Effectief risicomanagement

Om de winst te maximaliseren en de continuïteit te garanderen moet het bestuur van een onderneming een diversiteit aan risico's managen. Risicomanagement is een essentieel onderdeel van hun taak. Een chauffeur die zijn wagen niet kent, kan niet zeggen dat hij ‘in control’ is. Net zo goed kan een bestuurder van een organisatie niet zeggen dat hij daadwerkelijk bestuurt, als hij geen controle heeft over die organisatie.

Risico's zijn potentiële gebeurtenissen die de realisatie van uw doelstellingen kunnen bedreigen. Die risico's moeten in kaart gebracht en geëvalueerd worden. Ook moet het bestuur beoordelen of de risico's op een aanvaardbaar niveau liggen. Is dat niet het geval? Dan moet het bestuur aanvullende maatregelen nemen.

Ten slotte moet ook de goede werking van die beheersmaatregelen tijdig en regelmatig gecontroleerd worden. Een voorbeeld uit de praktijk maakt duidelijk wat risicomanagement inhoudt. U geeft op een congres met uw laptop een demo van een nieuwe applicatie, waarvoor u internettoegang nodig heeft.

Er kan van alles misgaan: het draadloze signaal is te zwak, de bandbreedte is onvoldoende of de toegang is alleen mogelijk via een kredietkaart. Vervolgens gaat u na welke voorzorgen u moet nemen om zonder zorgen de presentatie te kunnen geven. Een vaste verbinding bijvoorbeeld, een tweede laptop als back-up, of technische assistentie binnen handbereik. Vanzelfsprekend komt u op tijd om de verbinding te kunnen testen. Uiteraard denkt u ook aan een plan B. Als de internetverbinding niet lukt, kunt u bijvoorbeeld in elk geval en paar screenshots tonen.

VALUE

Traditioneel bekeek risicomanagement de onzekere toekomst vanuit de negatieve kant: er kunnen vervelende zaken gebeuren, die zoveel mogelijk vermeden moeten worden. Risicomanagement en performancemanagement werden mede daardoor tot voor kort als gescheiden werelden beschouwd. Maar organisaties kunnen aanzienlijk profijt hebben van een meer geïntegreerde benadering. Daarom spreekt men beter van value management: zo goed mogelijk waarde creëren en behouden in organisaties.

In organisaties bestaat ook vaak een verscheidenheid aan systemen, die zijn opgezet voor het managen van de afzonderlijke risicocategorieën. Om dat negativisme en die versplintering te vermijden, ziet u enterprise risk management (ERM) best als een bedrijfsoverspannend en geïntegreerd proces. Zo'n geïntegreerde benadering loont.

Goede interne beheersing leidt er toe dat er overzicht ontstaat over de belangrijkste risicocategorieën, zodat die beter gemanaged kunnen worden met de juiste prioriteitstelling. Als het bestuur dit goed voor elkaar heeft, kan het ook gemakkelijker de geldverschaffers ervan overtuigen dat hun kapitaal in goede handen is. Dit resulteert in een lagere risicopremie, ofwel lagere rentelasten.

DE PRAKTIJK

Interne beheersing komt eigenlijk neer op goede huisregels en de bewaking van hun functioneren. Maar doordat deze regels zijn ingevoerd in de loop der tijd, soms beperkt worden onderhouden door bezuinigingen, door het vertrek van medewerkers, reorganisaties enz, raakt het overzicht gemakkelijk kwijt. Hierdoor kunnen er zelfs elkaar tegensprekende huisregels ontstaan. Daarom moet het beheer goed worden geregeld. Dat voorkomt ook dat er zodanig veel regels ontstaan dat de ‘regeldruk’ te hoog wordt.

Bovendien worden veel zaken op het terrein van ‘control’ door het management en de medewerkers gedaan, zonder dat ze zich ervan bewust zijn dat ze met interne beheersing bezig zijn. Doorgaans geldt: hoe groter, ouder en complexer een organisatie is, des te formeler de interne beheersing geregeld is.

Bij grotere organisaties - vooral diegene die onder extern toezicht staan - is het van belang dat het management kan aantonen 'in control' te zijn. Dat impliceert dat een aantal zaken schriftelijk moeten worden vastgelegd. De mate waarin dat moet gebeuren hangt uiteraard af van de voorschriften en omstandigheden.

RISICOBEREIDHEID

Ook risicobereidheid verschilt van bedrijf tot bedrijf. Het gaat over het aangeven van de aanvaardbaar geachte kans dat een ongewenste gebeurtenis zich voordoet, en de omvang van het gevolg ervan.

Denk daarbij aan vragen als:'Hoeveel geld willen we maximaal kwijt zijn, als een nieuwe productontwikkeling niet succesvol blijkt?' of 'Hoelang staan we toe dat een buitenlandse vestiging verlieslatend is in de opbouwfase?'

Informatie over risicobereidheid wordt best ingewonnen door interviews met het management. Zij kunnen op basis van wat er in het verleden misging het best inschatten welke situaties onaanvaardbaar zijn, en ze weten vaak ook de onmiddellijke pijnpunten liggen. Maar het bestuur moet het verantwoordelijkheidsgebied voor elk van de betrokken functies duidelijk afbakenen.

SUCCESFACTOREN

Eén van de succesfactoren voor een risicobeleid is het specifiek, toegankelijk en inzichtelijk maken en houden van de huisregels. Antwoorden op vragen als: 'Wie mag welke regels wanneer uitvaardigen?', 'Zijn onze regels onderling consistent?' of ‘Hebben we niet te veel regels?' beantwoordt men best aan de hand van een adequaat raamwerk.

Een tweede succesfactor is de steun van het topmanagement. Daarnaast moeten de risicocategorieën duidelijk toegewezen worden aan verantwoordelijken. Dit vermijdt niet alleen overlappingen, maar vooral lacunes in de risicoafdekking.

Ten slotte blijkt het zeer effectief te zijn om risico's op te nemen in de sleutelindicatoren in de managementrapportage. Ga eens na wat de top 10 is die komt uit de organisatiebrede risicoanalyse van uw organisatie en kijk vervolgens wat daarover wordt gerapporteerd in de huidige managementrapportage. U loopt het risico verbaasd te staan. 

Advertentie
Advertentie

Gesponsorde inhoud