Geplaatst op Door Jack P. Kruf

Een korte geschiedenis van publiek risicomanagement

Naar een holistische benadering

Finn Kjaer Jensen | februari 2007

Het is zeker waar dat overheden al duizenden jaren aan risicomanagement doen, tenminste in de algemene zin van het woord. Steden in de oudheid die muren bouwden om indringers buiten te houden, deden aan een elementaire (maar degelijke) vorm van risicomanagement. Risicomanagement is zelfs een fundamenteel doel van de overheid. Sterker, de overheid is in grote mate zelf een vorm van risicomanagement. Er zijn tal van activiteiten in de huidige publieke sector die specifiek kunnen worden gekarakteriseerd als risicomanagement (immunisatieprogramma’s, defensiebeleid), maar die verweven zijn met andere functies van de overheid. 

De categorieën van risicobeheer in de publieke sector

Om het historische proces dat heeft geleid tot het huidige risicomanagement beter te begrijpen, is het nuttig om eerst het algemene kader van risicomanagement in de publieke sector te begrijpen.

Als interessant referentiepunt gaf de centrale overheid van het Verenigd Koninkrijk (de Cabinet Office’s Strategy Unit) in 2002 een verklaring uit waarin risicomanagement in de publieke sector werd gekarakteriseerd als bestaande uit drie facetten: 1) management, 2) regelgeving en 3) rentmeesterschap.

Deze facetten weerspiegelden het feit dat risicomanagement een direct onderdeel was van het management van publieke instellingen, maar ook dat het vaak minder directe activiteiten betrof – bijvoorbeeld het reguleren van het gedrag van andere private en publieke organisaties en het beïnvloeden van andere sectoren of het nemen van een leiderschapsrol om publieke zorgen aan te pakken die buiten het bereik van een individuele publieke entiteit liggen.

In mijn essay ligt de nadruk op het “bestuurlijke” domein. Dit facet van publiek risicomanagement staat bekend als ORM (Organisation Risk Management, of, steeds vaker, ERM of Enterprise Risk Management). 

Risicomanagement heeft een geschiedenis die niet veel verder teruggaat dan de jaren zestig.

Organisation Risk Management is het formele proces waarmee publieke organisaties hun risico’s managen. Het heeft een geschiedenis die niet veel verder teruggaat dan de jaren zestig. Over het algemeen is risicomanagement – zowel in de publieke als in de private sector – een ontwikkeling van na de Tweede Wereldoorlog. Aan het eind. van de jaren veertig, begin vijftif ontstonden er nieuwe ontwikkelingen in de managementtheorie en -praktijk om de principes van effectief management te beschrijven. 

Strategisch management, operationeel onderzoek, operations management en risicomanagement hebben allemaal hun wortels in deze periode en hun groei als studie- en praktijkgebieden in de jaren vijftig en zestig weerspiegelt een wereldwijde interesse in het verbeteren van de effectiviteit van managementpraktijken.

Onderzoek naar de algemene geschiedenis van risicomanagement voor organisaties heeft aangetoond dat de term “risicomanagement”, toegepast in de moderne betekenis, halverwege de jaren vijftig pas opkwam. De jaren vijftig en begin zestig vormen nog steeds het hoogtij van het wetenschappelijk onderzoek naar het onderwerp van risicomanagement, hoewel de belangstelling en het onderzoek van praktijkmensen sindsdien is toegenomen.

De ontwikkeling van risicomanagement in de publieke sector bleef aanvankelijk achter bij die in de private sector. Lezers zullen misschien denken dat overheidsinstellingen de neiging hebben om innovaties langzamer toe te passen dan de private sector. Deze veronderstelling is niet helemaal onjuist, maar wel een beetje misleidend. De achterstand in het invoeren van innovaties was eerder te wijten aan de onderscheidende kenmerken van de publieke sector in de jaren vijftig en zestig – met name de beperkte blootstelling aan aansprakelijkheid die publieke entiteiten in die tijd genoten. 

Vóór 1960 genoten de meeste overheden in westerse democratieën een vrij ruime vrijstelling van aansprakelijkheid wegens onrechtmatige daad. De meeste overheden konden hun risicobeheer dus beperken tot materiële risico’s – branden, diefstallen en vandalisme, en ongevallen met motorvoertuigen. Conventionele verzekeringspolissen dekten deze risico’s op een vrij eenvoudige manier. Bijgevolg bestond risicomanagement (als het zo genoemd kon worden) voornamelijk uit het kopen van verzekeringen met tevens een eerstee focus op veiligheidstechniek. 

De immuniteit voor aansprakelijkheid wegens onrechtmatige daad is sinds ongeveer 1961 aan een vrij gestage erosie onderhevig – eerst, en het meest dramatisch, in de VS, maar recenter in de meeste andere westerse democratieën. De groei van risicomanagement in de publieke sector hangt dus nauw samen met de toenemende blootstelling aan aansprakelijkheidsclaims. Overheidsinstanties zijn zichtbare doelwitten geworden – waar het gaat ook om grote sommen geld. En die focus is de laatste  40 jaar zeker niet verminderd.

In de laatste decennia en om diverse redenen werden overheidsinstanties daarnaast meer en meer gedekt door wetten voor werknemerscompensatie en werkgeversaansprakelijkheid. Dit kenmerk van het leven in de publieke sector gaf een impuls aan de belangstelling voor zaken als gezondheid op het werk en veiligheid op de werkplek. De uitbreiding van verantwoordelijkheden op het niveau van lokale entiteiten gaf nog meer brandstof aan de groei van risicomanagement. Naarmate lokale overheden nieuwe, soms risicovolle taken op zich namen (vaak gevoed door vereisten van nationale overheden op het gebied van overdracht of subsidies en niet gefinancierde mandaten), werd het ontstaan van voorheen ongeziene risico’s een punt van toenemende zorg.

Een andere factor moet hier worden genoemd. In de jaren zeventig en tachtig begon de commerciële verzekeringssector zijn benadering van het verzekeren van overheidsinstanties te veranderen. Het is begrijpelijk dat een deel van deze verandering te wijten was aan het toenemende risico van overheidsinstanties en de onzekerheid die dit met zich meebracht voor verzekeraars. Een deel van de verandering was te wijten aan de strikte concurrentiedruk en de acceptatiecyclus, en een deel was te wijten aan het economische klimaat in deze periode.  Dat is nog steeds het geval..

De uitbreiding van verantwoordelijkheden op het niveau van lokale entiteiten heeft de groei van risicomanagement verder aangewakkerd.

Er kunnen ook andere redenen worden genoemd, maar het volstaat hier op te merken dat het effect van deze factoren was dat de commerciële verzekeringsmarkt huiverig was voor het verzekeren van overheidsinstanties. Deze terughoudendheid resulteerde in sceptische en voorzichtige acceptatie in de beste tijden, en het volledig afwijzen van de publieke sector in slechte tijden. Hoe dan ook, de problemen met het financieren van risico’s verhoogden het bewustzijn van de waarde van risicomanagent bij organisaties zelve. 

Wat doen traditionele risicomanagers?

Eerder werd het kopen van verzekeringen geïdentificeerd als een historische functie van risicomanagement, en ongetwijfeld is het beheer van verzekeringen en verzekerbare risico’s de kernactiviteit van de gemiddelde traditionele risicomanager op dit moment. De titel “verzekeringsinkoper” is  nog steeds een term die veel wordt gebruikt.

Verantwoordelijkheden voor het kopen van verzekeringen hebben de neiging om de taken van een risicomanager uit te breiden naar een aantal verwante gebieden, wat “verzekerbaar risicomanagement” genoemd zou kunnen worden. Zo dwingt de verantwoordelijkheid voor de werknemerscompensatieverzekering de risicomanager bijna onvermijdelijk om zich bezig te houden met veiligheid en gezondheid op de werkplek, integratiekwesties met personeelsbeloningen, training, onderhoud van apparatuur, enzovoort. Vergelijkbare uitbreidingen doen zich voor wanneer risicomanagers zich bezighouden met eigendoms- en ongevallenverzekeringen. 

Het samenvatten van de typische verantwoordelijkheden van een risicomanager anno 2007 is onderhevig aan de gebruikelijke voorbehouden die vermeld worden bij elke poging om een vrij divers beroep te veralgemeniseren. Dat gezegd hebbende, het gemiddelde takenpakket omvat waarschijnlijk: 

    • Inkoop van verzekeringen.
    • Risicobeheer van verzekeringen.
    • Veiligheid en gezondheid op het werk.
    • Beheer van werknemerscompensatie / werkgeversaansprakelijkheid.
    • Naleving van wet- en regelgeving.
    • Catastrofeplanning.
    • Contractbeoordeling.
    • Adviseren over verzekeringskwesties met betrekking tot personeelsbeloningen en pensioenen (indien van toepassing).
    • Beveiliging.
    • Risicobeoordeling.
    • Onderzoek naar overheidsbeleid. 

Een van de belangrijkste recente trends in risicomanagement is de opkomst van financieel risicomanagement. Dit verwijst naar de maatregelen die worden genomen om de blootstelling aan financiële risico’s zoals renterisico, wisselkoersrisico en kredietrisico te beheren. De opkomst van instrumenten waarmee financiële managers dergelijke risico’s kunnen aanpakken – instrumenten zoals termijncontracten, futures, opties en andere derivaten – heeft geleid tot aanzienlijke vooruitgang op dit gebied.

Interessant genoeg hebben de meeste ontwikkelingen op het gebied van financieel risicomanagement zich onafhankelijk van traditioneel risicomanagement (zoals hierboven beschreven) voorgedaan. Zo heeft een aantal publieke entiteiten nu een persoon met de titel “risicomanager” die verantwoordelijk is voor het beheren van financiële risico’s en die zich al dan niet bezighoudt met meer traditionele risicomanagementkwesties. 

In zeldzame gevallen kunnen entiteiten twee risicomanagers hebben – één die zich bezighoudt met traditionele risicokwesties en één die zich bezighoudt met financiële risico’s. Als gevolg hiervan zou je kunnen zeggen dat er op het moderne gebied van risicomanagement een soort concurrentiestrijd gaande is tussen traditionalisten en financiële risicomanagers. Wie is de echte risicomanager van de organisatie?

… risicomanagement herdefiniëren als het beheer van alle organisatierisico’s op een geïntegreerde basis.

Of een van beide groepen nu wint of niet, er zijn bredere krachten op gang gekomen die het concept van risicomanagement uitbreiden, en dus zijn beide kampen – en ook andere waarnemers en deelnemers – het er vandaag op zijn minst over eens dat risicomanagement een functie is die organisatiebreed moet worden toegepast. Deze observatie wordt in de volgende paragraaf toegelicht, en deze toelichting zal dienen om een belangrijk organiserend kader te introduceren voor het begrijpen van zowel de huidige praktijken als de toekomstige mogelijkheden van risicomanagement in publieke entiteiten.

Huidige ontwikkelingen

In de private sector vinden er belangrijke veranderingen plaats in de praktijk van risicomanagement, veranderingen die, als geheel, de neiging hebben om risicomanagement te herdefiniëren als het managen van alle organisatierisico’s op een geïntegreerde basis. Hoewel het aantal organisaties dat deze “holistische” vorm van risicomanagement toepast beperkt is, voorspellen de meeste waarnemers dat deze nieuwe definitie uiteindelijk de overhand zal krijgen. Waarom?

De verklaring varieert een beetje van industrie tot industrie, maar in het algemeen lijkt de trend gedreven te worden door de volgende factoren:

    • De herstructurering van organisaties heeft de neiging om de verantwoordelijkheden van alle managers te verbreden.
    • Toenemende concurrentie heeft organisaties gedwongen om kostenstructuren onder de loep te nemen, wat heeft geleid tot inzichten in het verlagen van de risicokosten.
    • Just-in-time processen, totale kwaliteitsverbetering en andere moderne ontwikkelingen benadrukken de noodzaak om risico’s te beheersen en om dit op een geïntegreerde manier te doen.
    • Consolidatie in de financiële dienstverlening heeft geleid tot een toenemende integratie van verzekeringen, banken en andere financiële diensten – wat op zijn beurt heeft geleid tot een bredere manier van denken over risicofinanciering.
    • Het ontbreken van gecoördineerde risicomanagementpraktijken (of, soms, de aangetoonde effectiviteit ervan) is een kenmerk geweest van veel sensationele en zeer publieke verhalen, rampen en gebeurtenissen (bijv. de aanslag op het World Trade Center, de bomaanslag op de trein in Madrid, de tsunamiramp, het Enron-schandaal). Deze kwesties hebben op hun beurt risicomanagement geïntroduceerd in discussies op hoger niveau.
    • Wetgeving (met name Sarbanes-Oxley), regelgeving (met name van de Securities and Exchange Commission) en boekhoudstandaarden (de nieuwe richtlijn van het Committee of Sponsoring Organisations of the Treadway Commission over Enterprise Risk Management) leiden allemaal tot een klimaat waarin organisatiebreed risicomanagement vereist is of bijna vereist is.

…deze “holistische” vorm van risicomanagement uiteindelijk de overhand zal krijgen.

Dit laatste punt rechtvaardigt enige verdere discussie. Hoewel er onderliggende factoren zijn die alle situaties gemeen hebben, is het niettemin waar dat veel westerse landen zijn overgestapt op een bredere kijk op risicomanagement. En, wat belangrijk is, terwijl in het recente verleden het concept van een bredere, meer holistische benadering van risicomanagement vooral gebaseerd was op intellectuele argumenten, zijn de recente ontwikkelingen ontwikkeld vanuit wet- en regelgeving en best practice-platforms in de sector.

Zo heeft de wens om meer consistentie te brengen in de evaluatie van risicomanagementpraktijken geleid tot de ontwikkeling van standaarden binnen de auditgemeenschap. Het Committee of Sponsoring Organizations of the Treadway Commission (COSO) in de VS heeft een raamwerk opgezet voor organisatiebreed risicomanagement – Enterprise Risk Management of ERM genoemd – en de verwachting is dat externe auditors accountantskantoren op basis van dit raamwerk zullen beoordelen.

Vergelijkbare ontwikkelingen op het gebied van standaarden of ‘best practices’ hebben plaatsgevonden in Australië en Nieuw-Zeeland, het Verenigd Koninkrijk, Canada, Denemarken, Duitsland en in de wereldwijde financiële dienstverleningssector (via Basel II). Auditors verwachten uiteenlopende risicomanagementpraktijken aan te treffen bij hun klanten – of het nu gaat om organisaties in de publieke of private sector. 

Misschien wel emblematisch is de opkomst van het concept van de chief risk officer (CRO) in de afgelopen jaren, wat de groeiende belangstelling voor het onderwerp onderstreept.

Bovendien hebben regeringen en marktregulatoren (zelfregulatoren of overheidsinstanties) in Noord-Amerika en Europa gereageerd op de recente golf van bedrijfsfraudeschandalen (Enron, Parmalat, Barings Bank, enzovoort) door nieuwe wettelijke verwachtingen op te stellen voor corporate governance. Sarbanes-Oxley in de VS is het meest zichtbare voorbeeld, maar de Turnbull Commission in het VK, KonTrag in Duitsland en de Nørby Commission in Denemarken illustreren verdere initiatieven (zowel publiek als quasi-publiek) om formele verwachtingen te stellen aan risicomanagementpraktijken. Hoewel dit fenomeen zich nog in een beginstadium bevindt, zijn er al nieuwe verwachtingen ontstaan in de vorm van voorschriften, strikte wettelijke regels en zelfs civielrechtelijke uitspraken.

Het opkomende raamwerk: Enterprise Risk Management (ERM)

Als gevolg van de eerder genoemde factoren is er een dramatische verschuiving naar een meer organisatiebrede benadering van risicomanagement. Toegegeven, op dit moment is de activiteit dynamischer in de particuliere sector. Er is echter sprake van een aanzienlijk “spillover”-effect en goed geïnformeerde waarnemers zijn ervan overtuigd dat de ORM / ERM-beweging de komende 3-5 jaar in de publieke sector zal versnellen.

Emblematisch is misschien wel de opkomst van het concept van de chief risk officer (CRO) in de afgelopen jaren, hetgeen de groeiende belangstelling voor het onderwerp onderstreept. In de private sector staat deze organisatiebrede aanpak bekend als ORM of ERM (Organisation/ Enterprise Risk Management) en ook in de publieke sector wordt de term steeds vaker toegepast. 

De twee dominante wereldwijde documenten die het ERM-raamwerk vastleggen, zijn de Australische Risk Management Standard en het ERM-raamwerk van het Committee of Sponsoring Organizations of the Treadway Commission (COSO). Ze verschillen op belangrijke punten, hoewel beide in principe pleiten voor een geïntegreerde aanpak van het beheer van alle risico’s binnen de ambitie van een organisatie. 

Slotopmerking

Hoewel er een rol zal blijven bestaan voor de historische vormen van risicomanagement, zullen ze waarschijnlijk technische onderdelen worden van de bredere vorm van risicomanagement – ORM of ERM.  Zoals Public Risk Forum in andere artikelen heeft uiteengezet (en nog zal uiteenzetten), vereist de ORM / ERM-benadering betrokkenheid op directieniveau bij het bepalen van het risicomanagementbeleid en bij het waarborgen van belanghebbenden dat risicomanagement wordt uitgevoerd op een manier die consistent is met dat beleid. Risicomanagement mag dan technische kenmerken hebben, het is een algemene managementfunctie geworden en daarom onderdeel van het werk van elke manager. 

Bibliografie

Jensen, F. (2007). A Brief History of Public Sector Risk Management. PRIMO/EIRM Public Risk Forum, February 2007, pp. 9-11.

Download Public Risk Forum February 2007

Nederlandse vertaling: Jack Kruf.