Enterprise Risk management

Tijd voor een nieuwe aflevering myth busting in Finance. De mythe van vandaag: Hoe meer je aan Enterprise Risk Management doet, hoe beter je je doelen haalt en ondernemingswaarde creëert.

Weet u het nog? Na het barsten van de internet bubble werd Enterprise Risk Management (ERM) op de kaart gezet. In 2004 introduceerde internationale accountants clubs het COSO ERM framework. Een mooi holistisch model om stapsgewijs doelen te stellen, risico’s te identificeren en te analyseren. Je zgn. response en controls hierop af te stemmen en daar een nieuwe brok rapportages op te maken. OK, het framework is wat lijvig, multidimensionaal en nieuw. Maar ondernemende consultants helpen je graag om het allemaal netjes in te vullen en na te leven. En oh ja, het gaat natuurlijk uiteindelijk om een cultuuromslag naar een meer rationele bedrijfsvoering waarin de risk-return afweging (lees: waardecreatie) aanwezig is in alle belangrijke besluiten en acties in de hele organisatie.  

Net wat we nodig hadden om de menselijke roze bril waarmee we naar potentiële verliezen kijken af te kunnen zetten. ERM geeft ons nl. nieuwe informatie die niet altijd onze bestaande gedachten bevestigen en dat onze besluitvorming dus zou moeten verbeteren.

Het ERM framework is mooi gemaakt en is heel goed bedoeld. Maar waar zit hem nou de mythe? Die wil ik met 5 gedachten duidelijk maken:

  1. In het COSO-ERM handboek moet je nog steeds met een kaarsje zoeken naar de onderwerpen performance verbetering en waardecreatie. Het ERM gedachtengoed is dus nog pril is en moet hierop verbeterd worden.
  2. De kwaliteit van de ondernemer en ondernemerschap wordt door ERM ontzettend onderschat. De risk-return afweging zit diep in de mindset van onze ondernemers. Er zijn al jaren lang prachtige concepten van waardecreatie, strategische planning en executie in gebruik op board niveau. Wat ERM nou netto toevoegt op board niveau is in elk praktijkgeval de vraag. Een prachtige taak voor CFO’s en controllers om die vraag te bantwoorden. 
  3. De doelen en werking van bestaande internal control frameworks zijn vaak prima. Het is ook hier maar de vraag wat COSO ERM daar nou in een specifiek geval aan toevoegt. Weer een mooie uitdaging voor CFO’s en controllers.
  4. Het corvee hoekje waar COSO-ERM vaak in geplaatst wordt (niet onbegrijpelijk naar mijn mening) ontziet de boardroom. Als je de invulling van ondernemerschap wilt “professionaliseren“ in een corveehoekje, zet ERM zich buiten spel en wordt het een arbeidsintensief en kostbaar compliance feestje.
  5. Tenslotte, Finance wordt in de praktijk meestal gespot als trekker van het gedachtengoed. U heeft denk ik wel eens meegedaan aan taaie sessies van risico identificatie, risico classificatie, kansberekening, impact en blootstellingsanalyses. In de praktijk werkt onervarenheid, de druk van regelgevers en toezichthouders en het lijvige handboek een talibaneske invulling van ERM in de hand. De invullers en rapporteurs hebben het dan heel druk met documentcreatie -en circulatie dat zijn doel voorbijschiet.

Dus, CFO’s en controllers, schudt het corvee van een talibaneske uitrol van COSO ERM van u af. Maak samen met uw topmanagers strenge keuzes wat u van het framework wilt invullen en hoe u het wilt gebruiken. Pak alleen die elementen eruit die de waardecreatie of -vernietiging bepalen en zet die op executive agenda. Pas als u daar het proces en de inhoud van besluitvorming heeft verbeterd, denk dan na over de verdere uitrol naar de rest van de organisatie.

Bart Vermaas, directeur CFO Partners

oktober, 2016