Risicomanagement? 9 fouten die de bestuursraad beter niet (meer) maakt

De beginselen en de methodologie van risicomanagement gaan al een tijdje mee: ondernemingen streven nog steeds naar een optimale mix tussen eliminatie van risico’s, reductie van risico’s en een efficiënte aanpak van de restrisico’s. Een goed verzekeringsprogramma maakt het dan af. Maar er komen steeds nieuwe wettelijke verplichtingen bij. Ook de technische complexiteit en de mogelijke schadelijke impact van globaal ondernemen blijven toenemen.

Vandaag zijn risico’s zeer divers: macro-economische en strategische risico’s, kredietrisico, patrimoniumrisico’s aan goederen en gebouwen, aansprakelijkheidskwesties bij ongevallen, persoonlijke en medische risico’s, transportrisico, frauderisico, beleggingsrisico, cyberrisico’s, reputatierisico… De toezichthoudende bestuurders moeten dus wel “bij de les” blijven…

Dit brengt ons als vanzelf bij een prangende vraag: “Welke fouten inzake risk management moet een bestuursraad hier zeker vermijden”?

1) Onderschatting

Door een tekort aan praktisch inzicht, door een gebrekkige opvolging van de nieuwe globale trends of door een falende zorgvuldigheid zou een bestuursraad de mogelijke impact van een risico kunnen onderschatten.

Risicomanagement moet vandaag een integraal deel uitmaken van het dagelijks beleid en van de bedrijfscultuur. Door de technologie, de globalisering, de snelle transacties, de complexiteit en de toename van het aantal betrokkenen kan er veel verkeerd gaan. Met soms drastische gevolgen. Risicomanagement zal een steeds groter deel van de besluitvormingstijd opeisen.

Bestuurders moeten voldoende inspanningen leveren om de grootste en gevaarlijkste risico’s goed te begrijpen. Alleen dan kunnen ze de juiste controles en processen opzetten. Zo weten we dat sommige bedrijven nog altijd te weinig middelen en personeel reserveren om de risico’s van cybercrime tijdig aan te pakken.

2) Geen jaarlijkse check-up

Zonder een globaal en actueel overzicht heeft een bestuursraad geen grip op het risicomanagement.

Elk bedrijf zou minstens één maal per jaar een algemene en grondige check-up moeten verrichten van alle risico’s en alle lopende verzekeringen: “Waar zijn we mee bezig en wat kan er hier verkeerd lopen?” Neem daarbij alle bestaande procedures en toezichtscontroles onder de loep, in de raad, in de comités, bij het management en in de afdelingen.

Ga na wat de best practices zijn. Bekijk het ‘business continuity plan’: weet dat ook een ‘zwarte zwaan’ uw bedrijf kan treffen en bereid u voor op een ramp. Vraag het management wat in het voorbije jaar geleerd heeft van zijn eventuele fouten. De eerste keer zal dat veel tijd vergen want dan hebt u een heel scenario op maat nodig. Maar op termijn loont dit.

3) Gebrekkige communicatie

Als de bestuursraad niet op het juiste moment over de juiste informatie beschikt omdat de juiste tools niet gebruikt worden is het bijzonder moeilijk om de risico’s en hun mogelijke gevolgen tijdig en correct in te schatten

De voorzitter moet er ook kunnen op vertrouwen dat de communicatielijnen tussen de comités, de raad, de risk officer(s) en andere betrokkenen open zijn en goed functioneren. Het blijft elke keer een hele uitdaging om pertinente en begrijpelijke bestuursinformatie uit het eigen “Enterprise Risk Managementsysteem” te halen. Dit ERM is het proces rond het plannen, organiseren, sturen en controleren van alle financiële, strategische en operationele ondernemingsactiviteiten om de kans op risico’s te minimaliseren.

Ondernemen is risico nemen. Groeien is risico nemen. Maar u moet altijd en evenwicht vinden tussen waardecreatie en risicomanagement. Dat kan niet als uw informatiesysteem geen helder overzicht biedt van alle potentiele ‘verliesgebieden’ en kosten.

4) Te veel uitbesteden

Externe risicomanagers kunnen nooit alle risico’s correct inschatten en aanpakken.

Bij risicomanagement is uiteindelijk het voortbestaan zelf van de onderneming in het geding. Daarom wordt deze verantwoordelijkheid best niet zomaar uitbesteed. Men kan altijd experten inhuren voor specifieke opdrachten of verzekeringstussenpersonen om raad vragen. Maar de eindverantwoordelijkheid moet u zelf opnemen. De riskmanagementfunctie rapporteert best rechtstreeks aan de CEO of aan een ander directielid. Een rechtstreekse toegang tot de directie is echt noodzakelijk.

5) Onduidelijke risicobereidheid

Er moet een duidelijke lijn afgesproken zijn omtrent de risico-appetijt of de algemene risicobereidheid. Anders maken bepaalde personen of afdelingen in al hun enthousiasme de kans op onvoorziene schade of verlies te groot.

De verschillende governance codes dringen niet voor niets aan op adequate interne risicobeheersings- en controlesystemen. Zo lezen we in de Nederlandse Corporate Governance Code dat het bestuur de risico’s (die verbonden zijn aan de strategie en de vennootschapsactiviteiten) identificeert, inventariseert, analyseert en beheerst. Het bestuur stelt dus de risicobereidheid vast en besluit welke maatregelen tegenover de risico’s worden gezet. 

6) Zelfgenoegzaamheid

Als de onderneming een tijd gespaard blijft van zware schadegevallen en andere calamiteiten kan het gebeuren dat bestuurders hun waakzaamheid laten verslappen.

De bestuurlijk opdracht om moeilijke en kritische vragen te kunnen en durven stellen is echter voortdurend van toepassing op de risicobeheersing. Bestuurders die er niet toe komen of er van afzien om hun twijfels en bekommernissen te blijven uiten, schieten te kort. Altijd alert blijven, nieuwe risico’s blijven verkennen en bespreken, willen leren van de gemaakte fouten, een te optimistische tunnelvisie vermijden: het hoort er allemaal bij. Jaarlijks kunnen er nieuwe risico’s opduiken: denk aan de impact van de klimaatwijziging met zijn steeds krachtigere stormen en grotere overstromingen. Zij jagen ook de schade-uitkeringen en premies omhoog. Lees hier meer over in het rapport van Diligent Institute: Winds of Change: Environmental Sustainability Governance.

7) ERM enkel als een kost beschouwen

We mogen Entreprise Risk Management nooit alleen maar als een zoveelste kost beschouwen.

Denk aan de uitdrukking: “If you think risk management is expensive, try an accident”. Het belang van een verzekering waardeert men pas echt als men die verzekering niet meer kan krijgen. De vreugde over een (te) lage premie is van korte duur maar de spijt over een slechte schaderegeling zal lang aanslepen. Als uw bedrijf door een zware ramp kan worden getroffen, dan moet u voor een aangepast risicomanagement zorgen. Met een verzekering, als dat de beste oplossing is.

8) De menselijke component vergeten

Risicomanagement is en blijft vooral een mensenzaak van en voor alle medewerkers.

Bij het onderkennen en vermijden van risico’s en de gevolgen die ze kunnen teweeg brengen zijn de medewerkers de hoeksteen van het beleid. Is iedereen mee in het gevoerde beleid? Is elke medewerker goed opgeleid en zich bewust van de eigen rol? Tot welke resultaats- en middelenverbintenissen hebben de medewerkers zich geëngageerd? Wat moeten ze doen als er zich een onregelmatigheid voordoet?

9) Het auditcomité op zijn beloop laten 

Zelfs een goed werkend auditcomité ontslaat de bestuursraad niet van zijn toezichthoudende verantwoordelijkheid.

In principe verschaft het auditcomité de bestuursraad een grondige evaluatie van de kwaliteit van het interne controlesysteem en van het financiële verslaggevingsproces. Het auditcomité consolideert de analyse van het management en de auditors. En het brengt de risicodekking en de interne controle overzichtelijk in beeld. De bestuursraad kan een auditcomité of zelfs een risk comité gerust met bijkomende taken belasten, maar hij mag nooit zijn volledige verantwoordelijkheid ‘weg-delegeren’ aan een dergelijk adviesorgaan.

Het bestuur moet de rol of opdracht van dat comité zelfs duidelijk beschrijven. Risicomanagement hoort echt thuis op de bestuursraad: de volledige diversiteit van alle leden is nodig om een betekenisvol toezicht op de vele risico’s te kunnen uitoefenen.

Bronnen

https://boardagenda.com/2017/01/09/whole-needs-top-risk-management/
https://boardagenda.com/2018/10/02/ten-most-common-mistakes-boards-make-risk-management/
https://www.boardeffect.com/blog/role-of-the-board-in-risk-management/
https://www.aicpa.org/interestareas/businessindustryandgovernment/resources/erm/downloadabledocuments/erm-reporting-key-risk-2015.pdf
https://www.mckinsey.com/~/media/mckinsey/dotcom/client_service/Risk/Working%20papers/2_Making_risk_management_a_valueadding_function_in_the_boardroom.ashx
https://www.pwc.dk/da/publikationer/2017/pwc-how-your-board-can-ensure-enterprise-risk-management-connects-with-strategy.pdf