Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management

juiste balans tussen doelstellingen en risico`s

advertisement 
&
FINANCE
CONTROL
Governance, risk & compliance
Ri sicomanage me nt
JUISTE BALANS TUSSEN DOELSTELLINGEN
EN RISICO’S
Ondernemen betekent risico’s nemen om gestelde doelen te bereiken, maar niet ten koste van iedere prijs.
De auteur gaat in op de hulpmiddelen en technieken die een organisatie hiervoor kan gebruiken en geeft
antwoord op de vraag welke houding en strategieën een organisatie kan aanwenden om het risicomanagement succesvol in te richten.
DOOR RON KIEFT
D
e mate waarin een organisatie vroegtijdig risico’s (bedreigingen én kansen) herkent, beoordeelt en erop inspeelt, is doorslaggevend voor het behalen van succes. Een blik in de financiële katernen laat zien dat onverwachte gebeurtenissen organisaties
anders kunnen overvallen en deze enorm hard kunnen raken.
Risicomanagement stelt een organisatie in staat te beoordelen
welke risico’s en hoeveel risico ze loopt om vervolgens een afweging te kunnen maken of ze bereid is om dat risico te lopen. Zoals hierna wordt besproken draait het er bij risicomanagement
om de juiste balans te vinden tussen doelstellingen en risico’s.
zich kunnen voordoen, om vervolgens maatregelen te treffen.
Het doel van risicomanagement is het zodanig beheren en beschermen van organisaties tegen interne en externe invloeden
dat de continuïteit niet in gevaar komt. Daarnaast kunnen
door het implementeren en uitvoeren van risicomanagement
aanmerkelijke verbeteringen in de efficiency en effectiviteit
worden gerealiseerd.
Risicomanagement zorgt daardoor voor duurzaam voordeel
ten opzichte van concurrenten die diezelfde risico’s niet heb-
Businesscase van risicomanagement
Risicomanagement is een georganiseerd proces dat in iedere
organisatie zou moeten plaatsvinden. In essentie is het niet
anders dan vaststellen waar risico’s (bedreigingen en kansen)
Risicomanagement is vooral in het
ben voorzien. Effectief risicomanagement helpt dan ook de
algemene performance van organisaties te verbeteren en daardoor toegevoegde waarde te creëren. Een integrale aanpak
van risicomanagement zorgt er daarbij voor dat er niet te veel
wordt uitgegeven aan risicobeheersing. Dat is kort geformuleerd de businesscase.
Toch is risicomanagement vooral in het mkb een relatief onbekend begrip. Over het algemeen zijn ondernemingen in
het mkb niet groot genoeg om een omvangrijk risicomanagementapparaat te onderhouden. Dit is ook niet nodig, maar
het belang van risicomanagement is de laatste jaren wel toege-
De bij dit artikel behorende cursus reikt financieel medewerkers,
managers en adviseurs methoden, hulpmiddelen en technieken
aan voor het herkennen en beoordelen van risico’s en de mogelijke gevolgen ervan, het evalueren van de mogelijke beheersmaatregelen en het verankeren van risicomanagement in de organisatie. Daarnaast wordt stilgestaan bij de verschillende
houdingen en strategieën die een organisatie op het gebied van
risicomanagement kan voeren en de
belangrijkste aandachtspunten bij het
implementeren van risicomanagement.
PE
Permanente
Educatie
36
mkb een relatief onbekend begrip
|
APRIL 2014
&
FINANCE
nomen, bijvoorbeeld door een steeds groter wordende productaansprakelijkheid, mondiger wordende medewerkers en
klanten, stijgende kosten van diefstal en fraude en in sommige sectoren een sterke roep vanuit de overheid en brancheverenigingen om het risicomanagement te verbeteren. Daar komt
bij dat door de economische crisis van de afgelopen jaren verschillende financiële risico’s, zoals het debiteurenrisico en valutarisico, zich sterker dan ooit hebben geopenbaard. Naast
het feit dat de omzet ook door de economische crisis vaak behoorlijk is achtergebleven, met soms ingrijpende gevolgen
voor de rentabiliteit, liquiditeit en solvabiliteit van ondernemingen. Soms zodanig, dat als niet tijdig wordt ingegrepen,
dit belangrijke consequenties kan hebben of zelfs tot een faillissement kan leiden.
Daarnaast leeft soms de gedachte dat het implementeren van risicomanagement een kostbare aangelegenheid is. Dat hoeft niet
altijd het geval te zijn. Een onderneming kan er in een aantal
eenvoudig uit te voeren stappen achterkomen welke risico’s zij
loopt, hoe groot die risico’s zijn en welke maatregelen zij kan nemen om deze risico’s te beheersen. In de bij dit artikel behorende
cursus wordt een korte toelichting op die stappen gegeven.
Integratie in bedrijfsprocessen
Risicomanagement is een proces dat in principe in iedere organisatie zou moeten plaatsvinden. Tegelijkertijd zijn de omstandigheden nimmer identiek en brengt het de nodige kosten met zich mee. Daardoor zal steeds op individuele basis de
juiste verhouding moeten worden gevonden tussen risico en
beheersing, tegen de achtergrond van de continuïteit van de
organisatie. Dit vraagt om specialistische kennis en aandacht.
Tegenwoordig richt risicomanagement
zich meer op risico’s in de
bedrijfsvoering
Van oudsher richtte risicomanagement zich vooral op het mitigeren van financiële risico’s. Tegenwoordig richt risicomanagement zich meer op risico’s in de bedrijfsvoering en dus op processen en de strategie. Veel organisaties zijn overtuigd van het
nut en de noodzaak van goed risicomanagement, maar vinden
het lastig om er een adequate invulling aan te geven.
In de praktijk wordt risicomanagement dan ook vaak opgestart zonder veel samenhang met bestaande activiteiten, om-
APRIL 2014
CONTROL
dat het management of bestuur zich genoodzaakt zag tot het
implementeren van risicomanagement, bijvoorbeeld op grond
van compliance of corporate governance, zonder dat er voldoende kennis of aandacht was voor de samenhang met de
operationele processen en projecten in een organisatie. De
grootste valkuilen bij risicomanagement zijn dan ook:
~ onvoldoende duidelijkheid in de te realiseren doelstellingen
van de organisatie;
~ onvoldoende duidelijkheid in de doelstellingen van risicomanagement;
~ onvoldoende zicht op samenhang met de bestaande organisatiestructuur;
~ onvoldoende kennis en ervaring in het managen van programma’s en projecten;
~ geen duidelijke verantwoordelijkheden;
~ onvoldoende afbakening van de scope;
~ de organisatie is onvoldoende betrokken en doordrongen
van het belang van risicomanagement;
~ onvoldoende kennis en ervaring in het uitvoeren van risicomanagement.
Daardoor behandelen veel organisaties risicomanagement en
interne controle nog als separate onderdelen. De breedgedragen opvatting is echter dat beide onderwerpen om een meer
geïntegreerde benadering vragen. De integratie van risicomanagement en interne controle zou dan ook een plaats moeten
krijgen in de governancestructuur en strategische functie binnen organisaties. Het zogenaamde silodenken, waarbij er door
een koker naar een risico wordt gekeken, is funest voor een
goed begrip en adequate inzet van risicomanagement.
Er is een oplossingsrichting in de vorm van architectuurdenken.
Een top-down ontwikkelde architectuur kan zorgen voor afstemming tussen risicomanagement en een raamwerk voor interne
controle. Door in de architectuur een gelaagde structuur aan te
brengen, kan complexiteit worden ontleed in relatief eenvoudige
onderdelen. Deze onderdelen zijn beter te sturen en te beheersen.
De vraag hoe dit dan concreet moet gebeuren is hiermee nog
niet beantwoord. Het belangrijkste uitgangspunt daarvan is dat
risicobeheersing, bijvoorbeeld op het gebied van informatiebeveiliging en het daarop afstemmen van beheersmaatregelen, geen
zelfstandig doel is, maar wortels heeft in de business zelf.
Daarbij scheelt het veel tijd en inspanning als bij aanvang van
het implementeren van risicomanagement samenwerking
wordt gezocht met de controlerende accountant en de interne
accountantsdienst. Zeker als dit gebeurt op basis van een control-framework. Een control-framework is een structuur die
de interne beheersing van een organisatie definieert. Door
|
37
W W W. F I N A N C E - C O N T R O L . N L
&
FINANCE
heldere richtlijnen en een normenkader voor de interne beheersing te definiëren ontstaat er overeenstemming over en
inzicht in de wederzijdse activiteiten en verantwoordelijkheden.
Het gebruik van een control-framework kan daarbij de volgende voordelen hebben:
~ Het geeft zekerheid dat alle relevante beheeraspecten worden besproken.
~ Het framework schrijft definities en onderwerpen voor
waardoor auditresultaten beter vergelijkbaar zijn.
~ Het framework kan worden gebruikt voor het onderling afstemmen van werkzaamheden.
Het vroegtijdig plannen van reviews om de kwaliteit van controls en processen te beoordelen kan daarbij het wederzijdse
vertrouwen versterken.
In hoofdlijnen kunnen twee soorten risico’s worden onderkend:
strategische risico’s en procesrisico’s. Strategische risico’s hebben
Strategische risico’s kennen vooral
beheersmaatregelen op
managementniveau
betrekking op onzekerheden die organisatiebrede doelstellingen
kunnen bedreigen en kennen vaak een nauw verband met externe factoren. Welke externe factoren invloed kunnen uitoefenen,
volgt logischerwijs uit het bedrijfsmodel van de organisatie. Het
bedrijfsmodel vormt dan ook een belangrijke ‘foto’ voor de inventarisatie van strategische risico’s en de onderliggende oorzaken. Procesrisico’s zijn vaak gerelateerd aan operationele transacties, stromen of standen en hebben betrekking op operationele,
rapportage- en toezichtdoelstellingen. Het onderscheid tussen
strategische en procesrisico’s is van belang omdat de wijze van
beheersing kan verschillen. Strategische risico’s kennen vooral
Tien universele risico’s
1. Onjuiste informatie.
2. Onacceptabele boekhoudprincipes.
3. Uitval van processen.
4. Overheidskritiek of gerechtelijke stappen.
5. Hoge kosten.
6. Niet-gerealiseerde en verloren opbrengsten.
7. Verlies of vernietiging van bezittingen.
8. Concurrentienadeel.
9. Fraude of belangenverstrengeling.
10. Inadequaat management of inadequate besluitvorming.
38
|
CONTROL
beheersmaatregelen op managementniveau, terwijl procesrisico’s
worden beheerst door middel van beheersmaatregelen binnen
operationele processen en projecten.
In het kader vindt u tien universele risico’s die die het realiseren van doelstellingen negatief kunnen beïnvloeden.
Een interessant fenomeen daarbij is dat risico’s tegenwoordig uit
een andere hoek komen. Uit het in oktober 2013 gepubliceerde
Exploring Strategic Risk-onderzoek van Deloitte, uitgevoerd onder driehonderd executives wereldwijd en het in juli 2013 gepubliceerde onderzoek van ACE Group, uitgevoerd onder executives wereldwijd blijkt dat de respondenten de bedrijfsreputatie
en de gevolgen van reputatieschade de belangrijkste strategische
risico’s voor hun onderneming vinden, gevolgd door businessmodelrisico’s en risico’s door economische ontwikkelingen. Kenmerkend voor reputatieschade is dat ze moeilijk te beheersen is,
veelal afhankelijk is van externe factoren, in zekere mate onvoorspelbaar is en grote gevolgen kan hebben voor het resultaat. Drie
jaar terug zag 41 procent het merk nog als grootste risico en werd
reputatieschade door 26 procent van de respondenten als groot
risico gezien. De ontwikkeling van reputatierisico’s als belangrijkste strategisch risico komt volgens het executive management
voornamelijk voort uit de snelle opkomst van social media. Van
de ondervraagden ziet 47 procent dit als de belangrijkste technologische bedreiging voor hun businessmodel. Nieuwsberichten
met een negatief sentiment verspreiden zich sneller, bereiken een
breder publiek en worden voor langere tijd digitaal vastgelegd.
Ondernemingen plaatsen reputatierisico’s hierdoor hoog op hun
agenda, ondanks de moeilijkere economische omstandigheden
Kenmerkend voor reputatieschade is
dat ze moeilijk te beheersen is
en de toename van bedreigingen op hun businessmodel. Ook de
komende drie jaar worden reputatierisico’s als groot strategisch
risico gezien. Andere belangrijke technologische bedreigingen
zijn data analytics, apps, cloud computing en het belang van
cyber security.
Een goed georganiseerd systeem van interne beheersmaatregelen afgestemd op de geïdentificeerde risico’s zorgt ervoor
dat het management inzicht krijgt in het correct uitvoeren
van de opgedragen werkzaamheden.
Meer in het bijzonder houdt interne beheersing zich bezig
met het formuleren en implementeren van een adequaat antwoord op vragen als:
~ Zijn de uit te voeren werkzaamheden juist en op tijd uitgevoerd?
~ Is van de verleende bevoegdheden correct gebruikgemaakt?
APRIL 2014
&
FINANCE
~ Zijn de ter beschikking staande middelen, zoals gebouwen,
installaties en voorraden, in voldoende mate beveiligd?
~ Worden de ter beschikking staande middelen aangewend
voor het doel waarvoor zij zijn bestemd?
~ Zijn er maatregelen genomen om technische storingen in
de apparatuur en de infrastructuur en calamiteiten als
brand- en wateroverlast te voorkomen?
Inbedden van risicomanagement in de organisatie
Om risicomanagement succesvol en duurzaam in een organisatie in te bedden dient risicomanagement zo veel mogelijk in
de bestaande processen en projecten in een organisatie en
haar manier van werken te worden geïntegreerd. Bijvoorbeeld
door aandacht voor risicomanagement in de structuur en
processen op het gebied van:
~ personeelsbeleid: door alle medewerkers in een organisatie
en vooral medewerkers die een functie of taak op het gebied van risicomanagement uitvoeren en bij sollicitaties om
nieuwe medewerkers te werven te vragen naar de kennis
over en ervaringen met risicomanagement;
~ training en scholing: door het stimuleren van persoonlijke
ontwikkeling op het gebied van kennis over en ervaring met
risicomanagement, onder meer door het organiseren of laten volgen van relevante trainingen en opleidingen. Nieuwe
medewerkers moeten vanaf het begin in de juiste methode
van werken worden ingewijd en waar nodig worden bijgeschoold;
~ beoordeling: door het opnemen van risicomanagement in de
beoordeling van afdelingen, projecten en individuele medewerkers, bijvoorbeeld in functionerings- of beoordelingsgesprekken;
~ beloningssystemen: door het opnemen van risicomanagement in het beloningssysteem, bijvoorbeeld in de vorm van
bonussen of salarisgroei voor medewerkers die risicomanagement toepassen;
~ rollen: door het opnemen van risicomanagement in de dagelijkse werkzaamheden en het creëren van gelegenheden voor
een open discussie over risico’s vanuit de verschillende rollen
binnen een afdeling of in een projectteam;
~ rapportering: door het maken van formele afspraken over
het rapporteren van risico’s en beheersmaatregelen aan opdrachtgever, lijnmanagers en/of projectleiders . Het management is verantwoordelijk voor het toepassen van risicomanagement en rapporteert hierover aan opdrachtgever
op de standaardrapportagemomenten.
Blijvende aandacht voor risicomanagement
Organisaties die risicomanagement hebben geïmplementeerd
moeten ervoor waken dat de aandacht ervoor niet wegebt. De
externe omgeving waarin organisaties opereren verandert continu, nieuwe technieken en nieuwe concurrenten dienen zich
APRIL 2014
CONTROL
aan en wet- en regelgeving worden aangepast. De wijze van risicobeheersing moet daar periodiek op worden aangepast. Ook
de interne omgeving verandert voortdurend. Denk aan andere
producten, organisatiewijzigingen, er komen nieuwe medewerkers bij en nieuwe processen worden ingevoerd. Door frequent
en gestructureerd naar risico’s en de beheersing ervan te kijken
levert risicomanagement de hoogste toegevoegde waarde.
Een in de praktijk veelvoorkomende en goed werkbare vorm
van risicomanagement is het uitvoeren van een jaarlijkse
diepgaande risicoanalyse, gekoppeld aan het opstellen van het
jaarplan en budget. Gedurende het jaar, meestal per kwartaal,
wordt vervolgens het risicoprofiel tegen het licht gehouden
om te kijken of er significante wijzigingen zijn opgetreden.
Deze minder diepgaande analyse wordt vaak gekoppeld aan
het opstellen en bespreken van de kwartaalrapportage.
Discussies over goed ondernemingsbestuur richten zich te weinig op hart
en ziel van goed ondernemingsbestuur
Discussies over goed ondernemingsbestuur richten zich dezer
dagen wellicht te veel op regels en protocollen en op risicomanagement in de vorm van een reductie van echte onpeilbare
onzekerheid tot statistisch meetbare risico’s en te weinig op
hart en ziel van goed ondernemingsbestuur. Dat zijn nog altijd talent en vooral de integriteit van een organisatie, haar
management en haar medewerkers.
Mensen kunnen integer zijn en anderen aanspreken op incorrect gedrag, maar kunnen ook onethisch handelen en frauderen. Mensen kunnen creativiteit tonen en weerstand oproepen, maar ook passie en veerkracht teweegbrengen. Mensen
kunnen daadkrachtig en doortastend zijn, maar ook onberekenbaar en niet integer. Het doorgronden en stimuleren van
de juiste drijfveren in relatie tot de doelstellingen van de organisatie heeft misschien nog wel de meeste toegevoegde waarde om risico’s daadwerkelijk adequaat te beheersen.
Drs. R.M. Kieft RA is zelfstandig gevestigd te Hoofddorp. Hij
is als consultant werkzaam op het gebied van administratieve
organisatie, interne controle en financieel management voor
uiteenlopende bedrijven en instellingen. Daarnaast heeft hij
veel artikelen op zijn naam staan. Aanvankelijk vooral op het
gebied van externe verslaggeving en administratieve organisatie. De laatste jaren vooral op het gebied van management
control in de meest ruime zin, zoals ondernemingsfinanciering, corporate governance en risicomanagement.
|
39
W W W. F I N A N C E - C O N T R O L . N L
Related documents
Nieuwe website azM - Patientveiligheid.org
Nieuwe website azM - Patientveiligheid.org
Doelbewust managen is ook omgaan met risico`s
Doelbewust managen is ook omgaan met risico`s
Column
Column
Risicomanagement in de praktijk.NCD.16.3.2017.v2.pptx
Risicomanagement in de praktijk.NCD.16.3.2017.v2.pptx
De Raadgevers Bedrijfsjuristen
De Raadgevers Bedrijfsjuristen
Risicomanagement effectief invoeren
Risicomanagement effectief invoeren
Risicocultuur - Accent Organisatie Advies
Risicocultuur - Accent Organisatie Advies
Risicomanagement
Risicomanagement
van systeem naar gedrag
van systeem naar gedrag
onderlinge waterland Risicomanagement
onderlinge waterland Risicomanagement
Download
advertisement