Geplaatst op Door Jack P. Kruf

Leiderschap in risicomanagement

Marie-Gemma Dequae (ed.) with HBR Analytics Services for FERMA, Zurich and PRIMO | 2013

De C-Suite speelt een grotere rol in het leiden van de risicomanagementinspanningen bij grote, voornamelijk Europese bedrijven, wat de hogere prioriteit onderstreept die risico’s hebben gekregen in de nasleep van enkele jaren van financiële en economische onrust. Tegelijkertijd benadrukken bedrijven de noodzaak van een sterke betrokkenheid van de raad van bestuur om de besluitvorming over strategische en ondernemingsbrede risico’s te vergemakkelijken en om de acceptatie van een cultuur van risicomanagement verder in de organisatie aan te moedigen. 

Bedrijven worstelen echter met het creëren van een bredere rol voor de risicofunctie als deelnemer aan strategische planning en transformatie-initiatieven. En Europese executives uiten hun bezorgdheid over de robuustheid van hun risicomanagementprocessen en communicatiekanalen. 

Grote veranderingen in de manier van zakendoen, aangewakkerd door de technologische revolutie en de globalisering, leiden ondertussen tot bezorgdheid over het bedrijfs- en merkrisico. Deze en andere uitdagingen zetten bedrijven ertoe aan om meer middelen te besteden aan het definiëren van hun risicobereidheid en aan het opsporen, meten en analyseren van risico’s met behulp van hulpmiddelen als “heat maps”, scorekaarten met belangrijke risico-indicatoren, scenarioanalyse en verliesprognoses. De uitdaging is echter, aldus sommige leidinggevenden, om ervoor te zorgen dat risico’s op de juiste niveaus in de organisatie “eigendom” zijn en dat risico’s efficiënt worden gecommuniceerd, zodat het topmanagement en de raad van bestuur tijdig op feiten gebaseerde beslissingen kunnen nemen over hoe ze moeten worden aangepakt. 

Volgens een recent onderzoek van Harvard Business Review Analytic Services onder Europese bedrijven, gesponsord door Zurich, de Federation of European Risk Management Associations (FERMA) en de Public Risk Management Organisation (PRIMO): 

    • C-suite toezicht op risicomanagement wordt intensiever. Uit het onderzoek blijkt dat bij 35% van de organisaties een CRO of een risicomanager direct verantwoordelijk is voor risicomanagement. Bij 27% is de CEO of de CFO/penningmeester direct verantwoordelijk en bij 14% is het bestuur zelf verantwoordelijk.
    • De meerderheid van de bedrijven heeft opleidings- en beoordelingsprocessen die het bestuur en de C-suite op de hoogte houden van hun risicoblootstelling. Bij 70% van de organisaties worden de belangrijkste risico’s regelmatig gecommuniceerd met de C-suite.
    • Slechts 17% van de respondenten beschreef de communicatie tussen de C-suite en de CRO als volledig of bijna volledig. En 40% zegt dat hun organisatie nog geen breed samengestelde, cross-functionele risicocommissie heeft opgezet – ondanks de cruciale rol die de risicocommissie speelt bij het waarborgen dat risicogegevens grondig worden besproken en doorgegeven aan de raad van bestuur.
    • Bedrijven streven naar nauwere banden tussen risicomanagement en strategische planning. Ruwweg de helft zegt dat hun risicomanagementproces nauw of zeer nauw is afgestemd op hun algemene strategie en budget.
    • Bedrijven boeken echter minder vooruitgang bij het inzetten van de middelen van de risicofunctie voor transformatieve bedrijfsprojecten zoals fusies. Slechts 20% beschreef de risicofunctie als een hulpmiddel voor het nemen van effectievere strategische beslissingen en investeringen.
    • Bedrijven zijn traag met het invoeren van op risico gebaseerde stimulansen als onderdeel van de beloning. Slechts 12% zegt risicomanagement op één lijn te brengen met de beloning van bestuurders.
    • Merk- en reputatierisico’s zijn ook een punt van toenemende zorg en worden door bijna twee derde van de bedrijven genoemd als een gebied dat aandacht van het topmanagement vereist.
    • Sommige leidinggevenden en andere experts noemen het gebrek aan risicomanagementtalent als een belangrijk risicogebied, vooral wanneer het bedrijf een nieuwe geografische of productmarkt betreedt.
    • Bij bijna de helft van de bedrijven zijn er nu processen om de risicobereidheid te bepalen. Systemische risicobeheertools en analyses die hen in staat stellen risico’s te volgen en te analyseren en die vervolgens kunnen worden gebruikt voor besprekingen met de risicocommissie, worden steeds vaker gebruikt.

Hoogtepunten van het onderzoek

    •  48% van de bedrijven zegt dat hun chief risk officer een rol speelt in het uitdragen van een positieve risicocultuur.
    • 20% van de organisaties van de respondenten beschrijft de risicofunctie als een hulpmiddel voor het nemen van effectievere strategische beslissingen en investeringen.
    • 40% van de bedrijven heeft nog geen breed opgezette cross-functionele risicocommissie. 

Leiderschap aan de top

Onder druk van de wereldwijde concurrentie, de schokken van de financiële crash in 2007-08 en de nasleep van de recessie, geven Europese bedrijven meer dan ooit prioriteit aan risicomanagement. In toenemende mate bepalen het topmanagement en de raad van bestuur de richting en nemen ze meer controle over risicomanagement, integreren ze het in de algemene bedrijfsstrategie en integreren ze het dieper in de bedrijfscultuur. Tegelijkertijd verscherpen ze hun aandacht voor zaken als reputatie- en IT-risico’s en schaffen ze nieuwe hulpmiddelen aan om bedreigingen te voorspellen en te beperken. 

Leidinggevenden bij grote bedrijven en vooraanstaande denkers op het gebied van risicomanagement benadrukken deze nieuwe prioriteit van risico’s en benadrukken de centrale rol van de raad van bestuur en de C-suite bij het bieden van voortdurend leiderschap en richting. “Het is belangrijk dat de C-suite net zoveel over risicomanagement praat als over winst, groei en klanten, omdat ze van elkaar afhankelijk zijn. Het punt is dat je de winst niet kunt optimaliseren als je de risico’s niet op de juiste manier beheert”, zei Linda Conrad, directeur van Strategic Business Risk bij Zurich, tijdens een webinar van Harvard Business Review in mei 2013. 

Driekwart (75%) van de respondenten noemde de risicofunctie als een kanaal waarlangs de C-suite informatie, inlichtingen en advies over risico’s verzamelt.

Uit een recent onderzoek van Harvard Business Review Analytic Services blijkt dat het directe toezicht op risicomanagement zich concentreert op de hoogste niveaus van organisaties – met een chief risk officer (CRO) of in de C-suite of door het bestuur zelf. Bij 35% van de organisaties is de CRO of een risicomanager direct verantwoordelijk voor het risicobeheer. Bij 27% van de organisaties is de CEO of de CFO/penningmeester direct verantwoordelijk, terwijl bij 14% het bestuur zelf verantwoordelijk is. 

Conrad schetste een proces in drie stappen, met de nadruk op de rol van topmanagers, dat Zurich gebruikt om te adviseren over risicomanagement: 

    • Het vinden van een uitvoerende sponsor – mogelijk de CEO – in combinatie met “voortdurende controle” door de raad van bestuur.
    • Het definiëren van de reikwijdte van risicomanagement en de risicobereidheid van de organisatie, het prioriteren van risico’s en het communiceren hiervan “tot in de organisatie”.
    • Het “beoordelen en herbeoordelen” van het risicoprofiel van het bedrijf, het prioriteren van de grootste risico’s en het identificeren van triggers die aanzetten tot maatregelen om risico’s te beheren en verantwoordelijkheid toe te wijzen. 

Om een structuur zoals die van Zürich te laten werken, leggen Europese bedrijven vooral de nadruk op een sterke betrokkenheid van de raad van bestuur. “Je hebt de steun van de raad van bestuur nodig. Als je de steun van de raad van bestuur niet hebt, zal het niet werken”, zegt Johan Willaert, Corporate Risk Manager bij Agfa-Gevaert NV. 

De meeste bedrijven in het onderzoek hebben opleidings- en evaluatieprocessen die de raad van bestuur en de C-suite regelmatig op de hoogte houden van hun risicoblootstelling. Bij 70% van de organisaties worden de belangrijkste risico’s regelmatig meegedeeld aan de C-suite. Bij meer dan de helft (59%) van de organisaties beoordeelt de raad van bestuur jaarlijks het beleid en de procedures voor risicomanagement en bij bijna drie op de vier (72%) beoordeelt de raad van bestuur ten minste twee keer per jaar de grootste risico’s en de maatregelen om deze aan te pakken. Meer dan de helft (56%) van de organisaties heeft de afgelopen drie jaar meer middelen vrijgemaakt voor risicogerelateerde opleidingen en trainingen, in ieder geval voor het CRO-niveau en hoger. 

Communicatie zorgt ervoor dat processen werken

Om deze processen te laten werken, moet de risicofunctie fungeren als kanaal voor de informatiestroom tussen het bestuur, de C-suite en de rest van de organisatie. Bijna de helft (48%) van de respondenten zegt dat de chief risk officer een rol speelt in het communiceren van een positieve “risicocultuur” – meer nog dan de raad van bestuur (44%) of de C-suite (34%). Driekwart (75%) van de respondenten noemde de risicofunctie als een kanaal waarlangs de C-suite informatie, inlichtingen en advies over risico’s verzamelt – meer dan elk ander kanaal.

Het proces vertaalt zich echter niet altijd in ingebedde kennis en bewustzijn. Slechts 17% van de respondenten beschreef de communicatie tussen de C-suite en de CRO als volledig of bijna volledig. En 40% zegt dat hun organisatie nog geen breed opgezet, cross-functioneel risicocomité heeft opgericht. Dit, aldus Willaert, ondanks de cruciale rol die het risicocomité – dat onafhankelijk moet zijn en zijn autoriteit aan de raad van bestuur moet ontlenen om effectief te zijn – speelt om ervoor te zorgen dat alle relevante managementniveaus het risicoprofiel van het bedrijf grondig bespreken en informatie doorgeven die de raad van bestuur in staat stelt op feiten gebaseerde beslissingen te nemen.

Betrokkenheid bij het communiceren van een positieve risicocultuur

V: Wie is er binnen uw organisatie betrokken bij het ontwikkelen en communiceren van een positieve ‘risicocultuur’?

A: 48% CRO, 44% Raad van Bestuur, 34% C-Suite, 26% Andere en 6% Geen persoon. Op drie na werken alle 217 respondenten (98%) voor organisaties in Europa. Meer dan de helft-53% van de respondenten zegt betrokken te zijn bij de besluitvorming over risicomanagement voor hun organisatie, terwijl nog eens 22% verantwoordelijk is voor het nemen van beslissingen over het hele scala van risicomanagement binnen hun organisatie. Zestig procent van de respondenten zijn CRO’s of risicomanagers – verreweg de grootste categorie in het onderzoek. Twaalf procent zijn topfunctionarissen binnen het bedrijf: bestuursleden, eigenaren/partners, CEO’s of andere chief executives, CFO’s, treasurers en comptrollers. Zeventig procent werkt voor bedrijven met 1000 of meer werknemers en 34% werkt voor bedrijven met meer dan 10.000 werknemers. 

Soms loopt het proces zelf spaak. “Als academicus verbaast het me vaak dat bestuursleden en CEO’s zelfs vandaag de dag niet op één lijn zitten en dat gesprek niet voeren” over risico’s als onderdeel van de bedrijfsstrategie, aldus Paul Walker, Zurich Chair in Enterprise Risk Management aan de St. Soms is de informatie die bestuursleden krijgen niet helemaal de waarheid. 

“Vorig jaar sprak ik over dit onderwerp en iemand van een zeer grote organisatie kwam naar me toe en zei: ‘We maken het schoon voordat het naar de raad van bestuur gaat – we maken het schoon, we zuiveren het, we verwijderen dingen.’” – Paul Walker

Het goede nieuws, aldus Walker, is dat bestuursleden zelf ook vragen stellen. “Bestuursleden hebben tegen me gezegd: ‘Dat moeten we beter doen,’” zei Walker. “Een aantal van de klachten die ik krijg van raden van bestuur is dat ze niet op tijd informatie krijgen over de risico’s van de strategie. Ze kunnen het directieteam dus niet echt helpen om de juiste beslissing te nemen, omdat ze zich in sommige van deze situaties opgejaagd voelen. Of ze zien ERM leiders die praten over ERM, maar ze lijken niet breed genoeg te denken en ze doen geen diepe duiken, en ze verbinden de punten niet. Of ik heb bestuursleden tegen me horen zeggen: “Je zegt dat je aan ERM doet, maar vanuit ons perspectief lijkt het veel op silo risk management. Ze willen dus dat organisaties proberen de puntjes wat meer met elkaar te verbinden, want dat heeft veel waarde.” 

Risicomanagement een rol geven in strategische planning

Hoewel veel bedrijven nog steeds beter moeten worden in het communiceren over risico’s en het rapporteren aan de raad van bestuur, neemt risicomanagement bij sommigen een bredere en meer strategische rol aan. Bijna twee derde van de respondenten (63%) zegt zich zorgen te maken over strategische risico’s – het gevaar dat een onderdeel van hun bedrijfsstrategie nieuwe bedreigingen kan creëren. 

Voor sommige organisaties vertaalt dit zich in een nauwere samenwerking tussen de risicofunctie en strategische planning. Iets meer dan de helft (52%) van de respondenten zegt dat het risicobeheerproces van hun organisatie nauw of zeer nauw is afgestemd op de algemene strategie en het budget. Meer dan een op de vier (27%) zegt dat risicomanagement het bedrijf moet helpen bij het benutten van opwaartse groeikansen in combinatie met het beperken van neerwaartse risico’s. En 41% zegt dat de risicofunctie een rol speelt bij het bepalen van de strategie, het opstarten van projecten, investeringen en andere zakelijke beslissingen, terwijl 42% zegt dat dit af en toe gebeurt. 

Daarmee is het merendeel van de bedrijven er nog niet van overtuigd dat risicomanagement een plaats heeft in de strategische planning. “We zijn nog niet op dat punt, maar we hebben wel vooruitgang geboekt,” zegt Willaert. De CRO speelt een centrale rol in het maken van de zaak, aldus Conrad: “Je moet een uitgesproken CRO hebben om het senior management te laten weten dat er tools en technieken zijn die gebruikt worden in traditioneel en ondernemingsrisicomanagement die het strategische besluitvormingsproces ten goede kunnen komen.” 

Verschillende respondenten gaven aan dat de risicofunctie regelmatig deelneemt aan strategiebeoordelingsvergaderingen. Verscheidene respondenten zeiden ook dat de risicomanager of CRO wordt ingeschakeld wanneer een grote bedrijfsinvestering wordt overwogen, ook om een impactanalyse of -beoordeling uit te voeren. Toch beschreef slechts 20% de risicofunctie als een hulpmiddel om effectievere strategische beslissingen en investeringen te nemen, en slechts 17% beschreef de risicofunctie als een zakelijk hulpmiddel om de winstgevendheid te stimuleren door het behalen van doelstellingen te vergemakkelijken.

Om de risicofunctie een actievere rol te geven, moet de CRO het gangbare beeld van “iemand die nee zegt tegen ideeën” ontkrachten, aldus Walker, en moet hij de waarde van de metriek en andere hulpmiddelen die hij tot zijn beschikking heeft, demonstreren, vaak aan sceptische functionarissen. Walker haalt een recent gesprek aan met een chief strategy officer wiens “grootste kritiek op ERM was: ‘Ik heb iets nodig dat bruikbaar is. Jullie vertellen me wat het risico is, maar hoe handel ik daarnaar? We moeten dus klaar zijn voor die moeilijke vragen en ook de oplossingen hebben.” 

Steun van het hoogste niveau is cruciaal, aldus Walker. De CRO moet “enige geloofwaardigheid hebben en enig respect en vertrouwen van de C-suite en het bestuur”. Het is ook belangrijk “om echt het bedrijfsmodel te begrijpen en hoe het bedrijf waarde creëert, geld verdient of, als het een non-profit organisatie is, hoe het zijn non-profit doelstellingen bereikt”. De CRO is vaak “niet iemand die zijn of haar hele leven al aan ERM doet”, voegt Conrad toe. “Het is iemand die ook in het vak heeft gezeten en die weet wat er nodig is om succesvol te zijn.” 

Een cultuur van risicomanagement creëren

Het kan een even grote uitdaging zijn om een interne cultuur te creëren die risicomanagement bevordert. Een maatstaf voor vooruitgang, aldus Willaert, is of succesvol risicomanagement binnen het bedrijf alleen wordt gezien als een niet-negatief, of als “een positieve zaak, een toegevoegde waarde”. Communicatie is essentieel, zei hij, en moet in drie richtingen worden gestimuleerd: top-down, bottom-up en van het auditcomité naar de raad van bestuur.

De visie van de bedrijfscultuur op risicobeheer

Vraag: Welke van de volgende omschrijft het best de visie van uw bedrijfscultuur op risicomanagement? Antwoorden:

    • 58% Een proces om risico’s proactief te identificeren, te controleren en er strategisch op te reageren.
    • 40% Risicomanagement van ondernemingen (ERM).
    • 39% Corporate governance.
    • 27% Het beperken van neerwaartse risico’s en het benutten van opwaartse groeikansen.
    •  20% Een hulpmiddel om effectievere strategische beslissingen en investeringen te maken.
    • 17% De auditfunctie.
    • 17% Een bedrijfsinstrument om de winstgevendheid te bevorderen door het bereiken van doelstellingen te vergemakkelijken.
    •  17% Een kwestie die moet worden aangepakt door verzekeringen aan te schaffen.

“Het top-down gedeelte communiceert de doelen en instrumenten van het bedrijf – hoe we het gaan doen, waarom we het doen – zodat iedereen niet alleen weet dat risicomanagement wordt gesteund door het bestuur, maar ook dat het een toegevoegde waarde is voor de groep,” aldus Willaert. Bottom-up communicatie moedigt bedrijfsleiders en functionele leiders aan om risico’s “in eigen hand te nemen”, waarbij ze begrijpen dat als ze een probleem aankaarten dat binnen hun bevoegdheid valt, hun actie zal worden gezien “niet als een reden om hen de schuld te geven, maar eerder als een inspanning om de balans van het bedrijf te verbeteren en te beschermen”. Het derde circuit zorgt ervoor dat risico’s die door het auditcomité worden gedetecteerd, aan de raad van bestuur worden voorgelegd ter bespreking en voor mogelijke actie.

Slechts 12% van de respondenten zegt dat hun organisatie risicobeheer afstemt op de beloning van bestuurders.

Normen voor communicatie en rapportage bleken een belangrijk aandachtspunt in het onderzoek. Meer dan een derde van de respondenten toonde zich bezorgd dat proactieve communicatie, die de impact van een crisis kan voorkomen of verminderen, niet tijdig plaatsvindt tijdens de dagelijkse activiteiten. Meer dan een op de vier (27%) toonde zich bezorgd over de impact van zowel terzijde schuiven als work-arounds voor bestaand risicomanagementbeleid en -procedures en van een “goed-nieuwscultuur” die het management ervan weerhoudt contra-intuïtieve, niet-consensus informatie of standpunten over risico’s te ontvangen en te absorberen (29%). 

Als het proces van communicatie, monitoring en rapportage van risico’s op elk niveau de “stok” van de risicocultuur is, dan is de “wortel”, aldus Conrad, de stimulans: “risico’s koppelen aan het behalen van je doelstellingen voor dat jaar. Er is duidelijk een motivatie voor elke persoon die graag een salaris of een bonus wil krijgen. Organisaties zijn traag geweest met het invoeren van op risico gebaseerde incentives als onderdeel van compensatie. Slechts 12% van de respondenten zegt dat hun organisatie risicomanagement op één lijn brengt met de beloning van bestuurders. Van degenen die dat wel doen, zeiden sommigen dat hun bedrijf beoordelingsperiodes voor beloningen heeft ingesteld die lang genoeg zijn om ervoor te zorgen dat duurzame aandeelhouderswaarde wordt gecreëerd, terwijl anderen zeiden dat hun organisatie terugvorderingsbepalingen toevoegt aan bonussen in geval van ondermaatse prestaties.

Stimulansen werken het best als de organisatie personeel met risicomanagementcapaciteiten kan aantrekken en behouden. Risicoverantwoordelijkheid is echter ieders verantwoordelijkheid, dus het is essentieel om risicotrainingen te geven voor alle bedrijfsonderdelen en functionele gebieden, aldus Conrad. Daarbij is een belangrijke rol weggelegd voor human resources. 

“HR is soms een van de grootste risico’s”, zegt Walker. “Een van de dingen die ik hoor van directies, nadat we onze risico’s hebben geïdentificeerd – vooral de grote risico’s – is: ‘Hebben we het talent om dat risico te beheren? Als ze naar een nieuw land of een nieuw product gaan, of concurreren in een gebied waar ze nog niet eerder hebben geconcurreerd, hebben ze dan het juiste talent op directieniveau om dat risico te beheren? En dat is, denk ik, een cruciale vraag voor de toekomst.” 

“We hebben ook veel bewustwordingsactiviteiten die worden aangestuurd door HR. De ene week is het business continuity management, de andere week interne audit. Dit bewustzijn zorgt ervoor dat risico’s op de voorgrond blijven staan, of het nu via communicatie is of via leerontwikkeling.” HR kan ook een rol spelen in de communicatie en voorlichting over risico’s. “Vaak,” zegt Conrad, ”zit de leerontwikkelingsfunctie bij HR. Bij Zurich stellen we bijvoorbeeld verschillende cursussen over risico’s beschikbaar op ons intranet.” 

Focus op reputatie en IT-risico

“Risico’s voor de bedrijfs- of merkreputatie zullen waarschijnlijk een grotere zorg worden voor bedrijven – een zorg die direct door het senior management moet worden aangepakt”, aldus Conrad. “Het vertrouwen in CEO’s staat op een recordlaagte”, merkt ze op. “Het nastreven van een risicobeheeragenda voor de hele onderneming is één manier waarop topmanagers dit imagoprobleem kunnen tegengaan,” stelde ze, ”waarbij ze er goed op moeten letten dat risicobeheer vanaf hun eigen niveau tot in de gelederen van het bedrijf wordt geleid. 

“Het topmanagement moet ook direct betrokken zijn bij het beheersen van grote bedrijfsrisico’s, zoals het nauw verwante gebied van IT-risico’s,” zei Conrad. “Vandaag de dag weet je dat elke persoon in de organisatie potentieel een laptop of toegang tot het internet heeft,” merkte ze op. “Dus elke werknemer moet zich ervan bewust zijn dat hij of zij een rol moet spelen in het beheren van risico’s die van invloed kunnen zijn op de algehele reputatie van het bedrijf. Dit wordt natuurlijk nog verergerd door media-aandacht en sociale media. Het leiderschap moet ervoor zorgen dat iedereen zich verantwoordelijk voelt en begrijpt dat er voor iedereen een rol is weggelegd. Hopelijk minimaliseert dat het aantal work-arounds door mensen die risicobeheer vermijden, omdat het wordt gezien als een positieve bijdrage aan de winst van het bedrijf.” 

De antwoorden op de enquête wijzen er inderdaad sterk op dat merk-, reputatie- en aanverwante risico’s steeds belangrijker worden. Maar liefst 42% van de respondenten noemde merk-/reputatierisico’s als een punt van zorg, terwijl iets minder dan de helft (44%) IT/dataprivacy en technologie noemde (40%), wat onderstreept dat organisaties zich zorgen maken over hun blootstelling aan zowel cyberrisico’s als potentieel schadelijke communicatie op internet en sociale media.

Risico’s voorspellen en beperken

“Een van de voordelen van het instellen van een risicocommissie,” zegt Willaert, ”is dat het veel gemakkelijker is om uitgebreide discussies te voeren over risicobereidheid en risicotolerantie. Dan kun je met een voorstel naar de raad van bestuur komen en is het veel gemakkelijker om beslissingen te nemen op basis van de volledige feiten.” 

Bij bijna de helft (47%) van de bedrijven heeft de C-suite een proces ontwikkeld om de risicobereidheid van de organisatie te bepalen en meer dan de helft (59%) van hen zegt dat dit duidelijk wordt gecommuniceerd naar alle niveaus van de organisatie. 

Systemische risicomanagementtools en analyses die bedrijven in staat stellen om risico’s te volgen en te analyseren en vervolgens de risicocommissie te informeren, worden steeds gebruikelijker. Meer dan de helft (56%) van de respondenten zegt dat hun organisatie de afgelopen drie jaar meer gebruik heeft gemaakt van analyses voor risicobeheer. Tot de tools die het vaakst worden genoemd, behoren risico-“heat maps” (41%), scorekaarten voor belangrijke risico-indicatoren (36%), kaarten om risico’s te identificeren die inherent zijn aan de strategie van de organisatie (30%), scenario-analyse en war-gaming (25%), verliesprognoses (25%) en verliessimulatie (24%). 

Bij Zurich wordt bijvoorbeeld elke maand een heat map gemaakt, verspreid onder de business en functionele eigenaren van risico’s en vervolgens één keer per maand gerapporteerd aan het senior management en één keer per kwartaal aan de raad van bestuur. Maar hoewel “modellen de besluitvorming moeten sturen, moeten ze niet voor ons beslissen”, waarschuwde Conrad, “dus we gebruiken deze hulpmiddelen eerder om onze beslissingen te informeren dan om daadwerkelijk een lijn in het zand te trekken”.

Ook Walker waarschuwde voor een te groot vertrouwen in datatools. “Een veelgemaakte fout is dat mensen een risicokaart of een risicoprofiel of een risicoregister maken, en dan teruggaan en bepaalde dingen categoriseren als strategische risico’s in plaats van financiële of IT-risico’s. Dat betekent niet echt dat je de strategische risico’s ook echt als strategische risico’s ziet. Dat betekent niet echt dat je strategische risico’s hebt geïdentificeerd. Sommige van de risico’s die je hebt geïdentificeerd als strategisch bestempelen is niet hetzelfde als serieuze strategische risico-identificatie.” 

Het belangrijkste, aldus Conrad, is dat de juiste maatstaven worden vastgesteld op het juiste niveau van de organisatie: “KPI’s worden vastgesteld afhankelijk van de doelstelling die we proberen te behalen. Ze kunnen worden vastgesteld door de directie als het om de langere termijn gaat, of ze kunnen worden vastgesteld op het niveau van de individuele business of het product. Elke groep heeft verschillende soorten KPI’s, afhankelijk van wat ze meten. Dit is waar je een beetje dieper begint te graven in het toewijzen van die belangrijke risico-indicatoren die je succes of falen kunnen bepalen.” 

Casusstudie Zurich

In de afgelopen vijf jaar is de kapitaalefficiëntie van Zurich voor operationeel risico verbeterd door een versterking van het ERM-proces, waaronder de introductie van een raamwerk voor operationeel risicobeheer. Dit raamwerk voorziet Zurich van risicomanagementinstrumenten om specifiek operationele risico’s te identificeren, beoordelen, beheren en kwantificeren. Door dit raamwerk en het uitgebreidere ERM-proces vergroot Zurich haar vermogen om efficiëntie- en effectiviteitsverbeteringen te realiseren. Hierdoor kan Zürich zich beter richten op het optimaliseren van de bedrijfsmiddelen en op zijn beurt beslissen welke kansen te financieren.

Bijvoorbeeld, een business unit zag een vermindering van 21,7% in het op operationeel risico gebaseerd kapitaalgebruik toen Zurich overstapte van een op activa gebaseerde aanpak naar de huidige op risico gebaseerde aanpak voor de kwantificering van operationeel risico. Het management van de business-unit identificeerde vervolgens risicogebieden, voerde een grondiger beoordeling uit en ontwikkelde maatregelen om de risico’s te beperken. Het resultaat was dat de eenheid in het daaropvolgende jaar een extra vermindering van 28,9% van het verbruik van kapitaal voor operationeel risico ondervond. Het niet verbruikte kapitaal voor operationele risico’s was toen beschikbaar om winstgevende groei voor Zurich te financieren.

Wie in het onderzoek participeerde 

Op drie na werken alle 217 respondenten (98%) voor organisaties in Europa. Meer dan de helft (53%) van de respondenten zegt betrokken te zijn bij de besluitvorming over risicobeheer voor hun organisatie. Ter vergelijking: nog eens 22% is verantwoordelijk voor het nemen van beslissingen over het hele scala van risicomanagement binnen hun organisatie. Zestig procent van de respondenten zijn CRO’s of risicomanagers – verreweg de grootste categorie in het onderzoek. Twaalf procent zijn topfunctionarissen binnen het bedrijf: bestuursleden, eigenaren/partners, CEO’s of andere chief executives, CFO’s, treasurers en comptrollers. Zeventig procent werkt voor bedrijven met 1000 of meer werknemers en 34% werkt voor bedrijven met meer dan 10.000 werknemers.

Het artikel is gesponsord door:

    • Zurich Insurance Group (Zurich) – is een toonaangevende meerlijnsverzekeraar met een wereldwijd netwerk van dochterondernemingen en kantoren in Europa, Noord-Amerika, Latijns-Amerika, Azië-Pacific, het Midden-Oosten en andere markten. Het biedt een breed scala aan algemene verzekerings- en levensverzekeringsproducten en -diensten voor particulieren, kleine bedrijven, middelgrote en grote ondernemingen en multinationals. Bij Zurich werken ongeveer 60.000 mensen die klanten bedienen in meer dan 170 landen. De groep werd opgericht in 1872 en het hoofdkantoor is gevestigd in Zürich, Zwitserland.
    • The Federation of European Risk Management Associations (FERMA) – verenigt 22 nationale verenigingen voor risicobeheer in 20 Europese landen. FERMA heeft 4.500 individuele leden die een breed scala aan bedrijfssectoren vertegenwoordigen, van grote industriële en commerciële bedrijven tot financiële instellingen en lokale overheidsinstanties. Deze leden spelen een cruciale rol voor hun organisaties met betrekking tot het beheer en de behandeling van complexe risico’s en verzekeringskwesties.
    • The Public Risk Management Organisation (PRIMO) – is opgericht met als doel het bevorderen van de kennis over en het gebruik van risicomanagement binnen de lokale overheidssector en de publieke sector in het algemeen in Europa. Om dit doel te bereiken biedt PRIMO Europe een uitgebreide webbibliotheek met informatie over risicomanagement, nieuwsbrieven, opleidingen en conferenties. PRIMO’s doel op de lange termijn is om risicomanagement te vestigen als een natuurlijk en integraal onderdeel van goed openbaar bestuur. De organisatie bestaat uit een pan-Europese overkoepelende organisatie van onafhankelijke nationale PRIMO-afdelingen en andere organisaties binnen de publieke sector uit zestien Europese landen, die 16.000 managers vertegenwoordigen.

Bibliografie

Dequae, M. (ed.) (2013). Leadership in Risk Management. Harvard Business Review Analytics Services for Zurich, FERMA and PRIMO.

Vertaling: Jack Kruf

Download artikel (Engelstalig).