Risicomanagement

Samenvatting

We hebben de volgende stellingen onderzocht: het geven door de interne risicobeheersings- en controlesystemen van een redelijke mate van betrouwbaarheid van de financiële verslaggeving en van de duurzaamheidsverslaggeving, het effectief beheersen van operationele risico’s, compliance risico’s en strategische risico’s en dat het risicomanagement meer is dan een administratieve exercitie.

Wenselijke situatie
Bij het basisprofiel krijgen alle zes de stellingen de hoogste mate van instemming. De mening van het basisprofiel onderschrijven de andere benchmarks grotendeels. Bij vijf van de zes stellingen scoren alle benchmarks een 4.0 of hoger. De enige stelling waar dat maar net niet gebeurt, is bij ‘de interne risicobeheersings- en controlesystemen geven ten minste een beperkte mate van zekerheid dat de duurzaamheidsverslaggeving geen onjuistheden van materieel belang bevat’.

Veranderwensen
Er zijn twee stellingen die er bovenuit springen wat betreft gedeelde verbeterwensen. Zowel bij de beheersing van strategische risico’s als bij het meer zijn dan een administratieve exercitie zijn veertien benchmarks te vinden die vinden dat dat beter kan. Drie andere stellingen over beheersing van compliance risico’s en over de interne risicobeheersings- en controlesystemen hebben respectievelijk negen of acht verbeterwensen.
De enige stelling met weinig veranderwensen (2) is dat operationele risico’s effectief worden beheerst.

Huidige situatie
Bij het basisprofiel vallen bijna alle stellingen in de klasse ‘duidelijk mee eens’ qua instemming. Alleen de stelling over het beheersen van strategische risico’s valt daarbuiten en vinden we in de klasse ‘neigt naar instemming’ (3.2 ≤ score < 3.5).
Bij vier van de zes stellingen is meer dan de helft procent van de benchmarks het minimaal duidelijk eens. Dat zijn deze vier:

  • De interne risicobeheersings- en controlesystemen geven een redelijke mate van zekerheid dat de financiële verslaggeving geen onjuistheden van materieel belang bevat (86 procent van de benchmarks)
  • Operationele risico’s worden effectief beheerst (inclusief signalering) (75 procent)
  • Risicomanagement is meer dan een administratieve exercitie (69 procent)
  • Compliance risico’s worden effectief beheerst (inclusief signalering) (56 procent)

Onderzoeksvraag

Aan de respondenten zijn zes stellingen voorgelegd met betrekking tot risicomanagement en met name gericht op de Verklaring Omtrent Risicobeheersing. We hebben deze stellingen niet eerder voorgelegd en hebben daarom geen vergelijkingsmateriaal uit eerdere jaren.


Gebruikt is de 5-puntsschaal met 1 = volstrekt oneens, 2 = oneens, 3 = deels oneens/deels eens, 4 = eens en 5 = volstrekt mee eens.

 

Wij realiseren ons dat de uitkomsten met betrekking tot beide onderwerpen sterk afhankelijk kunnen zijn van de aanwezige competenties/eigenschappen van de vicevoorzitter en de overige rvc-leden. Ook is er mogelijk een ‘kip-ei’ probleem. Wanneer we uitgaan van een wenselijke situatie voor de rol leidt de insteek naar de eigenschappen tot andere accenten dan wanneer we de eigenschappen als vertrekpunt nemen. In dat laatste geval komen er mogelijk andere accenten voor de rol naar boven. Ons inziens heeft denken vanuit de structuur in eerste instantie de voorkeur. Vervolgens worden dan als afgeleide de gewenste eigenschappen en daarmee ook de ‘poppetjes’ geselecteerd. Maar aangezien het uiteindelijk de mensen zijn, die bepalen of iets werkt, willen wij daarin niet al te dogmatisch zijn.

5.1 Wenselijke situatie

.

Basisprofiel: alles zes zeer gewenst

Gewenste situatie basisprofiel

Bij het basisprofiel krijgen alle zes de stellingen de hoogste mate van instemming, volstrekt mee eens (score ≥ 4.5).

Draagvlak: hoe breed delen de benchmarks de wenselijkheid?

Grote mate van overeenstemming onder de benchmarks

De mening van het basisprofiel onderschrijven de andere benchmarks grotendeels. Bij vijf van de zes stellingen scoren alle benchmarks een 4.0 of hoger. De enige stelling waar dat niet gebeurt is bij ‘de interne risicobeheersings- en controlesystemen geven ten minste een beperkte mate van zekerheid dat de duurzaamheidsverslaggeving geen onjuistheden van materieel belang bevat ‘. Maar bij de drie benchmarks die dat net niet halen, scheelt dat maar heel weinig.1

1 Zorg en welzijn en onderwijs hebben bij enkele stellingen acht waarnemingen. Daarom zijn ze niet meegenomen, maar het beeld is bij deze beide benchmarks in lijn met dat van de anderen.

5.2 Veranderwensen en huidige situatie

.

Vijf verbeterwensen, één urgent

Basisprofiel

Het basisprofiel heeft bij vijf van de zes stellingen een verbeterwens. Die voor het effectief beheersen van strategische risico’s inclusief signalering is urgent. Opvallend is hier ook dat risicomanagement meer dan een administratieve exercitie moet zijn. Dit roept wel wat vragen op.

.

Hoog overall veranderpercentage

Andere benchmarks

Voor alle benchmarks gezamenlijk is het veranderpercentage met 61 procent hoog. De scores van die veranderingen liggen in de wenselijke situatie allemaal boven de 3.2. Dat betekent dat alle veranderwensen ook verbeterwensen zijn. Voor de bedrijfsbenchmarks in totaal is het percentage 73 procent. De profitsector heeft een iets hoger veranderpercentage dan de non-profitsector (78 om 68).
Voor de persoonsgebonden benchmarks is het overall veranderpercentage 53 procent, waarbij de commissarissen en niet-commissarissen dicht bij elkaar liggen.

.

Bijna veel stellingen door alle drie verbeterwensen

Bedrijfsbenchmarks

In de profitsector hebben het beursgenoteerde bedrijf en GB beide vijf verbeterwensen en MKB vier. Alle drie vinden dat risicomanagement meer dan een administratieve exercitie moet zijn, dat de interne risicobeheersings- en controlesystemen meer zekerheid moet geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat en strategische risico’s effectiever worden beheerst. Dat laatste is voor het beursgenoteerde bedrijf en MKB urgent.

Verder zijn het beursgenoteerde bedrijf en GB van mening dat de compliance risico’s effectiever kunnen worden beheerst en dat de interne risicobeheersings- en controlesystemen meer zekerheid moeten geven dat de duurzaamheidsverslaggeving geen onjuistheden van materieel belang bevat. MKB vindt als enige van de drie dan weer dat de operationele risico’s effectiever kunnen worden beheerst.

Veel dezelfde verbeterwensen als bij profitbenchmarks

Ook bij de benchmarks in de non-profitsector zien we veel veranderwensen, die vaak gedeeld worden. Corp en ONP hebben er beide vier, OW drie en Zorg twee.1 Net als de profitsector maken ook Corp, OW en ONP zich zorgen over de strategische risico’s. Voor OW en ONP is die zorg urgent. Voor Zorg, OW en ONP is risicomanagement nog iets te veel een administratieve exercitie. Voor Corp, Zorg en ONP kunnen compliance risico’s beter worden beheerst.

1 Waarbij als we de waarnemingsgrens bij acht leggen, Zorg vier veranderwensen heeft.

.

Vooral Jong, VR en rvbEL veel verbeterwensen

Persoonsgebonden benchmarks

Bij de commissarissen is het aantal veranderwensen iets minder talrijk. Koplopers zijn Jong, VR en rvbEL met vijf. AC, Remu en Merv hebben er elk twee en VZ één. Op AC na is bij de rest de stelling over het meer zijn van risicomanagement dan een administratieve exercitie een verbeterwens. Ook het beheersen, inclusief signalering, van strategische risico’s wordt, behalve door VZ, door iedereen als een verbeterwens gemarkeerd. Voor Remu, Jong, Merv en rvbEL is dat zelfs urgent.

IA twee urgente verbeterwensen

Bij de niet-commissarissen is DIR relatief rustig met slechts twee verbeterwensen en wel voor het meer zijn van risicomanagement dan een administratieve exercitie en voor het beheersen van strategische risico’s.
De IA sluit zich aan bij deze zorgen, waarbij die laatste voor IA urgent is. Verder heeft de IA nog een urgente verbeterwens bij de stelling dat ‘de interne risicobeheersings- en controlesystemen geven ten minste een beperkte mate van zekerheid dat de duurzaamheidsverslaggeving geen onjuistheden van materieel belang bevat’ en een forse verbeterwens dat de compliance risico’s effectief worden beheerst.

.

Zorgen om beheersen strategische risico’s en om het meer zijn van risicomanagement dan een administratieve exercitie

Gedeelde veranderwensen

Er zijn twee stellingen die er bovenuit springen wat betreft gedeelde verbeterwensen. Zowel bij de beheersing van strategische risico’s als bij het meer zijn dan een administratieve exercitie zijn veertien benchmarks te vinden die vinden dat dat beter kan. Drie andere stellingen over beheersing van compliance risico’s en over de interne risicobeheersings- en controlesystemen hebben respectievelijk negen of acht verbeterwensen.

De enige stelling met weinig veranderwensen (2) is dat operationele risico’s effectief worden beheerst.

Huidige situatie

Basisprofiel stemt in met vijf stellingen

Bij het basisprofiel vallen nagenoeg alle stellingen in de klasse duidelijk mee eens qua instemming. Alleen de stelling over het beheersen van strategische risico’s valt daarbuiten (3.4) en vinden we in de klasse neigt naar instemming (3.2 ≤ score < 3.5).

In de huidige situatie is bij vier van de zes stellingen meer dan de helft van de benchmarks het minimaal duidelijk eens. Dat zijn de volgende vier stellingen:

  • de interne risicobeheersings- en controlesystemen geven een redelijke mate van zekerheid dat de financiële verslaggeving geen onjuistheden van materieel belang bevat (86 procent van de benchmarks)
  • operationele risico’s worden effectief beheerst (inclusief signalering) (75 procent)
  • risicomanagement is meer dan een administratieve exercitie (69 procent)
  • compliance risico’s worden effectief beheerst (inclusief signalering) (56 procent)

In totaal 57 procent van de opties score ≥ 4.0

In totaal heeft 57 procent van de opties een score ≥ 4.0. In de wenselijke situatie is dat 97 procent. De enige stelling met geen 100 procent score ≥ 4.0 in de wenselijke situatie is die voor de duurzaamheidsverslaggeving. Wanneer we de grens bij een score van 3.5 leggen, scoort in de huidige situatie 88 procent boven die grens tegen 100 procent in de wenselijke situatie.

Lagere scores dan 2.8 (oneens tot en met volstrekt oneens) komen niet voor. De stelling met gemiddeld (3.6), over alle benchmarks gemeten, de laagste score is de stelling over de duurzaamheidsverslaglegging.

5.3 Enige bespiegelingen/vragen/kanttekeningen

Heeft de lage ranking van de beheersing van strategische risico’s betrekking op toegenomen onzekerheid?

De onderlinge volgorde in de wenselijke situatie bij het basisprofiel van de in dit hoofdstuk behandelde onderwerpen vinden wij de moeite van een korte beschouwing waard. Bovenaan qua instemming staat de exponent van de klassieke toezichtsfunctie ‘een goede en juiste financiële verslaggeving’, oftewel de verantwoording van ‘het verleden’. Hier is geen discussie over mogelijk. Onderaan in het lijstje bevindt zich de beheersing van de strategische risico’s, inclusief de signalering, oftewel de inschatting van ‘toekomstige gevolgen’. Meestal leidt het hanteren van het bijvoeglijk naamwoord strategisch tot een (veel) hogere score, maar nu niet. Misschien is door dit containerbegrip heen gekeken, maar het kan ook zijn dat dit een signaal is met betrekking tot een zekere onzekerheid. Er zijn misschien wat teveel voorbeelden van strategische missers dan achteraf kan worden geconcludeerd. De vraag is wel of dit in de toekomst verandert. De toekomst voorspellen is nog steeds geen gemakkelijke zaak en zal dat vermoedelijk ook niet worden. Toch hebben we het gevoel dat kansen verzilveren niet goed wordt gewogen tegen risico’s nemen.

Verder is het opvallend dat de beheersing van de compliance risico’s relatief ook hoog staat genoteerd. We denken dat dit deels te herleiden is tot een link met de toezichtsfunctie óf op het toegenomen aantal externe toezichthouders óf op de gestegen aansprakelijkheid van commissarissen. Het kan ook zijn dat men denkt compliance risico’s relatief gemakkelijker te kunnen identificeren en te meten. Bovendien past dit goed in de sfeer van het toezichtsdenken. Dat moet ‘perfect’ zijn. Het gevaar van een aantal van deze ontwikkelingen kan zijn dat de ruimte voor ondernemen eerder afneemt dan toeneemt.

Bekijkt men het risicomanagementproces wel kritisch genoeg?

Opvallend is dat veertien van de zestien benchmarks een verbeterwens hebben bij de stelling dat risicomanagement bij hun organisaties meer is dan een administratieve exercitie. Alleen de benchmarks woningcorporatie en commissaris lid-auditcommissie hebben geen verbeterwens. De vraag is of de verbeterwensen van die veertien benchmarks in de categorie vallen van ‘je moet altijd proberen te verbeteren’ of dat er in de huidige situatie sprake is van een onvoldoende of een matige voldoende.
Historisch gezien valt risicomanagement meestal in ieder geval in de portefeuille van de auditcommissie. Deze commissie heeft ook van oudsher vaak een financiële oriëntatie en heeft als lid doorgaans één of meer mensen die door de collega-commissarissen als financiële specialist worden gezien. Gezien de historie van ons onderzoek blijkt ook dat commissarissen iets menselijks niet vreemd is. Veranderen gaat vaak zeer traag en stroperig. Ook bij risicomanagement is dat proces actueel. We zien dat risico’s die een paar jaar geleden nog niet op ieders netvlies stonden, zoals de communicatiekabels in zee, dat nu wel zijn gekomen. Dat is een signaal dat openstaan voor andere dan historische risico’s wellicht nu opgepakt wordt of gaat worden, maar dat het nog niet gemakkelijk is om alle commissarissen daarin mee te krijgen. Het zou kunnen zijn dat de huidige staat van het risicomanagement toch dichter staat bij een administratieve exercitie dan menigeen denkt of lief is. Daarmee zou de geconstateerde verbeterwens vermoedelijk nog groter zijn dan nu blijkt. De huidige situatie is ‘te mild’ beoordeeld.
Wij vermoeden dan ook dat een kritische blik naar risicomanagement opportuun is en dat dit bovendien niet meer een exclusieve activiteit van de auditcommissie moet zijn. De gehele rvc moet zich hieraan committeren. Bovendien kan het bij wijze van experiment geen kwaad in dit proces ook eens een groep van jonge, getalenteerde en/of zeer nuchtere medewerk(st)ers te betrekken.

In hoeverre zijn operationele risico’s geen strategische risico’s geworden?

Gemiddeld vindt 75 procent van de benchmarks dat de operationele risico’s wel goed worden gemanaged. Ten aanzien van de strategisch risico’s vindt alleen de voorzitter dat. Deze heeft daar als enige ook geen verbeterwens. Het aantal verbeterwensen bij de operationele risico’s doet zich slechts voor bij twee benchmarks (MKB en onderwijs). Maar stel nu dat ontwikkelingen, bijvoorbeeld op het gebied van AI en/of geopolitiek, gevolgen heeft voor de operationele processen. Hoe aannemelijk is het dan dat commissarissen en bestuurders gezien de hier genoemde opvattingen op tijd en adequaat reageren? Wij zijn er niet gerust op.

Is beursgenoteerde bedrijf klaar voor de VOR?

U heeft misschien opgemerkt dat veel van deze stellingen sterke raakvlakken hebben met de kaders zoals die in de Verklaring Omtrent Risicobeheersing (VOR) worden geschetst. Dat klopt, we waren zeer benieuwd hoe de praktijk bij onze respondenten al aansloten bij hetgeen in de VOR van ze wordt verwacht. Voor degenen die zich afvragen, wat is de VOR: de schragende partijen van de Nederlandse Corporate Governance Code (Code) zijn overeengekomen dat in de Code zal worden opgenomen dat beursgenoteerde vennootschappen over het boekjaar beginnend op of na 1 januari 2025 een VOR (nieuwe stijl)moeten opnemen in het bestuursverslag. In dat verslag legt het bestuur verantwoording af over de opzet en werking én over de beoordeling van de effectiviteit van de risicobeheersing (ofwel de interne risicobeheersings- en controlesystemen (IRCS)) en verklaart zij welke mate van zekerheid deze systemen bieden. Het gaat hierbij om verslaggevings-, compliance- en operationele risico’s en is principle-based. Het dooel van de VOR is om risicobeheersing nadrukkelijker op de agenda van bestuurders en commissarissen van beursgenoteerde ondernemingen te krijgen vanwege het toenemende aantal risico’s in een volatiele wereld met meer complexiteit. Of een groter bewustzijn van risico’s die voorheen niet per se als een risico werden gezien. Dat vereist van bedrijven dat zij hun risicomanagement niet één keer per jaar actualiseren, maar dat actueler moeten houden. Kortom, een groter bewustzijn en daarmee het meer zijn dan een administratieve exercitie. Afhankelijk van de volwassenheid van het risicomanagement vereist deze VOR weinig of meer werk voor bedrijven.1
Uit onze resultaten blijkt dat het beursgenoteerde bedrijf nog niet geheel tevreden is met wat er nu in hun organisatie gebeurt. Hoewel men in de huidige situatie alles boven een 4.0 scoort (duidelijk mee eens) zien we ook dat bij vijf van de zes stellingen verbeterwensen zijn. Dus zowel dat:
- de interne risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat
- deze systemen ten minste een beperkte mate van zekerheid geven dat de duurzaamheidsverslaggeving geen onjuistheden van materieel belang bevat kennen verbeterwensen
- risicomanagement meer is dan een administratieve exercitie
- compliance risico’s effectief worden beheerst (inclusief signalering)
- dat strategische risico’s effectief worden beheerst (inclusief signalering)
Het lijkt er dus op dat de respondent van het beursgenoteerde bedrijf aangeeft dat er een tandje bij moet om de doelstellingen van de VOR te halen.

1 Het instituut voor internal auditors (IIA) heeft een handige handleiding gemaakthttps://www.iia.nl/kenniscentrum/vaktechnische-publicaties/publicatie/practice-guide-vor-en-de-internal-auditfunctie