Meer aandacht voor risico’s: een kans voor bestuurders

Start adding items to your reading lists:
or
Save this item to:
This item has been saved to your reading list.

Risicomanagement hoort in de bestuurskamer. Dat bepleitte ik al kort in mijn vorige blog over de nieuwe uitgave van de COSO-standaard Enterprise Risk Management (COSO ERM 2017). Bestuurders en commissarissen doen hun onderneming te kort door geen structurele aandacht te hebben voor risico. Maar hoe komt het eigenlijk dat in de praktijk risico’s zo weinig expliciet worden behandeld op bestuursniveau?

Door Marcel Prinsenberg, binnen PwC verantwoordelijk voor risk consulting aan niet-financiële organisaties.

Het bespreken van risico’s in de bestuurskamer wordt slechts zelden gedaan en daar zijn volgens mij twee redenen voor. Allereerst is risicomanagement vaak niet expliciet belegd in de portefeuille van één van de bestuurders. Je zou kunnen zeggen: dat is goed nieuws, want iedereen is verantwoordelijk om risico’s te managen, dus ook bestuursleden. Maar kent iedereen wel de uitdrukking: gedeelde verantwoordelijkheid is geen verantwoordelijkheid. Door die taak te verdelen valt verantwoordelijkheid vaak tussen de wal en het schip.

Meer aandacht voor risico’s: een kans voor bestuurders

Risicomanagement beleggen binnen bestuur

Als risicomanagement wél belegd is binnen het bestuur, is dat meestal bij de CFO. Met een CEO en COO die primair een commerciële en businessfocus hebben en een CFO die zich vooral als businesspartner wil opstellen en bovendien een financiële focus heeft, wordt het gesprek over bedrijfsbrede risico’s en het managen ervan in de praktijk vaak afgedaan als een ‘stafding’. De risicomanager (überhaupt een vreemde benaming voor deze staffunctionaris, want hij of zij managet geen risico’s, hij of zij coördineert hoogstens het proces) is als ‘staf’ van nature geen partij om aan de bestuurstafel te vragen. Maar om risico’s op een strategisch niveau te bespreken, zijn er wel mensen nodig die dit gesprek op dit niveau kunnen aangaan. Ergens zal er dus een stap moeten worden gezet.

Nog een wereld te winnen binnen bestuurskamer

Zelfs als er wel een chief risk officer (CRO) is benoemd, betekent dat nog niet dat hij of zij een plek in de bestuurskamer heeft. Uit het Tweede Nationaal Onderzoek Risicomanagement in Nederland van 2014 bleek dat destijds slechts twintig procent van de bedrijven een CRO had, van wie slechts de helft onderdeel uitmaakte van de raad van bestuur. Aangezien er geen aanwijzingen zijn voor een significante verbetering op dat vlak, valt er binnen de bestuurskamer nog een wereld te winnen.

Verantwoordelijkheid voor risicomanagement

Nu zegt COSO ERM 2017 niet specifiek waar de verantwoordelijkheid voor risicomanagement moet worden belegd, anders dan bij ‘management’, met andere woorden de uitvoerende directie. Wel geeft COSO ERM 2017 in principe 1 aan dat de (non-executive) board verantwoordelijk is voor risk oversight. Hier ligt dan ook een kans voor het beter en expliciet beleggen van risicomanagement op bestuursniveau.

Een CRO of een ‘dwarse denker’

De beste manier is natuurlijk dat het in het ‘DNA’ zit van alle bestuursleden. Een andere vorm is het benoemen van een expliciete risicofunctionaris op bestuursniveau, de CRO. Een tussenvorm kan bestaan in het benoemen van iemand in het bestuur die zich opstelt als ‘dwarse denker’ en de plannen/ideeën vanuit een andere, kritische invalshoek mag benaderen. Daarmee gaat hij of zij het groepsdenken tegen.

Actieve rol raad van commissarissen

Tot slot kun je ook denken aan een adviserend en voorbereidend orgaan, een zogeheten risk committee, die bijvoorbeeld als onderdeel van het executive team het bestuur ondersteunt in het vormgeven van deze taak. Dit laat overigens onverlet dat ook vanuit de raad van commissarissen een actieve rol verwacht mag worden door te vragen naar de belangrijkste risico’s, de manier waarop deze beheerst worden en het bestuur hierop ook onafhankelijk uit te dagen. 

Remmende werking op ‘businessdenken’  

Maar er is nog een reden waardoor ik merk dat risicomanagement vaak onderbelicht blijft in de bestuurskamer. En dat is omdat men het denken in risico’s vaak een negatieve benadering vindt. Het zou een remmende werking hebben op het ‘businessdenken’. Meer dan eens word ik gevraagd om een strategisch risico-assessment te begeleiden. Maar zodra ik dan inzicht vraag in de strategie, blijft het verdacht stil. De strategie is toch vooral een domein waar de risicomanager uit de buurt moet blijven, lijkt de heersende gedachte. 

Risico’s meewegen in strategische keuzes

Het tegenovergestelde is waar. Strategie dient voor het bepalen en bereiken van succes. Daartoe moeten risico’s, de onzekerheden in de markt, worden benut en meegewogen in de strategische keuzes. Voor wie goed met die onzekerheden omgaat, ligt waardecreatie en winst in het verschiet (dus niet als een verrassende uitkomst). 

Risico’s geen keerzijde van succes

Risico’s zijn geen keerzijde van succes, ze zijn een voorwaarde. Een risico-assessment nadat de strategische visie en keuzes al zijn bepaald, is dan ook van beduidend minder waarde dan wanneer dit als integraal onderdeel van het strategieproces wordt meegenomen.

Integrale benadering van kansen en risico’s

COSO ERM 2017 benadrukt daarom het belang van een integrale benadering van kansen (in het strategieproces) en de risico’s die daarbij komen kijken. Juist die integrale benadering vormt een natuurlijk moment voor het bestuur om stil te staan bij de belangrijkste risico’s voor de onderneming. Door weer even een stap terug te zetten om geïdentificeerde kansen met gezond verstand en realiteitszin te benaderen, komt het tot evenwichtige strategische keuzes.

Contact

Marcel Prinsenberg
Senior director
Tel: +31 (0)88 792 76 65
E-mailadres

Volg ons