Sinds het uitbreken van de kredietcrisis staat risicomanagement (weer) volop in de belangstelling. Bedrijven en organisaties zijn zelf niet ontevreden over hun risicomanagement. Onderzoek wijst echter uit dat het stukken beter kan. De principes van risicomanagement zijn niet moeilijk.

Door Marcel Prinsenberg - PricewaterhouseCoopers

Risicomanagement draait niet om het vermijden van risico’s, maar om het voorkomen van verrassingen. Bedrijven hebben ambities, en hun strategie is erop gericht die te verwezenlijken. Voor ze de weg van A naar B afleggen, moeten bedrijven en organisaties zich afvragen welke risico’s of onzekerheden ze op de route tegen kunnen komen. En vervolgens moeten ze bekijken of ze de juiste mensen, middelen, systemen en procedures hebben om daarop te anticiperen. Risicomanagement kan bekeken worden als een kwaliteitstoets op de organisatie, een toets op de vraag of zij haar ambities succesvol en beheerst kan bereiken.

Onderzoek
Het voorgaande klinkt niet al te ingewikkeld en zeker niet al te nieuw. Toch vraag ik me af of die vragen echt gesteld worden. PricewaterhouseCoopers heeft samen met de Rijksuniversiteit Groningen, Universiteit Nyenrode en de NIVRA (de beroepsorganisatie van accountants) onderzoek gedaan naar risicomanagement in Nederland.

Eén van de opvallendste conclusies uit dit onderzoek is dat bedrijven en organisaties de kwaliteit van hun risicomanagement hoger inschatten dan de onderzoekers. Terwijl de respondenten – ongeveer duizend organisaties met een omzet of budget van minimaal tien miljoen euro hadden een enquête ingevuld – zichzelf gemiddeld een cijfer gaven van 6,5, kwamen wij niet verder dan een score van gemiddeld 4,5. Een andere opvallende uitkomst is dat risicomanagement vooral benaderd wordt vanuit een instrumentele, compliance-georiënteerde invalshoek. Het zit over het algemeen niet in de haarvaten van een organisatie.

Te complex
Risicomanagement is sinds het uitbreken van de kredietcrisis een geliefd onderwerp op congressen, seminars en opiniepagina’s. Vraag is altijd of goed risicomanagement de kredietcrisis had kunnen voorkomen. Die stelling durf ik in ieder geval niet aan, daarvoor zijn de oorzaken van de crunch te complex. Er zijn mensen die vinden dat risicomanagement de crisis juist heeft bevorderd: de gunstige uitkomst van ingewikkelde risicomodellen zouden de gebruikers in slaap hebben gesust, terwijl die modellen tegelijkertijd geen rekening hielden met de onberekenbaarheid van de menselijke geest. Eén conclusie durf ik wel aan en dat is dat de crisis in ieder geval ‘man-made’ is, onder andere vanwege het onterecht verschuilen achter of onjuist gebruik van risicomanagementmethoden en -technieken.

Stukken beter
Dat onderstreept alleen maar mijn stelling dat risicomanagement in ieder geval stukken beter kan. Het belangrijkste is dat iedereen in een bedrijf of organisatie doordrongen is van het belang daarvan en er een rol in heeft. Risicomanagement dat beperkt is tot de leden van de board die één keer per jaar een lijstje invullen, heeft weinig zin. Risico’s en onzekerheden moeten betrokken worden bij elke (strategische) beslissing en onderwerp van gesprek zijn op elk niveau. Even belangrijk is dat iedereen het eens is over die onzekerheden. Het kan heel goed zijn dat iemand een verliespost van vijf miljoen euro kwalificeert als een risico, terwijl een ander risico definieert als een verlies van vijftien miljoen. Heb het daar dus over.

Aanpassen
Het klinkt nog steeds niet ingewikkeld. Maar ik geef nog een uitkomst uit het onderzoek. Op de vraag of bedrijven en organisaties hun risicoprofiel hebben herzien na het uitbreken van de kredietcrisis, antwoordde slechts een klein deel van de ondervraagden (17%) positief. En als de crisis niet eens een aanleiding is om je risicoprofiel aan te passen, dan heb je misschien toch iets niet helemaal goed begrepen.


Marcel Prinsenberg is verbonden aan PricewaterhouseCoopers en specialist op het gebied van risicomanagement.