Toepassing in de praktijk

In de vier interviews met de accountants en adviseurs was het eerste hoofdonderwerp de mogelijkheden die zij voor niet-beursgenoteerde organisaties zien. Dit is in de vorige twee paragrafen besproken en komt in de volgende paragrafen nog verder aan de orde. Het tweede hoofdonderwerp van de interviews betrof de mening van de accountants en adviseurs over hoe niet-beursgenoteerde organisaties de mogelijkheden al daadwerkelijk toepassen. Aan de hand hiervan heb ik inzicht gekregen welke verschillen er tussen mogelijkheden en praktijk bestaan. Als eerste behandel ik de mate waarin niet-beursgenoteerde organisaties risicomanagement toepassen. Vervolgens beschrijf ik hoe zij risicomanagement toepassen. Ten derde bespreek ik of het soort bedrijf en de markt waarin zij opereert een rol speelt. Tot slot geef ik een beschouwing van de toekomstverwachting van de accountants en adviseurs. Voor alle vier onderwerpen vat ik waar mogelijk de visie van de accountants en adviseurs samen tot één antwoord.

Mate van toepassing

De mate waarin niet-beursgenoteerde organisaties risicomanagement toepassen is heel verschillend. Vaak denken organisaties wel na over de risico’s die zij lopen, maar staat het maar beperkt op papier of is het beperkt gestructureerd. Een

effectieve toepassing van risicomanagement vindt bij niet-beursgenoteerde organisaties in de ogen van de accountants momenteel dan nog maar heel beperkt plaats. De adviseurs bevestigen dit beeld. Er is in hun ogen een ontwikkeling zichtbaar dat organisaties steeds meer beginnen met het toepassen van risicomanagement. Overheidsorganisaties krijgen steeds meer te maken met protocollen die voorschrijven dat zij meer aan risicomanagement moeten gaan doen. De grotere niet-beursgenoteerde organisaties geven ook steeds meer aandacht aan risicomanagement. De wat kleinere niet-beursgenoteerde organisaties zien vaak de noodzaak van het toepassen niet en zullen zolang toepassen vrijblijvend is, weinig tot geen actie ondernemen. Veel organisaties zijn begonnen met het toepassen van risicomanagement, maar een volledig risicomanagement systeem hebben nog maar weinig organisaties. Steeds meer organisaties hebben een risk manager, controller of audit afdeling. Veel organisaties voeren eenmalig een risicoanalyse uit en denken dan hun risico’s in beeld te hebben. Ze gaan eraan voorbij dat risicomanagement een continu proces moet zijn.

Risicomanagement kwam opzetten in de periode vanaf 2000 tot en met 2005. Sinds ongeveer 2005 zijn niet-beursgenoteerde organisaties begonnen met het invoeren van risicomanagement systemen. Dit hangt samen met de diverse boekhoudschandalen die ervoor hebben gezorgd dat organisaties meer aandacht aan risicomanagement gingen schenken. De invoering van de code Tabaksblat eind 2003 was hier ook een belangrijke factor in. Veel governance codes in het marktsegment zorg zijn hiervan afgeleid. De bepalingen van de code Tabaksblat vormden vaak de basis voor de andere codes. Naar schatting van de gesprekspartners hebben nog slechts vijf procent van de niet-beursgenoteerde organisaties een effectief risicomanagement systeem ingevoerd. Veel organisaties weten wel wat hun belangrijkste risico’s zijn, maar hebben dit vervolgens niet schriftelijk uitgewerkt. Het proces van risicomanagement is dus niet gestructureerd. In de publieke sector is naar inschatting van de gesprekspartners 60 tot 70 procent van de organisaties actief bezig met risicomanagement. De werking ervan verschilt wel fors. Er is een groeicurve te herkennen in het aantal organisaties dat ermee bezig is en de kwaliteit van de toepassing is ook stijgende. In de private sector zijn de grotere niet-beursgenoteerde organisaties naar schatting voor 30 tot 40 procent actief bezig met risicomanagement. Naar schatting van de accountants en adviseurs zijn dus ongeveer de helft van de middelgrote en grote niet-beursgenoteerde organisaties begonnen met toepassen van risicomanagement, maar de status verschilt per organisatie. Accountants gingen met klanten in gesprek wat de gevolgen van de code voor hen was en de invoering van de code was voor sommige organisaties reden om ook actief met risicomanagement bezig te gaan. De wat kleinere organisaties doen veel minder aan risicomanagement. Naar schatting is minder dan tien procent van deze organisaties is actief begonnen met het implementeren van een risicomanagement systeem.

Ten tijde van het beginnen met risicomanagement was een professionele uitstraling de hoofdreden voor organisaties voor het beginnen met invoeren. In de huidige tijd beginnen organisaties door onder andere de economische crisis te beseffen dat de risico’s groter zijn dan een aantal jaren geleden. Dit vormt voor hen ook een reden om actiever met risicomanagement aan de slag te gaan. Een relevante vraag is ook of de vorm of de inhoud van risicomanagement belangrijker is. Veel organisaties geven

wel inhoud aan risicomanagement maar hebben dit (nog) niet in een gestructureerde vorm gegoten. In hun denken zij ze dan al wel bezig met risicomanagement, maar dit is nog niet geformaliseerd. Het staat buiten kijf of gestructureerde toepassing van grotere toegevoegde waarde is ten opzichte van niet gestructureerde toepassing. Het betekent echter niet dat een organisatie niet over de risico’s nadenkt. Ze hebben wel de risico’s in kaart, maar dit staat niet op papier. Deze ondernemers werken vanuit een eigen visie en willen zich niet laten belemmeren door een bureaucratische verplichting. Ook een nieuw aangestelde bestuurder kan het proces van toepassing van risicomanagement versnellen. De nieuwe bestuurder is bijvoorbeeld gewend om te werken met een goed risicomanagement systeem. Dit wil de bestuurder dan ook in zijn of haar nieuwe organisatie terugzien. Organisaties die nog niet of nauwelijks begonnen zijn met toepassing van risicomanagement kampen veelal met onwetendheid. Deze organisaties beseffen nog niet wat de toegevoegde waarde van risicomanagement is. Ze beseffen nog niet dat zij door een verkeerde of onvolledige inschatting van risico’s bijvoorbeeld reputatieschade kunnen lijden. De toepassing hangt af van de cultuur van een organisatie, maar ook van de branche waarin een organisatie opereert. In sommige branches is het doorvoeren van veel regels en voorschriften ook niet effectief.

Wijze van toepassen

Veel organisaties gaan incident gedreven om met risicomanagement. Sommige organisaties gaan pas als een gebeurtenis zich voordoet actie ondernemen. Organisaties gaan periodiek kijken wat er nodig is. Als er vandaag zich een risico voordoet, volgen er daarna maatregelen. Het is geen overkoepelend proces. Ondernemers denken dus wel over hun risico’s na, maar structureren dit weinig. Hierdoor ontbreekt de structuur wat kan leiden tot het te laat identificeren van belangrijke risico’s. De organisaties die al bezig zijn met risicomanagement kijken vaak vooral vanuit strategisch niveau naar de risico’s. Een analyse van de belangrijkste risico’s gaat dan bijvoorbeeld samen met het opstellen van het vernieuwde meerjarenplan. Op operationeel niveau is er al veel minder aandacht voor risicomanagement. Vaak beoordelen organisaties hun administratieve organisatie nog wel, maar de vertaling naar risico’s en de beheersing daarvan genieten op operationeel niveau weinig prioriteit. Dit terwijl een effectief risicomanagement systeem juist ook op operationeel niveau naar risico’s zou moeten kijken. Op operationeel niveau kunnen risico’s spelen die op langere termijn ook op strategisch niveau kunnen gaan spelen. Door ze vroegtijdig te signaleren en te beheersen, kunnen organisaties dit voorkomen. De belangrijkste oorzaak ligt in het tekort aan risicobewustzijn binnen de organisatie. Risico’s vertalen naar maatregelen die passen bij de organisatie vindt slechts heel beperkt plaats.

De verschillende codes in bijvoorbeeld de zorg hebben ervoor gezorgd dat veel organisaties zijn begonnen met het toepassen van risicomanagement. De aanleiding voor het gaan toepassen van risicomanagement heeft dus voor veel organisatie een verplicht karakter. De accountants en adviseurs vinden dit jammer, omdat goede toepassing van risicomanagement een organisatie veel kansen biedt. Zolang organisaties echter zelfs deze kansen niet zien, blijft het een moeilijk verhaal. Als een organisatie de toegevoegde waarde van risicomanagement niet zelf inziet, zal de toepassing ervan ook niet effectief verlopen. De huidige economische tijden zullen er wellicht voor zorgen dat sommige organisaties schrikken van problemen bij andere

organisaties. Net afgewende faillissementen of daadwerkelijke faillissementen kunnen organisaties mogelijk wakker schudden om toch te beginnen met risicomanagement en de risico’s beter in kaart te brengen.

In de praktijk ligt de verantwoordelijkheid van risicomanagement vaak bij stafafdelingen zoals een audit afdeling, controller of zelfs hoofd administratie. Dit moet bij de managers liggen. Als een organisatie niet over een systeem beschikt gaat dit vaak anders. Dan zie je de leiding een risico neerleggen bij een persoon die op het gebied werkzaam is waarop het risico zich afspeelt. Commerciële risico’s komen bijvoorbeeld bij de verkoopafdeling te liggen en zo geldt dit ook voor de rest van de organisatie.

Niet-beursgenoteerde organisaties benutten nog lang niet de mogelijkheden die risicomanagement in de ogen van accountants en adviseurs voor hen biedt. Veel kansen zien zij nog niet of willen zij nog niet zien.

In de jaarverslagen van niet-beursgenoteerde organisaties staat vaak weinig informatie over de toepassing van risicomanagement. Rapportage in het jaarverslag vindt dus ook maar zeer beperkt plaats. Veel organisaties kiezen ervoor het jaarrapport te publiceren zonder openbaar jaarverslag. Het jaarverslag is dan ter inzage bij het bedrijf zelf te verkrijgen. Middelgrote organisaties maken in grote mate gebruik van de vrijstelling om het jaarverslag niet, beperkt of niet openbaar te hoeven maken bij de Kamer van Koophandel. Dit is in het Burgerlijk Wetboek geregeld. Het jaarverslag zal redelijk overeenkomen met de daadwerkelijke toepassing, omdat de accountant bij een goedkeurende accountantsverklaring verklaart dat het jaarverslag in overeenstemming is met de jaarrekening. Wel moet het jaarverslag zodanig genuanceerd geschreven zijn dat de accountant hiermee akkoord kan gaan. Aangezien organisaties er nog slechts beperkt mee bezig zijn, valt er vaak ook weinig relevants te beschrijven. De beschrijving in het jaarverslag komt ook mede daarom meestal goed overeen met de situatie zoals deze naar de mening van de accountant in de praktijk is. Een adviseur is weinig betrokken bij de rapportage in het jaarverslag. Wel kan een adviseur extra toegevoegde waarde leveren door ook stil te staan bij de vraag hoe de accountant naar de toepassing van risicomanagement kijkt.

Invloed omgeving van de organisatie

De branche waarin een organisatie opereert kan van invloed zijn op de mate waarin een organisatie risicomanagement toepast. In de publieke sector komen steeds meer codes die toepassing van risicomanagement verplicht stellen. Ook al is het vooralsnog geen wettelijke verplichting, het is in deze branche gebruikelijk dat organisaties bezig zijn met risicomanagement. Het is algemeen geaccepteerd dat een organisatie de relevante codes naleeft. Ook woningbouwcoöperaties zijn een goed voorbeeld. Zij zijn bijvoorbeeld meer op de lange termijn gericht dan andere organisaties en zijn daarom redelijk gestructureerd bezig met risicomanagement. Het toezicht op hen is ook groter, omdat er een Raad van Commissarissen aanwezig is. Dit is bij winstgeoriënteerde organisaties en in het bijzonder organisaties geleid door een directeurgrootaandeelhouder vaak niet zo. Bij organisaties geleid door een directeurgrootaandeelhouder is risicomanagement vaker minder gestructureerd, maar dit is vooral persoonsafhankelijk. Dit wil niet zeggen dat zij minder bezig zijn

met risicomanagement, maar het komt meer voor dat er minder op papier beschreven staat. In de financiële sector passen organisatie veel meer risicomanagement toe, omdat bij deze branche risicobewustzijn hoort. Dit stamt al uit het verleden. In de bouw werken organisatie veel in projecten. Deze projecten moeten natuurlijk beheersbaar blijven, maar verder doen veel organisaties in de branche weinig aan risicomanagement. In de non-profit sector blijven organisaties achter. Zij zijn wel verplicht te rapporteren over risicomanagement, maar zijn meer bezig hieraan te voldoen dan bewust bezig om te gaan met risicomanagement. De mate van toepassing blijft echter ook bedrijfsafhankelijk. De achtergrond van personen die in het management zitten, hebben hier een belangrijke invloed op. Er zijn in de ogen van de accountants en adviseurs verschillende interne en externe factoren die van invloed kunnen zijn op de mate van toepassing van risicomanagement. Ik begin met het benoemen van de interne factoren. Ten eerste kan de aard van het bedrijf van invloed zijn. De ene organisatie is veel meer gericht op beheersen dan een andere organisatie. De samenstelling van het bedrijf of het management kan van grote invloed zijn op de mate waarin de organisatie risicomanagement toepast. Het is persoonsafhankelijk of iemand risico’s wil inzien en bereid is om beheersmaatregelen te treffen. Ten tweede is de productenportfolio van belang. Een organisatie die veel verschillende soorten of ingewikkelde producten verhandelt, produceert of aanbiedt, kan tegen meer risico’s aanlopen. Dit zou aanleiding kunnen zijn om risicomanagement te gaan toepassen. Als derde is de strategie relevant. Een organisatie die stuurt op lange termijn zal meer in het beheersen van risico’s denken dan een organisatie die stuurt op resultaten op korte termijn. Een vierde factor is de neiging om incidentenmanagement te voeren. Organisaties hebben de neiging om pas risico’s te gaan beheersen als er daadwerkelijk iets is gebeurd. Als er bijvoorbeeld fraude heeft plaatsgevonden, zullen veel organisaties pas preventieve maatregelen treffen. Tot slot speelt het gedrag van de hoogste leiding ook een belangrijke rol. In een organisatie waar het management nadrukkelijk laat zien risicobewust te zijn, zullen andere medewerkers eerder ook risicobewust naar hun werkzaamheden kijken. Het voorbeeldgedrag van de leiding stelt een norm. Een management dat zelf nauwelijks toont kritisch naar relevante risico’s te kijken, kan redelijkerwijs niet verwachten dat het personeel dat wel doet. De aanstelling van een nieuwe bestuurder kan de houding ten opzichte van risicomanagement aanzienlijk veranderen. De bedrijfscultuur van de organisatie is hierbij ook relevant. In een open en op vertrouwen gerichte cultuur, kun je minder snel risicomanagement toepassen dan in een zakelijkere bedrijfscultuur.

Zoals al aangegeven zijn er ook verschillende externe factoren. De eerste is het toezicht op organisaties. Als een organisatie onder strikt toezicht staat van een externe instantie zal zij meer aan risicomanagement doen, omdat zij anders problemen met de toezichthouder kan krijgen. Ten tweede kan de aard van de klanten een rol spelen. Grote complexe klanten kunnen een andere benadering vragen dan kleine ondernemers. De ene klant zal meer aan structuur hechten dan een andere. Hierbij spelen ook ontwikkelingen bij de klanten een rol. Op het moment dat een grote debiteur failliet gaat, zal een organisatie proberen eerder haar geld te ontvangen om dit in de toekomst te voorkomen. De derde externe factor betreft de relevante marktontwikkelingen. Een voorbeeld hiervan is de economische crisis. Door deze crisis staan bijna alle markten onder druk en is het beheersen van de

risico’s nog nooit zo belangrijk geweest. De huidige kredietcrisis maakt organisaties bewuster van de risico’s die zij lopen, omdat zij in de omgeving concurrenten in de problemen zien komen. Een vijfde externe factor is de benodigde financiering. Zoals al eerder benoemd staan de banken ook onder druk. Zij zullen de komende tijd kritischer zijn met het verstrekken van langlopende leningen en kredieten. Het is aannemelijk dat een bank in de toekomst vragen gaat stellen over wat de belangrijkste risico’s zijn die een organisatie loopt. Als hier vervolgens geen helder en onderbouwd antwoord op komt, zal de bank eerder geneigd zijn geen lening of krediet te verstrekken. Tot slot speelt uiteraard de relevante wet- en regelgeving een rol. Een organisatie die wettelijk verplicht is over risicomanagement te rapporteren zal dit logischerwijs meestal ook beter toepassen.

Toekomstverwachting

Risicomanagement is een gebied waar zich de afgelopen jaren veel ontwikkelingen hebben afgespeeld. Dit zal naar de verwachting van de accountants ook de komende tijd zo blijven. De druk van externe partijen dat organisatie meer risicomanagement moeten structureren zal vergroten. Het besef van organisaties zelf zal ook vergroten, omdat zij zien dat veel organisaties failliet gaan en zij dat als waarschuwing gebruiken om dat zelf te voorkomen. Op korte termijn is de verwachting dat de discussie rondom risicomanagement weer aanwakkert. Na invoering van de code Tabaksblat en daaraan gerelateerde branchespecifieke codes werd het wat stiller op het gebied van risicomanagement. Door de economische crisis en de negatieve berichtgeving over veel organisaties is de verwachting dat risicomanagement weer meer op de agenda komt te staan. Ook de adviseurs verwachten dat er in de toekomst steeds meer aandacht voor risicomanagement komt. Organisaties gaan er mee bezig en beginnen steeds meer te beseffen dat risicomanagement van toegevoegde waarde is. De huidige economische crisis speelt hier een belangrijke rol in. Door de economische crisis is het onduidelijk of deze stijgende lijn de komende jaren doorzet. Het is aannemelijk dat risicomanagement tijdelijk een lagere prioriteit geniet. Zodra de economische situatie verbetert, willen organisaties voorkomen (weer) in de problemen te komen. Een deel van de organisaties gaat meer nadenken over risico’s die zij lopen en is zich door de huidige situatie al meer bewust van het belang van risicomanagement. De eerste stappen van het invoeren van risicomanagement zijn al herkenbaar, maar er is nog genoeg potentie voor verbetering. De verwachting is dat de toepassing van risicomanagement gestaag doorgaat.

De accountants hopen niet dat er wet- en regelgeving op het gebied van risicomanagement komt voor niet-beursgenoteerde organisaties. Dit zou ervoor zorgen dat deze organisaties met extra verplichtingen kampen terwijl dit niet nodig is. Hun verwachting is ook dat dit niet zal gebeuren. Deze visie komt overeen met het recente advies van de Monitoring Commissie uit 2008. Aangezien er minder belanghebbenden zijn bij niet-beursgenoteerde organisaties is een wettelijke verplichting bij voorbaat al minder relevant. De belanghebbenden van een niet-beursgenoteerde organisatie zijn werknemers, aandeelhouders, toezichthouders, financiële instellingen, klanten en leveranciers.

De adviseurs hadden beide een andere verwachting over het op termijn komen van wet- en regelgeving voor niet-beursgenoteerde organisaties komt. De verplichtingen

voor beursgenoteerde organisaties nemen waarschijnlijk alleen maar toe, maar dit kan ook leiden tot meer verplichtingen voor niet-beursgenoteerde organisaties. Naar de mening van de ene adviseur zou het ook een goede ontwikkeling zijn. Hij vindt dat organisaties verplicht moeten zijn om de belangrijkste risico’s gestructureerd in kaart te brengen. Dit vinden zij ook van grote toegevoegde waarde voor de bedrijfsvoering van organisaties. Een afvinkcultuur is nadrukkelijk niet waar de adviseur naar toe wil, maar het geheel vrijblijvende van dit moment is ook niet de beste keuze. De verwachting van de andere adviseur is dat het nog een hele tijd duurt voordat er eventueel wet- en regelgeving voor niet-beursgenoteerde organisaties komt op het gebied van risicomanagement. De overheid heeft namelijk een beleid ingezet om de regeldruk voor organisaties te versoepelen en de last af te zwakken. Een verzwaring zou dan ook niet passen bij het ingezette beleid. Het is opmerkelijk dat de adviseurs van mening verschillen op de vraag of het goed zou zijn als risicomanagement in bepaalde mate een verplicht karakter krijgt. Wel zijn de adviseurs het in essentie over risicomanagement eens. Toepassing van risicomanagement moet je niet afdwingen, maar een organisatie moet hier zelf de toegevoegde waarde van inzien. De organisatie moet risicobewust zijn. Het