Risicomanagement in de kinderschoenen

0 reactie(s) | Tekstgrootte:

Gerelateerd:

• Anticyclisch denken: juist in tijden van crisis!

Er is een enquête uitgestuurd naar bijna 10.000 organisaties met een omzet/budget groter dan € 10 miljoen. De respons van bijna duizend surveys is succesvol te noemen

Risicomanagement beoogt een organisatie in staat te stellen haar risico’s beter te managen. De vraag die zich echter aandient is of risicomanagement weliswaar niet heeft geholpen om de crisis te voorkomen maar dan toch tenminste de gevolgen ervan heeft weten in te perken. Sommigen stellen dat risicomanagement juist heeft bijgedragen aan het ontstaan van de zeepbellen en de crisis.

Er zijn op basis van het gehouden onderzoek een zevental principes voor adequaat risicomanagement geformuleerd, namelijk:

1. Periodiciteit. Risicoanalyses worden niet of slechts éénmaal per jaar uitgevoerd.
2. Integrale karakter. Als het gaat om de vraag met welke diepgang en breedte risico’s worden geïnventariseerd, zijn de resultaten niet erg hoopgevend. Een 'in control' verklaring komt voor bij slechts bij een beperkt deel van de respondenten maar het overgrote deel geeft zo’n verklaring slechts over de financiële rapportagerisico’s.
3. Bedrijfsbrede benadering. De betrokkenheid van de lagere managementlagen bij risicoanalyses en het afgeven van een ‘in control’-verklaring is eveneens voor verbetering vatbaar. Meestal zijn slechts de hoogste managementlagen betrokken.
4. Proactiviteit. Ook de momenten waarop risico’s worden geïnventariseerd scoren magertjes. Het gebeurt zeer spaarzaam bij belangrijke – strategische – beslissingen of bijzondere gebeurtenissen en/of incidenten. Dit wordt bevestigd door het lage aantal organisaties dat het risicoprofiel heeft herzien naar aanleiding van de huidige crisis. Ook de lage score, van minder dan de helft voor bespreking van de risico’s met Audit Commissie/Raad van Commissarissen is symptomatisch.
5. Expliciete karakter. Risicotolerantie blijft een lastig begrip; slechts een klein deel van de respondenten heeft dit bepaald en van dit deel heeft twee derde de risicotolerantie gekwantificeerd.
6. Gestructureerd. Het overgrote deel van de respondenten heeft geen risicoraamwerk (een model zoals bijvoorbeeld COSO) in gebruik. De meer traditionele beheersinstrumenten zoals Handboeken AO/IC hebben de overhand en worden vrij goed gewaardeerd. Sommige ‘modernere’ beheersmaatregelen (scenarioplanning, ‘business continuity planning’, ‘key risk indicators’) worden nog nauwelijks gebruikt.
7. Rapportages. Externe rapportages over risicomanagement laten te wensen over. In onze ogen is risicomanagement pas echt effectief als het leidt tot actie. Daarom is het ook verwonderlijk dat in veel gevallen niet wordt gerapporteerd over verbeteracties.

In de kinderschoenen
Al met al blijkt dat de ontwikkeling van risicomanagement nog in de kinderschoenen staat en dat de vooruitgang ten opzichte van een eerder gehouden onderzoek vijf jaar geleden bepaald niet indrukwekkend is.

De vraag is dan ook waar is de controller in het hele verhaal gebleven. De controller is wel betrokken bij risicomanagement, maar neemt niet, net zo min als andere functionarissen het voortouw om risicomanagement daadwerkelijk verder te brengen. Indien u nadere informatie over het onderzoek wenst te ontvangen, dan kunt u contact opnemen met de ondergetekende.