T I J D S C H R I F T CONTROLLING
RISICOMANAGEMENT
Drs. M. van der Burgt RC, senior consultant World Class Finance Atos KPMG Consulting.
Ne em r is ic omanagement explicie t op in onder nemingsbeleid
nr 10
okt ober 2003
Interesse voor risicomanagement neemt toe
52
Onverwachte en ongewenste gebeurtenissen in en buiten het bedrijfsleven hebben de markten opgeschrikt en de continuïteit van sommige ondernemingen zelfs in gevaar gebracht. De maatschappelijke opvattingen over risicomanagement zijn hierdoor gewijzigd. Aandeelhouders, toezichthoudende organen en diverse andere belanghebbenden eisen meer transparantie in de wijze waarop organisaties worden beheerst. Maar hoe kijken organisaties nu zélf aan tegen de manier waarop zij momenteel hun risico’s trachten te beheersen? MARIA VAN DER BURGT
Is er bij bedrijven een toegenomen interesse voor risicomanagement waar te nemen? Zijn ze tevreden over de wijze waarop hun risico’s worden beheerst? Zo nee, is men van plan om maatregelen te treffen? Wat zijn de belangrijkste risicogebieden? Is het proces van risicomanagement expliciet in het ondernemingsbeleid opgenomen? In hoeverre wordt gebruikgemaakt van instrumenten en hulpmiddelen om dit proces te ondersteunen? Deze vragen stonden centraal in een door Atos KPMG Consulting gehouden onderzoek naar risicomanagement bij Nederlandse ondernemingen in de private sector. Wat is risicomanagement? Risicomanagement is een veelomvattende term waaraan een groot aantal verschillende definities kan worden toegekend. In het kader van het bovengenoemde onderzoek is, in navolging van A.W. van Blitterswijk (Risk Management, Heterogeniteit in verzekeringen, in: Liber Amicorum G.W. de Wit, 1994), uitgegaan van de volgende definitie.
Risicomanagement is het systematisch proces van: • het identificeren en analyseren van risico’s die de ondernemingsdoelstelling bedreigen; • het inventariseren en selecteren van risicobeheersingstechnieken; • het implementeren van de gekozen risicobeheersingsinstrumenten; • de continue evaluatie van dit proces. Onderzoeksresultaten Ons onderzoek naar risicomanagement beantwoordt de vraag hoe bedrijven aankijken tegen hun eigen risicomanagement. Dit is inderdaad een subjectieve invalshoek, aangezien wordt gevraagd naar meningen in plaats van naar feiten. Maar de resultaten geven ons inziens een gedegen beeld van hoe Nederlandse bedrijven hun eigen beleid ten aanzien van het beheersen van risico’s beschouwen en welke knelpunten zij constateren. Alleen bedrijven met meer dan 350 medewerkers zijn
T I J D S C H R I F T CONTROLLING
nr 10 okt ober 2003
53
Bedrijven hebben meer aandacht gekregen voor risicomanagement; nu moet deze aandacht nog worden vertaald naar concreet beleid.
T I J D S C H R I F T CONTROLLING
onderzocht. Daarnaast heeft het onderzoek zich beperkt tot bedrijven werkzaam in de private sector, exclusief financiële instellingen.
Figuur 2: Redenen voor inpassing risicomanagementbeleid in organisatie
Wat zou volgens u een reden kunnen zijn om een beleid ten aanzien van risicomanagement binnen uw organisatie in te passen?*
Nederlandse bedrijven hebben weinig ervaring met in control-statements
Om in te schatten waar de risico’s voor de continuïteit van ons bedrijf gelegen zijn.
Om een goede analyse te verkrijgen van de afdelingen of processen waar de afdeling Internal Audit of soortgelijke afdeling zich op zou moeten richten.
Voor het kunnen afgeven van een in control statement.
nr 10
okt ober 2003
Ruim vijftig bedrijven hebben aan het onderzoek meegedaan. De deelnemende bedrijven variëren qua branche (handel, industrie, bouw, transport, en dergelijke), mate van internationale expansie en aantal medewerkers. De vragenlijsten zijn voor het overgrote deel ingevuld door de algemeen directeur, financieel directeur, financieel manager of controller van het bedrijf. Daarnaast heeft bij een aantal geënquêteerde bedrijven een aanvullend interview plaatsgevonden.
54
Interesse voor risicomanagement Maar liefst 81 procent van de ondervraagden heeft aangegeven het ermee ‘eens’ of ‘zeer mee eens’ te zijn dat er in de afgelopen twee tot drie jaar een toegenomen interesse voor het beheersen van risico’s binnen hun organisatie is waar te nemen (zie figuur 1). Figuur 1: Interesse voor risicomanagement Bent u van mening dat er binnen uw organisatie in de afgelopen twee tot drie jaar een toegenomen interesse voor het beheersen van risico’s is waar te nemen?
70%
64%
60% 50% 40% 30% 20% 10% 0%
17% 2% Zeer oneens
6% Oneens
11% Neutraal
Mee eens
67 %
21 %
8%
Om de efficiëntie en effectiviteit van bepaalde bedrijfsprocessen te verhogen.
51 %
Anders
14 %
Ik zie geen reden om een beleid ten aanzien van risicomanagement binnen onze organisatie in te passen.
5%
*Bij deze vraag konden meer antwoorden worden aangekruist. Het totaal telt daarom niet op tot 100 procent.
In Nederland is blijkbaar beperkte ervaring opgedaan met het afgeven van een in control statement en het publiceren van statements in bijvoorbeeld een jaarverslag. Voor bedrijven die aan de Sarbanes-Oxley wet moeten gaan voldoen, zal hierin overigens ongetwijfeld verandering komen (zie figuur 2). Tevredenheid over risicomanagement Ondanks de toegenomen interesse voor risicomanagement, laat de tevredenheid ten aanzien van risicomanagement blijkbaar nog te wensen over. 49 procent van de respondenten heeft aangegeven (zeer) ontevreden te zijn over de wijze waarop risico’s binnen hun organisatie worden beheerst.
Zeer mee eens
Blijkbaar zijn signalen van buitenaf opgepikt, waardoor bedrijven meer aandacht willen gaan besteden aan het beheersen van risico’s. De vraag is dan wat bedrijven als reden zien om dit te gaan doen. 67 procent van de respondenten heeft ‘het inschatten waar de risico’s voor de continuïteit van ons bedrijf gelegen zijn’ als een reden genoemd om hun beleid ten aanzien van risicomanagement binnen de organisatie in te passen. Daarnaast scoort ‘het verhogen van de efficiëntie en effectiviteit van bepaalde bedrijfsprocessen’ erg hoog. 51 procent van de respondenten noemt dit als een reden om een beleid ten aanzien van risicomanagement binnen de organisatie in te passen. Slechts 8 procent van de ondervraagden ziet ‘het afgeven van een in control statement’ als een reden om een beleid ten aanzien van risicomanagement binnen de organisatie in te passen.
49 procent is (zeer) ontevreden over risicobeheersing Gelukkig is het wel zo dat 81 procent van de respondenten die (zeer) ontevreden zijn, aangeeft binnen een termijn van één jaar maatregelen te willen treffen. 16 procent heeft aangegeven deze maatregelen ‘misschien’ te willen treffen. Uit de aanvullende interviews is gebleken dat deze laatste categorie bedrijven waarschijnlijk wel maatregelen wil treffen, maar dat de prioriteiten op dit moment gewoonweg ergens anders liggen (zie figuur 3 en 4).
T I J D S C H R I F T CONTROLLING
Figuur 3: Tevredenheid over risicomanagement Bent u tevreden met de wijze waarop risico’s binnen uw organisatie worden beheerst? 5% 2%
Tevreden Ontevreden Zeer ontevreden Zeer tevreden 49%
44%
Figuur 4: Intenties bij ontevredenheid: te treffen maatregelen In geval u (zeer) ontevreden bent met de wijze waarop risico’s binnen uw organisatie worden beheerst, bent u van plan om hier binnen een termijn van één jaar iets aan te gaan doen? 3% 16%
Ja Misschien Nee
Aanbe ve l ingen Risicomanagement expliciet in ondernemingsbeleid Neem risicomanagement expliciet in het ondernemingsbeleid op. Het gaat erom de risico’s specifiek te maken, te beschrijven en er bewust over te beslissen al dan niet maatregelen te nemen. Zodra dit is gedaan en elk risico een plaats heeft gekregen met een verantwoordelijke functionaris, kan een onderneming zich beter verantwoorden over het gevoerde beleid. Een onderneming is dan zogezegd in control en dat is exact waar aandeelhouders en andere belanghebbenden tegenwoordig voor pleiten.
Risicogebieden Gegeven het feit dat er een toegenomen interesse voor risicomanagement is waar te nemen, om welke risico’s gaat het dan? In figuur 5 zijn de belangrijkste door de respondenten aangegeven risicogebieden vermeld. De risicogebieden ‘calamiteiten’ en ‘veiligheid/arbeidsomstandigheden’ scoren het hoogst met 30 procent respectievelijk 29 procent van de respondenten die deze risicogebieden als de belangrijkste risicogebieden binnen hun organisatie hebben genoemd. Dat de risicofactor ‘calamiteiten’ zo vaak wordt genoemd, is niet zo verwonderlijk. Het is een erg voor de hand liggend risico dat bovendien de continuïteit van de organisatie stevig zou kunnen aantasten. Daarnaast is de hoge score op veiligheid en arbeidsomstandigheden ook goed te verklaren. De arbo-wetgeving voert daar al sinds lange tijd toezicht op uit. De term risico wordt bovendien snel met veiligheid geassocieerd. Opmerkelijk is dat het risicogebied ‘fraude’ niet is genoemd. Dit terwijl naar onze mening juist de boekhoudschalen de toegenomen interesse voor risicomanagement (deels) zouden moeten hebben aangewakkerd. Is fraude een onderwerp waar men liever niet over praat?
Fraude wordt niet als belangrijkste risico gezien Of worden frauderisico’s over het hoofd gezien? Het zou ook kunnen zijn dat fraude niet als een belangrijk risico wordt gezien; aan de geënquêteerden was gevraagd de belangrijkste risico’s binnen hun organisatie weer te geven.
Eenvoud Het klinkt allemaal zwaarder dan het is, maar risicomanagement hoeft beslist niet gepaard te gaan met enorme procedures en extra werkzaamheden waarvan de toegevoegde waarde nauwelijks terug te vinden is in het ondernemingsresultaat. Het in groepsverband van tijd tot tijd doorlopen van de ondernemingsrisico’s en eens bewust stilstaan bij waar de onderneming allemaal door getroffen zou kunnen worden, kan reeds voldoende zijn. Dit is overigens wel weer afhankelijk van de grootte van de onderneming. Naarmate de organisatie groter is, is er meer tijd en inspanning nodig en kan het zelfs de moeite lonen om het takenpakket risicomanagement bij een aparte functionaris te beleggen. Waarborgen volledigheid risico-inventarisatie Om te waarborgen dat er geen risico’s worden vergeten bij het in kaart brengen ervan, is het aan te raden gebruik te maken van modellen zoals het Vijfkrachtenmodel van Porter of het PEST-framework. Het gebruik van een dergelijk model is overigens niet per se noodzakelijk, zolang het in kaart brengen van de risico’s maar zoveel mogelijk vanuit verschillende invalshoeken en disciplines wordt benaderd. Naast risico’s ook kansen Risico’s vormen meestal een bedreiging. Sommige risico’s kunnen echter ook een kans in zich dragen. Dit is naar onze mening het geval wanneer er sprake is van ingestelde (dure) beheersmaatregelen voor risico’s die dat helemaal niet waard zijn. In dit geval kan worden besloten om de beheersmaatregelen op te heffen. Het gaat hier weliswaar niet om het ‘verrichten’ van risicomanagement in de zin van het behoeden van de organisatie voor rampen of andere continuïteitsdreigingen, maar er kan wel geld mee worden verdiend! Zeker in tijden van verslechterde economische omstandigheden kan het geen kwaad eens kritisch te kijken naar dure beheersmaatregelen voor risico’s die het niet waard zijn om hiervoor maatregelen te treffen.
okt ober 2003
81%
nr 10
Belangrijke rol voor controller/financiële functie Ten aanzien van het verschaffen van bestuurlijke informatie geldt voor de moderne controller dat deze als business partner van het management in staat moet zijn om naast het aanleveren van (betrouwbare) informatie over het verleden, tevens een oordeel moet kunnen vormen over de mate waarin de onderneming vertrouwen heeft in haar welslagen in de toekomst. Dit heeft alles te maken met de mate waarin de onderneming haar risico’s weet te managen. De ideale controller moet alles op alles zetten om alle risico’s zo goed mogelijk te beheersen. Dit wil niet zeggen dat hij verantwoordelijk moet zijn voor alle risico’s, maar dat hij moet waarborgen dat alle risico’s ergens zijn belegd.
55
T I J D S C H R I F T CONTROLLING
Figuur 5: Belangrijkste risicogebieden
nr 10
okt ober 2003
Noem de belangrijkste risicogebieden (minimaal 2) die binnen uw organisatie kunnen worden onderkend.*
56
1: Calamiteiten: brand / rampen / weer
30 %
2: Veiligheid / arbeidsomstandigheden
29 %
3: Ontwikkelingen in concurrentie / marktpositie / omzet / verslechtering winstmarges
27 %
4: Inefficiënties en improductiviteit / eenduidigheid bedrijfsprocessen / continuïteit productie
26 %
5: Financiële risico’s (rente, valuta, kasstromen)
24 %
6: Risico’s op het gebied van regelgeving (fiscaal, arbo, milieu)
22 %
7: Claims / (product-)aansprakelijkheid
21 %
8: Verslechterde economische omstandigheden / conjuncturele ontwikkelingen
20 %
9: Solvabiliteit opdrachtgevers / debiteurenrisico
18 %
10: Kwaliteit / samenstelling personeel
16 %
11: Milieu
15 %
12: IT risico’s / verlies van gegevens
13 %
13: Discontinuïteit key suppliers / grondstoffenvoorziening en -prijzen
12 %
14: Betrouwbaarheid verslaggeving / administratieve organisatie / waarderingen op balans
10 %
15: Projectrisico’s
8%
16: Vermindering maatschappelijk draagvlak / imago
6%
17: Politieke risico’s / landenrisico’s
6%
18: Onderdekking verzekeringspolissen
4%
* Per respondent zijn meerdere antwoorden gegeven. Het totaal telt daarom niet op tot 100 %.
Tenslotte is het mogelijk dat de respondenten die de risico’s met betrekking tot de administratieve organisatie et cetera (risicogebied 14) als belangrijk risicogebied hebben genoemd, hiermee tevens op frauderisico’s hebben gedoeld. Bij figuur 5 moet nog wel een kanttekening worden geplaatst. De vraag om de belangrijkste risicogebieden binnen de organisatie weer te geven, was gesteld in de vorm van een open vraag. Vanwege de enorme diversiteit aan antwoorden zijn achttien risicogebieden opgesteld en zijn alle antwoorden onder één van de achttien risicogebieden gehangen. Sommige risico’s konden echter bij meer dan één risicogebied worden geplaatst, afhankelijk van de interpretatie. Het risico ‘brand in computerruimte’ kan bijvoorbeeld als een calamiteit en als een IT-risico worden aangemerkt. In dergelijke gevallen is het genoemde risico aan de beide risicogebieden toegekend. Risico-inventarisatie Hoewel bijna de helft (49 procent) van de ondervraagde bedrijven (zeer) ontevreden is over de wijze waarop binnen hun organisatie de risico’s worden beheerst, worden bij de meeste deelne-
mende organisaties de risico’s wel eens geïnventariseerd. Bij slechts 11 procent van de geënquêteerden worden de risico’s nooit geïnventariseerd (zie figuur 6). De aanvullende interviews hebben verder opgeleverd dat het in kaart brengen van de ondernemingsrisico’s vaak impliciet wordt meegenomen in de reguliere planning & control-cyclus. De risico’s worden dan bijvoorbeeld beschreven bij het opstellen van de ondernemingsplannen of zijn in de lijn ondergebracht en belegd. Van de bedrijven die hun risico’s wel eens in kaart brengen, maakt hiervoor slechts 11 procent gebruik van modellen zoals het Vijfkrachtenmodel van Porter of het PEST-framework, Politieke, Economische, Sociale en Technologische factoren (zie figuur 7). Figuur 7: Gebruikmaking van modellen om risico’s te identificeren Wordt voor het identificeren van risico’s binnen uw organisatie gebruikgemaakt van modellen zoals het Vijfkrachten-model van Porter of het PEST-framework? 9%
11%
Figuur 6: Frequentie waarmee risico’s in kaart worden gebracht Ja Nee Weet niet
Hoe vaak worden binnen uw organisatie de risico’s in kaart gebracht? 28%
30% 25% 20%
20%
22%
10%
80%
15%
15% 11% 4%
5%
2%
0% Nooit
Af en toe
Eenmaal Eenmaal Eenmaal Is een per per per continu jaar halfjaar kwartaal proces
Anders
Conclusies Er is binnen bedrijven momenteel duidelijk een toegenomen interesse voor risicomanagement waar te nemen. Tegelijkertijd is een groot deel van de geënquêteerde bedrijven niet tevreden
T I J D S C H R I F T CONTROLLING
met de wijze waarop de risico’s binnen hun organisatie worden beheerst. Men is overigens wel van plan om hier binnen een termijn van één jaar iets aan te gaan doen. Bedrijven hebben met andere woorden weliswaar meer aandacht gekregen voor risicomanagement, maar deze aandacht moet nog worden vertaald naar een concreet beleid. Veel bedrijven zitten op dit moment vóór of midden in dit proces en hebben nog tijd nodig om het onderwerp risicomanagement een (betere) plaats te geven binnen hun eigen organisatie. Er zit dus een time lag tussen een toegenomen aandacht voor risicomanagement en de inbedding hiervan in de eigen organisatie.
11 procent inventariseert risico’s nooit
okt ober 2003
Er is een gedetailleerd onderzoeksrapport beschikbaar, waarin alle onderzoeksresultaten zijn opgenomen. Hierbij is tevens gekeken naar bedrijfsomvang, -type en mate van internationale expansie van de respondenten. In november vindt bij Atos KPMG Consulting de Issue & Solution workshop ‘Risicomanagement is een noodzaak; hoe beheerst u uw organisatie?’ plaats. Tijdens deze workshop zullen de onderzoeksresultaten nader worden toegelicht. Daarnaast zal een theoretisch kader over risicomanagement worden geschetst en wordt aan de hand van praktijkcases de wijze van risicobeheersing bij een aantal vooraanstaande bedrijven toegelicht. Voor informatie: (030) –C 658 19 19.
nr 10
Als belangrijkste reden voor het invoeren van risicomanagement binnen de eigen organisatie wordt door de ondervraagden hoofdzakelijk ‘het inschatten waar de risico’s voor de continuïteit van het bedrijf gelegen zijn’ genoemd. Bij de vraag om de belangrijkste risicogebieden te noemen, scoren de risicogebieden die de continuïteit van de organisatie daadwerkelijk zouden kunnen aantasten (calamiteiten) dan ook erg hoog.
Ondanks de beperkte tevredenheid over risicomanagement, worden bij de meeste ondervraagde bedrijven de risico’s wel eens geïnventariseerd. De frequentie varieert hierbij van ‘af en toe’ tot ‘is een continu proces’. Het in kaart brengen van de risico’s wordt namelijk gezien als iets wat bij de normale ondernemingsactiviteiten hoort. Ondernemen is immers risico’s nemen en zit verweven in het reguliere ondernemingsbeleid. De ontevredenheid over risicomanagement uit zich dan ook in het feit dat het proces van risicomanagement onvoldoende expliciet is gemaakt en dat risicobeheersing daarmee nog geen concrete plaats heeft gekregen in de organisatie. Modellen die kunnen helpen om de risico’s vanuit zoveel mogelijk verschillende invalshoeken te inventariseren, worden door de ondervraagde bedrijven nauwelijks gebruikt.
a dve r t e nti e
57