Visie van de adviseur

Net als bij de interviews met de accountants vat ik ook voor de twee geïnterviewde adviseurs de genoemde punten samen tot één visie. De beschrijving in deze paragraaf ga ik later vergelijken met de beschrijving over de visie van de accountant. Het COSO ERM Framework is naar de visie van de adviseurs in een aantal elementen interessant voor toepassing voor niet-beursgenoteerde organisaties. Als een organisatie het concept op pragmatische wijze vertaalt naar haar organisatie kan het van toegevoegde waarde zijn. In de praktijk passen slechts weinig organisaties het raamwerk volledig toe. Het is de kunst om de elementen uit het raamwerk pragmatisch te vertalen naar de specifieke organisatiekenmerken. Het COSO ERM Framework is mede relevant, omdat het een internationaal breed geaccepteerd model is. Het is een goed framework dat kansen biedt voor organisaties. Hierdoor biedt het een goede onderbouwing voor de verantwoording waarom je bepaalde keuzes maakt. Punt blijft dat een eigen organisatiespecifieke invulling van het model van groot belang is.

De toepassing van het framework moet een organisatie niet alleen gebruiken als hulpmiddel voor puur de jaarrekening. Alle vier de doelstellingen van het model zijn belangrijk. Het model is uitermate geschikt om organisatiebreed naar risico’s te kijken en de gesignaleerde risico’s op gestructureerde wijze te gaan beheersen. Een mogelijkheid om risicomanagement toe te passen is het categoriseren van risico’s. Door risico’s onder te brengen in risicocategorieën kan een organisatie per categorie overzichtelijk krijgen wat er speelt. De vier doelstellingen van het model zitten dan als het goed is verweven in de verschillende risicocategorieën. Het COSO ERM Framework dient dan ook slechts als basis en vervolgens moet er een vertaling naar de organisatie plaatsvinden.

Het is voor veel organisaties wel een moeilijk framework op te gaan implementeren, omdat risicomanagement een eigen vak is waar je genoeg kennis over moet hebben om het nuttig te kunnen toepassen. Veel organisaties kunnen zelf wel de risico’s in kaart brengen, maar om dit vervolgens hier gestructureerd mee aan de slag te gaan, is lastiger. Het niet zo dat het framework de enige goede manier is om

risicomanagement effectief toe te passen. Wel is het een bruikbare ‘tool’ als je het op de goede manier toepast in de organisatie.

De accountant kijkt vooral vanuit het financiële perspectief naar risico’s. De gevolgen voor de jaarrekening hebben logischerwijs prioriteit. Het is echter voor een organisatie van belang dat zij breder kijken dan alleen de financiële risico’s. Dit is slechts kijken met een smalle scope naar de risico’s van een organisatie. De adviseur kijkt naar alle vier de doelstellingen die het COSO ERM Framework benoemt. De strategische, operationele en compliance doelstellingen zijn minstens zo belangrijk dat de rapportagedoelstelling. Adviseurs vinden het een goed middel om samen met een organisatie om tafel te gaan zitten en vervolgens afzonderlijk risico’s te gaan signaleren. De organisatie signaleert vervolgens risico’s, maar dit doen de adviseurs dus ook. Het blijkt dat hier verschillen uit voortkomen. Het is de kunst om breed naar risico’s te kijken zodat de organisatiedoelstellingen in beeld blijven. Deze doelstellingen wil een organisatie immers halen en de risico’s die dat in gevaar kunnen brengen, wil een organisatie waar mogelijk beperken. Een goed voorbeeld is dat een organisatie op voorraad produceert en dit perfect volgens planning doet. Wanneer de vraag naar de geproduceerde producten ongeacht de reden echter afneemt, dreigt de organisatie wel te blijven zitten met een hoge voorraad die zij niet kunnen verkopen. Dit issue zullen zij vervolgens gaan oplossen en beheersen. Vooraf een afzetprognose maken en daarop de productie afstemmen zou het ontstane issue hebben voorkomen. Hetzelfde geldt voor een telefoonnetwerk voor een organisatie die hier in de dagelijkse werkzaamheden op steunt. Door het uitvallen kan een organisatie stil komen te liggen. Door organisatiebreed en naar alle vier de doelstellingen te kijken, kunnen organisatie dit soort risico’s tijdig signaleren en beheersen. Het is dus de kunst om risico’s en potentiële gebeurtenissen vooraf te herkennen zodat je niet onnodig achteraf moet anticiperen. Het COSO ERM Framework effectief toepassen kan organisaties hier goed bij helpen.

Inrichting systeem

Het is belangrijk om te beseffen dat als je risico’s beheerst, er nog geen sprake is van een risicomanagement systeem. Het beheersen van de relevante risico’s is slechts het uitvoeren van een risicoanalyse. Hoe dan ook is het creëren van bewustzijn essentieel. Van een systeem is pas sprake als naast de risicoanalyse ook de planning, implementatie en het monitoren effectief verloopt of is verlopen. Het raamwerk voor toepassing van risicomanagement begint bij het bepalen van beleid en richtlijnen voor risicomanagement. Vervolgens moet de organisatie risico’s onderbrengen in risicocategorieën. De volgende stap is dat iedereen in de organisatie dezelfde risicotaal ‘spreekt’. Dit houdt in dat als het intern over risico’s gaat iedereen moet begrijpen waar het over gaat. De vervolgstap hiervan is dat iedereen zijn of haar taken en verantwoordelijkheden kent. Als dit allemaal goed verloopt, leidt dit tot een risicorapportage. Uiteindelijk kan dit leiden tot een assurance structuur waarin de organisatie haar risico’s effectief beheerst.

Er zijn verschillende redenen voor organisatie om bezig te gaan met risicomanagement. Ten eerste kan de Raad van Toezicht of Raad van Commissarissen druk uitoefenen op de bestuurders om met risicomanagement bezig te gaan. Vanuit hun toezichthoudende functie willen zij inzicht krijgen in de risico’s die de organisatie loopt en hoe de organisatie deze beheerst. Als tweede kan een

organisatie ook voor zichzelf het besluit nemen om risicomanagement te gaan toepassen. Als de organisatie het idee heeft de grip te verliezen op de verschillende risico’s kan risicomanagement uitkomst bieden. De derde reden gaat hierop door. Door effectieve toepassing van risicomanagement kan een organisatie slagvaardiger zijn ten opzichte van haar concurrentie. De vierde reden is dat een organisatie in-control wil of moet zijn. Ten vijfde kunnen ook banken en overheden druk op organisaties uitoefenen om risicomanagement te gaan toepassen. Ten behoeve van subsidies en financiering wensen zij inzicht te krijgen in de belangrijkste risico’s van de organisatie. Tot slot kan de verwachting van de maatschappij ook doorslaggevend zijn. Als relevante externe partijen van een organisatie verwachten dat zij risicomanagement gaan toepassen, zullen zij hier rekening mee moeten houden. De vraag hoe vaak een organisatie kritisch naar risicomanagement moet kijken hangt van verschillende factoren af. De omvang van de organisatie bepaalt mede hoe ingewikkeld de beheersing van risico’s is. In een grote organisatie kan de beheersing complexer zijn waardoor het meer en vaker aandacht vereist. Een andere factor is de mate waarin er risicobewustzijn in de organisatie aanwezig is. Als een organisatie en haar medewerkers zich heel bewust zijn van de risico’s die zij lopen en hier in de dagelijkse werkzaamheden ook bewust mee bezig houden, kan eenmaal per jaar het evalueren en optimaliseren van de risico’s toereikend zijn. Indien dit niet het geval is, zal een organisatie vaker hierna moeten kijken. Een werkoverleg of managementbespreking kan een goed moment zijn om dit te bespreken. Door het evalueren van risico’s als vast agendapunt te behandelen, blijft een organisatie periodiek bezig met het actueel houden van de risico’s die zij beheersen.

Het effectief inrichten van een risicomanagement systeem is lastiger dan het op voorhand lijkt. Hier is veel specialistische kennis voor nodig. De kennis binnen niet-beursgenoteerde onderneming schiet vaak tekort om risicomanagement effectief te implementeren. Het vakgebied van risicomanagement is niet in een aantal korte cursussen te leren. Het proces om risicomanagement effectief toe te passen is een langdurig proces. Het is een proces dat veel tijd in beslag neemt. Van niet-beursgenoteerde ondernemingen is het niet te verwachten dat zij vanaf een nulpunt binnen een jaar een uitgebreid en effectief risicomanagement systeem ingevoerd hebben. In de praktijk zijn organisaties jarenlang bezig, omdat het stapsgewijs moet plaatsvinden. Een organisatie begint met een basis en bouwt dit vervolgens geleidelijk uit naar een steeds uitgebreider systeem. Een reden wat hierbij ook meespeelt, is dat toepassing van risicomanagement voor niet-beursgenoteerde ondernemingen vrijblijvend is. Daarom kunnen zij ook langer de tijd nemen om risicomanagement toe te gaan passen.

In principe kunnen organisaties echter wel zelf risicomanagement gaan invoeren in de organisatie. De kennis is in principe voldoende aanwezig door de aanwezigheid van een interne audit afdeling of controller. De mate waarin een organisatie zelf risicomanagement kan invoeren, hangt in belangrijke mate af van de kennis en ervaring van deze functionarissen. Hierbij speelt wel het risico dat zij zich teveel focussen op het betrouwbaarheidsaspect in plaats van het behalen van alle organisatiedoelstellingen. Het is voor een organisatie vooral lastig om het invoeren van risicomanagement op een goede manier te organiseren en structureren.

Iedereen is de organisatie zou betrokken moeten zijn bij risicomanagement. Hier ligt ook meteen een mogelijk probleem. Medewerkers zijn niet primair betrokken bij risicomanagement en zien daarom vaak het belang ervan ook niet in. De top van de organisatie zou verantwoordelijk moeten zijn voor de effectiviteit van de toepassing van risicomanagement. Zowel de bestuurders als de commissarissen moeten actief bezig zijn met risicomanagement. Zij moeten de verantwoordelijkheid nemen en ook uitdragen naar de rest van de organisatie. Iedere manager zou vervolgens verantwoordelijk moeten zijn voor de eigen risico’s plus beheersingsmaatregelen. In feite creëer je hiermee proceseigenaren. Het is ook van belang om projectrisico’s te onderscheiden van structurele risico’s. De invoering van bijvoorbeeld ERP leidt tot vele risico’s op het gebied van onder andere tijd, geld en kwaliteit. Wanneer de invoering echter is afgerond, verdwijnt het project en zijn de projectrisico’s of structurele risico’s of niet langer relevant meer. Risicomanagement moet in de hele organisatie verweven zitten. De organisatie moet de risico’s verdelen op strategisch, tactisch en operationeel niveau. Dit kunnen organisaties doen door risicomanagement in te bedden in procedures, functies en taakomschrijvingen. Alle medewerkers werken dan direct of indirect mee aan het toepassen. Doordat de top van de organisatie het belang van risicomanagement uitstraalt, kunnen zij de rest van de medewerkers hiervan bewust maken. Het effectief toepassen kost veel energie, maar een goed risicomanagement systeem kost tijd. Het is essentieel dat een onafhankelijk intern of extern orgaan periodiek de werking van het risicomanagement systeem toetst. De omgeving kan veranderen waardoor de prioriteit van risico’s ook anders kan komen te liggen. Dit zal de organisatie goed moeten monitoren. Bij voorkeur is een onafhankelijk orgaan hiermee belast om met een frisse en objectieve blik naar de risico’s te kijken.

Accountant

De accountant richt zich voornamelijk op haar primaire taak de accountantscontrole. Het beoordelen van de cijfers in de jaarrekening is hun specialiteit. Ze kijken dan ook vooral naar het betrouwbaarheidsaspect. Vanuit hun werkzaamheden kijken accountants ook naar de werking van de beheersingsmaatregelen. Hierover doen zij ook verslag in de managementletter. De accountant is zeker geschikt om onafhankelijk kritisch naar de bedrijfsprocessen te kijken wat als input kan dienen voor de directie. De accountant kan dus zeker wat voor een organisatie betekenen ware het niet dat de accountant met onafhankelijkheid kampt. Een accountant die de jaarrekeningcontrole bij een organisatie voor haar rekening neemt, kan niet zelf een risicomanagement systeem helpen te implementeren. Meedenken met de organisatie en tot een bepaald niveau adviseren is geen probleem. Zolang de accountant niet het eigen bedachte systeem moet gaan controleren en beoordelen. Door accountants te betrekken bij de ontwikkeling van een risicomanagement systeem kan risicomanagement ook voor de jaarrekeningcontrole relevant zijn. Als een organisatie risicomanagement effectief en in overleg met de accountant toepast, is het mogelijk dat de deze hier tijdens de accountantscontrole op kan steunen.

Sinds enige tijd verklaren, vooral grote organisaties, in hun jaarverslag dat zij in-control zijn. De accountant kan dit nooit volledig toetsen en zal bij de beoordeling hiervan deels op het gevoel af moeten gaan.

Adviseur

De rol van een adviseur bij de invoering en toepassing van risicomanagement ligt op het gebied van het faciliteren, organiseren en structuren. De mate waarin een adviseur nodig is, hangt af van de mensen die in de organisatie aanwezig zijn. In de praktijk blijkt dat organisaties wel de risico’s die zij lopen kennen, maar zij moeite hebben met het structureren en organiseren. Het is de kunst om als organisatie na een goede afweging bewust risico’s te lopen. Een organisatie kan namelijk niet alle risico’s beheersen, omdat soms de kosten niet opwegen tegen de baten.

Zodra een organisatie bewust is van het belang van toepassing van risicomanagement kan het ontwikkelen van een systeem beginnen. Een adviseur kan helpen met de vraag hoe een organisatie dit kan aanpakken. Het is voor een organisatie lastig om te bepalen waar te beginnen. Voor een organisatie het door heeft, signaleert zij honderden risico’s, maar vergeet één of enkele zeer belangrijke. Een mogelijkheid is om interne workshops te geven over hoe mensen naar risico’s kunnen kijken. Adviseurs kunnen vanaf het begin een organisatie voorzien van deskundig advies. In de ideale situatie gaan adviseurs als externe partij samen met een interne partij risicomanagement voor de organisatie ontwikkelen. Risicomanagement is een ‘ongoing proces’. Het is geen eenmalig proces of project waar je vervolgens niet weer naar om hoeft te kijken. Om risicomanagement effectief toe te blijven passen, is structurele aandacht hiervoor onmisbaar. Het is van groot belang dat een organisatie het risicomanagement systeem blijft evalueren en dat het monitoren hiervan actief plaatsvindt. Externe partijen kunnen periodiek het risicomanagement systeem beoordelen en relevante ontwikkelingen signaleren. Een externe adviseur kan kritisch kijken naar wat een organisatie heeft gedaan, waar ze momenteel staat en een onafhankelijke mening vormen over de effectiviteit van het toegepaste risicomanagement. Op termijn moet de organisatie er echter naar toe dat zij zelf de effectiviteit kan bewaken en waar nodig aanpassingen aanbrengt.

Voor- en nadelen

Risicomanagement biedt verschillende voordelen. Deze zijn in drie categorieën onder te brengen. Ten eerste kunnen organisaties door effectieve toepassing van risicomanagement hun prestaties verbeteren. Ze kunnen snel en effectief reageren op veranderingen in de omgeving. Een organisatie zal minder snel verrast zijn door een verhoogd risicobewustzijn. De prestaties verbeteren ook doordat een organisatie betere afwegingen kan maken op het gebied van strategieontwikkeling, investeringsbeslissingen en het toewijzen van hulpmiddelen. Het is beter in kaart wat de gevolgen van keuzes zijn wat zou moeten leiden tot betere beslissingen. Als tweede kunnen organisaties de interne transparantie verbeteren. De organisatie heeft beter inzicht in haar risicoprofiel. Dit zorgt voor een beter inzicht in het gehele controleniveau. Medewerkers krijgen bijvoorbeeld ook het idee dat zij werken in een organisatie die weet waar zij mee bezig is. Als laatste kunnen organisaties ook de externe transparantie verbeteren. Ze zullen eventuele relevante wet- en regelgeving goed kunnen naleven en geven beter inzicht in het risicoprofiel aan belanghebbenden. Dit zijn onder andere investeerders, banken, accountants, klanten en de Belastingdienst.

Een organisatie kan overigens ook zonder risicomanagement te structureren wel haar risico’s in kaart hebben. De organisaties met een directeurgrootaandeelhouder

zijn hier een goed voorbeeld van. Veel van dit soort organisaties gaan bij veel beslissingen op het gevoel af. Dit gevoel is gebaseerd op een ondernemerschap dat in de genen van deze ondernemers zit. Een strikt te volgen risicomanagement systeem werkt in dit soort organisaties niet. Hier komt dus terug dat risicomanagement moet aansluiten bij de cultuur van de organisatie. Voor de grote groep organisaties waarvoor dit niet geldt, spelen er een aantal mogelijke nadelen.

Wanneer een organisatie ongeacht de reden ervoor kiest risicomanagement niet te gaan toepassen of niet effectief toepast, kan dit volgens de adviseurs een aantal nadelen opleveren. Het eerste nadeel is dat een organisatie niet in-control is. De risico’s in beeld hebben en beheersen is essentieel om in-control te zijn. Ten tweede speelt hier ook de imagokwestie een rol. Een goed opgebouwd imago kan heel snel omslaan in een aangetast imago. Elke relevante negatieve gebeurtenis kan voor grote imagoschade zorgen. Een goed imago opbouwen kost veel tijd, een imago aantasten kan elke dag gebeuren. Als derde speelt hier ook de financiering een rol. Organisaties die hun belangrijkste risico’s niet in kaart hebben, kunnen meer moeite hebben met het verkrijgen van krediet. Banken zullen gezien hun eigen situatie kritischer kijken naar krediet wat ze verstrekken. Als laatste kan een organisatie in continuïteitsproblemen komen. Een niet tijdig gesignaleerd en beheerst risico kan een enorme impact hebben. Afhankelijk van de impact kan dit leiden tot problemen met de continuïteit.

Beperkingen

Een niet-beursgenoteerde organisatie hoeft geen beperkingen te hebben wat betreft het kunnen toepassen van risicomanagement ten opzichte van beursgenoteerde organisaties. Het hangt af van de omvang van de organisatie. Het grootste verschil op het gebied van risicomanagement tussen beursgenoteerde en niet-beursgenoteerde organisaties zijn de regels en communicatieverplichtingen in het jaarverslag waaraan beursgenoteerde organisaties moeten voldoen.