Risicomanagement nog in kinderschoenen
De afgelopen maanden deden vertegenwoordigers van NIVRA, Rijksuniversiteit Groningen, PricewaterhouseCoopers en Leen Paape grootschalig onderzoek naar risicomanagement in Nederland. Bijna duizend surveys werden ingevuld door organisaties met een omzet/budget groter dan € 10 miljoen. De belangrijkste resultaten.
Dit artikel is verschenen in de Accountant nr. 12, 2009
Bekijk alle artikelen uit dit nummer
Rapport 'Risicomanagement in tijden van crisis'
Vanaf 2007 is een storm over ons economisch landschap geraasd die veel slachtoffers heeft gemaakt. Het IMF schat de schade op $ 11.000 miljard en sommigen laten de teller pas stoppen bij $ 25.000 miljard. Minister Wouter Bos van Financiën heeft de staatschuld dankzij de massale steun aan diverse banken en verzekeraars laten oplopen tot boven de zestig procent van het bruto nationaal product. Het begrotingstekort steeg tot boven de zes procent, tweemaal zoveel als het Stabiliteitspact van de EU toelaat.
ABN AMRO is een staatsbank, ING wordt opgeknipt, DSB bestaat niet meer en Fortis is geen schim meer van wat het was. Aegon ligt nog aan het staatsinfuus, evenals SNS Reaal. Pensioenfondsen zakten ver onder de noodzakelijk geachte dekkingsgraden en de werkeloosheid dreigt op te lopen tot negen procent.
De geïnteresseerde lezer wordt van harte aanbevolen het boek ‘De Grote Recessie’ van Coen Teulings te lezen. De komende decennia zal de crisis zich laten voelen. Duidelijk is geworden dat de sector die het verst heette te zijn met de toepassing en implementatie van risicomanagement, ons diep in de ellende heeft gestort.
Wie? Ik?
De vraag is natuurlijk wie de schuldigen zijn aan dit drama. De lijst van potentiële schuldigen is lang en het zwartepietenspel zal nog vele jaren worden gespeeld. Toezichthouders zoals de Autoriteit Financiële Markten en De Nederlandsche Bank, maar ook leden van raden van commissarissen en audit committees zaten erbij en keken ernaar. Hans Hoogervorst, voorzitter van de AFM, roept dat het toch niet zo moeilijk geweest kan zijn om te zien dat de leverage tot onnavolgbare hoogte was opgelopen. Getallen van boven de veertig (1 eigen vermogen versus 40 vreemd vermogen) waren geen uitzondering en er hoefde niet zoveel te gebeuren om dat kaartenhuis in elkaar te laten storten. Slechts een enkeling heeft zijn excuses aangeboden en de rapporten om herhaling te voorkomen verschijnen in rap tempo.
In oktober 2008 hield de Amerikaanse Senaat hearings en ondervroeg de belangrijkste spelers zoals Greenspan. Hij gaf toe dat hij zich had vergist in de werking van het self interest-principe. Dit principe ging ervan uit dat marktpartijen wel voor zichzelf zouden zorgen en er niet op uit waren zichzelf te gronde te richten. Helaas. De light touch regulation van achtereenvolgende conservatieve regeringen en de intrekking van de Glass Steagall Act (onder Clinton nota bene) die sinds 1933 een scheiding waarborgde tussen consumentenbanken en invest- ment banking, zorgden ervoor dat banken en investment banks hun gang konden gaan. En hoe!
‘Gods werk’
Hank Paulson, oud ceo van Goldman Sachs en toen minister van Financiën in de USA, ontwierp een plan om ten minste $ 700 miljard in de banken en verzeke-raars te stoppen. Één jaar later kunnen de bonussen weer in misselijkmakende omvang worden uitgekeerd. De huidige ceo van Goldmine Sachs merkte in een interview tegenover The Sunday Times terecht op dat banken een maatschappelijke rol vervullen. Tot verbijstering van alles en iedereen vervolgde hij met de opmerking dat zij “Gods werk” doen en dat het uitbetalen van $ 20 miljard aan bonussen iedereen blij zou moeten maken! Een dergelijke stelling na het ontvangen van directe en indirecte staatssteun in de omvang van ongeveer $ 23 miljard is buitengewoon cynisch.
Corrupt, doof of monddood
Verder zijn de credit rating agencies corrupt gebleken. In een door de SEC openbaar gemaakt rapport komt een interne e-mail-wisseling aan de orde die duidelijk maakt wat de heersende norm was. Hieronder volgt de letterlijke tekst uit enkele mails:
Let's hope we are all wealthy and retired by the time this house of cards falters.
En:
Official #1: Btw [by the way] that deal is ridiculous.
Official #2: I know [,] right … model def [definitely] does not capture half the risk.
Official #1: We should not be rating it.
Official #2: We rate every deal. It could be structured by cows and we would rate it.
Begrippen als revolving doors, ook wel genoemd regulatory capture (lees het werk van econoom en jurist van de Universiteit van Chicago Richard Posner er op na), proberen duidelijk te maken dat het heen en weer schuiven van mensen tussen toezichthoudende en uitvoerende posities - en vice versa - ertoe kan leiden dat niet meer geheel duidelijk is hoe en door wie er nog goed toezicht wordt uitgeoefend. NRC Handelsblad verzuchtte, nadat minister Bos een onafhankelijk onderzoek had aangekondigd naar het ten onder gaan van DSB, dat er geen onafhankelijke deskundigen meer te vinden waren. Pieter van Vollenhoven maakte in het televisie- programma Pauw & Witteman een vergelijkbare opmerking.
Red flags
Externe accountants keken in de boeken en zagen de voor AFM-voorzitter Hoogervorst zo zichtbare red flags niet. Internal auditors moeten het ook gezien hebben, maar we hoorden ze niet. De risicomanagers binnen de banken werden monddood gemaakt (lees Confessions of a risk manager in The Economist van augustus 2008). Compliance officers waren als paddestoelen uit de grond geschoten maar hebben het verschil ook niet kunnen maken. Als we allemaal schuldig zijn is het minder erg. Immers, we kunnen dan naar elkaar wijzen.
Risicomanagement in Nederland
Ten behoeve van ons onderzoek is onder meer aan alle respondenten gevraagd hoe ze hun eigen risicomanagement beoordelen.
In het door ons gehanteerde vijf fasen risicovolwassenheidmodel (1 is de laagste en 5 de hoogste) scoort bijna de helft (47,5 procent) zichzelf in fase 3 of hoger. De respondenten zijn daarmee aanzienlijk overtuigder over de kwaliteit van hun risicomanagement dan gerechtvaardigd is op grond van onze inschattingen.
Hen is tevens gevraagd hun risicomanagement een schoolcijfer (tussen 1 en 10) te geven. De gemiddelde score leverde een 6,5 op. Onze eigen inschatting, op grond van een ontwikkelde scoreleidraad, kwam uit op 4,5 en dat is flink lager.
Van een beursnotering blijkt een positieve werking uit te gaan. Ook het onderworpen zijn aan corporate governance-regelgeving blijkt positief uit te pakken voor de kwaliteit van risicomanagement. Deze resultaten bevestigen ons idee dat regelgeving positief is voor risicomanagement. Dat is uiteindelijk in onze ogen ook goed voor de prestaties van een organi- satie.
Overigens is het nog wel markant op te merken dat in slechts 62 procent van de organisaties met een auditcommissie in die commissie wordt gesproken over risicomanagement.
Zeven principes
Wij hebben zeven principes voor adequaat risicomanagement geformuleerd. Aan de hand daarvan willen we nog enkele onderzoeksresultaten vermelden.
- Periodiciteit. Risicoanalyses worden vaak niet (27,8 procent) of slechts eenmaal per jaar (52,8 procent) uitgevoerd. Van de respondenten rapporteert 31 procent jaarlijks en 38 procent per kwartaal over risico's. Ook dat zijn geen indrukwekkende getallen.
- Integrale karakter. Als het gaat om de vraag met welke diepgang en breedte risico's worden geïnventariseerd, zijn de resultaten niet erg hoopgevend. Integrale analyses - voor zowel strategische, operationele, financiële en compliance risico's - komen in 16,5 procent van de profit en in 7,9 procent van de non-profit organisaties voor. Een in control-verklaring komt voor bij slechts dertig procent van de respondenten en dan in het overgrote deel (21 procent) slechts over de financiële rapportagerisico's.
- Bedrijfsbrede benadering. De betrokkenheid van de lagere managementlagen bij risicoanalyses en het afgeven van een in control-verklaring is eveneens voor verbetering vatbaar. Meestal zijn slechts de hoogste managementlagen betrokken.
- Proactiviteit. Ook de momenten waarop risico's worden geïnventariseerd scoren magertjes. Het gebeurt zeer spaarzaam bij belangrijke - strategische - beslissingen of bijzondere gebeurtenissen en/of incidenten (gemiddeld niet meer dan 27 procent). Dit wordt bevestigd door het lage aantal organisaties dat het risicoprofiel heeft herzien naar aanleiding van de huidige crisis (17,5 procent). Ook de lage score (minder dan de helft) voor bespreking van de risico's met auditcommissie/raad van commissarissen is symptomatisch.
- Expliciete karakter. Risicotolerantie blijft een lastig begrip; slechts een klein deel (31,8 procent) van de respondenten heeft dit bepaald en van dit deel heeft 66 procent de risicotolerantie gekwantificeerd.
- Gestructureerd. Het overgrote deel (63,2 procent) van de respondenten heeft geen risicoraamwerk (zoals bijvoorbeeld COSO) in gebruik. De meer traditionele beheersinstrumenten zoals Handboeken AO/IC hebben de overhand en worden vrij goed gewaardeerd. Sommige beheersmaatregelen (scenarioplanning, business continuity planning, key risk indicators) worden nog nauwelijks gebruikt.
- Rapportages. Externe rapportages over risicomanagement laten te wensen over. In onze ogen is risicomanagement pas echt effectief als het leidt tot actie. Daarom is het ook verwonderlijk dat in veel gevallen niet wordt gerapporteerd over verbeteracties.
Kinderschoenen
Al met al zijn wij van mening dat de ontwikkeling van risicomanagement nog in de kinderschoenen staat en dat de progressie ten opzichte van een eerder onderzoek vijf jaar geleden bepaald niet indrukwekkend is.
Noot
Leen Paape is dean Nyenrode School of Accountancy & Controlling, lid van het bestuur van Nyenrode Business University en hoogleraar bestuurlijke informatieverzorging.
Rapport en workshop
Het rapport ‘Risicomanagement in tijden van crisis’ is gepresenteerd op de Accountantsdag van 25 november 2009. Voor geïnteresseerden bestaat de mogelijkheid deel te nemen aan een workshop op Nyenrode op 7 december 2009. Het rapport is mede geschreven door Dirk Swagerman van de Rijksuniversiteit Groningen, Marcel Prinsenberg van PwC, Johan Scheffe van het NIVRA, Johan Star van de Rijksuniversiteit Groningen en Max Brecher (free lance schrijver).
Gerelateerd
Bij een op de vijf bedrijven neemt kwaliteit af door groei
Bedrijven die (sterk) groeien, hebben vaak moeite met het bewaken van de kwaliteit. En ruim een derde (34 procent) besteedt naar eigen zeggen te weinig aandacht...
Zakendoen met Nederland riskanter dan gemiddeld in Europa
Bij het zakendoen met dertien van de belangrijkste achttien sectoren in Nederland geldt een verhoogd risico op wanbetaling. Het risicobeeld van Nederland is slechter...
Ondanks wereldwijde onrust betere risicoscore van veel landen
Ondanks de toegenomen mondiale onrust verbeterde vorig jaar de (economische) risicoscore van de belangrijkste handelslanden wereldwijd. Zo is in 21 landen sprake...
Risicoanalyse wordt verplicht voor benoeming van bestuurders
Voordat een nieuwe bestuurder in een gemeente, provincie of waterschap wordt benoemd, moet straks een risicoanalyse worden gemaakt. Die verplichting wordt opgenomen...
Aon: Cybercrime, personeel en continuïteit grootste risico's voor bedrijven
Het Nederlandse bedrijfsleven beschouwt cybercriminaliteit, continuïteit, het tekort aan arbeidskrachten en het onvermogen om talentvolle medewerkers aan te trekken...