Van risicomanagement naar waardemanagement (1/3)

Van risicomanagement naar waardemanagement (1/3)

Bij veel organisaties wordt er naar de controller gekeken als het gaat over risicomanagement en interne beheersing. In drie delen ga ik nader in op de huidige risicomanagementpraktijk, waarom risicomanagement vaak niet zoveel oplevert en de waardemanagementbenadering als intuïtief alternatief. Vandaag deel 1: De huidige risicomanagementpraktijk.

  1. De huidige risicomanagementpraktijk

Eerst iets over de achtergrond. Enterprise Risk Management (‘ERM’) is een planning- en control concept, waarbij de organisatieleiding alle risico’s identificeert die van invloed kunnen zijn op de realisatie van doelstellingen. Vervolgens moet zij beheersmaatregelen ontwerpen en implementeren, waardoor de zogenoemde ‘netto-risicoblootstelling’ valt binnen de geformuleerde risicobereidheid. Door de risicobeoordeling periodiek te herhalen en de werking van de beheersmaatregelen te controleren, kan het systeem daar waar nodig worden bijgesteld. Vanuit de behoefte om dit systeem in te zetten als verantwoordingsinstrument ligt de nadruk doorgaans op aantoonbaarheid.

Ongetwijfeld herken je veel van wat ik in de praktijk tegenkom:

  1. afzonderlijk vocabulaire gebruiken met veel woorden die beginnen met ‘risico-‘, zoals risicocultuur naast organisatiecultuur en risico-indicatoren naast prestatie-indicatoren;
  2. een separate functie of -commissie creëren die gaat over risico’s in plaats van actief de vele verschillende expertisegebieden met elkaar te verbinden;
  3. aparte risico-eigenaren benoemen, terwijl het omgaan met onzekerheid onderdeel zou moeten zijn  van de reguliere managementverantwoordlijkheid en het proceseigenaarschap;
  4. focussen op het formuleren van risicobereidheidsuitspraken in plaats van op het gesprek (als kritische huisvriend) over de veronderstellingen in voorstellen, plannen en prognoses;
  5. uitgebreide risicoregisters en risicodossiers bijhouden in plaats van de waarschijnlijkheden na te gaan van mogelijke toekomstige afwijkingen van de geformuleerde doelstellingen;
  6. omvangrijke control frameworks bouwen en testen (vaak ondersteund door dure applicaties), terwijl beslissers bij hun afwegingen vooral evenwichtige informatie nodig hebben;
  7. aparte risicorapportages opstellen naast reguliere managementrapportages, die niet aangeven in welke mate de verwachte uitkomsten zullen vallen binnen de aanvaardbare bandbreedtes;
  8. risicomanagement als apart agenda-item beschouwen bij vergaderingen;
  9. je vooral druk maken over het mitigeren van allerlei mogelijke onheilen en niet bezig zijn met het optimaliseren van de ‘risk-return’ balans.

De volgende keer ga ik nader in op waarom risicomanagement vaak niet zoveel oplevert.

Drs. Marinus de Pooter RA CMA CFM CIA CRMA CCS GRCP GRCA is eigenaar van MdP | Management, Consulting & Training. Hij ondersteunt ondernemers, bestuurders en managers bij het toekomstbestendig houden van hun organisaties. Ook is hij docent van de NIVE training Praktisch kans- & risicomanagement waarbij hij dieper ingaat op bovenstaande materie.