Cees A. Visser | april 2006

In nagenoeg alle recente wet- en regelgeving over corporate governance worden aan ondernemingen en hun bestuurders nieuwe eisen gesteld op het gebied van risicomanagement en interne beheersing. In dit artikel geven we een overzicht van de belangrijkste inzichten en concepten daarbij. Als het ondernemingsbestuur deze juist toepast zorgt dat vooral voor waardetoevoeging.

Koning Arthur, Cornwall. © Michelle Kruf

Zelfs de meest succesvolle ondernemingen neigen er traditioneel toe om hun risicobeheersing sterk gefragmenteerd te organiseren.¹ In een bedrijf van enige omvang zijn er al snel meer dan tien functies of afdelingen te identificeren die zich toeleggen op de beheersing van een deel van het totale risicoprofiel van die onderneming.² Risico’s op het gebied van bijvoorbeeld technologie, financiële verslaggeving, fraude, automatisering, kwaliteit, milieu en arbeidsomstandigheden worden vrijwel altijd onafhankelijk van elkaar beoordeeld en beheerst vanuit separate, gespecialiseerde functies en afdelingen.

In grote, gedecentraliseerde multinationals zijn deze activiteiten vaak ook nog eens verspreid over een reeks divisies, business units en werkmaatschappijen die in verschillende landen actief zijn. Voor veel van deze  activiteiten geldt dat hun oorspronkelijke relatie met de ondernemingsdoelen verloren is gegaan en dat ze een doel op zich zijn geworden. Bovendien blijkt vaak dat de onderlinge coördinatie tussen al die beheersactiviteiten geheel of gedeeltelijk ontbreekt. Zo kan het voorkomen dat verschillende afdelingen of functies zich richten op dezelfde risico’s zonder dat van elkaar te weten, laat staan dat hun inzet onderling is afgestemd.

Gebrekkig risicomanagement kan tot ernstige schade leiden of zelfs tot de ondergang van een onderneming. Denk bijvoorbeeld aan de ongecontroleerde handel waardoor de Barings Bank verging, de fraude en uiteindelijke neergang van Enron, de noodzakelijke aanpassingen van de oliereserves bij Shell, de reputatieschade van Nike en Nestlé in verband met activiteiten in ontwikkelingslanden of de bezorgdheid over gezondheidsschade door producten van McDonald’s.

Nieuwe wet- en regelgeving
Bij veel ondernemingen wordt de vooruitgang op het gebied van risicomanagement thans voornamelijk gedreven door de recente golf aan nieuwe wet- en regelgeving op het gebied van corporate governance.³ Voorbeelden daarvan zijn de Sarbanes-Oxley Act in de Verenigde Staten, die erop is gericht jaarrekeningfraude tegen te gaan; het Basel II Akkoord, dat op financiële en operationele risico’s in de financiële dienstverlening is gericht en in Nederland de Code Tabaksblat die vereist dat het bestuur verklaart dat het risicomanagement en het systeem van interne beheersing adequaat en effectief zijn.

Deze nieuwe wet- en regelgeving is veelal gericht op een breder scala aan risicomanagementprocessen dan de financiële beheersingsmaatregelen die ondernemingen van oudsher inzetten. Desondanks reageren bestuurders nog vaak op deze nieuwe regelgeving met een benadering gericht op financiële risico’s in plaats van een benadering waarbij alle ondernemingsrisico’s in onderlinge samenhang worden beschouwd en beheerst. Paradoxaal genoeg zien velen de nieuwe corporate-governanceregelgeving juist als gevolg van dit beperkte risicobegrip als iets waarmee wel aanzienlijke kosten maar weinig duidelijke voordelen gemoeid zijn.⁴

Integraal risicomanagement

Enterprise risk management (ERM) beoogt een bredere, meer geïntegreerde benadering van de beheersing van financiële en niet-financiële risico’s. Het Committee on Sponsoring Organisations (COSO) van de Treadway-Commissie – een erkend voortrekker op het gebied van risicomanagement en interne beheersing – ziet ERM als een ondernemingsbreed proces om potentiële gebeurtenissen te signaleren die van invloed kunnen zijn op de organisatie, om risico’s te beheersen binnen het beoogde risicoprofiel en om redelijke zekerheid te verschaffen dat de doelen van de onderneming worden gerealiseerd.⁵ Ook de Code Tabaksblat verwijst naar dit model als een geschikt referentieraamwerk voor het inrichten en beoordelen van een omvattend en samenhangend risicomanagement- en een intern beheerssysteem.

Gezien het bovenstaande is het niet vreemd dat ERM vaak wordt gezien als de ‘heilige graal’ van risicomanagement. Maar net als de zoektocht naar deze mythische schaal blijkt de implementatie van een ondernemingsbrede, gestructureerde benadering voor het identificeren, beoordelen en beheersen van risico’s voor veel ondernemingen een uitdagende opgave. Recent onderzoek laat bijvoorbeeld zien dat slechts 14 procent van alle ondernemingen aangeeft een ‘volgroeid’ ERM-programma te hebben.⁶ In de praktijk worden de inspanningen van ondernemingen om hun risicomanagementpotentieel te vergroten vaak gefrustreerd doordat de verschillende deelnemers aan deze discussie verschillende termen en begrippen gebruiken. Daarom stelt deze publicatie zich ten doel te komen tot praktisch hanteerbare definities van de belangrijkste concepten die daarbij centraal staan.⁷

Ondernemingen en hun aandeelhouders genereren winst door risico’s aan te gaan. Wil het ondernemingsbestuur de winst maximaliseren en de uiteindelijke uitkomsten minder variabel maken, dan moet het de risico’s waarmee het bedrijf te maken heeft in kaart brengen, evalueren en beoordelen of deze op een aanvaardbaar niveau liggen. Zo niet, dan moet het bestuur (additionele) maatregelen treffen om op die risico’s (verder) te mitigeren. Het bestuur dient vervolgens de goede werking van die beheersingsmaatregelen regelmatig te verifiëren.

Zelfs de meest succesvolle ondernemingen neigen er traditioneel toe om hun risicobeheersing sterk gefragmenteerd te organiseren.

Risicomanagement werkt het best als iedereen in een organisatie er bewust werk van maakt en dit in de organisatiecultuur en de dagelijkse gang van zaken verankerd is. Daarmee is risicomanagement een essentieel onderdeel van de taak van het bestuur, en de beste managementteams zijn daar ook altijd van doordrongen geweest.

Het doel van interne beheersingsmaatregelen is mensen te helpen bij het beheersen van risico’s en daardoor de doelen van de onderneming te bereiken. Interne beheersingsmaatregelen moeten ervoor zorgen dat:

• bedrijfsactiviteiten zo doelmatig en efficiënt mogelijk worden uitgevoerd;
• financiële en operationele informatie, voor zowel interne en externe gebruikers, volledig en betrouwbaar is;
• handelingen en beslissingen in overeenstemming zijn met voor de onderneming geldende wet- en regelgeving en contracten.

Goede corporate governance bestaat alleen bij de gratie van adequate en effectieve interne beheersingsmaatregelen. Maar aantal, aard en aanpak van die maatregelen verschillen per onderneming, afhankelijk van de aard van haar bedrijfsactiviteiten en de risico’s waarmee zij te maken heeft. Als onderdeel van het boven beschreven risicomanagement worden die risico’s systematisch in kaart gebracht en geëvalueerd. Het systeem van interne beheersing maakt deel uit van de aanpak van risico’s en dient alle aspecten van de onderneming te omvatten – operationeel, technisch, commercieel, financieel, juridisch, veiligheid, milieu, enzovoort.

Risicomanagement werkt het best als iedereen in een organisatie er bewust werk van maakt en dit in de organisatiecultuur en de dagelijkse gang van zaken verankerd is.

Het bestuur draagt de verantwoordelijkheid om als onderdeel van zijn risicomanagement een raamwerk te scheppen voor de interne beheersing en dit te actualiseren naarmate risico’s in de loop van de tijd veranderen. Een dergelijk raamwerk vereist dat de ‘waarom, wat, wie, wanneer, waar, hoe’-vragen over de interne beheersing zijn beantwoord en dat het lijnmanagement zeker stelt dat de benodigde stappen om de ondernemingsrisico’s te mitigeren, ook daadwerkelijk worden genomen.

Het lijnmanagement is tevens verantwoordelijk voor het inzetten van de beheersingsmaatregelen. Bovenal dient het lijnmanagement maatregelen te nemen om op de hoogte te blijven of die beheersingsmaatregelen effectief zijn door regelmatige evaluaties en door periodieke rapportages te ontvangen van hun eigen afdelingen. Deze bewaking is een essentieel onderdeel van een goed beheersingskader, maar het management laat dit in de praktijk nogal eens achterwege. Een gespecialiseerde interne auditfunctie kan de activiteiten van het management ondersteunen door onafhankelijke bevestiging te bieden dat de interne beheersingsprocessen naar behoren functioneren om de risico’s tot op een aanvaardbaar niveau te beheersen.

Adequaat en effectief
De verschillende activiteiten die vereist zijn voor een adequaat en effectief risicomanagement en interne beheersing kunnen we clusteren onder de volgende noemers:

• beheer: activiteiten om zeker te stellen dat het raamwerk van interne beheersing van de organisatie omvattend en niet intern tegenstrijdig is;
• werking: activiteiten om zeker te stellen dat de interne beheersingsmaatregelen en processen die zijn omschreven en vastgelegd daadwerkelijk worden uitgevoerd;
• inrichting: activiteiten om zeker te stellen dat het raamwerk van interne beheersing blijft voldoen in relatie tot het risicoprofiel van de onderneming zoals dat in de loop van de tijd evolueert.

Bovengenoemde activiteiten en hun onderlinge samenhang zijn gevisualiseerd in figuur 1.

Om effectief te zijn en te blijven moet een raamwerk voor de interne beheersing:

• worden begrepen en uitgedragen door het bestuur en het lijnmanagement. Zichtbare en consequente top-downondersteuning, die in zowel gedrag als acties tot uiting komt, is essentieel. Voorbeelden van dergelijke ondersteuning zijn, naast regelmatige evaluaties en besprekingen van het raamwerk door het management, expliciet het belang benadrukken van doelmatige reacties op gesignaleerde risico’s, regelmatige aandacht voor hoe belangrijke risico’s worden beheerst en de toewijzing van middelen. Daardoor kan tijdig worden bijgestuurd in het geval van niet-functioneren en tekortkomingen van of belangrijke veranderingen in de doelmatigheid van het raamwerk voor de interne beheersing.
• worden verankerd. Een raamwerk voor de interne beheersing dient zoveel mogelijk te zijn ‘ingebouwd’ in de dagelijkse activiteiten en processen van de onderneming. Hoe dit in de praktijk wordt gerealiseerd kan verschillen, afhankelijk van het hiërarchische niveau en de aard van de betreffende entiteit binnen de onderneming.
• worden gecommuniceerd. Medewerkers moeten bekend zijn met het raamwerk voor de interne beheersing dat in hun onderneming wordt gehanteerd. Het communiceren van dit raamwerk vergroot het inzicht in welke risico’s tot op welke hoogte aanvaardbaar zijn, vormt een leidraad bij dagelijkse besluitvormingsprocessen, verklaart waarom bepaalde beheersingsmaatregelen worden ingezet en verduidelijkt wat van wie wordt verwacht. Als een raamwerk voor de beheersing breed wordt gecommuniceerd, dan is dit bovendien een effectieve manier om het te versterken. Dit vooropgesteld dat mensen een kans krijgen om verschillende ideeën over risico’s aan te dragen en bijstellingen in te brengen. Bijvoorbeeld over de vraag of bepaalde beheersmaatregelen daadwerkelijk worden toegepast, of deze effectief zijn dan wel dat de noodzaak ertoe wellicht is vervallen.

Conclusie
Uit het bovenstaande concluderen we dat het bij het invoeren van een geïntegreerde benadering van de beheersing van het brede palet van ondernemingrisico’s, niet gaat om de introductie van een nieuwe organisatorische infrastructuur om dat mogelijk te maken. Het is vaak wel noodzakelijk en mogelijk om tot een betere coördinatie, stroomlijning en inzet van bestaande risicobeheersmaatregelen te komen. Een realistische, succesvolle invoering van ERM begint dus met de demystificatie ervan en met het wegnemen van de illusie dat we met deze heilige schaal alle risico’s als vanzelf kunnen opvangen.

Noten

1. Hoewel deze publicatie is geschreven vanuit het perspectief van een onderneming, zijn de hierin beschreven begrippen en concepten mutatis mutandis ook van toepassing op niet-winstgerichte organisaties.
2. Paul L. Walker, William G. Shenkir en Thomas L. Barton, Enterprise Risk Management: Pulling it All Together, Institute of Internal Auditors, 2002.
3. George Dallas (red.), Governance and Risk, McGraw-Hill, 2004.
4. Robert Phelps and Niki Mellor, An Integrated Approach To Managing Risk, Ernst & Young/Financial Times, Mastering Risk Series, September 2005 en Anne M. Marchetti, Beyond Sarbanes-Oxley Compliance: Effective Enterprise Risk Management, John Wiley & Sons, 2005.
5. COSO Enterprise Risk Management – Integrated Framework, COSO, September 2004.
6. Emerging Trends in Internal Controls – Fourth Survey, Ernst & Young, September 2005.
7. Gebaseerd op normen en richtlijnen zoals gepubliceerd door de Committee of Sponsoring Organizations of the Treadway Commission (COSO) en het Institute of Internal Auditors (IIA).