Visie van de accountant

Ter voorkoming van dubbele beschrijvingen beschrijf ik in deze deelparagraaf de visie van de accountant. Hiervoor gebruik ik de informatie die ik heb verkregen uit de interviews met de accountants. Deze deelparagraaf is een gedetailleerde samenvatting van de gecombineerde visie van de twee geïnterviewde accountants.

Op basis hiervan kom ik tot de visie van de accountant dat als input dient voor de vergelijking met de visie van adviseurs en de ideaalsituatie.

COSO ERM Framework

Het COSO ERM Framework is uitgebreid toegelicht in het vorige hoofdstuk. Uit de literatuurbestudering kwam de conclusie dat het een goede basis is, maar geen concept dat organisaties volledig implementeren. Deze conclusie komt overeen met de visie van de accountant. In de ogen van de accountant is het COSO ERM Framework een kapstok voor invoering van risicomanagement. Het COSO ERM Framework biedt organisaties de kans op gestructureerde wijze de stappen die belangrijk zijn bij risicomanagement toe te passen. Het is een houvast waarmee een organisatie kan bepalen of alle relevante elementen meegenomen zijn. Aan de hand hiervan kan een organisatie risico’s identificeren. Het is geen kant-en-klaar model om te implementeren. Een Raad van Bestuur en/of Raad van Commissarissen kan het raamwerk gebruiken om risicomanagement te monitoren. Het model is een goede weerspiegeling van belangrijke elementen die relevant voor toepassing van risicomanagement zijn. Het model waarborgt dat alle relevante onderdelen en risico’s in ogenschouw zijn genomen. Naar de visie van de accountant dient het COSO ERM Framework dus als hulpmiddel voor een organisatie. Tevens kan het helpen bij het voeren van een discussie hoe een organisatie met risicomanagement om kan gaan. De acht componenten zoals beschreven in deelparagraaf 2.3.2 moeten wel allemaal (op eigen wijze) verwerkt zitten in het risicomanagement systeem om effectief aan risicomanagement te doen. Als in de praktijk het model vrijwel volledig is uitgewerkt in het risicomanagement systeem zal dit te maken hebben met de (accountants)achtergrond van de controller of financieel directeur. Het COSO ERM Framework is dus geen leidraad die een organisatie gedurende invoering moet volgen, maar zou meer als check moeten dienen of alle relevante onderdelen in kaart gebracht zijn. Het gevaar van het volledig toepassen van het raamwerk is dat er een afvinkcultuur ontstaat waardoor de effectiviteit van de toepassing van risicomanagement verloren gaat.

Het is voor organisaties belangrijk om de aard van het risico te bepalen. Een organisatie moet risico’s aanpakken waar dit nodig is. Een risico beheersen op de juiste plaats van de organisatie is erg belangrijk. Het management mag niet belast zijn met operationele risico’s, maar hetzelfde geldt voor functionarissen op operationeel niveau. Zij mogen niet belast zijn met strategische vraagstukken waar de kennis en verantwoordelijk van het management voor nodig is. In het COSO ERM Framework komen vier doelstellingen aan de orde. Een organisatie moet naar alle vier de doelstellingen kijken. Deze zijn namelijk alle vier relevant. De accountant is het meest betrokken bij de rapportagedoelstelling. Voor organisaties is dit juist de minst aansprekende doelstelling en deze doelstelling is in de praktijk vaak het zwakste uitgewerkt. Het risico van het gebruiken van uitgebreide modellen is dat het op papier heel mooi beschreven staat, maar in de praktijk niet zoals op papier staat werkt.

Een organisatie zou op strategisch niveau moeten beginnen met kijken welke richting zij met de invoering van risicomanagement op wil gaan. Het management moet de doelstellingen duidelijk in kaart gebracht hebben. Deze doelstellingen horen afgeleid te zijn van de strategie. Vervolgens kan zij de relevante risico’s in kaart gaan

brengen die het behalen van de doelstellingen zouden kunnen bedreigen. Organisaties moeten hierbij specifiek erop letten dat zij op gestructureerde wijze de risico’s gaan analyseren. Het monitoren van de effectiviteit van het risicomanagement systeem is heel belangrijk. Als het systeem goed is ingericht maar op welke reden dan ook gaat er toch onverhoopt iets niet zoals gepland, moet iemand dit vaststellen. Daarom is het monitoren een onmisbare schakel bij het effectief toepassen van risicomanagement. Een organisatie moet zich afvragen hoe zij gaat monitoren en dus hoe zij gaat waarborgen dat het systeem blijft functioneren zoals gewenst is.

In de praktijk zie je teveel terug dat organisaties risicomanagement toepassen zonder duidelijk gestructureerd beleid. Ook zouden ze meer kunnen kijken naar de structuur die een model zoals COSO hen biedt. Ondanks dat dit geen kant-en-klaar model is om over te nemen, kunnen organisaties er wel op steunen om structuur in hun systeem aan te brengen.

Inrichting systeem

Als uitgangspunt voor de inrichting van een risicomanagement systeem hanteer ik een gemiddelde middelgrote tot grote organisatie. Hiermee laat ik uitzonderingen buiten beschouwing. Per organisatie zijn er natuurlijk verschillen, maar om een algemeen beeld te kunnen schetsen heb ik deze keuze gemaakt.

Bij invoering van risicomanagement kunnen organisaties kijken naar het model als startpunt. Ze kunnen de keuze maken wat ze met de toepassing van risicomanagement willen bereiken en vooral welke risico’s ze willen afdekken. Een goede start van dit proces is een brainstormsessie. Vervolgens moet een organisatie per relevant risico de kans en impact schatten. Op basis van deze inschatting kan zij kiezen voor de beheersing die zij nodig acht. Na deze invoering moet een functionaris de werking van de beheersmaatregelen monitoren.

Het COSO ERM Framework dient als kapstok voor het implementeren van een risicomanagement systeem. Vooraf moet de organisatie bepalen voor de hele organisatie welke risico’s zij op welke niveaus in de organisatie wil gaan beheersen. De invoering van een risicomanagement systeem kan de organisatie het beste laten uitvoeren op projectmatige basis. Een daarvoor apart opgericht projectteam kan inventariseren welke behoefte vanuit de organisatie aanwezig is. Via het uitvoeren van het project kan het projectteam een systeem van risicomanagement invoeren dat bij de organisatie past. Belangrijk hierbij is dat de daadwerkelijke uitvoering van het systeem niet op projectmatige basis moet plaatsvinden. Risicomanagement moet na invoering namelijk een continu proces zijn en daar is een project niet geschikt voor. Het projectteam moet ervoor zorgen dat zij goed structureert en organiseert zodat het systeem toepasbaar en nuttig is voor de organisatie.

Afhankelijk van de omvang van de organisatie zijn er mensen beschikbaar die zich kunnen bezig houden met risicomanagement. Vaak zijn de financiële mensen de personen die hiermee bezig kunnen zijn. Nadeel is wel dat financiële mensen voornamelijk georiënteerd zijn op financiële zaken en risico’s dus ook financieel proberen te benaderen. Er zijn echter meer risico’s en gevolgen die niet (alleen) op financieel gebied liggen. Ook zijn de financiële mensen geschikt om de werking van

risicomanagement te monitoren. Ditzelfde geldt ook voor het actueel houden van het systeem. Hierbij is het van essentieel belang dat de mensen er vanuit een multidisciplinaire view naar kijken. Daarom zou het beter zijn als niet alleen financiële mensen de werking van risicomanagement monitoren. In de meeste organisaties is naar de mening van de accountant voldoende kennis beschikbaar om een risicomanagement systeem in te voeren en ermee te werken. In de organisaties waar te weinig kennis aanwezig is, zal de organisatie kennis van buiten moeten inhuren. Als de financiële mensen te weinig kennis van risicomanagement hebben, zal dit vaak terugkomen in de directie. De reden hiervoor is dat de directie meestal mensen om zich heen verzameld die hetzelfde over belangrijke vraagstukken denken. Als de directie risicomanagement niet belangrijk vindt, voegen mensen met veel kennis op dit gebied relatief weinig toe. Veel directeuren zijn dan ook vooral ondernemer en denken ook voornamelijk ondernemend. Het zijn geen echte managers. Een ondernemer denkt in kansen en een manager kijkt ook naar beperkingen en risico’s. In de praktijk zie je vaak goede ondernemers die een bedrijf enorm laten groeien. Op een bepaald punt is de organisatie dusdanig van omvang dat de leiding van de organisatie niet in voldoende mate kan meegroeien. Zij heeft op het gebied van risicomanagement niet heeft leren kijken naar nieuwe risico’s die voortvloeien uit de groei van de organisatie. Het is daarom essentieel dat de leiding van een organisatie risicomanagement belangrijk vindt. Anders is het nut van toepassing al flink lager. De financiële middelen hoeven geen belemmering te zijn voor het invoeren van risicomanagement. De reden hiervoor is dat iedere goede ondernemer in zijn hoofd wel weet wat de belangrijkste relevante risico’s zijn. Het structureren van risicomanagement is een proces dat een projectteam relatief goedkoop kan uitvoeren. Zij hoeven het alleen op papier te zetten, structuur erin aanbrengen en te laten inbedden in de organisatie.

De hoogste leiding van een organisatie moet verantwoordelijk zijn voor risicomanagement. Niet alle leden van de organisatie hoeven betrokken te zijn, maar de managers uit het werkveld kunnen een belangrijke bijdrage leveren doordat zij voor hun gebied precies weten wat er speelt en dus ook welke risico’s relevant zijn. De hoogste leiding heeft grote invloed op hoe de mensen in een organisatie met risicomanagement omgaan. Een audit afdeling kan overigens wel het monitoren voor haar rekening nemen. Zij is hier zelfs uitermate geschikt voor. Dit is geen primaire taak voor de hoogste leiding. Deze afdeling kan de belangrijkste en relevante bevindingen dan weer rapporteren aan het management zodat deze van de belangrijke ontwikkelingen op de hoogte blijft. Risicomanagement hoort door de hele organisatie verweven te zitten. Met risicomanagement beheers je bijvoorbeeld de kwaliteit van de organisatie en die kwaliteit moet overal in de organisatie zitten. Elke medewerker moet denken aan de kwaliteitscriteria waar een organisatie aan wil voldoen. Hieraan mogen mensen in welke situatie dan ook geen concessies doen. Of de beheerste risico’s op papier beschreven staan is een andere discussie. Het is goed mogelijk dat een organisatie op papier geen goede uitwerking van risicomanagement heeft, maar toch veel risico’s goed in beeld heeft. Een organisatie die haar risico’s niet beheerst is geen goede organisatie.

De beperkingen van niet-beursgenoteerde organisaties liggen op het gebied van deskundigheid. Dit betreft twee kanten van deskundigheid. Ten eerste zit het denken in risico’s niet in het standaarddenkproces van veel organisaties verweven.

Veel functionarissen zijn gewend meer naar kansen te kijken. Zolang risicobewust denken niet een gewoonte is, blijft het een beperking ten opzichte van (grotere) organisaties waar deze stap vaak al wel is gezet. Ten tweede hebben beursgenoteerde organisaties vaak vele specialistische afdelingen. Van deze afdelingen kun je dan verwachten dat zij zelf de belangrijkste risico’s signaleren, omdat zij specialist zijn op hun vakgebied. Bij niet-beursgenoteerde organisaties zijn specialistische functies vaak samengevoegd in een algemenere afdeling of ondergebracht bij een andere afdeling. Hierdoor ontbreekt het op bepaalde gebieden aan specifieke deskundigheid die kan helpen bij het effectief toepassen van risicomanagement.

Om risicomanagement effectief toe te passen zijn kritische mensen nodig. Er moeten mensen aanwezig zijn die nadenken over risico’s en bedreigingen. Een ondernemer denkt meer in kansen en een tegenpool die compenseert is dan van toegevoegde waarde. Bij veel organisaties houdt de controller of soms het afdelingshoofd van de administratie zich hier mee bezig. De naam van de functie is in principe niet relevant. Het gaat erom dat degene die zich bezig houdt met risicomanagement over voldoende competenties en kwaliteiten beschikt om de relevante risico’s te signaleren. Een toezichthouder kan hierbij een rol spelen door kritisch door na te gaan welke risico’s de organisatie loopt. Het invoeren van een risicomanagement systeem zou niet heel veel financiële middelen hoeven kosten. De invulling van het systeem maakt niet uit, belangrijker is dat er een bewustwording op gang komt waardoor de leiding van de organisatie (meer) gaat nadenken over de risico’s. Als de bestuurders een aanzet geven hoe zij denken over hoe de organisatie risicomanagement effectief kan toepassen, kunnen andere managers op hun eigen terrein de overige voorbereidingen treffen. De hoogste leiding van een organisatie moet verantwoordelijk zijn voor risicomanagement. Het management zou in overleg met afdelingshoofden risicomanagement moeten implementeren. Voor het laagste niveau van de organisatie ontstaan dan ‘hapklare brokken’ hoe ook zij hun bijdrage aan risicomanagement kunnen leveren. Door gestructureerd bezig te zijn en te blijven met risicomanagement denken organisatie na over wat er gebeurt. Ze leren beseffen welke risico’s zij lopen en kunnen bijvoorbeeld sneller anticiperen op nieuwe wet- en regelgeving. Periodiek zou de organisatie het hele model dat ingevoerd is, moeten doorlopen of deze nog actueel is en waar verbeteringen nodig zijn. Een Raad van Commissarissen of Raad van Toezicht zou ook periodiek deze fase moeten doorlopen om te kijken of zij hetzelfde signaleren als de organisatieleiding. Elk jaar het gehele proces van risicomanagement kritisch bekijken kan organisaties helpen bij het actualiseren van hun systeem.

Accountant

De accountant speelt eigenlijk slechts een beperkte rol in het proces van risicomanagement. In de praktijk zie je weinig dat accountants nadrukkelijk betrokken zijn bij de invoering van risicomanagement. Dit komt in principe alleen voor als een organisatie de accountant hiervoor benadert. Wel zal de accountant een handtekening onder het jaarrapport zetten. Hiervan maakt het jaarverslag deel uit en in dit jaarverslag doen sommige organisaties een uitspraak over risicomanagement en het in-control zijn. De accountant beoordeelt dit op in welke mate het jaarverslag in overeenstemming is met de jaarrekening. Of een accountant kan helpen bij risicomanagement is situatieafhankelijk. In ieder geval moet de accountant ervoor waken dat zij onafhankelijk blijft aangezien zij ook de controle

van de jaarrekening nog moet uitvoeren. Als de accountant zich ook nog nadrukkelijk gaat bemoeien met risicomanagement schept dit weer verwachtingen van andere partijen. Dit is absoluut niet wenselijk in de ogen van de accountant. De verwachtingskloof tussen belanghebbenden en accountants zou hierdoor kunnen groeien. Daarnaast willen organisaties de administratieve lasten beperken en daar past veel bemoeienis van de accountant niet bij, omdat die weer aan allerlei (gedrag)codes gebonden is. In hoeverre een accountant kan beoordelen of een organisatie in-control is, hangt gedeeltelijk af van de verspreidingskring van de jaarrekening. Als de verspreidingskring beperkt is, zal de accountant met minder belangen rekening hoeven houden betreffende de beweringen over risicomanagement. De bank en directie zullen dan vooral het jaarverslag gebruiken en eventuele andere gebruikers zullen toch voornamelijk kijken naar de cijfers. Als de verspreidingskring wel groot is, zal de situatie lastiger zijn. Dan lezen de gebruikers wellicht ook het jaarverslag gedetailleerd door en dan moet de accountant hier ook meer aandacht aan besteden. Voor de accountant is vooral van belang dat in het jaarverslag geen dingen staan die niet kloppen. Een organisatie moet in het jaarverslag niet meer beloven dan zij daadwerkelijk waar kan maken. Als organisaties dit wel doen zal de accountant hierover overleggen en in de praktijk blijkt dat de directie het verslag dan vaak aanpast. De eventuele wijzigingen hebben veelal betrekking op het aanbrengen van nuances in de beschrijving van het management.

De accountant bouwt een relatie op met de klant. Zijn taak ligt in het signaleren van financiële risico’s, omdat deze van invloed kunnen zijn op de accountantscontrole. Hierbij gaat het vooral erom wat er ten grondslag ligt aan het financiële risico. Een financieel risico is een uitkomst en daar komt altijd iets anders achter weg. Er kan bijvoorbeeld sprake zijn van nieuwe relevante wet- en regelgeving. Een accountant identificeert risico’s en communiceert zijn bevindingen vervolgens met de klant. Mocht een klant er prijs op stellen kan een accountant meer betekenen, maar dat hoort niet bij de primaire taken.

Niet-beursgenoteerde organisaties nemen nog weinig een in-control statement op. De rapportage in het jaarverslag over risicomanagement is zeer beperkt. Zodoende kan de accountant ook volstaan met het beoordelen of hier geen onjuistheden in vermeld staan. Als organisaties echt een in-control statement opnemen in hun jaarverslag wil de accountant daar ook meer van weten. Er staan voorzichtige teksten over risicomanagement opgenomen, omdat dit overeenkomt met de daadwerkelijke status van toepassing van risicomanagement. Organisaties doen vaak wel een uitspraak over de werking van de administratieve organisatie. In de meeste gevallen komt dit overeen met de bevindingen uit de werkzaamheden van de accountant. Als dit niet het geval is, gaat de accountant in gesprek met het management en levert dit zelden problemen op. Bij het jaarverslag moet de accountant zich ook afvragen wie de gebruiker hiervan is. Hoe zal een buitenstaander bepaalde teksten interpreteren. Als een buitenstaander een uitspraak op meerdere manieren kan interpreteren, raadt de accountant aan de tekst te verduidelijken.

Adviseur

Een adviseur kan naar de visie van de accountant een heel belangrijke rol spelen bij het invoeren van risicomanagement bij een organisatie. Naast dat het commercieel

aantrekkelijk is om een opdracht aan te nemen voor adviseurs, kunnen zij ook echt van toegevoegde waarde zijn. Een adviseur kan zowel vanaf de start als aan het einde bij een project betrokken zijn. Ze kunnen een proces op gang brengen met de ervaring waarover zij beschikken op het gebied van invoering van risicomanagement. Ook kunnen organisaties de invoering intern voorbereiden en vervolgens voorleggen aan adviseurs. De adviseurs kunnen als externe partij een frisse blik op de organisatie werpen en zien wellicht risico’s waar de organisatie niet bij stilgestaan heeft. Een model zoals het COSO ERM Framework kan vervolgens als controle dienen of alle belangrijke elementen geraakt zijn. Adviseurs kennen de wetenschappelijke modellen en kunnen deze toepassen in de omgeving van de organisatie.

Een adviseur heeft het theoretische model goed in het hoofd. Door middel van de ervaring waarover de adviseur beschikt kan deze het proces van invoering van risicomanagement begeleiden. Adviseurs beschikken over tools waarmee organisaties beslissingen kunnen nemen waar zij zelf niet uitkomen. Functionarissen van organisaties kunnen ze prikkelen bepaalde uitspraken te doen waardoor je de juiste elementen in de organisatie gaat inbouwen. De accountant is van mening dat een adviseur van grote toegevoegde waarde kan zijn bij invoering van risicomanagement. Adviseurs kunnen organisaties op gang helpen met het implementeren van een systeem. Door hun kennis kan het proces van toepassing versnellen. Een projectgroep kan ondersteuning bieden op de gebieden waar dit nodig is.

Voor- en nadelen

Effectieve toepassing van risicomanagement biedt organisaties een aantal voordelen. Ten eerste zijn organisaties die risicomanagement effectief toepassen beter in-control dan organisaties die dit niet doen. Door risico’s beter in kaart te brengen en daardoor passende beheersmaatregelen te kunnen nemen is een organisatie beter in-control. Het tweede voordeel heeft betrekking op de financieringskant. Organisaties met een goede toepassing van risicomanagement zullen minder problemen hebben met het verwerven van financiering bij banken en kredietverstrekkers. Als een organisatie goed in beeld heeft welke risico’s zij loopt en