4. Perspectief van bestuurders van organisaties
4.4 Literatuur over de mogelijkheden
Uit de verschillende interviews zijn diverse bevindingen over de mogelijkheden van toepassing van risicomanagement voor niet-beursgenoteerde organisaties naar voren gekomen. In de bestaande literatuur staan onder andere voordelen en kritische succesfactoren beschreven van effectieve toepassing van risicomanagement. In deze paragraaf schets ik een beeld wat de bestaande literatuur zegt en in welke mate dit overeenstemt met mijn onderzoeksresultaten. Hierbij dien ik aan te tekenen dat veel bestaande literatuur gericht is op beursgenoteerde organisaties en/of niet specifiek gericht is op niet-beursgenoteerde organisaties.
Paape en Swagerman (2006, p.15-16) geven een vijftal voordelen voor organisaties die ERM goed hebben toegepast binnen de organisatie:
•
De organisatie kan haar opbrengsten vergroten doordat zij de risico’s beter beheerst en dus meer risico kan nemen.•
Toekomstige ontwikkelingen worden eerder gesignaleerd, zodat hierop eerder gereageerd kan worden en er een concurrentievoordeel kan worden behaald.•
Er ontstaat een beter beeld wat de belangrijkste risico’s zijn en waar de beschikbare middelen het beste aan kunnen worden besteed.•
Operationele verliezen en/of verrassingen kunnen worden voorkomen en eerder gedetecteerd.•
Het helpt de organisatie te voldoen aan de eisen van wet- en regelgeving.Als conclusie stellen Paape en Swagerman dat de genoemde voordelen er toe leiden dat de organisatie beter in staat is om haar doelstellingen te behalen en hiermee waarde te creëren voor haar belanghebbenden.
Behoudens de niet relevante wet- en regelgeving komen de door Paape en Swagerman genoemde voordelen overeen met de bevindingen uit mijn uitgevoerde onderzoek. Uit mijn onderzoek blijkt echter een nadruk op risicobewustzijn. Zowel accountants, adviseurs als bestuurders en controllers leggen de nadruk op het creëren van risicobewustzijn in de organisatie. Zij zien het risicobewust denken als eerste stap voordat een organisatie andere voordelen haalt.
Volgens de literatuur kunnen de volgende redenen (‘triggers’) aanleiding vormen voor invoering van risicomanagement. Paape en Swagerman (2006, p.21) geven een aantal mogelijke redenen waarom organisaties overgaan tot invoering van risicomanagement:
•
belanghebbenden hebben onvoldoende zekerheid en vragen om transparantie;•
er hebben zich in het verleden één of meerdere incidenten voorgedaan;•
de organisatie is snel gegroeid;•
de organisatie heeft een beursgang gepland;•
de organisatie ondergaat ingrijpende interne veranderingen;•
de organisatie heeft te maken met belangrijke externe veranderingen.Fraser et al. (2008) geven ook een aantal belangrijke redenen die een aanleiding kunnen vormen voor gebruik en/of toepassing van ERM:
•
beter begrijpen van het managementrisico;•
uitbreiden van corporate governance;•
helpen verdelen van de hulpbronnen;•
maken van effectieve beslissingen;•
minimaliseren verrassingen;•
verbeteren rapportage over risico en beheersing;•
financiële stabiliteit;•
nieuwe of aangepaste wetgeving.Hoewel deze redenen voor toepassing van risicomanagement niet botsen met mijn onderzoeksresultaten ontbreekt er wel een belangrijke reden. Uit mijn onderzoek komt heel nadrukkelijk naar voren dat de mate van toepassing van risicomanagement heel erg samenhangt met de samenstelling van de directie. Het aanstellen van een nieuwe bestuurder kan de visie van de organisatie ten opzichte van risicomanagement laten kantelen. Ook is het inzicht willen krijgen en houden in de belangrijkste risico’s erg belangrijk voor veel organisaties. Er hoeven niet altijd interne of externe gebeurtenissen plaats te vinden als aanleiding voor invoering. Daarnaast speelt wet- en regelgeving en een verbetering in rapportage voor niet-beursgenoteerde organisaties ook geen rol.
In de ERM-gids van Protiviti komen zes redenen naar voren waarom organisaties ERM zouden moeten implementeren. Dit zijn:
1 Beperken van onacceptabele fluctuaties in de prestaties. ERM helpt het management bij het tijdig identificeren en schatten van kansen dat gebeurtenissen plaatsvinden en wat de impact hiervan is. Hierdoor kan het management tijdig de juiste beheersmaatregelen ontwikkelen.
2 Inrichten en integreren van verschillende views op risicomanagement. 3 Zekerheid creëren voor investeerders en belanghebbenden.
4 Voldoen aan corporate governance.
5 Succesvol kunnen reageren op wijzigende marktomstandigheden.
6 Inrichten van strategie en bedrijfscultuur passend bij risicomanagement.
Een aantal auteurs heeft ook een duidelijke visie beschreven over de rol van accountants en adviseurs in het proces van risicomanagement. Beasley et al. (2008) stellen dat interne controllers steunen kunnen hebben aan de accountant. Zij moeten hier dan wel voor openstaan en beseffen dat de accountant over kennis en ervaring beschikt waar de controller zijn voordeel mee kan doen. Een organisatie kan de accountant volgens de auteurs gebruiken als een persoon die van buiten de organisatie kritisch naar de risico’s die zij loopt kijkt. De accountant kan de organisatie assisteren met als uitdaging samen te streven naar een volledige
herkenning van risico’s. Hiervoor moet de accountant wel begrijpen in welke omgeving de organisatie opereert en vanuit welke strategie zij te werk gaat. Het is interessant te constateren dat bestuurders en controllers deze lezing bevestigen. Ook zij hechten veel waarde aan de mening van hun accountant, omdat hij bij veel vergelijkbare organisaties komt en eventuele blinde vlekken kan herkennen.
Fraser et al. (2008) stellen de functie van adviseurs met betrekking tot risicomanagement ter discussie. In hun ogen kunnen adviseurs van nut zijn, maar zijn er beperkingen. De adviseurs beheersen de wetenschappelijke raamwerken, maar de specifieke toepassing ligt moeilijker. Adviseurs kijken naar zijn visie teveel vanuit één perspectief. Uit de interviews blijkt dat de bestuurders en controllers de beperkingen van adviseurs in andere gebieden leggen. Zij vinden het vooral jammer dat adviseurs maar tijdelijk aanwezig zijn en dat na voltooiing van het project de kennis voor hun gevoel weer uit de organisatie verdwijnt. Ook speelt mee dat de kosten van het inhuren van externe kennis hoog zijn. Veel organisaties hebben functionarissen in dienst met een financiële achtergrond. Zij geven dan ook aan de extra specifieke kennis van externe adviseurs niet opweegt tegen de kosten.
Er is veel informatie beschikbaar over risicomanagement. Ondanks dit hebben veel organisaties toch nog moeite de beste methode voor toepassing in hun organisatie te kiezen (Muzzy 2008). Wat hierbij mee speelt is dat er ook niet één algemene omschrijving van het begrip risico is. COSO geeft wel een algemene definitie van het begrip risico, maar dit is slechts hun visie. Organisaties moeten keuzes maken welke risico’s zij door middel van welke beheersingsmaatregelen zij beperken. Indien een organisatie moeite heeft met het definiëren van de risico’s vloeit daaruit voort dat de vervolgstappen ook minder effectief kunnen zijn. Een goede en volledige identificatie van risico’s is de basis voor een effectieve toepassing van ERM.
In een presentatie over een praktische toepassing van ERM stelde Franklin (2008) dat er een aantal kritieke succesfactoren voor ERM zijn:
•
ondersteuning en steun van het senior management;•
duidelijke geformuleerde visie;•
normale en open communicatie binnen teams;•
realistische verwachtingen met betrekking tot tijd en aflevering;•
voldoende hulpbronnen voor implementatie en navolging;•
koppelen aan succesfactoren, strategieën en processen van de organisatie.Uit mijn interviews met accountants en adviseurs komen echter heel andere kernelementen die bepalend zijn voor de effectiviteit van risicomanagement naar voren:
•
structuur in risicomanagement aanbrengen;•
prioriteren risico’s;•
continu proces;•
beleving;•
multidisciplinaire kijk naar risico’s;•
voorbeeldgedrag van de top van de organisatie;•
monitoring;•
goede rapportage in het jaarverslag.De accountants en adviseurs kijken dus heel anders aan tegen de kernelementen die risicomanagement tot een succes maken. De steun van de leiding van de organisatie, een goede visie en multidisciplinaire kijk naar risico’s komt in beide visies terug. Het is echter opvallend om te constateren dat monitoren en gezond verstand niet uit de kritische succesfactoren van Franklin naar voren komen. In vrijwel alle interviews zijn deze elementen als zeer essentieel aangemerkt.
Sobel (2008) stelt dat organisaties voordat zij specifieke zaken gaan aanpakken eerst moeten kijken naar de omgeving waarin zij opereren. Dit is in overeenstemming met zowel mijn bevindingen als het COSO ERM Framework.
In een artikel stelt Taleb (2007) dat de invloed van zogenoemde zwarte zwanen bij risicoanalyses buiten beschouwing blijft. Zwarte zwanen zijn dan geformuleerd als zeer onwaarschijnlijke gebeurtenissen met een zeer grote impact. Achteraf blijken deze gebeurtenissen toch beter voorspelbaar dan vooraf geschat. Uit onderzoek van LaSalle (2007) blijkt zelfs dat studenten die de COSO-methodiek bestuderen, risico’s hoger schatten dan ze daadwerkelijk zijn. Hierbij verwijst LaSalle naar de theorie van de fraude driehoek. Het volgen van de methode van COSO zou kunnen leiden tot een niet realistische beoordeling van risico’s. Het is opvallend dat zowel accountants, adviseurs als bestuurders en controllers risicoanalyses en de COSO-methodiek wel relevant en juist achten. De reden hiervoor kan liggen in de wijze waarop zij naar risicomanagement kijken. Als een organisatie alleen een risicoanalyse uitvoert en/of blind de COSO-methodiek volgt, hebben de auteurs een punt. Alle gesprekspartners benadrukken echter dat risicomanagement organisatiespecifiek moet zijn en monitoren heel belangrijk is. Daarmee kan een organisatie de kritische punten van de auteurs tackelen. Ware het niet dat een organisatie altijd op haar hoede moet blijven voor blinde vlekken.
Van der Ven (2008) beschrijft dat uit onderzoek blijkt dat er verschillende elementen zijn die de effectiviteit van beheersmaatregelen beïnvloeden. Zo hangt de effectiviteit onder meer af van de relatie tussen vertrouwen in elkaar en de formele beheersingsmaatregelen. Ook spelen de karaktereigenschappen van individuele medewerkers een rol. Tot slot heeft de sanctie invloed op de effectiviteit van een beheersmaatregel. Als de sanctie van een overtreding vooraf vaststelt, zou het kunnen leiden tot meer ongewenst gedrag als de medewerkers de sanctie acceptabel ten opzichte van de pakkans vinden. Deze lezing ondersteunt mijn onderzoeksresultaten dat risicobewustzijn en voorbeeldgedrag van de leiding essentieel is.
Soeting en Spoor (2003) stellen dat het niet in de lijn der verwachting ligt dat het bestuur van een organisatie vrijwillig zal meewerken aan externe rapportage over de kwaliteit van het interne beheersingssysteem, indien dit systeem niet goed functioneert. De bestuurders en controllers van niet-beursgenoteerde organisaties bevestigen deze beredenering indirect doordat geen van mijn gesprekspartners rapporteert over risicomanagement in het jaarverslag.