Risicomanagement, ooit een wat obscuur specialisme van bankiers, is binnen vrijwel ieder vakgebied en bedrijf uitgegroeid tot een allesoverheersend thema. Enterprise risk management-expert Gert-Jan Willig van PricewaterhouseCoopers geeft regelmatig cursussen en ziet hoe de aandacht voor het vakgebied zich voortdurend verdiept en verbreedt.
“De diversiteit van de cursisten is groot. Naast de commerciële sector zijn ook vanuit de overheid, gezondheidszorg en woningcorporaties meer en meer deelnemers geïnteresseerd.” Een gevolg van de brede introductie van Tabaksblat–achtige governance codes in tal van sectoren. Bestuurders en raden van toezicht, zoals commissarissen en audit committees, hebben er wat betreft risicomanagement nogal wat taken en verantwoordelijkheden bij gekregen. Willig noemt de jaarlijkse evaluatie van operationele en financiële doelstellingen, het hebben van een gedragscode, de aanwezigheid van een manual voor financiële verslaglegging en een monitoring systeem en een ’in control statement’ waarmee de leiding uiteindelijk verantwoording dient af te leggen voor de adequaatheid en effectiviteit van de risico management- en interne beheersingssystemen.
Onzekere factor
Aan risico’s geen gebrek. Waar bestuurders vroeger na tegenvallende jaarcijfers hooguit wat zure gezichten op de aandeelhoudersvergadering hoefden te vrezen, vinden ze nu binnen de kortste keren enge hedgefondsen op de stoep die aandringen op opknippen en uitverkopen. Willig: “De continuïteit van de onderneming zelf is hiermee een onzekere factor geworden, met de nodige risico’s die hiermee samenhangen voor de diverse stakeholders zoals bestuurders, management, personeel en aandeelhouders.” Het werkterrein van risk management is daarmee aanzienlijk verbreed. Willig: “Denk aan risico’s voortkomend uit de toegenomen wereldwijde concurrentie, de kortere levenscycli van producten, risico’s die samenhangen met het ontstaan van nieuwe markten en samenwerkingsvormen, het toepassen van nieuwe technologieën en ICT, outsourcing of het verplaatsen van activiteiten naar het buitenland, en de acties van enkelingen die de reputatie van het geheel kunnen schaden.”
Reputatieschade is volgens Willig een risico dat adequaat gemanaged dient te worden. “Onvoorziene gebeurtenissen en zaken als milieuschade, kinderarbeid, issues op gebied van voedselveiligheid, fraude of corruptie kunnen grote negatieve impact hebben op de organisatie als geheel en de uiteindelijke waarde van de onderneming.” De Amerikaanse Foreign Corrupt Practices Act kan bedrijven in grote problemen brengen indien ergens ter wereld overheidsfunctionarissen blijken te worden omgekocht met het doel business te genereren. Grootschalige correctieve acties, onderzoeken en boetes opgelegd door de Amerikaanse beurstoezichthouder SEC kunnen het gevolg zijn. Ook op het vlak van de mededinging gelden strenge regels. Wie ze overtreedt kan fikse boetes tegemoet zien van nationale en Europese mededingingsautoriteiten. Zo kregen bierbrouwers Heineken, Grolsch en Bavaria in april van de Europese Commissie miljoenenboetes opgelegd voor vermeende illegale prijsafspraken.
“Financiële instellingen, maar ook bedrijven uit andere sectoren hebben te maken met toenemende, vaak overlappende regelgeving van diverse lokale en mondiale toezichthouders”, zegt Simon Sijbrands, partner bij KPMG’s Financial Sector Advisory. “Resultaat daarvan is dat organisatiestructuren en rapportageprocessen steeds complexer worden, waardoor het verzamelen, analyseren en rapporteren van informatie steeds minder efficiënt gebeurt. In grote bedrijven wordt de leiding van de business units door verschillende groepsafdelingen vaak om dezelfde informatie gevraagd in net even een ander format, voor een net even ander tijdinterval of volgens net even een andere definitie.”
Cumulatief effect
“De kosten van compliance en risk management nemen als gevolg van toenemende regelgeving toe en hebben een cumulatief effect op interne compliance raamwerken”, aldus Sijbrands. “Dat betekent veel overlap en veel dubbelwerk omdat regelgeving vaak in silo’s binnen bedrijven wordt geadresseerd. Regelgeving komt immers via verschillende externe regelgevers de organisatie binnen en wordt doorgaans door aparte projectengroepen opgepakt. De uitdaging is om de complexiteit te vereenvoudigen en om naar regelgeving en risico’s slechts één of op zijn minst een beperkt aantal keer te kijken, zonder dat de kwaliteit van de rapportage richting de toezichthouders vermindert, of dat het risicoprofiel van het bedrijf wordt verhoogd zonder dat daar een gerichte waardecreatie tegenover staat.”
Willig merkt dat zijn klanten en cursisten op zoek zijn naar praktische handvatten om de almaar uitdijende en complexer wordende risico en compliance managementprocessen beheersbaar te houden en vorm te geven. “Het interne beheerssysteem dient uitgebouwd te worden op basis van een deugdelijke risicoafweging, met een goede inschatting van de kans en impact van de risico’s. Uiteindelijk dienen een adequate en effectieve systematiek in de organisatie aanwezig te zijn om het risicoprofiel te kunnen volgen en bestaande strategieën en beheersmaatregelen tijdig aan te passen aan gewijzigde omstandigheden.”
Optimalisatie en reductie
Organisaties streven volgens Willig naar optimalisatie en reductie van hun ‘key controls’. Key controls zijn de knoppen en metertjes waarmee de betrouwbaarheid van financiële verslaglegging wordt gewaarborgd. Willig: “Veel key controls zijn in eerste instantie op een relatief laag procesniveau neergelegd. Mogelijkheden om minder maar in werking sterkere key controls op een hoger niveau neer te leggen, alsmede het terugdringen van additionele testwerkzaamheden op de werking van deze controls, worden meer en meer onderzocht.”
Het mag duidelijk zijn dat de opzet en implementatie van een deugdelijk risicomanagementsysteem een peperdure mammoetklus is. Daar staan gelukkig de nodige baten tegenover. Denk aan een betere voorspelbaarheid en betrouwbaardere resultaten, efficiënter werken door betere beheersing van kosten en processen, minder onverwachte tegenvallers en minder kosten als gevolg van klachten, uitval, storingen en claims. Volgens zowel Willig als Sijbrands kruipt risicomanagement steeds nadrukkelijker uit het defensief. Van het angstvallig vermijden van compliance- en governancerisico’s, verschuift de focus van risicomanagement naar waardecreatie.
Geld verdienen
Onder de titel ‘Realising the potential of Enterprise Risk Management – Time to Act’ organiseert Towers Perrin Tillinghast op 12 oktober een Europese conferentie over risicomanagement. Directeur Harry Horsmeier zegt bewust voor een positieve insteek te hebben gekozen. “Meer en meer bedrijven uit de verzekeringswereld, voor wie dit congres bedoeld is, gaan niet langer zitten wachten hoe de wereld verandert, maar spelen er actief op in en zoeken naar manieren om daar hun voordeel mee te doen.”
Die verschuiving wordt versterkt door de aanstaande introductie van Solvency II, de Europese solvabiliteitsrichtlijnen waaraan alle verzekeraars in 2012 moeten voldoen. Anders dan onder Solvency I, waarbij verzekeraars met sterftetafels en relatief simpele inschattingen van hun verplichtingen aan polishouders vooral achteromkijken, dwingt Solvency II ze tot een nauwkeurige inschatting en explicering in de balans van toekomstige risico’s. Als voorbeeld noemt Horsmeier het langlevenrisico; het risico dat verzekerden langer blijven leven dan ze op basis van de huidige sterftetafels geacht worden te doen. “In eerste instantie zag je een defensieve reactie, dat herverzekeraars er hun handen amper aan durfden te branden. Maar superbelegger Warren Buffett rook juist kansen en stapte er vol overgave in. In een markt waarin iedereen zo overdreven voorzichtig is, is geld te verdienen, zo redeneert hij.”
Aversie
Beter inzicht in risico’s betekent niet automatisch een grotere risico aversie. Eerder omgekeerd. Voor potentiële klanten met een hoog risicoprofiel, die voorheen zekerheidshalve buiten de deur werden gehouden, blijkt bij nadere beschouwing soms toch veel mogelijk. Zo heeft verzekeraar AllLife in Zuid-Afrika een goudmijn aangeboord met een levensverzekering voor HIV-patiënten.
De aandacht verschuift overal van het achteraf verantwoorden naar het vooraf inschatten van het risico dat je dingen over het hoofd ziet en het misschien toch niet zo goed doet als je altijd dacht, stelt Horsmeier. Het is volgens hem een logische reactie op de debacles uit het recente verleden. “Japanse bedrijven waarmee het op papier erg goed leek te gaan, bleken in werkelijkheid zo goed als failliet.”
