Risicomanagement staat niet naast, maar is ondernemen

In de code voor goed ondernemingsbestuur is vastgelegd dat commissarissen de taak hebben toe te zien op de interne risicobeheersing- en controlesystemen. Ze moeten zich dus uitspreken over het risicomanagement van de onderneming of organisatie waar ze toezicht op houden.

In de praktijk blijkt dat ze nogal eens worstelen met dit onderwerp, signaleert Jan Driessen. ‘Vaak vragen commissarissen zich af wat de risico’s zijn waarop ze moeten letten. Is dat alles wat er mis kan gaan, inclusief de bestuurder die onder de spreekwoordelijke tram kan lopen?’

Dat laatste is trouwens een risico, zegt hij. ‘Als er sprake is van een grote afhankelijkheid van die bestuurder,’ kan dat een continuïteitsrisico zijn.

Anton van Rosmalen en Jan Driessen vinden dat de doelen van de onderneming het uitgangspunt moeten zijn voor risicomanagement. Driessen: ‘Je moet je richten op de doelen, hoe die bereikt worden en wat daarbij in de weg kan zitten. Stel dat je afhankelijk bent van twee grote klanten of juist van twee grote leveranciers, dan kan ik me voorstellen dat daar een risico zit dat je aan moet pakken.’

Gebruik van modellen

Beide PwC’ers zijn niet tegen het gebruik van modellen, zoals COSO, want die helpen bij het identificeren en mitigeren van risico’s vanuit verschillende invalshoeken. Ze vinden echter dat het niet bij die modellen moet blijven.

Van Rosmalen: ‘Je ziet in de praktijk regelmatig dat risicomanagement uitdraait op het afvinken van lijstjes en dat het geïnterpreteerd wordt als de zeurpuntjes van de controller. De essentie van ondernemen is het nemen van risico’s. Risicomanagement staat dus niet naast het ondernemen, maar is ondernemen. Soms houdt risicomanagement juist in dat je mensen stimuleert bepaalde risico’s te nemen. De neiging om ieder risico maar weg te managen is juist het tegenovergestelde van wat met risicomanagement beoogd wordt.’

Hij trekt een parallel met een arts in de operatiekamer. ‘Geen enkele operatie is zonder risico’s voor de patiënt. Maar die arts in combinatie met alle ondersteunende middelen om hem heen is wel de meest geschikte persoon om iets te doen. Niks doen, risico’s vermijden door niet te opereren, is geen optie. Kortom: de kansen wegen tegen de risico’s op.’

Gezonde boerenverstand

Jan Driessen pleit in dit verband voor een combinatie van een ‘rationele’ en een ‘emotionele’ blik op risicomanagement. ‘Met emotionele blik bedoel ik dat je afstand moet nemen tot alle procedures en richtlijnen en je af moet vragen of je een goed gevoel krijgt bij de organisatie. Snap je wat iedereen aan het doen is? Snappen de stakeholders het? Is het allemaal logisch? Gewoon je gezonde boerenverstand gebruiken en een beetje luisteren naar de onderbuik.’

Van Rosmalen vult aan: ‘Iedereen weet dat er schandalen en affaires zijn voorgekomen bij organisaties die een heel uitgebreid systeem hebben van risicomanagement. Je moet niet in de situatie komen dat iedereen de regels volgt, maar niemand meer nadenkt.’

Nieuwsgierig

Als commissarissen over risicomanagement praten, moeten ze het vooral over de prestaties van de onderneming hebben, benadrukt Anton van Rosmalen. ‘Vraag je af of de activiteiten en de hieraan verbonden risico’s in de strategie passen en of je ze wel moet behouden als ze niet bijdragen aan de ondernemingsdoelstellingen, maar blijf tevens scherp op het missen van kansen doordat de organisatie misschien wel te risicomijdend is.’

Jan Driessen brengt naast zijn rationele en emotionele nog een derde ‘blik’ in op risicomanagement: een nieuwsgierige. Driessen: ‘Wees bereid om kritisch en nieuwsgierig te kijken naar het eigen bedrijf. Baseer je niet alleen op informatie van het bestuur maar ga ook praten met andere functionarissen, zoals de controller of de risk manager. Vertrouw niet teveel op één informatiestroom.’