Een ‘nachtmerrie’ is te veel gezegd, maar een voortdurende bron van zorg en aandacht is het wel: de risico’s en (overheids)voorschriften waarmee bedrijven steeds meer geconfronteerd worden.
De complexiteit van veel processen in de samenleving, de toenemende informatiestromen en de steeds groter wordende belangen hebben ertoe geleid dat risicobeheer (of liever nog ‘risk management’) een belangrijk aandachtspunt van het bedrijfsleven is geworden.
Er speelt heel wat meer dan concrete risico’s en regels die we in de ‘eigen’ praktijk tegenkomen. Om maar eens een paar ‘bijkomende’ zaken te noemen: het is voor dit alles nodig een breder inzicht verwerven, bijvoorbeeld in:
– (mogelijke effecten op) de financiële resultaten en de consequenties van financiële rapportages
– de wijze van zakendoen, wettelijke regelingen, vergunningen, voorschriften (milieu, veiligheid, arbeidsomstandigheden, privacy)
– met wie zaken gedaan worden; hoe regelen we het berichtenverkeer; welke protocollen passen we toe; zetten we nieuwe technologie als rfid in? Als de afnemer erom vraagt, is de leverancier eraan gebonden. Wie zich er niet aan houdt, moet boeten alsof een rechtsregel is overtreden. Meestal komt het neer op het verbreken of niet toekennen van een contract.
Tot zover gaat het om externe actoren en de interactie daarmee. Er kan nog een vierde actor bijkomen:
– hoe besturen wij de organisatie? Hierbij is te denken aan: ethische principes, bedrijfscultuur, beleid. Kortom wat in goed Nederlands corporate governance genoemd wordt.
Dit laatste kunnen we natuurlijk niet los zien van de (soms boze) buitenwereld. Missers in dit opzicht kunnen verstrekkende gevolgen hebben; denk aan aandelenkoersen, verlies van vertrouwen of goede naam. Ook bij overnames en fusies en de onvermijdelijke due diligence zal gekeken worden naar risico’s en de ‘transparantie’ van de organisatie.
Met deze vier actoren heeft men altijd te maken, en wij moeten – of we willen of niet – in actie komen.
Voor instellingen met belangen in de VS gelden regels, voortkomend uit: Sarbanes-Oxley Act, IFRS/IAS, Gramm-Leach-Bliley Act (GLBA), GAAP, SEC. In Europa zijn we al flink wat jaren op weg met Basel II, gericht op operationele risico’s in de kapitaals- en kredietsfeer. In Nederland heeft ook de Code Tabaksblat veel aandacht gekregen.
ISO 17799 is weer een internationale norm die de informatiebeveiliging van organisaties betreft. Want hebt u wel zicht op de risico’s die uw organisatie loopt als het met de ict eens goed fout gaat? Andere ISO-normen, zoals 9000, houden zich ook met richtlijnen en eisen bezig. Dan hebben we het nog niet over toezichthoudende instanties als De Nederlandsche Bank, OPTA, AFM, NMa, DTe en de diverse inspecties.
Wie geneigd is te denken dat alle ‘regelzucht’ en ‘principieel’ zakendoen vooral beperkingen opleggen en de concurrentiepositie aantasten, vergeet dat het verminderen van risico’s een positief effect is, en dat er kansen in schuilen om de bedrijfsvoering verder te optimaliseren.
Negatief en positief
Toch eerst de negatieve benadering. Vraagt u zich eens af: “Wat kost het als onze organisatie zich niet houdt aan wettelijke bepalingen?” Dit zal de risico’s vergroten, niet alleen op overheidsmaatregelen, maar ook op rechtszaken, zoals claims van gedupeerden. We kennen inmiddels de boetes, de schikkingen die getroffen moeten worden en de vermindering van het vertrouwen bij aandeelhouders en andere belanghebbenden. De reputatie van een onderneming en media-aandacht blijken telkens een niet te onderschatten kwetsbare plek. Kredietwaardigheid, solvabiliteit en diverse ratings, zoals Standard & Poor’s, AM Best Co en Moody, of (beurs)analyses, dan wel beleggingsadviezen, mogen dan ‘papieren’ oordelen zijn, ze hebben wel directe en soms verregaande gevolgen voor het voortbestaan van de onderneming.
Dan een positieve benadering. In de VS is in 2002 de Sarbanes-Oxley-wetgeving van kracht geworden om boekhoudschandalen te voorkomen en om een ‘eerlijk’ inzicht in het financiële reilen en zeilen van beursgenoteerde ondernemingen te garanderen. Uit een onderzoek in 2004 bleek dat 74 procent van de benaderde financiële topmanagers verklaarde dat hun onderneming geprofiteerd had van (het voldoen aan) de nieuwe wet. Het onderzoeksverslag is te vinden op: http://oversightsystems.com/knowledge/whitepapers_landing.html.
Wat is dan het voordeel, terwijl het toch vaak als last wordt ervaren? In het voorgaande is hier al het een en ander over gezegd. Maar ‘gedwongen’ door de verplichtingen zijn veel managers erachter gekomen dat de analyse van ondernemingsactiviteiten en de wijze van rapporteren inzichten verschaft die hen in staat stellen de organisatie beter te leiden en (dus) tot betere prestaties te komen. U kent het jargon wel: ‘strategische beslissingen voor middellange termijn’ van het management. De uniformiteit in bijvoorbeeld de wijze van rapporteren kan een beter begrip van de markt opleveren. Zeker, dit was niet in de eerste plaats bedoeld voor de ondernemers, maar voor overheden en belanghebbenden, zeg maar ‘de aandeelhouders’. Toch kan elke onderneming nu sneller en nauwkeuriger vergelijkingen maken en beter gefundeerde beslissingen nemen. Uiteraard gaat dit niet vanzelf, het moet georganiseerd worden. Hier zijn gelukkig hulpmiddelen voor.
Zoals gezegd zijn er nogal wat voorschriften en regels waaraan bedrijven zich te houden hebben. Het wordt nog veel complexer als die bedrijven internationaal actief zijn.
Ik zie het niet als een externe last die we moedig moeten dragen, maar als een kans om risicobeheer te integreren in het leiden van de organisatie. Het komt erop neer dat we ons moeten overtuigen risicobeheer als een raamwerk te zien voor het dagelijks nakomen van regels, afspraken en bepalingen. Het raamwerk moet houvast bieden voor het voldoen aan eigen en externe voorschriften. Daarbij moeten we niet alleen denken aan plotselinge catastrofes of crises, maar ook aan bedreigingen die geleidelijk duidelijk worden, zoals ongunstige marktontwikkelingen, groeiende voorraden, fouten die te vaak terugkeren en aan personeelsverloop.
Het COSO-raamwerk
Het raamwerk voor risk management, waarover ik het heb, bestaat al sinds 1985. Er werd een commissie gevormd met de naam Committee of Sponsoring Organizations of the Treadway Commission, kortweg COSO. De commissie bestaat uit afvaardigingen van Noord-Amerikaanse accountantsorganisaties. Een van de publicaties van COSO is Enterprise Risk Management (ERM) – Integrated Framework (ook bekend als COSO II) uit 2004.
Het ERM-raamwerk geeft ondernemingen een leidraad voor het gestructureerd omgaan met alle mogelijke risico’s en het voldoen aan de eisen waarmee zij geconfronteerd (kunnen) worden. Niet alleen om rampen te voorkomen, maar ook om kansen te bieden op de volgende gebieden:
– de bedrijfscultuur, ethische waarden, de filosofie van leiding geven in de organisatie en de wisselwerking met de omgeving waarin de onderneming opereert.
– de doelstellingen in ruimere zin, strategische overwegingen, de doelstellingen voor het opstellen van rapportages en voor het nakomen van regels; de ‘missie’ van de organisatie en de bereidheid tot het nemen van risico’s.
– de identificatie van gebeurtenissen die van invloed zijn op het nastreven van de doelstellingen. Hierbij kan onderscheid gemaakt worden tussen risico’s en kansen, waarbij natuurlijk de terugkoppeling naar de processen die de doelstellingen helpen nastreven, essentieel is.
– analyse van gevonden risico’s, dus de mogelijke gevolgen, positief en negatief.
– een overzicht van reacties op risico’s die overeenstemmen met de manier waarop de organisatie tegen risico’s aankijkt. Dat kan inhouden: vermijden, accepteren, verminderen of spreiden.
– besturende activiteiten. Het beleid en de procedures om ervoor te zorgen dat de reactie op risico’s ook worden uitgevoerd.
– informatie en communicatie. Niet de technologie, maar het waarborgen dat informatie beschikbaar komt en gecommuniceerd wordt in een vorm en binnen het tijdsbestek dat nodig is om mensen hun verantwoordelijkheden te kunnen laten uitoefenen.
– een voortdurende bewaking en controle van activiteiten, die moet uitwijzen of aan de doelstellingen van risicobeheersing voldaan is en die eventuele modificaties kan opleveren.
Om risicobeheer nog meer ‘tastbaar’ te maken heeft SSA Global een checklist opgesteld voor ondernemingen om een duurzaam raamwerk voor risicobeheer te construeren. De controlelijst bevat items voor:
– het afdwingen en verifiëren van procedures en regels
– het garanderen van data-integriteit en databeveiliging
– de invoering van detectiemechanismen voor gebeurtenissen en de bijpassende respons
– het transparant maken van financiële en operationele zaken
– het verbeteren en versnellen van rapportages
– het op elkaar afstemmen van business-plannen en beschikbare middelen
– het efficiënt en betrouwbaar maken van transactieprocessen
– het voldoen aan internationale en lokale voorschriften
– het ontwikkelen van gescheiden administratie en (toegang tot) controlemiddelen
Vóór alles moet de organisatie onzekerheden inventariseren en analyseren. Daar zijn verschillende methodieken voor ontwikkeld. Kant-en-klare oplossingen zijn er echter niet. In de wetenschap dat elke organisatie anders is en een intern draagvlak onontbeerlijk blijft, is binnen mijn organisatie de geschetste uitgebreide checklist ontwikkeld en de daarop aansluitende software voor een adequate aanpak. Het is namelijk zeker mogelijk sterker uit de dreiging van risico’s en opgelegde verplichtingen te komen. Het is toch de moeite waard daar eens over na te denken, nietwaar?
Peter Barnes, director solutions marketing SSA Global
