteit en hoogleraar-direc-teur van de Postdoctorale Controllersopleiding vande Faculteit Bedrijfskunde aan de RijksuniversiteitGroningen. Het onderzoek is door de auteurs vandit artikel uitgevoerd in samenwerking met LeenPaape RA RO CIA. Hij is Partner van Pricewater-houseCoopers Advisory NV en Program DirectorInternal/Operational Auditing Erasmus UniversiteitRotterdam.1

Eind 2004 heeft PricewaterhouseCoopers in samenwer-king met de postdoctorale controllersopleiding van deRijksuniversiteit Groningen het initiatief genomen tothet uitvoeren van een onderzoek naar de praktijk vanhet risicomanagement in Nederland. Het doel van hetonderzoek was om de ontwikkelingen op het terrein vanrisicomanagement nader in kaart te brengen. De belang-rijkste uitkomsten van het onderzoek worden in dit arti-kel gepresenteerd. Een belangrijke conclusie is dat risico-management in toenemende mate de aandacht van hetmanagement krijgt. Door middel van een enquête onderleden van het Controllers Instituut is een groot aantalorganisaties ondervraagd naar de wijze waarop zij invul-ling geven aan risicomanagement. Het gaat daarbij omconcrete keuzes, zoals de frequentie van risicoanalyses,het gebruik van methodieken en hulpmiddelen en debetrokkenheid van diverse functionarissen.

1. Toenemende aandacht voor risicomanagement

Zelden heeft het onderwerp risicomanagement zo veelaandacht gehad in bestuurskamers als in de afgelopen driejaren. Na de boekhoudschandalen waar we enkele jarengeleden zowel op internationaal als nationaal niveau meegeconfronteerd werden, is er een grote druk ontstaan opondernemingen om het managen van risico’s serieus tenemen en een adequaat stelsel van beheersingsmaatrege-len in te richten en te onderhouden. Het geschonden ver-trouwen van de maatschappij in de financiële wereld diendete worden herwonnen. De weg naar hernieuwd vertrou-wen werd in diverse landen uiteengezet in nieuwe of aan-

gepaste wet- en regelgeving op het gebied van corporategovernance. Hiermee verdween de vrijblijvendheid enkwam de noodzaak voor beursgenoteerde ondernemingenom de veelal binnen de organisatie reeds lopende initia-tieven op het gebied van risicomanagement in een stroom-versnelling te brengen – het nut daarvan werd namelijkwel ingezien – en aan te passen aan de specifieke eisenvanuit de wet- en regelgeving. Als afgeleide van deze ont-wikkelingen heeft het risicomanagement zowel binnen degrotere niet-beursgenoteerde ondernemingen als binnen depublieke sector steeds nadrukkelijker de aandacht gekregen.

Een pregnant voorbeeld van de toegenomen aandacht voorrisicomanagement zijn de intensieve inspanningen die deAmerikaanse beursgenoteerde ondernemingen zich getroos-ten om te voldoen aan de eisen die door de ‘Sarbanes-Oxley Act of 2002’ worden gesteld. Vooral sectie 404,genaamd ‘Management assessment of internal controls’vergt aanzienlijke maatregelen en raakt de gehele organi-satie. En dan te bedenken dat het hier nog slechts gaat omhet waarborgen van een getrouwe externe financiële ver-slaggeving. Risico’s met betrekking tot bijvoorbeeld hetbehalen van de strategische doelstellingen of de effectiviteitvan processen worden niet in beschouwing genomen.

De eind 2003 verschenen Nederlandse corporategover-nancecode (‘code Tabaksblat’) gaat wat betreft reikwijdteverder dan de Sarbanes-Oxley Act. In de corporategover-nancecode wordt gesteld dat als onderdeel van het ‘internerisicobeheersings- en controlesysteem’ een vennootschaponder meer risicoanalyses dient uit te voeren van de ‘ope-rationele en financiële doelstellingen’. In tegenstelling totSarbanes-Oxley – waar de Public Company AccountingOversight Board (PCAOB) een gedetailleerde uitwerkinggeeft van de wijze waarop dient te worden voldaan aan de

8

MCA 2

Risicomanagement

Risicomanagement:de praktijk inNederland

1. Wij danken het Controllers Instituut voor de bereidheid aan ditonderzoek mee te werken.

De code Tabaksblat gaat wat

betreft reikwijdteverder dan de

Sarbanes-Oxley Act

””

Risicomanagement

eisen die door de wet worden gesteld – geeft de codeTabaksblat geen nadere richtlijnen ten aanzien van deinrichting van het interne risicobeheersings- en controle-systeem. Evenzo worden ondernemingen grotendeels vrij-gelaten in de wijze waarop zij in hun jaarverslag rappor-teren over dit systeem. De code Tabaksblat vervangt hetrapport Corporate Governance in Nederland. De veertigaanbevelingen uit 1997 van de commissie Peters. In tegen-stelling tot de veertig aanbevelingen van Peters kent decode Tabaksblat wel een wettelijke basis. Beursgenoteerdeondernemingen gezeteld in Nederland zijn verplicht elkjaar in hun jaarverslag gemotiveerd uit te leggen of, en zoja, waarom en in hoeverre zij afwijken van de ‘bestpractice-bepalingen’ van de code. De wettelijke verankering heeftplaatsgevonden door opname van deze regel van ‘pas toeof leg uit’ in boek 2 van het Burgerlijk Wetboek.

Er is een Monitoring Commissie ingesteld die tot taak heeftom de actualiteit en bruikbaarheid van de code te bevor-deren en haar naleving te bewaken. De Commissie zal dezetaak uitvoeren door ten minste jaarlijks te inventariserenop welke wijze en in welke mate de codevoorschriftendoor de Nederlandse beursgenoteerde vennootschappenworden nageleefd. Zij zal zich hierbij ten doel stellen opde hoogte te blijven van de internationale ontwikkelingenen gebruiken op het terrein van de corporate governanceom zo leemtes of onduidelijkheden in de code tijdig tekunnen signaleren. De Commissie heeft geen bevoegd-heid om de code zelfstandig te wijzingen. Er zal te zijnertijd een ad-hoccommissie worden ingesteld die de codeintegraal zal evalueren (naar verwachting drie jaar nainwerkingtreding van de code) en zonodig de regeringover eventuele wijzigingen zal adviseren.

Een vraag die momenteel bij velen leeft is of wettelijkeverankering van eisen ten aanzien van risicomanagementwel de juiste oplossing is. Een gevaar dat hier namelijk inschuilt, is dat ondernemingen het onderwerp gaan bena-deren als iets dat nou eenmaal moet; iets wat moet wor-den gedaan om toezichthouders tevreden te stellen. Ditkan een ‘afvinkmentaliteit’ veroorzaken. In dat geval wordteen daadwerkelijke toegevoegde waarde niet gerealiseerden misschien ook niet eens nagestreefd. Dat zou zondezijn, want adequate risicobeheersing is immers wel dege-lijk iets dat van invloed is op de waarde van een onderne-ming. ‘U investeert uw geld bij voorkeur toch ook in eenorganisatie die weet welke risico’s zij loopt en die daarbewust mee omgaat?’ In dat kader is het vreemd dat hetonderwerp risicomanagement in de ‘beleggingswereld’relatief weinig de aandacht heeft. Beleggers tonen tot opheden maar zeer beperkt interesse in het onderwerp, ter-wijl zij juist degenen zijn die er direct van profiteren.Indien ook de (institutionele) belegger zijn interesse inhet onderwerp uitdraagt zal dit een belangrijke impulsgeven aan de ontwikkeling van risicomanagement in hetbedrijfsleven. Pas zodra ondernemingen zich in de ogenvan beleggers en analisten kunnen differentiëren dooraantoonbaar te maken dat zij zorgvuldig en bewust omgaanmet risico’s, zal risicomanagement daadwerkelijk wordenomarmd door de bestuurders van ondernemingen; en dan

niet meer alleen omdat het moet, maar simpelweg omdathet wat oplevert.

De code Tabaksblat laat ondernemingen grotendeels vrijin de wijze waarop zij in hun jaarverslag rapporteren overhet interne risicobeheersings- en controlesysteem. De in-controlrapportages in de jaarverslagen verschillen ten aan-zien van reikwijdte, inhoud en bewoordingen. Verschillenbetreffen vooral het onderscheid tussen de beoordelingvan de opzet en de werking van het interne risicobeheer-sings- en controlesysteem en het wel of niet verbindenvan conclusies aan die beoordeling.

Naast de algemene corporategovernancecodes bestaat erook regelgeving die katalyserend werkt op het risico-management binnen specifieke sectoren. Dit zijn bijvoor-beeld regelingen op het terrein van de financiële dienst-verlening, met in Nederland de Regeling Organisatie enBeheer (ROB), uitgevaardigd door De NederlandscheBank, en in internationaal verband het tweede BazelseKapitaalakkoord (Bazel II). Bazel II biedt banken de gele-genheid om een lager kapitaalbeslag aan te houden. Voor-waarde is dat het risicomanagement van de bank voldoetaan bepaalde eisen. Voor verzekeraars gaat een zelfde situ-atie gelden onder de Solvency II-regelgeving, die thansnog in ontwikkeling is. Ook heeft De Nederlandsche Bankaangekondigd dat er een ROB voor verzekeraars zal gaanverschijnen.

Binnen de rijksoverheid heeft risicomanagement nadruk-kelijk zijn intrede gedaan als uitvloeisel van de in 1999ingevoerde nieuwe wijze van begroten en verantwoorden,onder de noemer ‘Van Beleidsbegroting tot Beleidsverant-woording’ (VBTB). Risicoanalyses en risicomanagementzijn tot norm verheven voor het effectief besturen en latenfunctioneren van overheidsinstellingen. De rijksbredeeisen betreffen o.a. een periodieke (jaarlijkse) risicoana-lyse, periodieke op- en bijstelling van het bedrijfsvoe-ringsbeleid en bedrijfsvoeringsplannen, een adequateinbedding van risicomanagement in de planning & con-trolcyclus, het laten aansluiten van een auditjaarplan opde risicoanalyse, en het onderbrengen van kwaliteitsbor-ging binnen het managementcontrolsysteem. Denk hier-bij aan zaken als de borging van deskundigheid, de toet-sing van beheerskaders en -maatregelen en de borging vande oplevering van betrouwbare (deel)mededelingen over

9

MCA Tijdschrift voor Organisaties in Control 2006

De NederlandscheBank heeft

aangekondigd dat ereen ROB voor

verzekeraars zalgaan verschijnen

”

”

de bedrijfsvoering. Ook op het niveau van de lokale over-heid, de provincies en gemeenten, zijn de principes vanrisicomanagement geïntroduceerd. Zo wordt bijvoorbeeldin de nieuwe Gemeentewet (2004) het managen van risi-co’s behandeld en verwachten gemeenteraden van huncolleges dat zij zich verantwoorden over de wijze waaropzij de risico’s gemanaged hebben. Hierbij wordt aange-stuurd op een bewuste afweging van risico’s en de wijzewaarop deze kunnen worden weggenomen of verkleinddoor het nemen van beheersmaatregelen.

In 1992 verscheen van de hand van het Committee ofSponsoring Organizations of the Treadway Commission(COSO) het rapport Internal control – integrated frame-work. In het rapport wordt een raamwerk gepresenteerdaan de hand waarvan organisaties hun eigen interne beheer-singssysteem kunnen inrichten en beoordelen. Het COSO-rapport is sindsdien uitgegroeid tot het wereldwijde stan-daardwerk op het gebied van interne beheersing. Zowel inde Sarbanes-Oxley Act als in de code Tabaksblat wordtCOSO als enige genoemd als mogelijk te hanteren raam-

werk voor het uitwerken van de bepalingen ten aanzienvan interne beheersing en risicomanagement. In septem-ber 2004 heeft hetzelfde COSO het rapport Enterprise riskmanagement – integrated framework (ERMF) uitgebracht.Dit rapport bouwt voort op het Internal Control Frame-work uit 1992 en is een reactie van COSO op de waarge-nomen trend volgens welke organisaties in toenemendemate risicoanalyses uitvoeren. Deze risicoanalyses speleneen belangrijke rol in het realiseren van de interne bedrijfs-voering en dienen als basis voor het systeem van internebeheersmaatregelen.

Afhankelijk van de redenen die een organisatie heeft omvolgens de principes van enterpriseriskmanagement tewerken zullen de voordelen per organisatie verschillen.Hierdoor zullen accentverschillen ontstaan in de aard ende omvang van de gerealiseerde voordelen. Uiteindelijkzullen de genoemde voordelen ertoe leiden dat de organi-satie beter in staat is om haar doelstellingen te behalen enzodoende waarde te creëren voor haar ‘stakeholders’.

2. Onderzoek

Over het onderwerp risicomanagement wordt veel geschre-ven. In diverse artikelen en openbaar beschikbare stan-daarden wordt beschreven hoe een organisatie aan risico-management zou kunnen doen. Waar het echter veelalaan ontbreekt, is een inzicht in hoe in de praktijk nou

10

MCA 2

Risicomanagement

Het COSO-rapportis uitgegroeid tothet wereldwijdestandaardwerk ophet gebied vaninterne beheersing

”

”2. COSO is een samenwerkingsverband van The American Insti-

tute of Certified Public Accountants, The Institute of InternalAuditors, Financial Executives International, The Institute ofManagement Accountants en The American Accounting Asso-ciation. Zie www.coso.org

Figuur 1. Heeft het topmanagement van uw organisatie een risicomanagementbeleid geformuleerd en gecommuniceerd?

Figuur 2. Heeft het topmanagement van uw organisatie een risicomanagementbeleid geformuleerd en gecommuniceerd?

Risicomanagement

werkelijk met risicomanagement wordt omgegaan. Detheorie reikt de keuzes aan die gemaakt dienen te worden.Maar welke keuzes worden nu daadwerkelijk gemaakt inde praktijk? Hoe ziet het risicomanagement in een orga-nisatie er in de werkelijkheid uit? Er bestaat bij veel orga-nisaties duidelijk de behoefte om het eigen risicomanage-ment te vergelijken met dat van andere organisaties. Indeze behoefte probeert dit onderzoek te voorzien. Hetonderzoek beoogt inzicht te verschaffen in de wijze waaroprisicomanagement in organisaties in Nederland is inge-richt en wordt toegepast.

Het onderzoek is uitgevoerd in de vorm van een enquête.De enquête is eind 2004 uitgestuurd naar alle leden vanhet Controllers Instituut. In de enquête zijn vragen opge-nomen over de wijze waarop de organisatie waar de geën-quêteerde werkzaam is invulling geeft aan risicomanage-ment. De leden van het Controllers Instituut hebbenenkele weken de tijd gehad om de vragenlijst op een spe-ciaal daarvoor ingerichte internetpagina in te vullen. Ditheeft uiteindelijk geleid tot 283 bruikbare ingevulde vra-genlijsten.

2.1 Risicomanagementbeleid vaak niet expliciet geformuleerd

De visie ten aanzien van risicomanagement kan verderworden uitgewerkt in risicomanagementbeleid. Het risico-managementbeleid beschrijft de wijze waarop de organi-satie haar risicomanagement wil invullen. Typische ele-menten die ten grondslag liggen aan risicomanagement-beleid zijn de visie en doelstellingen, de rollen en verant-woordelijkheden, en een korte beschrijving van de hoofd-elementen van het risicomanagementsysteem. Ook eenuitspraak over de risicobereidheid (‘risk appetite’) van deorganisatie maakt vaak deel uit van het risicomanagement-beleid.

In de risicomanagementenquête is respondenten gevraagdaan te geven of hun organisatie een formeel risicomanage-mentbeleid kent (zie figuur 1). In slechts 39% van deorganisaties blijkt dit het geval te zijn. Het zijn vooral debeursgenoteerde ondernemingen die een formeel risico-managementbeleid toepassen (56%), in tegenstelling totniet-beursgenoteerde (29%) en publieke organisaties (18%).

Bij een uitsplitsing naar branche (zie figuur 2) valt op datde financiële sector er met 61% uitspringt, gevolgd doorde energie- en utilitiesbedrijven met 53%. De overheid ennon-profitsector blijven duidelijk achter met 11%. Vooralle branches geldt dat dit in meer of mindere mate tegen-vallende percentages zijn, die aangeven dat de formeleinbedding van risicomanagement op het hoogste niveauin een organisatie vaak nog onvoldoende is geregeld.

Uit ons onderzoek blijkt dat het merendeel van de orga-nisaties in Nederland (63%) bij het vormgeven van hetrisicomanagement in de organisatie een openbare risico-management standaard als uitgangspunt heeft genomen(zie figuur 3). Opvallend daarbij is dat de overheid en denon-profitsector hier een uitschieter naar boven vormenmet 79%.

Door bijna driekwart van de respondenten die aangevengebruik te maken van een standaard wordt COSO genoemdals gehanteerde leidraad. Veelal is onduidelijk of zij daar-mee verwijzen naar het COSO ERM Framework of hetCOSO Internal Control Framework. Andere genoemdestandaarden zijn ABIB, Bazel II, Solvency II en de Austra-lian/New Zealand Standard. Ook worden enkele concep-ten en theorieën die minder expliciet aan het terrein vanrisicomanagement zijn gekoppeld genoemd als basis waarophet risicomanagement in de organisatie (mede) is gestoeld,zoals het INK-model, CobiT, Six Sigma en de typologievan Starreveld. Veel respondenten geven aan dat bij hetvormgeven van het risicomanagementsysteem van de

11


Vooral de beurs-genoteerde

ondernemingenpassen een formeelrisicomanagement-

beleid toe

”

”

Figuur 3. Is het risicomanagement in uw organisatie ingericht volgens een bepaalde risicomanagement standaard?

organisatie uit meerdere bronnen is geput en dat daar ver-volgens een organisatiespecifieke draai aan is gegeven.

2.2 Identificeren en analyseren van risico’s

Een belangrijk element van modern risicomanagement iseen integrale benadering van risico’s. Dat wil zeggen datalle typen risico’s van een organisatie (of businessunit,proces etc.) tegelijkertijd in ogenschouw worden geno-men. Dit in tegenstelling tot meer traditionele vormen van

risicomanagement die veelal zijn gericht op specifiekerisicogebieden (bijv. verzekeringsrisico’s, treasury, ARBO).Er zijn vele bronnen van risico, zowel binnen de organi-satie als extern, die elkaar bovendien beïnvloeden. Het isdaarom van belang om op integrale wijze de interne enexterne omgeving te blijven monitoren op mogelijkegebeurtenissen die van invloed kunnen zijn op het beha-len van de doelstellingen van de organisatie.

In ons onderzoek hebben wij respondenten gevraagd aante geven wanneer hun organisatie is gestart met het uit-voeren van integrale risico-identificaties en -analyses (ziefiguur 4). Voor bijna de helft (47%) van alle organisatiesblijkt dit in de afgelopen drie jaren te zijn geweest. Voor19% is dat al wat langer geleden, en 34% van de organisa-ties heeft nog nooit een integrale risico-identificatie en -analyse uitgevoerd. 26% daarvan geeft echter aan dat welvan plan te zijn.

Een uitsplitsing naar branche (zie figuur 5) laat zien dathet vooral de overheid en non-profitsector is waar menvoornemens is te gaan starten met het uitvoeren van inte-grale risico-identificaties en -analyses (45%). Een anderopvallend punt is dat 51% van de energie- en utilities-bedrijven al langer dan drie jaar geleden is begonnen methet integraal identificeren en analyseren van risico’s. Eenuitsplitsing naar grootte van de organisatie (naar omzetgemeten) laat het te verwachten beeld zien (zie figuur 6).Grote organisaties zijn al wat langer geleden begonnenmet integrale risico-identificatie en -analyse, middelgroteorganisaties hebben dat doorgaans vrij recentelijk gedaan

12

MCA 2

Risicomanagement

Figuur 4. Wanneer is uw organisatie begonnen met het uitvoeren van integrale risico-inventarisaties

en -analyses?

Figuur 6. Wanneer is uw organisatie begonnen met het uitvoeren van integrale risico-inventarisaties en -analyses?

Figuur 5. Wanneer is uw organisatie begonnen met het uitvoeren van integrale risico-inventarisaties en -analyses?

Risicomanagement

en de meeste kleinere organisaties hebben nog slechtsplannen daartoe.

2.3 Jaarlijkse risicoanalyse meest gebruikelijk

Risicomanagement wordt gedefinieerd als een proces. Hetuitvoeren van een risico-identificatie en -analyse is dusniet iets dat je slechts eenmalig uitvoert, maar met eenzekere periodiciteit herhaalt. In ons onderzoek hebben wijde respondenten gevraagd aan te geven hoe vaak hetmanagement in hun organisatie een risico-identificatie en-analyse uit dient te voeren (zie figuur 7). Het meest voor-komend blijkt ‘eens per jaar’ (34%) en ‘eens per kwartaal’(26%). Halfjaarlijks blijkt minder gangbaar (7%). In 16%van de organisaties is de periodiciteit minder dan een jaarof kent men geen vaste periodiciteit.

Een in de praktijk veelvoorkomende en in onze ogen goedwerkbare vorm is een jaarlijkse diepgaande risicoanalyse,gekoppeld aan het opstellen van het jaarplan en het bud-get. Gedurende het jaar, meestal per kwartaal, wordt ver-volgens het risicoprofiel nog eens tegen het licht gehou-den om te kijken of er significante wijzigingen zijn opge-treden. Deze minder diepgaande analyse wordt vaakgekoppeld aan het opstellen en bespreken van de kwar-taalrapportage. Naast de reguliere cyclus zijn er ook anderemomenten die een natuurlijke aanleiding geven voor hetuitvoeren van een risicoanalyse. Bijvoorbeeld als een onder-neming overweegt een grote investering te doen kan hetzinvol zijn om de risico’s die die investering met zich mee-brengt expliciet in kaart te brengen. Uit het onderzoekblijkt echter dat bij slechts 19% van de respondenten groteinvesteringsbeslissingen in hun organisatie een reden vor-men voor het uitvoeren van een risicoanalyse.

Ook grote projecten vormen een natuurlijke aanleidingom risico’s gestructureerd in kaart te brengen en te analy-seren. Risicomanagement is een kernonderdeel van eengoed projectmanagement. Binnen Nederlandse organisa-ties is dit echter, blijkens de enquête, doorgaans niet hetgeval. Slechts 26% van de organisaties voert een explicieterisicoanalyse als er een groot project wordt opgestart.

Er zijn meerdere technieken toepasbaar voor het identifi-ceren en analyseren van risico’s. De technieken zijn insterke mate gelijk aan gangbare onderzoekstechnieken. Inhet onderzoek is aan respondenten gevraagd aan te gevenwelke technieken in hun organisatie worden gehanteerd(zie figuur 8). Checklists, al dan niet in de vorm van een

questionnaire, worden in 52% van de organisaties gebruikten zijn daarmee het populairste instrument. 47% van deorganisaties maakt bij het identificeren en/of analyserenvan risico’s gebruik van interviews. Ook documentstudiewordt veelvuldig toegepast (40%). Opvallend is dat 36%van de organisaties aangeeft gebruik te maken van inci-dentenregistratie, terwijl 34% aan scenarioanalyse doet.Dit is opvallend omdat deze technieken als de meer ver-fijnde methodes voor risico-identificatie worden gezien.

2.4 Vooral grotere organisaties maken gebruik vanelektronische hulpmiddelen

Er is een groot aantal elektronische hulpmiddelen (‘tools’)op de markt beschikbaar die ondersteuning kunnen bie-den bij de uitvoering van activiteiten op het gebied vanrisicomanagement. De voordelen van dergelijke softwarezijn dat ze besluitvormingsprocessen ondersteunen en grotehoeveelheden data kunnen opslaan en bewerken. Er is delaatste jaren een duidelijke trend zichtbaar naar een toe-nemend gebruik van risicomanagementsoftware. In begin-sel is dat een goede ontwikkeling, omdat het gebruik vansoftware een belangrijke rol kan vervullen in het borgen

13


Risicomanagementis een kernonderdeelvan een goed project-management

””

Figuur 7. Hoe vaak dient het management in uw organisatie een risico-inventarisatie en -analyse uit

te (laten) voeren en hierover te rapporteren?

Figuur 8.Welke technieken worden in uw organisatie gebruikt voor het identificeren en analyseren

van risico’s?

van risicomanagementprocessen. Het komt echter ooksteeds meer voor dat organisaties al in een zeer vroeg sta-dium, nog voordat een passende benadering met betrek-king tot het risicomanagement zich in de organisatie heeftontwikkeld en bewezen, overgaan tot de aanschaf enimplementatie van risicomanagementsoftware. In onzeoptiek is dat niet de juiste volgorde. Het gevaar van dezebenadering is dat de software dwingt tot een bepaaldewerkwijze, terwijl dit in de specifieke situatie voor de spe-cifieke organisatie wellicht niet de meest optimale aanpakis. Beter is het om eerst ervaring op te doen met risico-management, mogelijke werkwijzen uit te proberen, enpas na verloop van tijd, en door middel van een gedegensoftwareselectieproces, de meest geschikte software bij deontwikkelde methodiek te zoeken. De voordelen vanondersteunende software worden dan optimaal benut.

Uit het onderzoek blijkt dat 54% van de organisaties éénof meerdere elektronische hulpmiddelen gebruikt (ziefiguur 9). Het meest populair is software voor risico-kwantificering (31%). Veelal gaat het hier om zelfgebouwdespreadsheets waarin de omvang van een risico wordt bere-kend aan de hand van een aantal variabelen. Overigens

geldt voor de meeste risico’s dat ze moeilijk te kwantifice-ren zijn wegens een gebrek aan historische data. Het zijnvooral de typisch financiële risico’s, zoals het valutarisicoof het kredietrisico die in detail kunnen worden gekwan-tificeerd.

Risicomonitoringsystemen worden volgens het onderzoekeveneens veel gebruikt (26%). Deze systemen kunnenvariëren van vrij eenvoudige Excel-sheets of MS Access-databases (risicoregister) tot omvangrijke, zeer verfijnderiskmanagementworkflow- en riskintelligencesystemendie real time verbonden zijn aan andere informatiesyste-men binnen de organisatie, zoals het financiële systeem ofhet personeelsmanagementsysteem. De overige elektroni-sche hulpmiddelen worden beduidend minder toegepast.Bij een uitsplitsing naar omvang van de organisatie (geme-ten in omzet) valt op dat bij risicomanagement vooral inkleine organisaties weinig gebruik wordt gemaakt vanelektronische hulpmiddelen (33%). Van de grote organi-saties maakt echter 82% hiervan gebruik (zie figuur 10).

Naast de hiervoor reeds genoemde risicomonitoringsyste-men en software voor risicokwantificering wordt in groteorganisaties ook relatief veel gebruikgemaakt van stem-kastjessystemen (23%). Deze stemkastjes worden gebruikttijdens workshops waarin managementteams bij elkaarzitten om onder meer de omvang van de geïdentificeerderisico’s in te schatten. Veelal gebeurt dit door de work-shopdeelnemers een score te laten toekennen aan de kansdat een risico zich voordoet en de impact van dit risico.De vermenigvuldiging van de gemiddeld toegekende kans

14

MCA 2

Risicomanagement

Risicomonitoring-systemen worden

volgens hetonderzoek veel

gebruikt

””

Figuur 9. Worden er in uw organisatie elektronische hulpmiddelen (tools) gebruikt bij

risicomanagement en zo ja, welke?

Figuur 10. Worden er in uw organisatie elektronische hulpmiddelen (tools) gebruikt bij risicomanagement en zo ja, welke?

Risicomanagement

maal de gemiddeld toegekende impact bepaalt dan deomvang van het risico. Door het schatten van de omvangvan een risico door middel van een groepsproces te latenverlopen wordt de kwaliteit van de risico-inschatting ver-hoogd. Er wordt immers gebruikgemaakt van de cumula-tieve kennis van de aanwezigen. De subjectieve risico-inschatting wordt zo veel mogelijk geobjectiveerd. Hetgehanteerde stemkastjessysteem maakt de resultaten vande risico-inschatting direct zichtbaar, inclusief de stem-spreiding. Mogelijke verschillen van inzicht worden hier-mee direct blootgelegd, hetgeen gerichte discussie moge-lijk maakt. Vaak zijn het juist deze discussies die door hetaanwezige management als waardevol worden ervaren.

Bij het schatten van de kans en de impact van een risicoop de wijze zoals hiervoor beschreven, is het van belangdat er duidelijke afspraken zijn gemaakt over wanneer eenrisico als hoog, midden of laag kan worden bestempeld.Indien twee deelnemers aan een workshop beiden vanmening zijn dat de mogelijke impact van een risico circa10 miljoen euro is, kan het nog steeds zo zijn dat de eenhet risico als laag beoordeelt en de ander als hoog. Om ditte voorkomen is het zinvol om vooraf de schaal vast teleggen waarlangs gescoord wordt, en de betekenis van demogelijke scores op die schaal. In een dergelijke norme-rende schaal ligt de risicobereidheid van de organisatiebesloten.

2.5 Aanwezige beheerssystematieken worden doorgaansals effectief ervaren

Een beheersmaatregel kan vele vormen aannemen. Elkeactiviteit, geautomatiseerd of door mensen verricht, die dekans en/of de impact van een risico verkleint, kan wordenbestempeld als een beheersmaatregel. Vanuit dit oogpuntkent een organisatie een ontelbare hoeveelheid beheers-maatregelen. Er hebben zich in de loop der jaren een aan-tal meer of minder gangbare beheersingssystematiekenontwikkeld waarin meerdere individuele beheersmaat-regelen besloten liggen. In ons onderzoek hebben wij res-

pondenten gevraagd aan te geven welke van deze beheers-systemen in hun organisatie aanwezig zijn. Tevens is hengevraagd aan te geven in welke mate die beheerssystemeneffectief worden geacht.

Er blijken twee beheerssystemen te zijn die door het over-grote deel van de organisaties worden toegepast (99%)en bovendien als het meest effectief worden gezien (ziefiguur 11). Dit zijn de planning & controlsystematiek ende administratieve organisatie/interne controle. Opvallendis verder dat alle genoemde beheerssystemen als effectiefworden beschouwd. Het minst effectief, maar nog steedsmeer wel dan niet effectief, is de klokkenluidersregeling.Deze komt bovendien met 48% het minst voor in de onder-vraagde organisaties.

Uit figuur 11 blijkt dat de genoemde beheerssystemen insterke mate aanwezig zijn binnen de ondervraagde orga-nisaties. De percentages zijn zo hoog dat de vraag zichopdringt of de werkelijkheid er inderdaad zo uitziet alshier is voorgespiegeld. De ervaringen in onze adviesprak-tijk leren dat de werkelijkheid een stuk weerbarstiger is.Wij zien bijvoorbeeld nog niet zoveel organisaties die opgestructureerde wijze aan Business Continuity Planningdoen. Veel organisaties hebben wel een herstel- en uit-wijkplan voor de IT-systemen, maar daarmee is het bedrijfnatuurlijk nog niet direct op de rails in geval van een rampof crisissituatie. Ook het hoge percentage respondentendat hier aangeeft aan risicoanalyse te doen moet wellichtmet enige voorzichtigheid worden geïnterpreteerd. Wezagen immers dat circa eenderde van de organisaties nog

15


Het minst effectievebeheerssysteem is

de klokkenluiders-regeling

””

Figuur 11. Welke beheersmaatregelen of beheerssystemen zijn in uw organisatie aanwezig en hoe beoordeelt u de effectiviteit?

niet is begonnen met het uitvoeren van risico-inventarisa-ties en -analyses. Dit strookt niet met de 12% uit figuur 11.Ook de genoemde 66% van de organisaties die aan scena-rioplanning doet wekt enige verbazing.

Onze inschatting is dat genoemde beheerssystemen inveel mindere mate binnen organisaties aanwezig zijn dande antwoorden op deze enquêtevraag ons willen doengeloven. Dit kan verklaard worden door het feit dat zij inveel organisaties wellicht wel op de agenda staan. Verderblijkt uit de praktijk dat deze systemen niet per definitieadequaat zijn en effectief werken.

2.6 Risicorapportage veelal ingebouwd in planning & controlcyclus

Een belangrijk element van risicomanagement is het internrapporteren over risico’s. Voor het hogere managementvan een organisatie is het zeer zinvol om een goed inzichtte hebben in de aard en de omvang van de risico’s waarmeede diverse organisatieonderdelen (en daarmee ook de orga-nisatie als geheel) te maken kunnen krijgen. Alleen als datinzicht bestaat kunnen de financiële prestaties van eenorganisatieonderdeel ook op waarde worden geschat. Hetgeeft antwoord op de vraag hoeveel risico er is gemoeid methet realiseren van de gerapporteerde financiële resultaten.Tevens zal dit inzicht het hoger management een beterbeeld geven van kwesties die lager in de organisatie spelen,hetgeen haar algehele beleid alleen maar ten goede komt.

De meest eenvoudige weg om het rapporteren over risico’sin de organisatie in te voeren is het te koppelen aan deplanning & controlcyclus die in de meeste organisaties albestaat. Bijvoorbeeld het opstellen van een operationeelplan – in veel organisaties een jaarlijks terugkerend ver-

schijnsel – biedt een uitstekend aanknopingspunt voorhet betreffende management om haar risicoprofiel nogeens goed tegen het licht te houden. Dit risicoprofiel ende daarbij geformuleerde verbeteracties kunnen dan wor-den opgenomen in het operationele plan. Vervolgens rap-porteert het verantwoordelijke management gedurendehet lopende jaar over de realisatie van het opgestelde plan.Ook in deze rapportages kan – bijvoorbeeld per kwartaal –een extra paragraaf worden opgenomen waarin het hogeremanagement inzicht wordt geboden in de voortgang vande afgesproken acties en in eventuele significante wijzi-gingen in het risicoprofiel. Van belang hierbij is dat bij debespreking van de plannen en rapportages het onderwerprisicomanagement ook expliciet aan bod komt. Het sluit-stuk van de cyclus kan bestaan uit een ‘incontrolverkla-ring’ van het verantwoordelijke management richting hethogere management.

In het onderzoek is respondenten gevraagd of in hunorganisatie het proces van risicomanagement is geïnte-greerd in de planning & controlcyclus (zie figuur 12). In77% van de organisaties blijkt dit geheel (25%) of gedeel-telijk (52%) het geval te zijn. Het beeld dat in 23% van deorganisaties er dus geen sprake is van integratie in deplanning & controlcyclus geldt voor alle branches die zijnuitgesplitst. Opvallend aan de uitsplitsing naar branche isdat vooral in de energie- en utilitiessector (44%) vaaksprake is van volledige integratie van het risicomanage-ment in de planning & controlcyclus. Het zijn vooral detechnologie-, de communicatie- en de entertainment-bedrijven die hierin achterblijven (13%).

Een uitsplitsing naar grootte van de organisaties (gemetennaar omzet) laat een te verwachten beeld zien (zie figuur13). In grotere organisaties is risicomanagement meer

16

MCA 2

Risicomanagement

Figuur 13. Is het risicomanagement proces geïntegreerd in de reguliere planning & control cyclus?

Figuur 12. Is het risicomanagement proces geïntegreerd in de reguliere planning & control cyclus?

Risicomanagement

geïntegreerd in de planning & control dan in kleinereorganisaties. In 89% van de grote organisaties (> 1 miljardomzet) is risicomanagement deels of geheel in de plan-ning & control geïntegreerd. Toch is het percentage grotebedrijven waar sprake is van volledige integratie (38%)niet hoog te noemen, gezien het aantal jaren dat dezeorganisaties al actief zijn op het gebied van risicomanage-ment.

2.7 Incontrolverklaringen vooral in gebruik bij beurs-genoteerde ondernemingen

In zowel de publieke als de private sector wordt steedsmeer van organisaties verwacht dat zij extern communi-ceren over de kwaliteit van het risicomanagement dat zijuitvoeren. De opvatting is dat belanghebbenden in deorganisatie (bijv. aandeelhouders) dan beter in staat zijnte beoordelen of de organisatie op de juiste wijze met hunbelangen omgaat en niet te veel risico neemt of risico’sonvoldoende beheerst. Deze externe communicatie overde risico’s en het risicomanagement van de organisatievindt vooral plaats in de vorm van een corporategover-nanceparagraaf en/of een risicomanagementparagraaf inhet jaarverslag. Veelal is hier een verklaring in opgenomenover de kwaliteit van het risicomanagement in de organi-satie. Beursgenoteerde bedrijven zijn hiertoe verplichtonder de code Tabaksblat en in andere landen moetenorganisaties zich wat dit betreft houden aan de corpora-tegovernancecodes.

Om een externe verklaring over de kwaliteit van het risico-management te kunnen afgeven kiezen veel organisatieservoor om van het management op lagere niveaus ook eendergelijke verklaring te verlangen. Op deze wijze wordtvan onderuit de organisatie een basis gecreëerd waaropextern over het onderwerp risicomanagement kan wordengerapporteerd.

In het onderzoek hebben wij gevraagd naar de aanwezig-heid van dergelijke ‘incontrolverklaringen’. Daarbij isgevraagd naar het aantal managementlagen dat een derge-lijke verklaring dient af te geven (zie figuur 14). Voorbeursgenoteerde ondernemingen geldt dat bij 71% van debedrijven de Raad van Bestuur een dergelijke verklaringafgeeft. 11% daarvan laat het daarbij, terwijl de overige60% ook van de tweede managementlaag (bijv. divisie-management) een incontrolverklaring verlangt. 52% daar-van verlangt dat ook van de derde managementlaag en22% ook nog eens van de vierde managementlaag. Bij10% van de beursgenoteerde bedrijven wordt een incon-trolverklaring afgegeven door meer dan de bovenste viermanagementlagen.

Het gebruik van interne incontrolverklaringen komt door-gaans voort uit de behoefte die in de top van de organisa-tie leeft om een basis te leggen voor de externe verklaringdie zij naar de buitenwereld dienen af te geven. Een tweedereden kan zijn dat door het laten tekenen van incontrol-verklaringen de persoonlijke verantwoordelijkheid metbetrekking tot risicobeheersing van managers op alle

17


Figuur 15. Wordt er binnen uw organisatie gewerkt met een verklaring van het verantwoordelijke manegement dat hun organisatieonderdeel ‘in-control’

is en zo ja voor welke organisatielagen?

Figuur 14. Wordt er binnen uw organisatie gewerkt met een verklaring van het verantwoordelijke manegement dat hun organisatieonderdeel ‘in-control’ is

en zo ja voor welke organisatielagen?

niveaus in de organisatie expliciet wordt benadrukt. Hetonderwerp komt hiermee ook meer op de agenda te staanbij het operationeel management, wat een goede ontwik-keling is. Het aantal managementlagen dat een incontrol-verklaring zou moeten tekenen hangt uiteraard af van despecifieke organisatie. Naar onze mening kan dit echterrelatief diep in de organisatie worden ingevoerd. Het zouwat ons betreft goed zijn als ook de procesverantwoorde-lijke manager op deze wijze verantwoording aflegt over dekwaliteit van de beheersing van de processen waar hij ofzij direct voor verantwoordelijk is. Bedrijfsbrede beheer-sing begint immers bij de operationele processen.

Andere veelgebruikte termen voor een incontrolverklaringzijn ‘Statement on Business Controls’ en ‘Letter of Repre-sentation’, waarbij deze laatste veelal een verbredingbetreft van de traditionele Letter of Representation diedoor het management wordt afgegeven bij de jaarof kwar-taalcijfers.

De externe communicatie over risico’s en risicomanage-ment vindt doorgaans plaats via een daarvoor bestemdeparagraaf in het jaarverslag. In het onderzoek is gevraagdnaar wat organisaties in hun jaarverslag rapporteren overdit onderwerp. Figuur 15 laat de resultaten zien. 40% vande organisaties rapporteert in het geheel niet over risico-management in het jaarverslag. 48% rapporteert de belang-rijkste risico’s waar de organisatie mee te maken heeft.Aan een rapportage over de werking van het risicomana-

gementsysteem waagt slechts 18% van de organisatieszich. Nog minder organisaties rapporteren over aange-brachte significante wijzigingen (8%) en geplande wijzi-gingen (5%) aan het systeem.

Een uitsplitsing naar ‘wel of geen beursgenoteerd bedrijfof een publieke organisatie’ laat een iets ander beeld zien(zie figuur 16). Echter, nog steeds 21% van de beurs-genoteerde ondernemingen geeft aan niet te rapporterenover risicomanagement in haar jaarverslag. De reden hier-voor kan zijn dat ten tijde van het invullen van dezeenquête het jaarverslag over 2004 nog niet was uitge-bracht. Juist in dit jaarverslag zullen veel ondernemingenals gevolg van de code Tabaksblat voor het eerst over risico-management hebben gerapporteerd. Verder valt op datpublieke organisaties in hun jaarverslag beduidend vaker(50%) rapporteren over de risico’s dan niet-beursgeno-teerde ondernemingen (31%).

De code Tabaksblat vraagt tevens om een rapportage overhet risicomanagementsysteem (‘interne risicobeheersings-en controlesysteem’) en over de aangebrachte en geplandewijzigingen daarin. Figuur 17 laat zien dat slechts eenminderheid van de ondernemingen die in Amsterdam aande beurs zijn genoteerd dit doet. Waarschijnlijk eveneensomdat ten tijde van het invullen van deze enquête het eer-ste jaarverslag van de ondernemingen sinds de komst vande code Tabaksblat nog moest verschijnen.

18

MCA 2

Risicomanagement

Figuur 18. Rapporteert uw organisatie in het jaarverslag over risicomanagement en zo ja wat wordt gerapporteerd?

(alleen in Amsterdam aan de beurs genoteerde ondernemingen).



Risicomanagement

2.8 Taken en verantwoordelijkheden op verschillendewijzen vastgelegd

Voor een goed verloop van een proces is het van belangdat de mensen die hierin een rol spelen op de hoogte zijnvan de activiteiten die zij dienen te verrichten en zich ervanbewust zijn hoe deze passen binnen het grotere geheel.Dit geldt uiteraard ook voor het proces van risicomanage-ment. Binnen dit proces hebben de verschillende functio-narissen binnen de organisatie verschillende taken en ver-antwoordelijkheden.

Taken en verantwoordelijkheden worden binnen organisa-ties veelal vastgelegd. In het onderzoek is gevraagd of ooktaken en verantwoordelijkheden ten aanzien van risicoma-nagement worden vastgelegd en op welke wijze. Figuur 18laat zien dat grote organisaties taken en verantwoordelijk-heden met betrekking tot risicomanagement doorgaansvastleggen (86%). Meestal zijn deze ingebed in het risico-managementbeleid en/of de procedures (67%), of opgeno-men in functiebeschrijvingen (55%). Uit de percentages isaf te leiden dat de taken en verantwoordelijkheden in eendeel van de organisaties op meerdere manieren is vastge-legd. Van de middelgrote organisaties heeft 62% op eniger-lei wijze de risicomanagementtaken en verantwoordelijk-heden vastgelegd. Bij de kleinere organisaties is dat 43%.

Zoals al eerder gesteld is risicomanagement een continuproces. Om de continue werking van het proces te waar-borgen is het van belang dat de betrokken functionarissenhun taken op structurele wijze blijven uitvoeren. Om datte bereiken is het van belang dat zij daar ook op wordenbeoordeeld. Om deze beoordeling mogelijk te maken die-nen de taken en verantwoordelijkheden te worden vast-gelegd. Doorgaans zal bij de invoering van risicomanage-ment vastlegging van taken en verantwoordelijkhedenniet de eerste stap zijn. Onze ervaring is echter dat, indienna verloop van tijd het risicomanagementproject over dientte gaan in een risicomanagementproces, het van belang isdat taken en verantwoordelijkheden worden vastgelegd enexpliciet worden meegenomen bij de beoordeling van debetrokken functionarissen.

2.9 Risicomanagementfunctie vaak belegd bij finance &control

In organisaties waar bewust en expliciet risicomanage-ment wordt bedreven zullen de activiteiten die daarmee

samenhangen door een bepaalde afdeling of functionarismoeten worden gecoördineerd. Die risicomanagement-functie kan op verschillende plekken in een organisatieworden belegd. Ook kan ervoor worden gekozen om eenafzonderlijke risicomanagementafdeling in te richten.

Van de grote organisaties geeft 97% aan op enigerlei wijzeergens in de organisatie een risicomanagementfunctie tehebben belegd (zie figuur 19). Bij middelgrote organisa-ties is dit 76% en bij kleine organisaties 59%. Bij kleine enmiddelgrote organisaties is de risicomanagementfunctievooral belegd bij de afdeling finance & control (44% resp.42%). Bij grote ondernemingen is dit ook vaak het geval(40%), maar er is ook een flink aantal grote ondernemin-gen die een zelfstandige risicomanagementafdeling heb-ben ingericht (26%). Ook de internalauditafdeling blijktin een aantal gevallen de risicomanagement functie opzich te nemen. Bij 16% van de grote ondernemingen is dithet geval.

Risicomanagement is een integrale verantwoordelijkheidvan elke manager. In de ideale situatie zou een risicoma-nagement ondersteunende functie nodig zijn. Deze ide-aalsituatie zal echter niet snel worden bereikt, en daaromis het goed dat deze functie ergens in de organisatie expli-ciet wordt belegd. De meest geschikte plek is afhankelijkvan de specifieke organisatie, en de omvang van het taken-pakket hangt nauw samen met haar grootte. De enquête-resultaten laten ook zien dat grote organisaties er soms

voor kiezen een afdeling in te richten die zich alleen maarmet risicomanagement bezighoudt. In kleinere organisa-ties zal dit veelal niet kostenefficiënt zijn en wordt dezefunctie gecombineerd met andere functies. In figuur 20worden enkele veelvoorkomende situaties genoemd, metelk hun voor- en nadelen. Vooral aan het beleggen van de

19


Figuur 19. Zijn de taken en verantwoordelijkheden van functionarissen ten aanzien van risicomanagement vastgelegd en zo ja, hoe?

Het is goed als derisicomanagement-

functie ergens in deorganisatie expliciet

wordt belegd

””

risicomanagementfunctie bij de internalauditafdeling kle-ven belangrijke nadelen. Het is immers juist deze afdelingdie de kwaliteit van het risicomanagement in de organisa-tie voortdurend tot object van onderzoek heeft. Indien deinternalauditafdeling echter ook zelf verantwoordelijkheiddraagt voor de kwaliteit van het risicomanagement, kaneen belangenconflict ontstaan. In bepaalde gevallen kanechter uit praktische overwegingen toch voor deze opzetworden gekozen. Daarbij is het dan zaak om het belan-genconflict zo veel mogelijk voor te zijn door duidelijkaan te geven waar de verantwoordelijkheid van de inter-nal audit ophoudt en die van het management begint.

2.10 De controller speelt een belangrijke rol in de uitvoering van risicomanagement

Het onderzoek is uitgevoerd onder leden van het Control-lers Instituut. Het merendeel van de respondenten geeftdan ook aan werkzaam te zijn in de functie van (con-cern)controller. Figuur 20 laat zien welke rol deze (con-cern)controllers spelen in het risicomanagement van hunorganisaties. Hieruit blijkt onder meer dat (concern)con-trollers vaak uitvoerend bezig zijn met risicomanagement.Dit strookt niet met de heersende opvatting dat risico-management een verantwoordelijkheid van het lijnmana-gement is. Het zou betekenen dat de (concern-) controllervooral een ondersteunende rol moet vervullen. De praktijklaat echter zien dat het lijnmanagement doorgaans niet zelfhet initiatief neemt als het om risicomanagement gaat.

Het zal in de natuurlijke aard van veel controllers liggenom zelf risico’s te benoemen, te analyseren, te kwantifice-

ren en te rapporteren. Des te meer zal het een uitdagingvoor hen zijn om de komende jaren de uitvoering vanactiviteiten op het gebied van risicomanagement meer enmeer naar de manager over te dragen. Toch moet het naaronze mening die kant wel op. Om daadwerkelijk de voor-delen van risicomanagement te kunnen benutten, zal hetmoeten worden gehanteerd als een ‘tool of management’en dus ook door het management als zodanig moetenworden uitgevoerd als onderdeel van haar dagelijksemanagementactiviteiten.

2.11 In veel organisaties worden managers getraind inrisicomanagement

Om risicomanagement effectief te kunnen uitvoeren zul-len de managers die daar verantwoordelijk voor zijn overde benodigde kennis en competenties moeten beschikken.Afhankelijk van de diepgang en verfijning van het risico-management in de organisatie zal training nodig zijn voorhet management die hierop aansluit. Figuur 21 laat ziendat slechts in een beperkt deel van de organisaties risico-managementtraining wordt gegeven. Bij grote organisatiesis dat nog 71%, maar bij middelgrote (52%) en kleineorganisaties (34%) is dat al een stuk minder.

De meest voorkomende vorm van risicomanagementtrai-ning is een eenmalige training bij de introductie van risico-management in de organisatie. Vooral binnen grote orga-nisaties is dit het geval (42%). Bij een deel van de onder-vraagde organisaties maakt risicomanagement onderdeeluit van het introductieprogramma of van het manage-mentdevelopmentprogramma. Een uitsplitsing naar bran-

20

MCA 2

Risicomanagement

Figuur 21. Welke rol vervult u als (concern)controller in het risicomanagement van de organisatie?

Figuur 20. Hoe is de risicomanagement (ondersteunende) functie binnen uw organisatie belegd?

Risicomanagement

che (zie figuur 22) laat zien dat training op het gebied vanrisicomanagement meer voorkomt in de financiële dienst-verlening en in de energie- en utilitiesbranche dan inandere sectoren. Andere branches, zoals de overheid, denon-profitsector, de technologie-, informatie- en commu-nicatiebranche en de entertainmentwereld blijven op ditpunt enigszins achter.

3. Ten slotte

De belangrijkste conclusie uit het onderzoek is dat aan-dacht voor risicomanagement niet kan worden gezien alseen tijdelijke hype. Het is een fundamenteel aspect gewor-den waar alle organisaties zich mee bezig moeten houdenen waarvan het belang in de toekomst alleen maar zal toe-nemen.

COSO is verreweg de meest gebruikte openbare standaardom het risicomanagement in kaart te brengen. De aanwe-zige beheerssystemen binnen organisaties worden door-gaans als effectief ervaren. Het meest effectief zijn de plan-ning & controlsystematiek en de administratieve organi-satie/interne controle.Binnen beursgenoteerde ondernemingen wordt veel gewerktmet interne incontrolverklaringen. Bij het merendeel vande beursgenoteerde bedrijven geeft de Raad van Bestuureen dergelijke verklaring af. Het blijkt dat ook van demanagers van de echelons die direct onder de Raad vanBestuur staan zo’n verklaring in toenemende mate wordtverwacht. De verwachting is dat het afgeven van deinterne incontrolverklaring op zeker moment gewoon zal

zijn. Echter, bij niet-beursgenoteerde ondernemingen, deoverheid en de non-profitsector is het werken met interneincontrolverklaringen veel minder gemeengoed. Het blijktdat de risicomanagementfunctie in de meeste organisatiesslechts expliciet is belegd. In de meeste gevallen is dezefunctie bij de afdeling finance & control ondergebracht.Uit het onderzoek blijkt dat slechts 39% van de organisa-ties beschikt over een formeel risicomanagementbeleid.Bij de beursgenoteerde ondernemingen is dat hoger, name-lijk 56%. Dit percentage is relatief gezien laag. Er is dusnog ruimte voor verbetering. De verwachting is dan ookdat het percentage de komende tijd zal stijgen.Een ander opvallend punt uit het onderzoek is de tevre-denheid die bestaat over de effectiviteit van in de organi-saties aanwezige beheerssystemen. Er bestaat een redelijkemate van vertrouwen dat de aanwezige beheerssystemende organisatie voor grote schade zullen behoeden. Degrote bedragen die organisaties uitgeven aan risicomana-gement – vooral bij beursgenoteerde ondernemingen looptdit al gauw in de miljoenen – lijken aldus in de ogen vande respondenten die hebben deelgenomen aan het onder-zoek hun doel te bereiken. Dit moet een geruststellendegedachte zijn voor de controllers en financieel managersonder u die de budgetten die voor risicomanagement wor-den uitgetrokken de afgelopen jaren alleen maar hebbenzien groeien.

Het volledige rapport van het onderzoek, waarop ditartikel is gebaseerd, is te downloaden van: www.pwc.com/nl/publicaties

21


Figuur 23. Worden managers in uw organisatie getraind in risicomanagement en zo ja hoe?

Figuur 22. Worden managers in uw organisatie getraind in risicomanagement en zo ja hoe?

MCA

MCA 2 Risicomanagement ... - Executive Finance€¦ · dit artikel uitgevoerd in samenwerking met...

Documents

Transcript of MCA 2 Risicomanagement ... - Executive Finance€¦ · dit artikel uitgevoerd in samenwerking met...