Visie van bestuurders en controllers

In de tweede paragraaf van dit vierde hoofdstuk komt de visie van de geïnterviewde bestuurders en controllers over de mogelijkheden die toepassing van risicomanagement voor niet-beursgenoteerde organisaties aan bod. Hierbij probeer ik de uitgesproken mening van de vier gesprekspartners in de interviews samen te vatten tot één visie. Als er grote verschillen in visie zijn, behandel ik de verschillende inzichten. De visie van de bestuurders en controllers is geanonimiseerd zodat ik meer concrete informatie in mijn beschouwing kan verwerken. Achtereenvolgens komt hun visie over de toepasbaarheid van het COSO ERM Framework, de mogelijkheden voor inrichting van risicomanagement, de rol van accountants en adviseurs en de ideaalsituatie aan de orde.

COSO ERM Framework

De bestuurders en controllers van niet-beursgenoteerde organisaties staan achter de inhoud van het COSO ERM Framework. Hierbij dien ik aan te tekenen dat niet alle gesprekspartners het model kenden. Na bestudering van het model zijn de bestuurders en controllers van mening dat het COSO ERM Framework niet-beursgenoteerde organisaties goed helpen bij het toepassen van risicomanagement. Het is een bekend raamwerk voor het toepassen van risicomanagement en is goed en logisch opgebouwd. De bestuurders en controllers zien het model als een goed handvat. Door de doelstellingen van een organisatie via een model in kaart te brengen, straal je in hun ogen een bepaalde visie uit.

Het raamwerk is geschikt om behoorlijk praktisch toe te passen. Een ondernemer denkt in kansen en aan het verdienen van geld. Hierdoor kan de ondernemer wel eens voorbij gaan aan de risico’s die hij ondertussen neemt. Het raamwerk reikt bouwstenen aan hoe een organisatie een risicomanagement systeem kan inrichten om bepaalde risico’s preventief te beperken. Het grote voordeel van niet-beursgenoteerde organisaties is dat zij zelf kunnen bepalen hoe zij het raamwerk gebruiken, omdat ze niet verplicht zijn risicomanagement toe te passen. Hierdoor kunnen ze hun eigen afweging maken wat ze relevant vinden en wat niet. De bestuurders en controllers benadrukken dat risicomanagement organisatiespecifiek is. Een model zoals COSO kan veel te diep gaan voor veel niet-beursgenoteerde organisaties. In de praktijk verloopt bij veel organisaties risicomanagement niet in overeenstemming met de methodiek die COSO beschrijft. De eigen visie van de organisatie moet hoe dan ook centraal staan, omdat je niet met iets bezig kunt zijn waar je niet volledig achterstaat. Daarbij komt dat als een nieuwe bestuurder en/of financiële man aantreedt, de organisatie er al staat. De processen, beheersing en cultuur bestaan al en kunnen niet in korte tijd volledig veranderen. Een risico van werken met een beheersmodel is dat de organisatie te veel gaat redeneren vanuit risico’s en daarbij kansen buiten beschouwing laat. Een model kan wel helpen de gedachten die er binnen een organisatie allemaal spelen te structuren. Door de mening en identificatie van risico’s vanuit alle afdelingen vast te leggen, kan de top mogelijk tot nieuwe inzichten komen.

De elementen en doelstellingen uit het model zitten logisch in elkaar. Alle elementen uit het raamwerk zijn relevant, maar het is mogelijk om als organisatie ervoor te kiezen één of enkele onderdelen niet toe te passen. Dit wil niet zeggen dat een organisatie dit niet belangrijk acht, maar het past een model op eigen wijze toe. Ook alle doelstellingen zijn voor beursgenoteerde organisaties relevant. Voor niet-beursgenoteerde organisaties speelt de doelstelling compliance echter een beperktere rol. Er zijn veel minder en vooral minder complexe regels waaraan zij moeten voldoen. Deze betreffen vooral jaarrekeningvereisten. Hierdoor kunnen niet-beursgenoteerde organisaties zich meer focussen op de strategische en operationele doelstellingen. Dit zien zij als een voordeel, omdat de organisatie zelf kan bepalen of ze iets met een risico kan en wil doen. Wel is het zo dat een controller niet altijd direct betrokken is bij beslissingen op strategisch niveau. Voor de organisatie zijn de strategische risico’s wel van groot belang, maar voor de controller kan dit iets minder spelen in zijn werkzaamheden. Het bewustzijn waar de organisatie naartoe wil, speelt hierbij een belangrijke rol. Hoe dan ook is het heel belangrijk dat een

organisatie blijft werken vanuit een gezond (boeren)verstand en risicomanagement laat aansluiten bij de cultuur.

Inrichting

De kosten-batenanalyse speelt in de afweging om risicomanagement te gaan toepassen vaak een grote rol. Ook de mate van bewustwording van de toegevoegde waarde van risicomanagement is cruciaal. Als deze bewustwording er niet is, zal het effectief toepassen onmogelijk zijn. Iedere bestuurder, eigenaar of directeurgrootaandeelhouder heeft een visie wat het beste is voor de organisatie. Vanuit de ervaring en opleiding van deze personen slaat een organisatie een bepaalde weg in. Een organisatie beschikt ook nog over een financieel directeur en/of controller die veelal een accountants- of controllerachtergrond heeft waardoor er voldoende visie aan boord is. In een niet-beursgenoteerde organisatie is dus vaak voldoende kennis aanwezig voor het implementeren van risicomanagement. Eventuele kennis die toch ontbreekt, kan een organisatie extern inhuren. Of dit nodig is, hangt ook af van hoever de organisatie wil gaan met het implementeren van risicomanagement. Hoe complexer en uitgebreider een organisatie risicomanagement wil toepassen, hoe groter de kans dat de interne kennis niet toereikend is. Het punt is echter dat de functie van controller in niet-beursgenoteerde organisaties vaak een heel brede functie is met allerlei andere verantwoordelijkheden. Ook is het mogelijk dat de controller wel de toegevoegde waarde van risicomanagement erkent, maar er geen beleving bij heeft. In dat geval is het niet effectief hem met de invoering van risicomanagement te belasten. Alle bestuurders en controllers zijn van mening dat financiële middelen geen beperking kan en hoeft te zijn voor niet-beursgenoteerde organisaties. Een organisatie die risicomanagement gaat implementeren kost dit hoe dan ook geld. Het kost indirect namelijk ook financiële middelen als interne functionarissen zich hiermee bezig gaan houden. Anders hadden zij in de tijd die ze besteden andere werkzaamheden kunnen verrichten. De leiding van de organisatie moet wel de toegevoegde waarde van risicomanagement inzien en er financiële middelen voor willen vrijmaken. De kosten van toepassing van risicomanagement hangt af van de mate van detaillering. Een organisatie moet financiële middelen willen investeren in risicomanagement. Dit hangt ook weer af van de bestuurders, cultuur, grootte en filosofie van de organisatie.

De hoogste leiding van de organisatie moet verantwoordelijk zijn voor de effectiviteit van risicomanagement. Risicomanagement maakt namelijk deel uit van de strategie en dat is een taak van de directie om te bepalen. Zij dient naar de rest van de organisatie een voorbeeld uit te dragen dat risicomanagement belangrijk is voor de organisatie. Het is dan ook essentieel dat het management de toegevoegde waarde van risicomanagement in ziet. Dit ziet de rest van het personeel en die weten vervolgens ook dat hun leidinggevende hier waarde aan hechten. Vaak wijst de praktijk uit dat de directie de directe verantwoordelijkheid delegeert naar de financiële eindverantwoordelijke. De financiële eindverantwoordelijke delegeert het in sommige gevallen nog weer door verder de organisatie in. Het bewustzijn van de directeur(en) hangt ook in belangrijke mate af van zijn achtergrond. Als de directeur een financiële achtergrond heeft, speelt risicobewustzijn meer als bij een directeur met commerciële achtergrond. Ook de Raad van Commissarissen is medeverantwoordelijk voor risicomanagement vanuit haar toezichthoudende functie. De Raad van Commissarissen is ook zeer geschikt om vanaf de zijlijn met een frisse

blik naar de risico’s van de organisatie te kijken. Risicomanagement moet vervolgens door de hele organisatie verweven zitten en de hele organisatie moet risicobewust zijn. Het gevaar is dat risicomanagement bij de top van de organisatie speelt en bij de mensen die het uitvoerende werk doen niet. Dan is risicomanagement niet effectief.

Hoe een organisatie risicomanagement implementeert hangt af of de capaciteit van mensen toereikend is om dit op eigen kracht te doen. Als er voldoende kennis en mensen aanwezig zijn, is de beste keuze voor een organisatie om risicomanagement zelf te implementeren. Als de kennis en mensen ontbreken, is externe hulp onvermijdelijk. Het inhuren van externe kennis is vanzelfsprekend duurder. Als er voldoende kennis en mensen aanwezig zijn, kan de organisatie zelf de opzet bedenken, het laten inbedden in de organisatie en de effectiviteit monitoren. Heel belangrijk is dat de mensen die zich bezig houden met risicomanagement het praktisch houden. Het implementeren kan in een projectvorm, maar dit hoeft niet persé. Een organisatie kan het ook in rustige periodes rond de reguliere werkzaamheden heen plannen.

De directie moet veel functionarissen uit de organisatie betrekken bij de invoering van risicomanagement. Risico’s kunnen uit onverwachte hoek komen en van bovenaf vallen niet alle relevante risico’s te overzien. De detaillering die in risicomanagement is aangebracht, is dus erg belangrijk. Door lager in de organisatie te overleggen welke (operationele) risico’s daar spelen, kan het management op strategisch niveau een betere beslissing nemen. Ondanks dat veel mensen op de lagere organisatieniveaus maar beperkt stilstaan bij risicomanagement hebben zij juist wel gevoel bij wat er speelt en waar zij in de praktijk tegenaan lopen. Risicomanagement hoeft naar de visie van de bestuurders en controllers ook niet volledig geïntegreerd te zijn in een systeem. Voor veel niet-beursgenoteerde organisaties achten zij het in kaart brengen van de relevante risico’s en de afweging of de organisatie de risico’s beheerst of aanvaart toereikend.

Een goede optie om risicomanagement in een niet-beursgenoteerde organisatie te implementeren als de controller zelf niet over de kennis en/of motivatie beschikt om het zelf te doen, is het inhuren van een afstudeerder van het HBO of WO. Vanzelfsprekend moet deze afstudeerder veel affiniteit met het vakgebied risicomanagement hebben. Deze persoon kan dan gedurende een periode van één jaar de organisatie leren kennen, in kaart brengen hoe de organisatie risicomanagement passend kan implementeren en hierbij actief ondersteunen. Het grootste voordeel ten opzichte van een externe adviseur is dat in deze optie er een langere periode iemand in de organisaties aanwezig is. De controller kan dan ook het systeem leren kennen. De invoering van risicomanagement is in deze situatie dus een project. De opzet zal de controller samen met de projectleider (afstudeerder) in overleg bedenken. De projectleider kan vervolgens met vele mensen uit de organisatie in gesprek gaan zodat het tot een organisatiebreed gedragen concept leidt. Het daadwerkelijk implementeren zal de projectleider vervolgens ook zelf leiden. Na afloop van het project heeft de organisatie een goed begin met risicomanagement gemaakt. Het is daarna aan de controller om de effectiviteit en werking te waarborgen en te optimaliseren. Risicomanagement heeft immers onderhoud nodig om te blijven functioneren.

Het bewaken van de effectiviteit en werking van risicomanagement vinden de bestuurders en controllers primair de verantwoordelijkheid van de hoogste leiding van de organisatie. Een financiële afdeling zoals een controlafdeling of een financiële administratie achten zij geschikt om de operationele bewaking uit te voeren. Functionarissen van deze afdelingen monitoren en rapporteren aan de bestuurders en controllers. Als een organisatie uit meerdere bedrijven en/of afdelingen bestaat, moet ieder bedrijf en/of afdeling zelf monitoren.

Accountant

De accountant speelt een belangrijke rol in het proces van risicomanagement met de beoordeling van de administratieve organisatie en interne controle. Hij beschikt over veel ervaring en kan de marktontwikkelingen bij diverse verschillende organisaties volgen. Ook kan de accountant blinde vlekken van functionarissen uit de organisatie compenseren doordat hij met een frisse blik naar de organisatie kan kijken. Als een accountant breder kijkt dan alleen de jaarrekening kan hij van extra toegevoegde waarde zijn voor de organisatie. De mate waarin een accountant breder kijkt dan alleen de jaarrekening is persoonsafhankelijk.

Op het gebied van verslaggeving kan de accountant ook van toegevoegde waarde zijn. Een risico van de jaarrekening is dat de concurrentie hier meer informatie uit haalt dan volgens de wet- en regelgeving nodig is. Een taak van de accountant kan zijn om te kijken welke informatie in overeenstemming met de RJ niet verplicht is en dat concurrentiegevoelig is. Hij kan de organisatie dan helpen te filteren welke informatie zij niet hoeft te vermelden in het jaarrapport. Een accountant kan juridisch breder kijken dan alleen de controle.

De accountant kan door middel van zijn bevindingen en aanbevelingen die hij in de managementletter doet een belangrijke rol bij het proces van risicomanagement spelen. Bij de invoering van risicomanagement kan naast een model zoals COSO ook de managementletters van de afgelopen jaren als input dienen. Naar de mening van de organisaties moet een accountant zowel naar interne als externe risico’s kijken. De accountant is echter primair gericht op de rapportagedoelstelling. Tegelijkertijd moet de accountant wel een oordeel over de continuïteit van de organisatie geven. Gezien de vele organisaties waar een accountant komt, achten niet-beursgenoteerde organisaties het wenselijk dat de accountant ook naar strategische en operationele zaken kijkt. Dit is de echte toegevoegde waarde van een goede accountant. Op deze manier kan een accountant een band met een organisatie opbouwen. Persoonlijk contact en aandacht vinden organisaties heel belangrijk.

De accountant is niet geschikt om te helpen bij het ontwikkelen, opzetten en implementeren van risicomanagement. Dit ligt niet aan een tekort aan kennis, maar aan de voorschriften voor onafhankelijkheid waar een accountant aan dient te voldoen. Een accountant kan niet zijn eigen ontworpen systeem op effectiviteit beoordelen. De accountant beoordeelt namelijk wel de effectiviteit van risicomanagement in de interim-controle. Toch betrekken niet-beursgenoteerde organisaties hun accountant wel vaak bij het traject om risicomanagement te gaan toepassen. Bedrijfsprocessen en risicomanagement lopen in de praktijk vaak door elkaar heen en dan is het praktisch de accountant hier, zover de regels het toelaten,

hierbij wel te betrekken. De bevindingen van zijn beoordeling rapporteert de accountant in de jaarlijkse managementletter.

Adviseur

De rol die een adviseur in de ogen van niet-beursgenoteerde organisaties kan spelen is afhankelijk van de beschikbare kennis in de organisatie zelf. Als er functionarissen zijn met veel kennis (en ervaring) op het gebied van risicomanagement geven organisaties de voorkeur om zelf hiermee aan de slag te gaan. Ze kunnen dan enerzijds financiële middelen besparen en anderzijds er hun eigen systeem van maken. Het komt echter bij niet-beursgenoteerde organisaties ook voor dat de kennis niet in huis is. In dat geval is externe hulp noodzakelijk om gestructureerd risicomanagement in te voeren. De voorkeur van niet-beursgenoteerde organisaties ligt bij het zo weinig mogelijk gebruik maken van externe adviseurs. Bij voorkeur hebben zij mensen in eigen dienst. Dit kan projectmatig plaatsvinden of door middel van het vrijmaken van medewerkers die al langer werkzaam zijn bij de organisatie. Externe adviseurs hebben veel kennis en kunnen zeker van toegevoegde voor de organisatie zijn. Het nadeel aan hen inhuren is echter, naast het financiële aspect, is dat ze relatief snel weer uit de organisatie verdwijnen. Zo blijft de specifieke kennis niet voor de organisatie behouden. Daarnaast gaat de voorkeur ernaar uit om grote wijzingen zoals invoering van risicomanagement grotendeels zelf te regelen, omdat zich tot een proces of systeem van de organisatie zelf moet ontwikkelen.

Een organisatie kan zelf bedenken welke risico’s zij loopt, maar de risico’s ook daadwerkelijk afdekken is lastiger. Vooral op specifieke gebieden zoals juridisch, fiscaal en milieu kan externe kennis erg nuttig zijn. Een adviseur kan ook een second opinion uitvoeren op de effectiviteit van risicomanagement. Door zijn branche-ervaring kan een adviseur goed beoordelen of een organisatie de risico’s in kaart heeft en beheerst. Een aantal bestuurders en controllers voegen hier echter aan toe dat de accountant dit ook moet kunnen. Er is dan ook geen aparte externe adviseur meer voor nodig. Externe adviseurs kunnen bij de inrichting van risicomanagement wel kijken hoe diep een organisatie met toepassen het beste kan gaan.

Ideaalsituatie

Net als bij de uitwerking van de visie van de accountants en adviseurs heb ik ook bij de interviews met de bestuurders en controllers gekeken naar de belangrijkste kernelementen, voor- en nadelen en beperkingen. De kernelementen heb ik in de vorige paragraaf al per gesprekspartner beschreven en zullen in de analyse tussen de visie van accountants en adviseurs ten opzichte van bestuurders en controllers weer terugkomen.

De bestuurders en controllers zien een aantal belangrijke voordelen voor niet-beursgenoteerde organisaties die risicomanagement toepassen. Ten eerste is een organisatie beter in-control als zij effectief risicomanagement toepast. De organisatie kent zichzelf beter als zij kritisch naar de risico’s kijkt die zij loopt. Dit leidt ook tot een beter imago bij het personeel en externe belanghebbenden. Ten tweede vergroot toepassing van risicomanagement het risicobewustzijn. Door toepassing van risicomanagement is een organisatie in ieder geval bewust van de risico’s die

bestaan. Door bewust te zijn van de eigen beperkingen creëer je enerzijds rust en anderzijds ook onrust. Het is bekend wel risico’s relevant zijn, maar het blijft onzeker of en wanneer ze optreden. Binnen de organisatie heeft iedereen wel de ogen open voor nieuwe risico’s. Deze stap is voor een organisatie ook al veel waard. Als derde kan een organisatie beter presteren als zij vroegtijdig kan sturen op nieuwe relevante ontwikkelingen. Mogelijke opbrengstverliezen kan de organisatie eerder signaleren doordat zij haar omgeving beter in beeld heeft. De vraag is altijd of er een balans blijft tussen risico’s voorkomen en wat bepaalde keuzes opleveren. Deze scherpte moet in de cultuur aanwezig zijn, omdat een (winstgestuurde) organisatie primair geld moet verdienen. Tot slot kan de efficiency van bedrijfsprocessen ook verbeteren.

De bestuurders en controllers zien ook enkele nadelen als niet-beursgenoteerde organisaties risicomanagement niet toepassen. Een organisatie die geen risicomanagement toepast, loopt het risico dat sommige dingen door de vingers glippen. Als de top van de organisatie geen risicobewustzijn uitdraagt en laat zien dit belangrijk te vinden, kan dit tot een sneeuwbaleffect leiden. Medewerkers kijken minder scherp of facturen rechtmatig zijn en betalen zonder dit te controleren. Een organisatie kan in een vicieuze cirkel belanden dat de verkeerde kant op draait. De normen in de organisatie vervagen wat kan leiden tot laksheid en in het slechtste geval fraude. Ten tweede loopt een organisatie het risico dat de mensen in de organisatie niet begrijpen waar ze mee bezig zijn. Door risico’s niet schriftelijk vast te leggen, heb je geen meetpunt wat de actuele stand van zaken is. Ook kun je bevindingen niet met elkaar delen. Door risicomanagement te structureren kun je controleren of mensen ook echt begrijpen waar de organisatie mee bezig wil zijn. Als laatste kan het ook leiden tot het niet in kaart hebben van de risico’s waardoor een organisatie voor meer verrassingen kan komen te staan. In het slechtste geval kan