Analyse van de mogelijkheden

Uit de verschillende interviews is een visie van enerzijds accountants en adviseurs en anderzijds bestuurders en controllers van niet-beursgenoteerde organisaties ontstaan. In deze paragraaf ga ik de overeenkomsten en verschillen tussen de visies analyseren en waar mogelijk verklaren.

Het COSO ERM Framework zien alle gesprekspartners als een goed en logisch opgebouwd model. Als kapstok kan het niet-beursgenoteerde organisaties helpen risicomanagement in te voeren. Hierbij is het van groot belang dat de organisatie het model pragmatisch gebruikt. De organisatie moet risicomanagement dan ook organisatiespecifiek inrichten om het effectief te laten zijn. De visie van de organisatie is belangrijker, omdat een model toepassen waar de leiding niet achterstaat niet van toegevoegde waarde is. Alle partijen benoemen de essentie van de bewustwording van de toegevoegde waarde van risicomanagement. Er moet zich in een organisatie een risicobewustzijn ontwikkelen. Dit moet in niet-beursgenoteerde organisaties mogelijk zijn, omdat er meestal voldoende kennis over risicomanagement en de eigen risico’s aanwezig is. De gesprekspartners zijn het eens dat risicomanagement door de hele organisatie heen verweven moet zijn. Hoewel de bestuurders en controllers de waarde van het COSO ERM Framework wel erkennen, stellen zij tegelijkertijd dat het model voor een groep niet-beursgenoteerde organisaties ook veel te diep gaat. Ook valt het op dat accountants en adviseurs meer vanuit risico’s kijken en de organisaties meer vanuit kansen. Dit is in overeenstemming met de verwachting, maar het is goed dit ook daadwerkelijk te constateren.

Uit de interviews met de accountants en adviseurs kwamen een aantal kernelementen naar voren die in hun ogen essentieel zijn voor een effectieve toepassing van risicomanagement bij niet-beursgenoteerde organisaties. Dit zijn structuur in risicomanagement, prioriteren van risico’s, een continu proces, beleving, multidisciplinair kijken naar risico's, voorbeeldgedrag van de leiding, monitoring, gezond verstand en vanuit de accountant een goede rapportage in het jaarverslag. Behoudens een goede rapportage in het jaarverslag zijn de bestuurders en controllers het met alle genoemde kernelementen eens. Wel nuanceerden de bestuurders en controllers enkele zaken. Structuur in risicomanagement aanbrengen, is steeds belangrijker naar mate je groeit. Hoe groter de organisatie is, hoe lastiger het is om alle risico’s te bewaken. Een multidisciplinaire kijk naar risico’s komt in de praktijk nog beperkt voor. Vanuit het commerciële perspectief kijkt een organisatie bijvoorbeeld minder naar risicomanagement dan vanuit het financiële perspectief. Voorbeelden die bestuurders en controllers noemden zijn de invloed van veranderingen en risico’s op marges, kortingen en crediteren.

Theoretisch zijn de accountants en adviseurs het op het gebied van de verantwoordelijkheden het eens met de bestuurders en controllers. De hoogste leiding van een organisatie is verantwoordelijk voor de inrichting en effectiviteit van risicomanagement. In de praktijk loopt het echter anders. Vaak delegeert de top van de organisatie risicomanagement naar de financiële afdeling. Een financieel directeur of controller krijgt de opdracht zorg te dragen voor risicomanagement. In de praktijk delegeren deze functionarissen bepaalde verantwoordelijkheden regelmatig nog verder de organisatie in zodat een hoofd administratie belast raakt

met risicomanagement. Het verschil tussen theorie en praktijk geldt ook voor de multidisciplinaire kijk naar risico’s. Alle partijen erkennen het belang hiervan, maar de bestuurders en controllers geven aan dat risicomanagement in de praktijk nog vaak bij de financiële afdeling(en) ligt. De betrokkenheid van andere afdelingen is beperkt of is alleen bij de invoering geraadpleegd. Ook op het gebied van monitoren zijn accountants, adviseurs en bestuurders en controllers het met elkaar eens. Actief en goed monitoren is erg belangrijk om risicomanagement effectief te laten zijn. In de praktijk is er echter weinig aandacht voor monitoren. Het heeft enerzijds te weinig prioriteit en anderzijds is de bewaking van de effectiviteit van risicomanagement te ver in de organisatie gedelegeerd. Daardoor is risicomanagement in de praktijk niet altijd een continu proces hoewel alle gesprekspartners hier het belang van wel erkennen.

De accountants en adviseurs zien in hoofdlijnen dezelfde voordelen voor niet-beursgenoteerde organisaties wanneer zij risicomanagement goed toepassen als de bestuurders en controllers zelf. Ook wat betreft de nadelen voor een organisatie die risicomanagement niet effectief toepast, zijn de gesprekspartners het met elkaar eens. Wel legt vooral de accountant meer de focus op beheersing van risico’s, terwijl de niet-beursgenoteerde organisaties meer focus op kansen leggen. Dit is een verschil in denken en benadering.

Waar vooral accountants en in iets mindere mate ook de adviseurs ook veel waarde hechten aan een goede rapportage en beheersing van de compliance, vinden de niet-beursgenoteerde organisaties dit weinig prioriteit genieten. De rapportage beperken de niet-beursgenoteerde organisaties zelfs het liefst zoveel als de wet- en regelgeving toestaat. De prioriteit van de niet-beursgenoteerde organisaties ligt bij het beheersen van de strategische en operationele risico’s. Hierbij maken de niet-beursgenoteerde organisaties de afweging of de kosten van beheersing opwegen tegen de opbrengsten die het kan gaan opleveren.

Bestuurders en controllers verwachten van accountants dat zij breder kijken dan alleen de jaarrekeninggerelateerde onderwerpen. Zij zien de accountant als een deskundige die bij veel verschillende organisaties komt en daardoor organisaties kan helpen te reageren op ontwikkelingen in de omgeving. Sommige bestuurders en controllers zien de jaarlijkse managementletter van de accountant ook als goede input om te gaan gebruiken voor de verbetering van risicomanagement. Wat betreft de toegevoegde waarde van externe adviseurs bij het invoeren van risicomanagement verschillen de meningen ook. Alle partijen erkennen de deskundigheid van externe adviseurs, maar de accountants en adviseurs zien zelf meer mogelijkheden dan de bestuurders en controllers. Naast de hoge kosten dat het inhuren van externe adviseurs met zich meebrengt, speelt er nog een ander belangrijk issue bij de organisaties. De organisaties willen de kennis van risicomanagement intern ontwikkelen en behouden. Een externe adviseur verdwijnt na het project uit de organisatie en zijn kennis is alleen weer toegankelijk als de organisatie hem weer opnieuw inhuurt. Hierbij speelt ook mee dat de organisaties graag zelf risicomanagement willen toepassen, omdat zij het zo passend in de organisatie kunnen laten inbedden. De niet-beursgenoteerde organisaties vinden de voordelen van het inhuren van een externe adviseur pas opwegen tegen de nadelen als zij zelf niet de kennis in huis hebben om risicomanagement zelfstandig te gaan invoeren.

De beoordeling en bewaking van de effectiviteit is ook een kwaliteit van een externe adviseur. Bestuurders en controllers geven echter aan dat de accountant dit ook moet kunnen beoordelen.

De accountants en adviseurs zien wel beperkingen voor het toepassen van risicomanagement bij niet-beursgenoteerde organisaties, maar leggen tegelijkertijd uit waarom ze geen beperkingen zouden mogen zijn. Bestuurders en controllers zien echter wel beperkingen die zij niet weerleggen. Enerzijds kunnen er bij sommige niet-beursgenoteerde organisaties financiële beperkingen relevant zijn. Anderzijds geven de bestuurders en controllers aan dat minder interne en externe druk om risicomanagement daadwerkelijk te gaan toepassen ook beperkend werkt.

Er is een verschil tussen het toepassen van risicomanagement en het ontwikkelen van een risico management systeem. Een organisatie die relevante risico’s identificeert, afweegt en beheerst is goed met risicomanagement bezig, maar heeft geen systeem voor risicomanagement. Veel niet-beursgenoteerde organisaties kiezen ervoor geen afzonderlijk risicomanagement systeem te gaan gebruiken. Zij combineren de toepassing met hun administratieve organisatie en interne controle. Op deze manier geven zij pragmatische invulling aan risicomanagement en maken voeren zij het organisatiespecifiek in. Daarnaast vinden zij zichzelf vaak te klein om een afzonderlijk risicomanagement systeem te ontwikkelen en in te voeren. Ook heerst er bij een deel van de niet-beursgenoteerde organisaties een ‘open deur cultuur’ waardoor de bestuurders en controllers deels kunnen steunen op sociale controle. Hierin zie je de werking van soft controls in de praktijk terugkomen. Sommige niet winstgeoriënteerde organisaties opereren in een omgeving waar de risico’s die zij lopen beperkt zijn. Dit kan ook een reden zijn waarom een organisatie ervoor kiest alleen de risico’s te identificeren en af te wegen.

De visie van accountants, adviseurs en bestuurders en controllers met betrekking tot welke mogelijkheden risicomanagement voor niet-beursgenoteerde organisaties verschilt op veel punten dus niet. Toch blijkt dat de toepassing in de praktijk niet overeenkomt met de visie. De bestuurders en controllers noemen zelf een aantal redenen waarom niet-beursgenoteerde organisaties de mogelijkheden niet altijd benutten. Ten eerste hebben sommige organisaties een verkeerde visie vanuit het perspectief van risicomanagement. Een organisatie die zich focust op kansen en de beheersing van risico’s niet wil structureren, kiest er bewust voor om te blijven werken vanuit de eigen visie. Als tweede hechten belanghebbenden weinig belang aan risicomanagement wat de drive om risicomanagement te gaan toepassen niet stimuleert. Het derde punt dat de bestuurders en controllers aandragen, is onwetendheid. Een organisatie die zich nog niet bewust is van de voordelen of de gevaren zal veelal weinig met risicomanagement doen. Dit sluit aan bij de constatering dat het aantreden van een nieuwe bestuurder of commissaris van grote invloed kan zijn op het beleid over risicomanagement. Als de nieuwe bestuurder of commissaris wel over het bewustzijn beschikt, zal hij hier actie in gaan ondernemen. De vierde reden ligt aan het systeem van organisaties. Het bewaken van de effectiviteit van risicomanagement kan alleen goed plaatsvinden als het systeem van de organisatie de juiste rapportages tijdig kan leveren. Hierbij kan ook meespelen dat gegroeide organisaties nog met verschillende systemen werken die niet consistent met elkaar zijn. Als vijfde is het voor veel organisaties verleidelijk om bij

beslissingen aan de korte termijn te denken, terwijl risicomanagement vaak voornamelijk op lange termijn voordelen oplevert. Hoewel alle organisaties zullen zeggen goed na te denken over hun toekomst, geven de bestuurders en controllers aan dat dit in de praktijk toch tegenvalt. De laatste reden ligt in de structuur van de organisatie. Organisaties met meerdere vestigingen, waar eventueel per vestiging nog een eigen directie functioneert, kunnen door groei moeite krijgen met het toepassen van risicomanagement. De organisatie is dan niet klaar voor de invoering van risicomanagement of het botst met cultuur.

Qua toekomstvisie zijn de accountants, adviseurs en bestuurders en controllers het ook met elkaar eens. De aandacht voor risicomanagement zal de komende tijd toenemen, terwijl er een tendens was van afnemende interesse. De oorzaak hiervan is de kredietcrisis die veel organisaties extra bewust heeft gemaakt van de risico’s die zij lopen. Door de kredietcrisis erkennen steeds meer organisaties het belang van adequaat risicomanagement en goede interne beheersing. In de praktijk was risicomanagement nog te vaak een papieren staffunctie. De kredietcrisis kan als stimulans dienen dat organisaties risicomanagement meer richting de kern van de bedrijfsvoering gaan schuiven waar het volgens de gesprekspartners ook hoort. Geen van de gesproken partijen heeft belang bij wet- en regelgeving op het gebied van risicomanagement voor niet-beursgenoteerde organisaties. Toch geven bestuurders en controllers aan dat het voor organisaties waar het aan bewustzijn ontbreekt, een goede stok achter de deur kan zijn. Een verplichte jaarlijkse risicoanalyse zou optie kunnen zijn, maar in alle gesprekken kwam naar voren dat het bewustzijn eigenlijk uit de organisaties zelf moet komen. Wet- en regelgeving mag het functioneren van organisaties in ieder geval niet in de weg staan zodat organisaties het als last gaan beschouwen. Als laatste kwam in zowel gesprekken met accountants en adviseurs als de gesprekken met bestuurders en controllers de rol van de banken meerdere keren aan de orde. De verwachting is dat banken in de toekomst kritischer zijn met het verstrekken van financiering en een goede toepassing van risicomanagement organisatie kan helpen bij het verkrijgen van financiering.