1. Home
  2. Artikelen
  3. 10 oorzaken waarom risicomanagement niet werkt

10 oorzaken waarom risicomanagement niet werkt


Hoe komt het toch dat risicomanagementimplementaties en -functies vaak niet opleveren wat er van werd verwacht? En dat het top- en lijnmanagement ze zelfs ervaren als weggegooid geld? In dit artikel komen de 10 belangrijkste oorzaken aan de orde. Wanneer u deze pijnpunten succesvol aanpakt zult u de prognosekracht van uw organisatie vergroten en daarmee uw algehele performance.

10 oorzaken waarom risicomanagement niet werkt

Als het over interne beheersing van de organisatie gaat, wordt er vaak gekeken naar de financiële specialisten. De onderstaande punten bieden u handvatten om te signaleren waar er binnen uw eigen organisatie ruimte is voor optimalisatie. De lijst is samengesteld vanuit de dagelijkse praktijk en is niet uitputtend. Aan het einde wordt ingegaan op het verbeteren van de ‘prognosekracht’ als effectieve toepassing van risicomanagement.

Bedenk bij het doornemen van de mogelijke oorzaken dat lijnmanagers risicomanagement vooral dàn als zinvol ervaren, als het hen daadwerkelijk helpt om verwachtingen beter te managen. Te denken valt aan de verwachtingen van belanghouders zoals eigenaren, leidinggevenden, financiers, klanten, zakenpartners, toezichthouders, medewerkers, etc.

1. Risicomanagement is beperkt tot stafafdelingen
Risicomanagement is vooral een feestje van stafafdelingen geworden. Ze houden zich hoofdzakelijk bezig met het invoeren van compliance maatregelen en hebben beperkt contact met de business. Deze situatie komt bijvoorbeeld voor in de financiële sector. Deze stafafdelingen categoriseren de wereld in ‘lines of defence’ en spreken onvoldoende de taal van de lijnmanagers. Die maken zich vooral druk over de beste manier om aan te vallen en zo marktaandeel te veroveren.

2. Er is een gesloten organisatiecultuur
Er is binnen de organisatie een erg dominante leider, die afwijkende meningen niet op prijs stelt. We hebben enkele recente voorbeelden hiervan gezien in de woningcorporatiesector. De leider legt meer nadruk op verwijtbaarheid (afbranden van mensen) dan op vermijdbaarheid (leren van fouten), als er zich incidenten voordoen. Managers en andere medewerkers houden problemen daarom bij voorkeur zo lang mogelijk stil.

Er wordt niet expliciet gesproken over risico’s bij bijvoorbeeld het doen van acquisities, bij productlanceringen of bij het betreden van nieuwe markten. Als er sprake is van aanzienlijke activiteiten in een nieuwe sector, onderkent de leiding nauwelijks dat de organisatie beperkte ervaring heeft met het managen van de daarmee samenhangende risico’s. Zij moedigt excessief risicogedrag juist aan en beloont het met aandacht, bonussen, promoties, etc. Zij geeft geen blijk van de moed en de eerlijkheid, die vereist zijn om belanghouders tijdig te informeren over de mate waarin de doelstellingen naar verwachting zullen worden bereikt.

3. Lijnmanager worden onvoldoende aangesproken op verantwoordelijkheden
De lijnmanagers geloven dat ze ‘in control’ zijn, als ze de procedures en protocollen maar braaf uitvoeren zoals voorgeschreven door de centrale stafafdelingen. Dit komt bijvoorbeeld voor in sterk gereguleerde sectoren zoals de zorg. Bij periodieke voortgangsbesprekingen wordt aan de lijnmanagers nauwelijks deze kernvraag gesteld: hoe zeker ze ervan zijn dat ze in de komende periode de afgesproken resultaten zullen bereiken. En dat er in hun domein geen onaangename verrassingen zullen zijn. Ze worden ook nauwelijks aangesproken op hun resultaten en komen er doorgaans mee weg, als ze afgesproken verbeterplannen niet (tijdig) doorvoeren.

4. Integratie met organisatiedoelstellingen ontbreekt
De relatie tussen de risiocomanagementactiviteiten en de te realiseren strategische agenda (zoals groei, efficiency, innovatie, standardisatie, duurzaamheid, etc.) wordt nauwelijks gelegd. Dit komt bijvoorbeeld voor in de onderwijssector. Er zijn geen duidelijk geformuleerde en gecommuniceerde organisatiedoelstellingen. Daardoor bestaat er ook onduidelijkheid over welke waarde er nu voor welke belanghouders gecreëerd moet worden. De leiding beschouwt dit niet als een probleem: zo wordt het ook lastiger om hen aan te spreken op de behaalde resultaten. Ook de bandbreedten van de aanvaardbaar geachte afwijkingen van de doelstellingen (de risicobereidheid) zijn niet helder. Daardoor blijft vaag welke mate van interne beheersing er nodig is om binnen die marges te blijven.

5. Onzekerheid wordt niet actief gemanaged
De focus bij risicomanagement ligt op het identificeren en wegen van allerhande risico’s. En niet op het proactief managen van de onzekerheden ten aanzien van het realiseren van de doelstellingen. Er wordt veelvuldig gebruik gemaakt van risicoregisters, risicoprofielen, lijsten met top-10 risico’s, etc., waardoor die risico’s gemakkelijk een eigen leven gaan leiden. Deze aanpak komt bijvoorbeeld voor bij ondernemingen met afzonderlijke divisies, werkmaatschappijen, etc. Teveel nadruk op deze geprioriteerde onheilen helpt lijnmanagers ook niet bij het vormen van een evenwichtige kijk op de toekomst.

De leiding organiseert geen ‘pre-mortem reviews’ van strategieën, plannen en projecten om na te gaan of de interne beheersing wel solide genoeg is om de doelstellingen redelijkerwijze te kunnen realiseren. Er wordt hooguit verwacht dat de verantwoordelijke lijnmanagers een losse ‘risicoparagraaf’ opnemen in hun budgetten en projectplannen. Deze behelst in werkelijkheid een opsomming van enkele voor de hand liggende risico’s. De mate waarin de realisatie van welke doelstellingen (met betrekking tot geld, tijd, kwaliteit, etc.) onzeker is wordt echter niet van hen gevraagd. De leiding realiseert zich verder in beperkte mate dat gepresenteerde risicoanalyses vooral meningen zijn over de toekomst. En hoezeer deze analyses worden gekleurd door de persoonlijke voorkeuren, ervaringen, karaktereigenschappen, etc. van de betrokkenen.

####

6. Risicomanagement is te preventief ingestoken
Veel stafafdelingen beschouwen ‘mitigeren’ als het belangrijkste doel bij risicomanagement. Zij proberen de bedrijfsprocessen dicht te timmeren met vooral preventieve maatregelen. Deze tendens komt bijvoorbeeld voor bij overheidsinstanties. Er is daarbij nauwelijks besef dat er geen garanties zijn dat hetgeen heeft gewerkt in het verleden ook effectief zal zijn om problemen te voorkomen in de toekomst.

7. Er is veel interne regelgeving
Er zijn veel interne regelgevers, doorgaans de gespecialiseerde staffuncties, die beheersmaatregelen (huisregels) ontwikkelen, maar met beperkte onderlinge coördinatie en consistentie. Daarbij blijft onduidelijk wat aan het inzicht van de lijnmanagers zelf wordt overgelaten. De leiding organiseert ook nauwelijks tegengas vanuit het lijnmanagement teneinde ‘regelobesitas’ te voorkomen. Deze situatie komt veel voor bij organisaties die opereren in een sterk gereguleerde omgeving.

8. De managementinformatie is onsamenhangend
De leiding ontvangt afzonderlijke periodieke managementrapportages van de verschillende staffuncties over de prestaties, risico’s, incidenten, trends, etc. Er worden echter geen documenten geproduceerd die een gedeeld beeld geven van hoe de vlag erbij hangt (per entiteit, divisie, land, vestiging, etc.). Hierdoor moet de leiding zelf maar thee zien te trekken van alle individuele rapportages, die elkaar ook nog eens regelmatig tegenspreken. Deze situatie komt veelvuldig voor bij zowel profit als non-profit organisaties.

9. Internal audit sluit niet aan
De risicoanalyses die de Internal Audit functie opstelt voor het jaarlijkse audit plan sluiten niet aan bij de organisatiebrede risicoanalyses van de leiding. Internal Audit vertrouwt het ook andere stafafdelingen nauwelijks toe om gezamenlijk met het lijnmanagement de gewenste opzet van de interne beheersing te bepalen. De auditors blijven bij hun audits eigen normenkaders hanteren – tot verwarring en ergernis van de overige spelers. Deze situatie komt bijvoorbeeld voor bij volwassen internal auditafdelingen die hun onafhankelijkheid willen benadrukken.

10. Toezicht is ontoereikend
De Raad van Commissarissen bevraagt de leiding nauwelijks over (wijzigingen in) de blootstelling van de organisatie aan significante risico’s en de kwaliteit van de interne beheersing. Deze situatie komt bijvoorbeeld voor in de non-profit sector.

Lijnmanagers ervaren risicomanagement dàn als zinvol, als het hen helpt om de verwachtingen van hun belanghouders effectief te managen. Wat betekent dit concreet? Dat risicoanalyses vooral gericht moeten zijn op het inschatten van de mate waarin de geformuleerde doelstellingen naar verwachting gehaald zullen gaan worden. En dat er gerichte verbeteracties in gang moeten worden gezet, als de conclusie luidt dat de huidige beheersing ontoereikend is om de verwachtingen waar te kunnen maken. De conclusie kan overigens ook betekenen dat (de bandbreedten van) sommige doelstellingen moeten worden bijgesteld op basis van voortschrijdend inzicht.

Conclusie
Goed bekeken draait het bij effectief risicomanagement om het voortdurend verbeteren van de ‘prognosekracht’ van een organisatie. Dat laatste houdt in: de kwaliteit van de periodieke voorspellingen door de verantwoordelijke lijnmanagers m.b.t. de realisatie van hun doelstellingen. Het maken van deugdelijke prognoses vereist dat de desbetreffende manager zich vergewist van de mate van risicoblootstelling en de kwaliteit van de interne beheersing. Het realiteitsgehalte van de afgegeven prognoses vormt een weerspiegeling van de mate waarin hij of zij ‘in control’ is.

Hierdoor verschuift de aandacht van het achteraf meten van de werkelijke resultaten (t.o.v. het plan, budget, etc.) naar het voortdurend proactiever managen van de verwachtingen. En daarmee naar de mate waarin de leiding in de ogen van de belanghouders grip blijkt te hebben op de zaak. Verbetering van de prognosekracht leidt tot versterking van het vertrouwen van en in de leiding. En dat kan moeilijk ‘weggegooid geld’ worden genoemd.

Drs. M. de Pooter RA CMA CFM CIA is eigenaar van MdP | Management, Consulting & Training. Hij adviseert bestuurders en commissarissen over het beter voldoen aan (gewekte) verwachtingen door verbeterde interne beheersing en de communicatie daarover. In vorige functies was hij ondermeer Executive Director ERM bij Ernst & Young Adivisory, European Director Internal Audit bij Office Depot en Director of Finance bij Ernst & Young Global Client Consulting.

Voorkom verrassingen met Risk Management

Wilt u onaangename verrassingen voorkomen? Wilt u het gevoerde beleid inzake risicomanagement beter verantwoorden? Wilt u aan de toegenomen regelgeving blijven voldoen? Dan is de cursus Enterprise Risk Management (inclusief 4 E-learning modules) voor u onmisbaar.

Boek nu & ontvang 4 gratis E-learning modules

Gerelateerde artikelen voor financials

29-07-2021 07:27

Goed personeel vinden en binden hoort ook op de radar van de controller.

29-07-2021 07:21

Voorbereiden op het einde van de coronacrisis, stap 1: liquiditeit op orde.

29-07-2021 07:18

Risico’s bij het herstarten van de economie zijn er genoeg. Ben je daar als financial al alert op?

07-07-2021 13:44

Wat houdt je als leider staande in alle hectiek van vandaag? Moed en lef zijn essentieel, bleek tijd...

07-07-2021 11:54

Waarom floreren sommige ideeën van meet af aan, terwijl andere razendsnel ter ziele gaan? Verbeter d...

07-07-2021 11:23

Zes tips om je invloed te vergroten door effectief stakeholdermanagement.

01-07-2021 14:31

Sijthoff Media heeft het cursusaanbod NBA Opleidingen overgenomen van de Koninklijke Nederlandse Ber...

11-06-2021 10:02

De rol van Power BI, nieuwe features en andere ontwikkelingen in het favoriete gereedschap van finan...

11-06-2021 09:56

De NBA heeft het onderwerp continuïteit verplicht gesteld als onderdeel van de Permanente Educatie i...

03-06-2021 11:12

Als je de gelegenheid krijgt om ergens te spreken, pak die kans dan. Spreken is één van de meest kra...

25-05-2021 10:25

Volgens Susan Swarte (oud-CFO Olympia) is een goed presterend bedrijf nog geen bedrijf dat genoeg op...

25-05-2021 09:59

‘M&A-kanonnen’ Ton van Veen (Jumbo), Brent Wissink (Just Eat TakeAway.com) en Stefan Weda (Aon) over...