|
Risicomanagement | |
Inhoud: Enterprise Risk Management (ERM) |
Hoewel de oorsprong van Enterprise Risk Management (ERM) bij financiële instellingen en verzekeraars ligt, doet in zekere zin elke organisatie aan risicomanagement. Het wordt alleen niet altijd zo genoemd. Overal in de organisatie worden processen beheerst. Voorbeelden van beheerssystemen zijn planning- en controlesystematiek, administratieve organisatie en interne controle. Het verschil is dat Enterprise Risk Management een expliciete risicoanalyse de basis is van de managementagenda en het inrichten van interne beheerssystemen.
Daarbij moet, als het even kan, vermeden worden dat het in kaart brengen van risico’s een jaarlijks corvee wordt, of een van de vele managementconcepten. In plaats daarvan is ERM juist het element dat alle managementconcepten verbindt en voor een sturing van de hele onderneming zorgt. Dit is een proces dat continu moet plaatsvinden. Tip: het topmanagement moet hier een voorbeeld stellen. Het moet begrip en betrokkenheid tonen en voor opleiding en training zorgen.
Inzicht in risico’s helpt een onderneming om een gunstigere verhouding tussen risico en opbrengsten te verkrijgen. Bijvoorbeeld bij de beslissing om het bedrijf selectief te laten groeien, op basis van de portfoliobenadering (zie beneden). Kennis van risico’s heeft ook invloed op prijsbeslissingen. De prijzen van riskante transacties, bijvoorbeeld riskante leningen, zouden hoger moeten zijn dan die van minder riskante.
Een ander aspect is het in toom houden van verliezen. Het management kan bijvoorbeeld grenzen stellen aan de frequentie waarmee bepaalde fouten gemaakt worden, of aan het percentage van de tijd dat een computersysteem eruit ligt. Op basis van deze signalen kan het management actie ondernemen.
Het is beter te leren van andermans fouten dan ze zelf te begaan. De Amerikaanse deskundige op het gebied van risicomanagement Paul Lam heeft geanalyseerd wat er mis ging bij banken en verzekeraars die te veel of verkeerde risico’s namen en daardoor in de problemen kwamen. Hij heeft hieruit een rijtje van zeven lessen gedestilleerd.
Het is belangrijk dat werknemers snappen op welke manier het bedrijf omzet maakt. Met name in de financiële wereld zijn banken op de fles gegaan omdat ze op den duur het overzicht verloren hadden waar ze eigenlijk nog in handelden. Een typisch voorbeeld van waar het mis kan gaan, was de Amerikaanse hypotheekcrisis van 2007.
Met andere woorden: zorg dat er geen persoon of kleine groep is die te veel macht krijgt om naar eigen inzicht ongebreidelde risico’s te nemen.
Voor de financiële markten: denk aan daglimieten. Voor andere markten: denk aan standaarden over hoe om te gaan met bonussen voor goede werknemers, of beleid wat betreft vertrekkende werknemers. Zonder allerlei standaarden en eisen is met name een snel groeiend bedrijf onbestuurbaar.
Een mening over risicomanagement | |
R.J. van de Kaats, Chief Financial Officer Randstad Holding ‘In recente corporate governance codes in diverse landen (onder meer Sarbanes-Oxley en de code Tabaksblat) worden eisen gesteld aan de wijze waarop beursgenoteerde ondernemingen hun interne risicobeheersing- en controlesystemen dienen in te richten. Het zou mijns inziens de kwaliteit ten goede komen indien de focus wat minder komt te liggen op het voldoen aan regels. Dat veroorzaakt slechts een check-the-box-mentaliteit. Ik ben kortom voor minder in plaats van meer regels. De druk om werk te maken van risicobeheersing zou uit een andere hoek moeten komen, namelijk van de belegger. Het verbaast mij telkens weer hoe weinig beleggers geïnteresseerd zijn in dit onderwerp.’ |
Fraude en ook onschuldige fouten zijn meestal te traceren tot een handtekening die onder een overmaking staat.
De manieren om de prestatie te meten van personen of afdelingen moeten goed gekozen worden. Als er bij de meting van de resultaten te veel nadruk wordt gelegd op groei en hoge targets, kan dit een averechts effect hebben. Mensen en afdelingen voelen zo veel druk, dat ze te grote risico’s gaan nemen.
De andere kant van de meetlat-medaille. Is het wel goed om beloning/bonussen alleen te baseren op de omzet die een verkoper maakt? Als zijn risicobeleid niet wordt meegewogen, kan dit ertoe leiden dat de verkopers meer een meer onverantwoorde risico’s nemen. Zoals een hoogleraar bedrijfseconomie eens zei: als je bij een bedrijf slimme mensen domme dingen ziet doen, doen ze dat in negen van de tien gevallen omdat ze daarvoor met bonussen betaald krijgen.
Bij risicomanagement ligt de nadruk vaak op beleid en procedures, systemen en modellen. Zorg ook voor een ‘zachte’ tegenhanger daarvan. Laat het senior management uitstralen dat ze risicobeleid serieus nemen. Creëer een open houding wat betreft het discussiëren over risico’s.
Wat is het niveau van het risicomanagement in een bedrijf? Het bestuur moet zichzelf de volgende vragen stellen:
Als het bestuur het antwoord op een van deze vragen niet heeft, zou het baat hebben bij een geïntegreerde aanpak van ERM. Bijvoorbeeld door een Chief risk officer aan te stellen.
We onderscheiden verschillende soorten risico’s: marktrisico’s, kredietrisico’s en operationele risico’s. Zoals gezegd is het steeds meer gemeengoed geworden dat zo’n gefragmenteerde benadering niet werkt. Risico’s kunnen dan ‘tussen de naden doorvallen’ en het overzicht op het brede spectrum van risico’s ontbreekt. Elke risicomanager benoemt het risico weer op een andere manier. Het strategisch management denkt in termen van trade-off tussen risico en opbrengsten. Terwijl het operationeel management juist denkt in termen van trade-off tussen risico’s en beheersmaatregelen. Tip: breng disciplines bij elkaar als risico’s worden geanalyseerd. Organiseer workshops waarin opvattingen van wat risico’s betekenen worden uitgewisseld.
Een andere oplossing kan het aanstellen zijn van een hoofdverantwoordelijke voor risicobeleid. In grote financiële instituties heet dat de Chief Risk Officer (CRO). Sommige CRO’s hebben een direct lijntje met de raad van bestuur. Op zijn beurt krijgt de CRO informatie van de verantwoordelijken voor de pilaren kredietrisico, marktrisico en operationeel risico.
Het meten en rapporteren van risico’s is een grote uitdaging voor veel bedrijven. De data zijn niet aanwezig, of het management wordt juist overspoeld met een grote lading irrelevante gegevens. Wat moet er dan in een risicorapportage staan? Tenminste de volgende vier zaken:
Hoe het niet moet: risicomanagers als de ‘Dr. No's’ | |
Bij een regionale Amerikaanse bank stonden lijnmanagers en risicomanagers bekend als respectievelijk de ‘cowboys’ en de ‘Dr. No’s’. De cowboys waren verantwoordelijk voor het goedgekeurd krijgen van leningen, waarbij ze beoordeeld werden op het aantal en de grootte ervan. Hoe meer ze erdoor kregen, hoe beter voor henzelf. De Dr. No’s hadden de tegenovergestelde taak van het minimaliseren van het aantal slechte leningen. Hoe minder slechte leningen er uitstonden, hoe beter zij beoordeeld werden. Door deze tegengestelde belangen in de organisatie, dit onderscheid tussen ‘aanval’ en ‘verdediging’, ontstond de neiging van beide partijen om elkaar te enigszins te manipuleren. De cowboys spiegelden een lager risico voor en dienden hun verzoek ter goedkeuring van een lening bijvoorbeeld pas op het laatste moment in, in de hoop dat het er dan in de haast door zou komen. Dit illustreert dat lijnmanagement en risicomanagement elkaar niet tegen moeten werken, maar geïntegreerd moeten worden. |
Lijnmanagers zijn verantwoordelijk voor de risico’s van hun business unit. Zij hebben goed zicht op veel risico’s, doordat zij relatief direct contact hebben met klanten en leveranciers. Ze weten wat er in de praktijk allemaal mis kan gaan. Het lijnmanagement moet ervoor zorgen dat risico wordt meegewogen bij groeimogelijkheden en prijsbepaling. Er moet vermeden worden dat lijnmanagement en risicomanagement tegenover elkaar geplaatst worden.
De valkuil is dat ERM alleen wordt overgelaten aan de controller. Dat komt omdat risico’s vaak worden uitgedrukt in termen van gevolg, namelijk financiële schade. De verantwoordelijkheid wordt dan bij de controller neergelegd. Als risico’s echter worden uitgedrukt naar hun ontstaanswijze, dan blijkt de verantwoordelijkheid eerder bij het lijnmanagement te liggen. Ook als het ontstaan van het risico buiten de organisatie ligt, is de lijnmanager verantwoordelijk voor het signaleren ervan. Tip: maak een lijnmanager expliciet verantwoordelijk voor het managen van een of meerdere risico’s.
Risico’s staan niet op zichzelf, maar zijn met elkaar verweven. In sommige gevallen is het waar dat een ongeluk nooit alleen komt. In andere gevallen is het meer een kwestie van ‘elk voordeel heeft zijn nadeel’. Een hoge eurokoers zorgt bijvoorbeeld voor gunstig lage grondstofprijzen, maar benadeelt de exportpositie van een bedrijf.
Daarom kunnen risicomanagers veel expertise lenen van fondsmanagers, die gewend zijn een aandelenportfolio te beheren. De kernregel van die managers is dat niet de risicovolheid van afzonderlijke investeringen ertoe doet, maar het gecombineerde risico van het hele portfolio. Zo is het denkbaar dat een toevoegen van een aandeel dat een relatief lage risk-reward-trade-off heeft, toch een verbetering betekent voor de risk reward-trade-off van het risicoportfolio als geheel. Dat kan het geval zijn als het risico van dit aandeel negatief gecorreleerd is met dat van andere aandelen.
Om dezelfde reden moeten de risico’s van bedrijfsonderdelen (Research & Development, Personeel) niet afzonderlijk gemanaged worden, maar in samenhang.
De belangrijkste belanghebbenden/aandeelhouders moeten voorgelicht worden. Om te beginnen de raad van bestuur, maar ook partijen buiten de organisatie: beleggingsanalisten bijvoorbeeld. Als deze partijen ervan overtuigd zijn dat de risico’s beheerst worden, heeft dit een gunstige invloed op de prijs van het aandeel van het bedrijf.
Nog een mening over risicomanagement | |
Hans Leenaars, lid Raad van Bestuur, Bank Nederlandse Gemeenten ‘Natuurlijk is het goed dat ondernemingen naar de buitenwereld transparant zijn over de wijze waarop de onderneming wordt bestuurd en de risico’s die daarbij worden gelopen. Maar de inspanningen die dat vergt van de organisatie zijn hoog, zeker in de financiële sector, en niet altijd is duidelijk hoe de organisatie ervan profiteert. Het gevoel van een last en het moeten steekt dan al snel de kop op. We moeten overigens ook niet vergeten dat risicomanagement relatief nieuw is. Tien jaar geleden bestond het als zodanig nauwelijks in Nederland. Het is dus ook niet zo vreemd dat we de juiste modus nog niet hebben gevonden. Maar dat risicomanagement toegevoegde waarde heeft staat voor mij buiten kijf. Goed risicomanagement stelt je in staat om risico’s en rendementen beter op elkaar af te stemmen.’ |
Verder naar de hoofdpagina van de cursus Risicomanagement.
Bron: www.leren.nl/cursus/management/risicomanagement/erm.html
Copyright © 1999-2024 Applinet
Alle rechten voorbehouden
Colofon