Met het lopen van risico’s is in principe niets verkeerd. Beter nog: het is inherent aan de strategische lijn die door een bedrijf gevolgd wordt. De grote uitdaging bestaat er echter in op een adequate manier met die risico’s om te springen, en net op dat punt wordt de rol van de CFO interessant.
Zeggen dat Martin van Staveren een passie heeft voor Risk Management, is een understatement. En de expertise die hij doorheen de jaren opbouwde wendt hij aan om organisaties bij te staan in hun risicobeheersing. Vanwaar die grenzeloze belangstelling?
Van Staveren is één van de sprekers tijdens de collegereeks Business Control die start op 10 maart.
Onbewust constant met risico’s en risicobeheer bezig
“Er was niet zozeer één specifieke gebeurtenis die me als Paulus van mijn paard deed bliksemen (lacht), eerder een groeiend besef dat ik onbewust in mijn dagelijkse bezigheden eigenlijk constant met risico’s en risicobeheer bezig was. Van opleiding ben ik geotechnisch ingenieur, een opleiding die ergens het midden houdt tussen ingenieur en geoloog. En dat is ook het beroep dat ik twintig jaar lang uitgeoefend heb.”
MBA-opleiding was ervaring die als keerpunt kan worden beschouwd
“Ik deed grondonderzoeken, werkte rond funderingen, grotendeels bij een kennisinstituut. Uiteindelijk volgde ik rond de eeuwwisseling een MBA-opleiding die me in contact bracht met het vak financieel risicomanagement. Het was een ervaring die als een heus keerpunt kan worden beschouwd. Intensief begon ik me in de materie te verdiepen, wat in een eerste boek uitmondde. Ergens ging dit echter gepaard met een ontgoocheling.”
Wat maakt Risk Management zo’n lastig onderwerp
“Op zich was ik er best trots op hoor, kreeg er ook heel wat positieve feedback op, maar tegelijk moest ik vaststellen dat het al snel ergens opgeborgen werd zonder dat er nog enige gevolg aan werd gegeven. Best jammer, alleen intrigeerde de vaststelling me ook. Wat is dat toch dat van Risk Management een zo lastig onderwerp maakt? Waarom is het zo moeilijk de brug te slaan tussen theorie en praktijk?”
Risicomanagement implementeren in een organisatie
“Ik besloot te promoveren over het onderwerp met één prikkelende vraag: hoe risicomanagement daadwerkelijk te implementeren in een organisatie? Dit leidde tot afgeleide vragen, als wat vraagt dat van de methoden voor Risk Management, en vooral ook van de organisatiestructuur en –cultuur? In 2009, midden in de financiële crisis, was mijn doctoraat afgerond. En ik was zo gebeten door het onderwerp dat ik maar besloot zelf een risico te nemen en mijn eigen bedrijf op te starten (glimlacht).”
Bedrijven en hun risicobeheersing, maar ook: welke plaats neemt de CFO hierin? Het werd het menu van ons gesprek.
Termen als Risk en Risk Management worden frequent gebruikt, vaak in een sterk verschillende context en op een manier die zeker geen uniforme inkleding verraadt. Bestaat er zoiets als een definitie of classificatie? Criteria die structuur brengen in het thema?
“Jawel hoor, beide bestaan. Zij het dat we het over twee verschillende zaken hebben (glimlacht). Hebben we het over definities, dan maak ik graag gebruik van de NEN-ISO-31000 Richtlijn voor risicomanagement, zonder twijfel de meest pragmatische uit de vele definities die in omloop zijn. Volgens deze definitie is risico het effect van onzekerheid op het behalen van doelstellingen. En zeker dit laatste begrip vind ik ontzettend belangrijk.”
Centrale plaats in het besluitvormingsproces
“Risico’s maken deel uit van de strategie van een onderneming of instelling. Ze nemen een centrale plaats in het besluitvormingsproces in, of zouden dat toch moeten doen. Vandaar dat dit laatste begrip zo cruciaal is. Het maakt Risk Management doelgericht, wat voor vele een even prettige als verrassende vaststelling is. En dan de classificatie. Hiervoor grijp ik graag terug naar de pragmatische benadering van Robert Kaplan en Anette Mikes. Zij groeperen het amalgaam van alle mogelijke risico’s in drie categorieën.”
Drie categorieën van alle mogelijke risico’s
“Een eerste groep zijn de externe risico’s, ze ontstaan in de buitenwereld en je hebt er als organisatie volstrekt geen greep op. Dit betekent natuurlijk niet dat je niets kan doen – anticipatief en curatief – maar de activiteiten die je ontplooit staan los van het al dan niet optreden van dit type risico. De tweede groep omschrijven ze als de strategische risico’s: je loopt ze omdat je bepaalde strategische beslissingen neemt. Beslis je zaken te doen in een exotisch land met een wat kwalijke reputatie dan dreigt het wel eens mis te gaan. Anderzijds kan dat financieel wel aantrekkelijk zijn. Maar het besluit om die stap te zetten zorgt ervoor dat je de eigen organisatie blootstelt aan bijvoorbeeld reputatie-risico’s. En dan is er nog de derde categorie: de operationele risico’s. Hier is de band tussen eigen activiteiten en de risico’s erg direct. Het systematisch onderhouden van een bepaalde productielijn is hiervan een typevoorbeeld. Het uitwerken van een gedegen kwaliteitsmanagement is dan ook de aangewezen manier om aan risicobeheer te doen. U vroeg een classificatie, hier is ze, maar sta me toe er onmiddellijk enkele kanttekeningen bij te plaatsen (glimlacht).”
Grens tussen operationele en strategische risico’s kan erg poreus zijn
De afbakening van de drie groepen mag niet te strikt zijn. Zeker tussen de operationele en strategische risico’s kan de grens erg poreus zijn. Bepaalde beslissingen – bijvoorbeeld om in een zeker land een productie op te starten – heeft rechtstreekse gevolgen op het gebied van het operationele. Dat men definities en onderverdelingen uitwerkt, wekt misschien de indruk dat riskmanagement deductief moet benaderd worden, wat niet zo is. Wanneer ik met een klant begin te werken, pak ik de zaken net inductief aan. Op basis van hun activiteiten, sector en dergelijke laat ik ze hun eigen risicoprofiel opstellen. Ik help met het aanbrengen van structuur en vooral ook om de vaak impliciete onzekerheden expliciet te maken. Om op basis daarvan realistische keuzes te kunnen maken, die sterk afhankelijk zijn van de risicobereidheid van de betrokkenen.”
Zoals u zelf al aanstipte: de grote uitdaging zit hem in de link tussen theorie en praxis. Het veelvoud aan activiteiten en dito risico’s, lijkt een uniforme aanpak van risicobeheersing, waar u net op doelde, toch uit te sluiten?
“Het een sluit het andere alvast niet uit hoor. Eerst komt het erop aan de doelstellingen – en dat brengt ons weer terug bij voormelde definitie – van de onderneming scherp vast te leggen. De vraag is steeds dezelfde; het zijn de antwoorden die verschillen. Zonder een goed zicht op de targets, kan je nooit een adequate risicokaart opstellen. Dit brengt ons bij een wezenskenmerk van Risk en a fortiori van Risk Management: ze zitten in het DNA van de strategische beslissingen die een bedrijf maakt. Het is niet zomaar iets dat je in een bijhuis weg parkeert.”
In één van uw publicaties lezen we dat risico’s op zich geen probleem zijn. We dachten net het omgekeerde…
“Het is een grote misvatting Risk Management gelijk te stellen met het uitschakelen van zo mogelijk alle risico’s. Een risico is altijd een onzekere gebeurtenis of situatie met effecten op doelen. Een risico kan optreden, of net niet. Sommigen treden nooit op. Maar doet het dan toch, dan wordt het een probleem. Tenzij je goed voorbereid bent. Zo bekeken is een risico geen probleem, voor je je er de ogen niet voor sluit. Een groot voordeel van deze benadering is dat risicodossiers zo soms wel tot de helft kunnen inkrimpen, door alle bestaande problemen eruit te filteren. Problemen vergen immers een andere aanpak dan risico’s, omdat ze al manifest zijn. Ook verdwijnt zo de illusie dat een probleem zich vanzelf oplost, omdat het in het risicodossier staat en daarmee dus onzeker zou moeten zijn.”
U had het over een risicokaart. Hoe ver kan of moet je hierin gaan?
“Exhaustiviteit is een illusie. Ooit had ik iemand op een opleidingsdag die via haar smartphone een update van het risicodossier ontving… er stonden 543 risico’s in. Wat kan je daar nu mee aanvangen? Wie wil trouwens met zo’n kwantiteit iets aanvangen. Beide vragen zijn voor alle duidelijkheid retorisch (lacht). Er is niets zo makkelijk om Risk Management eindeloos complex te maken, maar dat helpt je geen stap vooruit. Met zo’n aantal werk je met verschillende klassen van risico’s, waarna eindeloze discussies kunnen worden gevoerd over waar risico X of Y nu precies in thuis hoort. Maar hoe selecteren en dus schiften? Belangrijk is dat je goed weet aan welk doel je een gegeven risico koppelt. Dit begrijpen is essentieel om deze oefening succesvol uit te voeren. En hiervoor heb je ook een directe lijn met verantwoordelijken op het terrein nodig. Het toont nog maar eens aan hoe funest het wel is om risico’s niet de centrale plaats in het bedrijfsbeheer te geven die het toekomt. Het is net daarom dat je ze kan kwantificeren, of in elk geval gezamenlijk een beeld van de orde van grootte van het risico kan krijgen.”
Laten we even naar de realiteit van het terrein kijken: zijn er bepaalde sectoren die eruit springen?
“Traditioneel staan bedrijven werkzaam in de petroleum, gas of andere industrietakken het verst. Op zich is dat niet zo verwonderlijk, aangezien zij de meeste ervaring hebben in het uitbouwen van een veiligheidsbeleid. Veiligheid raakte de core business van hun riskmanagement. Wel valt met op dat daar het risicomanagement vaak erg – te – complex wordt gemaakt. Waardoor de essenties ervan uit het beeld verdwijnen. Voor het overige, levert een doorsnede een eerder gemengd beeld op. In de zorgsector bijvoorbeeld zie je wel het nodige bewegen. In algemeenheid komt het er op neer een gulden middenweg te bewandelen. Een balans te vinden tussen een kost en risico. Dit is overigens sterk functie- en persoonsgebonden.”
Speelt omvang hier een rol?
“Dat kan, maar het strookt zeker niet de werkelijkheid dat grotere structuren meer middelen kunnen uittrekken, wat tot een grondiger risicobeheer zou leiden hoor. Wel integendeel. We zien in Nederland dat de MKB’s, jullie hebben het over KMO’s, niet de omvang hebben om hun risicobeheer intern aan te pakken. Uitbesteden kan een nuttige uitweg zijn, al was het maar dat je zo in zee gaat met een bekwame partner die je een spiegel voorhoudt en kwaliteit aflevert. Het valt me op dat steeds meer verzekeraars knowhow op dit vlak aanbieden.”
We zouden nochtans geneigd zijn te geloven dat een eigen risk verantwoordelijke de grootste meerwaarde biedt. Per slot van rekening is die het best vertrouwd met de activiteiten en targets van het bedrijf, en daar was het toch om te dien…
“De stelling houdt steek, voor zover die persoon een geschikte plaats in het organigram toebedeeld krijgt. Risicobeheer is geen silo binnen een onderneming. Geen eiland op zich, maar iets wat een vast onderdeel van de ruimere bedrijfscultuur moet worden, noem dit gerust een stokpaardje van me (glimlacht). En vertoont dat niet opvallende parallellen met de manier waarop de plaats van CFO’s wijzigde? Steeds meer is hij een centrale rol in het management gaan spelen. Een moderne CFO is al lang niet meer de ‘rekenaar’ die ergens op zijn ivoren toren blijft zitten. Ook Risk Management moet bij vele bedrijven uit haar isolement gehaald worden.”
Op welke manier ziet u de rol van de CFO evolueren op het vlak van risicobeheersing?
“Er zit iets paradoxaals aan de rol die een CFO vandaag speelt op het vlak van Risk Management. En naar de toekomst toe zal deze schijnbare tegenstelling zich trouwens nog scherper aftekenen. Met wat zin voor provocatie zou ik durven stellen dat zijn takenpakket terzake kleiner wordt. Sta me toe dit direct toe te lichten, want ik zie dat u uw wenkbrauwen fronst (lacht). Zoals we zagen is het risicohuis er een met vele kamers. De gevolgen kunnen zich op diverse vlakken voordoen. Uiteraard speelt een financiële component, alleen is deze erg moeilijk in te schatten, zeker in ethische kwesties of wanneer de reputatie van het bedrijf gevaar loopt. Wanneer ik het over een verkleinende rol speelt, doelde ik net op de realiteit dat risico’s en a fortiori Risk Management het louter financiële overstijgt. Dankzij big data kan je scenario’s uitwerken voor als pakweg een marktprijs stijgt, dat is een effect dat in kaart kan worden gebracht. Dit is meetbaar. Het optreden van bepaalde andere risico’s is dat niet. Risk Management gaat dus breder dan de verantwoordelijkheden van de CFO, anderzijds zie je dat in heel wat structuren de rol van de CFO net wijzigt. Hij raakt meer betrokken bij het strategie en het uittekenen van de te volgen lijn. En hierdoor raakt hij misschien weer wat meer betrokken bij de omgang met risico’s.”
Dr. Ir. Martin van Staveren MBA kort genoteerd
* Staat voor anders omgaan met risico’s: realistischer, explicieter en effectiever….
* Is kerndocent risicomanagement aan de Executive Masteropleiding Risicomanagement, Universiteit Twente.
* Adviseert bestuurders, directies en management van bedrijven en overheden.
Collegereeks Business Control
Nyenrode en cm: organiseren samen een collegereeks waarin de uitdagingen van de business controller centraal staan. In zes exclusieve colleges gaan hoogleraren en experts uit de praktijk in op al deze aspecten. Verdieping, inspiratie en praktijkvoorbeelden geven inzichten in uw veranderende rol binnen de organisatie. Er is voldoende ruimte voor vragen en discussies. Start vanaf dinsdag 10 maart 2020. Martin van Staveren gaat tijdens dit college in op risicogestuurd werken en risicoleiderschap. Meer informatie over het programma van de collegereeks Business control en aanmelden.
Koppel risico’s aan de processtappen en dan niet op de activiteit maar op het gewenste resultaat. Hoe erg is het als je gewenste resultaat mist. Voor vele is dit een eyeopener die heel gemakkelijk wordt vergeten. Risicomanagement, kwaliteitsmanagement, procesmanagement en bedrijfsmanagement gaat allemaal over dezelfde materie. Hou het lekker simpel en overzichtelijk. En risicomanagement is ook een uitstekende basis om te leren en te trainen.