Risicomanagement

Hoeveel zijn we opgeschoten na de crisis?

Tweede Nationaal Onderzoek Risicomanagement in Nederland 2014

Er is nog weinig geleerd door organisaties op het gebied van risicomanagement. Dit concluderen - tot hun eigen verrassing - de onderzoekers van het Tweede Nationaal Onderzoek Risicomanagement in Nederland 2014. Sinds het eerste onderzoek rondom dit thema in 2009, is er nauwelijks verbetering gerealiseerd en er blijkt op sommige punten zelfs een lichte achteruitgang.

De resultaten uit het onderzoek, gehouden door Nyenrode Business Universiteit, Rijksuniversiteit Groningen, de Nederlandse Beroepsorganisatie van Accountants en PwC, zijn zorgwekkend omdat vele onderzoeken uitwijzen dat gebrekkig risicomanagement een van de oorzaken is geweest van de financiële crisis.

Vals gevoel van zekerheid

De uitkomsten van de onderzoekers staan in schril contrast tot de zelfevaluatie van de respondenten over risicomanagement in de eigen organisatie. Bijna 90 procent vindt namelijk dat hun risicomanagementsysteem voldoende op orde is en geven zichzelf gemiddeld een 7-min (6,85). Dit is ruim 30 procent hoger dan de score van de onderzoekers, die aan de hand van een door hen ontwikkelde methodiek uitkwamen op een 4,6. De organisaties lijken dus een vals gevoel van zekerheid te hebben over de kwaliteit van hun risicomanagementsysteem. Dat klemt te meer omdat het bij de bekende schandalen nagenoeg altijd mis ging in de kern van hun activiteiten.

“Er lijkt ondanks de crisis en de diverse bedrijfsschandalen in de afgelopen vijf jaar nog steeds een blinde vlek te zijn voor risicomanagement,” aldus prof. dr. Leen Paape, hoogleraar aan Nyenrode Business Universiteit en één van de penvoerders van het onderzoek. “Ruim tweederde van de ondervraagde organisaties inventariseert niet vaker dan één keer per jaar de relevante risico’s en ruim 13 procent brengt helemaal geen risico’s in kaart. Er is dus nog flink wat ruimte voor verbetering.”

Risicocultuur en compliance

Nieuw in het onderzoek van 2014 waren vragen over de risicocultuur in organisaties. Uit de antwoorden blijkt dat risicomanagement vooralsnog gedreven wordt door codes en regelgeving (compliance). In slechts 9 procent van de gevallen wordt er bij organisaties via belonings- en waarderingssystemen op gewenst gedrag gestuurd inzake risicomanagement. Bij tweederde van de ondervraagde organisaties is er zelfs geen enkele relatie, hetgeen niet bijdraagt tot het creëren van een risicocultuur.

Positieve conclusie uit het onderzoek is dat organisaties die een chief risk officer in het bestuur of directie hebben, ook hoger scoren op hun risicomanagement. Leen Paape: “Cultuur en onverminderde aandacht voor risicomanagement, belegd bij een functionaris lijken de sleutel te zijn tot een oplossing. Misschien dat we over vijf jaar een ‘chief culture officer’ tegenkomen die risicomanagement borgt in organisaties.”

Risicomanagement: een hype?

De handreiking 'Risicomanagement: een hype?' van Eumedion en het NIVRA uit 2009 is bedoeld voor bestuurders en commissarissen van grotere organisaties en is erop gericht om een goede uitvoering te geven aan risicomanagement. Daartoe is onder andere een model ontwikkeld met drie volwassenheidsniveaus, dat inzichtelijk maakt waar een onderneming staat en wat er nog moet gebeuren om het hoogste niveau te bereiken.

De handreiking stelt strategisch risicomanagement centraal, waarbij vanuit de top wordt nagedacht over de specifieke risico's voor de stakeholders van de onderneming.

Risicomanagement in tijden van crisis

Nederlandse bedrijven hebben hun risicomanagement onvoldoende, inefficiënt en te oppervlakkig georganiseerd. Dat bleek uit een gezamenlijk onderzoek van de Rijksuniversiteit Groningen, Nyenrode Business Universiteit, het NIVRA en PwC, gepubliceerd in december 2009. In het onderzoek werden ruim duizend bedrijven en non-profit instellingen met een omzet of budget van meer dan tien miljoen euro onderzocht.

Risk management and internal control systems

Om een bijdrage te leveren aan de discussie rondom risicomanagement en verslaggeving bracht het NIVRA in oktober 2007 een discussiedocument uit. Het NIVRA pleitte daarin voor een nadere invulling van de Nederlandse corporate governance-code (code Tabaksblat) ten aanzien van de in control-verklaring.

Analyse en Beoordelingsinstrument Interne Beheersing (ABIB)

Alhoewel dit door het NIVRA in 2002 ontwikkelde instrument verouderd is kan het mogelijk behulpzaam zijn bij de totstandkoming van de VOR, de Verklaring omtrent Risicobeheersing die Nederlandse beursfondsen in de toekomst wellicht gaan publiceren.

De ABIB stelt organisaties, al dan niet met behulp van interne en/of externe accountants, in staat om een analyse te maken van de effectiviteit van het eigen interne-beheersingssysteem. De kern hiervan bestaat uit een vragenlijst waarmee de organisatie een analyse kan uitvoeren.

ABIB wil inzicht geven in de volgende vraagstukken:

• Hoe gaat de organisatie om met de interne en externe risico's die het realiseren van de organisatiedoelstellingen in de weg staan?
• Hoe zorgt de organisatie ervoor dat datgene wat moet gebeuren ook daadwerkelijk wordt uitgevoerd?
• Hoe waarborgt de organisatie dat de informatie die nodig is om werkzaamheden goed uit te voeren bij de juiste personen aanwezig is en wordt gebruikt?
• Hoe zorgt de organisatie ervoor dat de werkprocessen tot de gewenste effectiviteit en efficiëntie leiden?
• Hoe kan de organisatie er zeker van zijn dat zij op de juiste wijze wordt bestuurd?

Na het beantwoorden van deze vragen en het analyseren van de antwoorden kunt u vervolgens zelf vaststellen welke verbeteringen gerealiseerd kunnen worden. Het ABIB bestaat uit drie delen. Naast het instrument en de handreikingen wordt in het deel Achtergronden het concept van interne beheersing nader toegelicht.