RISK M ANAGEME NT
In control: alleen bij De auteurs drs. Regien Bijlsma RO, Rob Uiterlinden RC en drs. Nick Verschoor werken bij de vakgroep risicomanagement van Atos Consulting.
Risicobeheersing staat nog steeds hoog op de agenda. Als gevolg van de Amerikaanse SOx-act maar ook de code-Tabaksblat gaat veel aandacht uit naar de financiële-rapportagerisico’s. Maar zijn organisaties ook ‘in control’ wanneer dit niet extern wordt gereguleerd? Atos Consulting heeft onderzocht of bedrijven in control zijn als het gaat om financiële risico’s maar ook bij operationele, strategische en compliance risico’s. De conclusie: lang niet alle risico’s worden onderkend.
I
n dit artikel laten wij de resultaten zien van een onderzoek naar de risicobeheersing door organisaties. De link tussen de Amerikaanse SOx-act en ons onderzoek ligt daarbij in de externe regulatie van het ‘in control’ zijn. Bij SOx ligt de nadruk op financiele rapportage risico’s, waarbij wordt verwezen naar het COSO I-model voor internal control. Wij hebben echter onderzocht of organisaties ‘in control’ zijn wanneer dit niet extern wordt gereguleerd. Hierbij is niet alleen gekeken naar financiële risico’s, maar ook naar operationele, strategische en compliance risico’s, gebaseerd op het COSO ERM integrated framework (COSO II).
Goede dwarsdoorsnede De respondenten is gevraagd om per – door ons gedefi nieerd – key risico aan te geven hoe relevant het risico voor de organisatie is (4-puntsschaal). Vervolgens is gevraagd om bij het risico aan te geven in welke mate de onderneming het risico beheerst (eveneens een 4-puntsschaal). Het onderzoek vond in de Engelse taal plaats. De deelnemers in het onderzoek waren profit-organisaties uit alle geledingen van het bedrijfsleven met uitzondering van het bank- en verzekeringswezen. Deze bedrijfstak heeft risicomanagement als core business en dat zou een vertekend beeld geven. Om alle mogelijke risico’s in een organisatie te raken, zou een zeer uitgebreide vragenlijst nodig zijn geweest. Onze eigen riscodatabase bevat meer dan 300 mogelijke risico’s. Daarom hebben wij daaruit een keuze moeten maken en de vragen moeten comprimeren. Overigens kunnen de door ons gestelde vragen dienen als een aardige self assessment (ingangstoets) waarvan de uitslag overigens niet meer dan indicatief is. Met andere woorden: is de
externe regulering? uitslag op het vlak van risicobeheersing twijfelachtig, dan moet er dieper gegraven worden. Onze verwachting was dat organisaties vooral binnen de gebieden Compliance en Reporting aan zouden geven ‘in control’ te zijn. Juist deze twee gebieden binnen het COSO-model zijn sterk onderhevig aan externe regulatie vanwege de toegenomen aandacht voor transparantie in de externe berichtgeving. Voor dit onderzoek hebben we daarom de volgende hypothese opgesteld: Er is een hogere mate van control op risico’s waar externe regulering plaatsvindt. Immers, als een onderneming de risico’s in deze gebieden niet beheerst wordt ze door regelgeving afgestraft. We kijken echter ook naar de gebieden Strategic en Operational. Want het beheersen van risico’s op deze gebieden draagt bij aan het behalen van de ondernemingsdoelstellingen.
overheden hebben bij strategische besluiten, zoals het verbieden van een overname als het nationale belang wordt geschaad. In 2006 heeft de staat onder druk van de Europese gemeenschap het gouden aandeel in voormalige staatsbedrijven KPN en TPG Post voor een appel en een ei moeten verkopen, omdat het de vrije handel zou blokkeren. Een te soft corporate governance-beleid met een grote mate van transparantie kan een organisatie in de etalage zetten. Het laatste jaar heeft aangetoond waar versoepeling van beschermingsconstructies toe leidt; denk aan KLM, Numico, Vendex KBB, Nedlloyd, Hoogovens en mogelijk ABN Amro. Er gaan nu weer geluiden op in Den Haag om strategische bedrijfssectoren wederom te beschermen tegen overnamepogingen door staatsfondsen uit bijvoorbeeld Rusland, China en de Arabische landen. Voor een onderneming is het de vraag wat gewenst is en in hoeverre autonomie een groot goed is.
Strategic De strategische risico’s liggen op het vlak van: - corporate governance (onvoldoende contact met en grip op aandeelhouders; een onduidelijke missie) - sourcing (onvoldoende toegang tot grondstoffen of arbeidsmarkt), - toetredingsbarrières - marketing (verlies van marktaandeel, slecht uitgebalanceerde productportfolio) - research & development (intellectual property, continuïteitsproblemen) - fi nance (suboptimale belastingdruk, inefficiënte verslaglegging) - human resources Gemiddeld 60% van de ondernemingen geeft aan de voor hen relevante risico’s te beheersen. Er zijn echter vier risico’s die onvoldoende onderkend worden.
Overnamedreiging Eén van de strategische key risico’s is het risico op een overname of fusie, door bijvoorbeeld een falend corporate governance-beleid. Slechts vier op de tien organisaties geeft aan een juiste reactie op deze risico’s te hebben gedefi nieerd. Het gaat hier om de verhouding tussen de transparantie naar de fi nanciële markt en de beschermingsmaatregelen tegen overnames. Een gevolg van een te strikt corporate governance-beleid kan zijn dat een organisatie minder eenvoudig aan kapitaal kan komen. Als voorbeeld noemen we het gouden aandeel; het vetorecht dat
Intellectual property Een ander strategisch key risico betreft het nalaten van patenteren van intellectueel eigendom. Ondernemingen besteden veel tijd en moeite om oplossingen te bedenken en deze vervolgens in de vorm van een product of dienst op de markt te brengen. Opvallend is dat uit het onderzoek naar voren komt dat slechts de helft van de organisaties aangeeft haar octrooirechten te beschermen. Een mogelijke verklaring kan zijn dat de kosten van het vastleggen van octrooirechten hoog zijn. Toch is het zinvol om als organisatie na te denken over patentering. Een voorbeeld van de gevolgen die het niet vastleggen van octrooirechten kan hebben, is Goudse >> Tabel 1 Top-5 strategische risico’s die het minst onderkend worden
Risk area R&D: dependability
Description of risk Continuity problems resulting from dependability of a single technology (innovation by competitors, changes in industry standards).
Score 33%
HR: goal congruence
Business goals and objectives not reached due to missing alignment of individual objectives with business objectives leading to undesired behavior.
38%
Corporate governance: ownership structure
Risk of either loosing influence to shareholders or over protection of the company by which your attractiveness to the financial markets decreases.
44%
R&D: intellectual property
Wrong policy regarding licensing and patents e.g. not protecting or sales of intellectual property, using other’s intellectual property.
50%
Marketing: competitors
Loosing market share to a competitor.
53%
oktober 2007 | ControllersMagazine | 23
Kaas. Het label Goudse Kaas bleek onbeschermd, wat er toe heeft geleid dat nu Duitse bedrijven op de Duitse markt kaas verkopen onder dit label. Het toetreden tot de Duitse markt door Goudse Kaas wordt hierdoor een stuk gecompliceerder.
Afhankelijkheid Er is een aantal risico’s verbonden aan de afhankelijkheid van een bepaalde technologie of leverancier. De technologie kan bijvoorbeeld ineens verouderd blijken, een belangrijke leverancier komt in de problemen of verscherpt zijn condities. Het key risico in dit geheel is dat de bedrijfscontinuïteit door de afhankelijkheid in het gevaar kan komen. Slechts drie op de tien organisaties geeft aan dit risico goed te beheersen. Uit strategisch oogpunt verdient dit risico meer aandacht. Er zijn veel voorbeelden uit het verleden te noemen. Philips presenteerde ooit het technisch superieure V2000, de videostandaard werd echter VHS.
Er is een hogere mate van control op risico’s waar externe regulering plaatsvindt. Immers, als een onderneming de risico’s in deze gebieden niet beheerst, wordt ze door regelgeving afgestraft Een ander voorbeeld is energie. Energie wordt steeds meer een schaars goed en wordt gebruikt als economisch machtsmiddel (denk aan de recente acties van Rusland ten aanzien van de voormalige satellietstaten). Er komen steeds meer bedrijven die actief op zoek gaan om de afhankelijkheid van één energiebron terug te dringen door eigen energieopwekking. Al was het alleen maar om ongewenste prijseffecten het hoofd te kunnen bieden.
Management loopt te ver vooruit In zes van de tien organisaties wordt geconstateerd dat er grote verschillen bestaan tussen wat het management wenst te realiseren en de mate waarin
men de organisatie daarin meekrijgt. Dat kan liggen aan matige communicatie van de business-doelen of te weinig betrokkenheid van het middle management bij het opstellen van de plannen. Ook kunnen de meetsystemen ondeugdelijk zijn. Het opstellen van een gebalanceerde set van afrekenfactoren lijkt eenvoudig maar is het niet. Om het gewenste gedrag te bewerkstelligen, moeten prestatie-indicatoren zo zijn opgezet dat er een maximale relatie is tussen de inspanningen van de manager en het gemeten effect in de indicator. Nogal eens zit daarin ruis of verstoring. Ruis betekent dat de score van de maatstaf beïnvloedt wordt door andere factoren dan de beslissingen van de manager (bijvoorbeeld het resultaat van een unit bevat veel niet-beïnvloedbare kosten). Van verstoring is sprake als een goede score op de maatstaf niet automatisch betekent dat de doelen ook worden gehaald (bijvoorbeeld de maatstaf klanttevredenheid lokt managers uit acties te ondernemen waarvan het rendement gering of negatief is). Kortom: veel voer voor controllers in ondernemingen die slecht scoren op ‘goal congruence’.
Compliance Bij compliance risico’s gaat het om het al dan niet voldoen aan wet- en regelgeving. Ook kan gedacht worden aan het handelen volgens verwachtingen van investeerders en consumenten zoals productaansprakelijkheid en garanties tegen kinderarbeid die niet direct in wetgeving zijn verankerd. Van de geïdentificeerde risico’s geeft gemiddeld 85% van de ondernemingen aan deze te beheersen. Dit is in overeenstemming met onze hypothese, waarbij we stelden dat externe regulatie de drijfveer is om ‘in control’ te komen. Eén risico verdient echter de aandacht.
Klantgegevens vertrouwelijk? Sinds de opkomst van het internet worden steeds meer gegevens digitaal vastgelegd en beheerd. Deze gegevens worden voor allerlei (commerciële) doeleinden gebruikt. Denk bijvoorbeeld aan de zoekgegevens via Google, het belgedrag van consumenten, het koopgedrag dat wordt bijgehouden op de AH Bonuscard, maar ook creditcardgegevens voor bijvoorbeeld aankopen via internet. Grote zoekmachi-
Tabel 2 Top-5 compliancerisico’s die het minst onderkend worden
Risk area Sales: privacy laws and regulations Sales: anti trust law Sales: export control HR: sexual intimidation Delivery: environment
Description of risk Risk of non-compliance with existing privacy laws and regulations. Price-fixing conspiracies, corporate mergers likely to reduce the competitive vigour of particular markets, and predatory acts designed to achieve or maintain monopoly power that can lead to large fines and jail sentences. Procedures regarding export control are not in place and/or up to date. Offerings and deliveries are not checked against import/export restrictions (embargo, sensitive goods). Not complying with rules regarding sexual intimidation. Non-compliance with e.g. environmental legislation, ground pollution resulting in penalties. Damaging the environment with the production process or the product itself, non compliance with applicable laws in that area.
24 | oktober 2007 | ControllersMagazine
Score 50% 58% 60% 67% 87%
nes zijn nu al in staat op basis van individueel zoekgedrag een profiel van een internetgebruiker op te stellen. In de USA worden deze gegevens al bij screening van sollicitanten gebruikt. De consument verwacht echter dat al deze gegevens vertrouwelijk behandeld worden. Uit het onderzoek blijkt dat slechts de helft van de organisaties het vertrouwelijk omgaan met klantgegevens heeft gewaarborgd. Een trend is dat verschillende systemen en databases meer en meer op elkaar worden aangesloten. Hoewel dit voor bedrijven veel nieuwe mogelijkheden zal bieden, ontstaan ook extra risico’s indien de beveiliging van de klantgegevens niet beter gewaarborgd wordt. Juridische stappen, acties van consumenten en eventueel schadeclaims kunnen het gevolg zijn indien een onderneming op schadelijk laakbaar gedrag wordt betrapt. Een recent voorbeeld daarvan zijn de acties die zijn opgestart om telemarketing gericht op consumenten aan banden te leggen en de consument de kans te geven om te registreren dat men op deze wijze niet benaderd wenst te worden.
Operational Operationele risico’s hebben betrekking op de primaire operationele processen en de ondersteunende processen. Uit ons onderzoek blijkt dat gemiddeld 75% van de organisaties hun key risico’s op operationeel gebied beheersen. Deze score is niet in overeenstemming met onze hypothese. Operationele of bedrijfsrisico’s worden immers niet extern gereguleerd. Wel hebben deze risico’s grote invloed op het rendement van een onderneming. Ondanks de hoge score op beheersmaatregelen zien we drie aandachtspunten.
R&D-kosten sky high De helft van de onderzochte ondernemingen worstelt kennelijk met dit probleem. Op zich niet zo vreemd. Dit type activiteiten laat zich maar moeilijk modelleren. Je weet immers van tevoren niet wat de resultaten van onderzoeksinspanningen zullen zijn. Wel moet het mogelijk zijn om over een langere periode bezien een gevoel te ontwikkelen van het aantal hits dat je kunt verwachten per miljoen/miljard euro aan onderzoeksfondsen. De farmaceutische industrie is hier een mooi voorbeeld
van. Echter, ook dan is nog onbekend wat de marktwaarde van een hit zal zijn en of deze inderdaad zal leiden tot een aanzienlijk rendement. Flops zullen er altijd zijn (New Coke, de Smart ForFour, enz.) maar successen zijn er ook te over (de Walkman, de Ipod, Senseo, enz.). Als controller wordt het tijd om aan de bel te trekken als wordt geconstateerd dat gelden slecht gericht worden ingezet (ontbreken van duidelijk omschreven onderzoeksprogramma’s) en als succes voor langere tijd uitblijft. Op tijd weten te stoppen is ook iets wat je moet durven. Voor productontwikkeling ligt dit allemaal wat anders. Daar is meer ervaring in opgebouwd en daar kan dus ook meer met normering worden gewerkt.
Time to market Veel organisaties kampen met de timing van marktintroductie en de tijd die verstrijkt tussen de idee en het op de markt zetten van een product. Je wilt als organisatie niet te laat zijn, aangezien de concurrentie dan reeds marktaandeel en naamsbekendheid verworven heeft. Ben je te vroeg dan heeft je product mogelijk nog kinderziektes. De concurrent zal zorgen dat zijn producten die kinderziektes in ieder geval niet hebben en brengt een verbeterde versie van het product op de markt. De wet van de remmende voorsprong ten voeten uit. Het onderzoek toont aan dat slechts vier op de tien organisaties er een goed antwoord op heeft. Een recent voorbeeld is de strijd tussen de next generation gameconsoles van diverse leveranciers.
Personeelsbeleid In sommige sectoren ondervinden organisaties moeilijkheden om het juiste personeel aan te trekken, door bijvoorbeeld een krapte op de arbeidsmarkt. Zeker wanneer de economie aantrekt, is daarnaast het ongewenste verloop van personeel hoog. Indien organisaties niet de mensen aan kunnen trekken die men nodig heeft, zullen bedrijven concessies moeten doen in kwaliteit om de bezetting te realiseren. Het onderzoek toont aan dat zes op de tien organisaties aangeeft dit risico te beheersen. Op de huidige overspannen arbeidsmarkt wordt dit probleem ten volle zichtbaar. Bedrijven worden zeer creatief (en gaan ver) bij het werven van personeel. >>
Tabel 3 Top-5 operationele risico’s die het minst onderkend worden
Risk area R&D: time to market R&D: cost price Marketing: product management Sales: liability HR: recruitment
Description of risk Arriving too late on the market with new products: in comparison with others, too many revision cycles, transfer to manufacturing too slow and costly. Involvement of other disciplines (including key suppliers). Costs of R&D are too high: products are not profitable. Wrong choices leading to problems in sales realization. Sales offerings are not tuned with delivery possibilities regarding current products and products under development. No ability to attract talent, wrong selection, mismatch between company needs and present workforce. The recruitment process is not effective or efficient leading to a decreased quality of intake.
Score 44% 50% 54% 56% 59%
oktober 2007 | ControllersMagazine | 25
De kandidaat heeft de banen voor het uitzoeken. Een goede risicobeperkende maatregel om verloop tegen te gaan, is binding met de organisatie. Immers, de kosten die gemaakt moeten worden om personeel te behouden, wegen vaak meer dan op tegen de kosten die gemaakt moeten worden om personeel te werven.
Reporting Bij het COSO-element Reporting draait het om de betrouwbaarheid van alle interne en externe rapportages (fi nancieel en niet fi nancieel). Denk bijvoorbeeld aan het jaarverslag dat correct en tijdig wordt gepubliceerd maar ook de verantwoordingen die de farmaceutische industrie moet afleggen aan een
Voor de controller onderstrepen de resultaten nog eens dat voor beheersing van een onderneming meer nodig is dan de klassieke planning- en controlcyclus FDA. Het onderzoek toont aan dat gemiddeld 90% van de organisaties de key risico’s binnen het COSO-element Reporting beheerst. Dit is volledig in overeenstemming met onze hypothese.
Conclusies De risicogebieden waar externe regulering plaatsvindt, worden goed beheerst. Binnen het COSO IImodel zijn dit de gebieden Compliance en Reporting. De risico’s worden hier respectievelijk voor 85% en 90% beheerst.
26 | oktober 2007 | ControllersMagazine
De COSO-gebieden Strategic en Operational blijven duidelijk achter, respectievelijk met 60% en 75%. De aandachtsgebieden zijn: corporate governance, intellectueel eigendom, afhankelijkheid, privacy wetgeving, time to market en personeelsbeleid. Het blijft subjectief om aan te geven wanneer men in control is. Immers, de antwoorden op de vragen reflecteren niet meer dan een gevoel dat men heeft. Duidelijk is wel dat externe regulatie een positieve invloed heeft op beheersingsmaatregelen. Onze hypothese dat externe regulering zorgt voor meer controle, lijkt dus te kloppen. Voor de controller onderstrepen de resultaten van dit onderzoek nog eens dat voor beheersing van een onderneming meer nodig is dan de klassieke planning- en controlcyclus. Risicomanagement moet op de managementagenda komen en het middel daartoe is om risicomanagement in de planning & control-cyclus te integreren. Overigens, zo anders dan wat we gewend waren is dit niet. Vrijwel alle organisaties werken met KPI’s of een vorm van dashboardrapportage. In veel van de KPI’s ligt risicomanagement al opgesloten. De vraag is alleen of een organisatie wel een coherent beeld heeft van de toprisico’s. Wellicht is het aardig om als controller de in dit artikel opgesomde vragen eens op het management af te vuren en te kijken wat de uitslag is. Mocht die reden geven tot twijfel dan is een onderzoek naar de toprisico’s van een organisatie zeker op zijn plaats. << www.controllersmagazine.nl Zie www.controllersmagazine.nl/nummer8 voor de volledige risicotabellen die bij dit onderzoek horen.
