Risicomanagement blijft vaak onderbelicht in de boardroom: bestuurders hebben het niet in portefeuille en hekelen de remmende werking op het ‘businessdenken’. Stilstaan bij de belangrijkste risico’s – daartoe uitgedaagd door de commissarissen –  is echter een belangrijke voorwaarde voor evenwichtige strategische keuzes, aldus Marcel Prinsenberg van PwC.

Risicomanagement hoort in de bestuurskamer. Bestuurders en commissarissen doen hun onderneming tekort door geen structurele aandacht te hebben voor risico’s. Toch worden risico’s in de praktijk zelden besproken in de bestuurskamer. Dat komt doordat risicomanagement vaak niet expliciet wordt belegd in de portefeuille van een van de bestuurders. Je zou kunnen zeggen: dat is goed nieuws, want dan is iedereen is verantwoordelijk voor het managen van risico’s, dus ook bestuursleden. Gedeelde verantwoordelijkheid is echter geen verantwoordelijkheid. Door de verantwoordelijkheid voor risicomanagement te verdelen valt deze vaak tussen wal en schip.

Risicomanagement afdoen als ‘stafding’
Als risicomanagement wél belegd is binnen het bestuur, is dat meestal bij de CFO. Met een CEO en COO die primair een commerciële en businessfocus hebben en een CFO die zich vooral als businesspartner wil opstellen en bovendien een financiële focus heeft, wordt het gesprek over bedrijfsbrede risico’s en het managen ervan in de praktijk vaak afgedaan als een ‘stafding’. De risicomanager (überhaupt een vreemde benaming voor deze staffunctionaris, want hij of zij managet geen risico’s, maar coördineert hoogstens het proces) is als ‘staf’ van nature geen partij om aan de bestuurstafel te vragen. Om risico’s op een strategisch niveau te bespreken, zijn er echter wel mensen nodig die dit gesprek op dit niveau kunnen aangaan. Ergens zal er dus een stap moeten worden gezet.

Nog een wereld te winnen binnen bestuurskamer
Zelfs als er wel een chief risk officer (CRO) is benoemd, betekent dat nog niet dat hij of zij een plek aan de bestuurstafel heeft. Uit het Tweede Nationaal Onderzoek Risicomanagement in Nederland van 2014 bleek destijds slechts twintig procent van de bedrijven een CRO te hebben, van wie slechts de helft deel uitmaakte van de raad van bestuur. Aangezien er geen aanwijzingen zijn voor een significante verbetering op dit vlak, valt er binnen de bestuurskamer nog een wereld te winnen.

Board verantwoordelijk voor risk oversight
COSO ERM 2017 zegt niet specifiek waar de verantwoordelijkheid voor risicomanagement moet worden belegd, anders dan bij ‘management’, met andere woorden de uitvoerende directie. Wel geeft COSO ERM 2017 in principe 1 aan dat de (non-executive) board verantwoordelijk is voor risk oversight. Hier ligt dan ook een kans voor het beter en expliciet beleggen van risicomanagement op bestuursniveau.

Groepsdenken tegengaan
De beste manier is natuurlijk dat risicomanagement in het ‘DNA’ zit van alle bestuursleden. Een andere vorm is het benoemen van een expliciete risicofunctionaris op bestuursniveau, de CRO. Een tussenvorm kan bestaan in het benoemen van iemand in het bestuur die zich opstelt als ‘dwarsdenker’ en de plannen/ideeën vanuit een andere, kritische invalshoek mag benaderen. Daarmee gaat hij of zij het groepsdenken tegen.

Bestuur onafhankelijk uitdagen
Tot slot kun je ook denken aan een adviserend en voorbereidend orgaan, een zogeheten risk committee, die bijvoorbeeld als onderdeel van het executive team het bestuur ondersteunt in het vormgeven van deze taak. Dit laat overigens onverlet dat ook vanuit de raad van commissarissen een actieve rol verwacht mag worden door te vragen naar de belangrijkste risico’s en de manier waarop deze beheerst worden en het bestuur hierop ook onafhankelijk uit te dagen.

Remmende werking op ‘businessdenken’?
Er is nog een reden waarom risicomanagement vaak onderbelicht blijft in de bestuurskamer. Het denken in risico’s wordt vaak een negatieve benadering gevonden en zou een remmende werking hebben op het ‘businessdenken’. Meer dan eens word ik gevraagd om een strategisch risico-assessment te begeleiden. Maar zodra ik dan inzicht vraag in de strategie, blijft het verdacht stil. De strategie is toch vooral een domein waar de risicomanager uit de buurt moet blijven, lijkt de heersende gedachte.

Risico’s meewegen in strategische keuzes
Het tegenovergestelde zou het geval moeten zijn. Het formuleren en uitvoeren van een strategie moet leiden tot succes voor de onderneming. Daartoe moeten risico’s, de onzekerheden in de markt, worden benut en meegewogen in de strategische keuzes. Voor wie goed met die onzekerheden omgaat, ligt waardecreatie en winst in het verschiet (en dus niet als een verrassende uitkomst). Risico’s vormen niet de keerzijde van succes, ze vormen een voorwaarde voor het behalen daarvan. Een risico-assessment nadat de strategische visie en keuzes al zijn bepaald, is dan ook van beduidend minder waarde dan wanneer dit als integraal onderdeel van het strategieproces wordt meegenomen.

Integrale benadering van kansen en risico’s
COSO ERM 2017 benadrukt daarom het belang van een integrale benadering van kansen (in het strategieproces) en de risico’s die daarbij komen kijken. Juist die integrale benadering vormt een natuurlijk moment voor het bestuur om stil te staan bij de belangrijkste risico’s voor de onderneming. Door weer even een stap terug te zetten om geïdentificeerde kansen met gezond verstand en realiteitszin te benaderen, komen bestuurders tot evenwichtige strategische keuzes, onder toezicht van actieve commissarissen.

Marcel Prinsenberg is bij PwC verantwoordelijk voor risk consulting aan niet-financiële organisaties.

Dit artikel is eerder gepubliceerd in: Governance Update 2018 maart van Nationaal Register