Ondernemingen wereldwijd ondervinden dagelijks de gevolgen van macro-economische onzekerheid, klimaatverandering, geopolitieke onrust en de digitale (r)evolutie. De complexiteit en onzekerheid van de huidige bedrijfsomgeving, in combinatie met de algemeen toegenomen verwachtingen inzake corporate governance, creëren vandaag meer dan ooit druk op bestuurders om voldoende aandacht te schenken aan risicotoezicht. Ondanks de toegenomen aandacht voor adequaat risicobeheer sinds de financiële crisis en de recente pandemie is echter relatief weinig geweten over hoe raden van bestuur risicotoezicht in de praktijk toepassen. Een reden voor Regine Slagmulder, professor Accounting & Control bij Vlerick Business School, en het audit- en adviesbureau KPMG om hun krachten te bundelen en te onderzoeken op welke manier boards toezicht uitoefenen op het risicobeheer en hoe hun rol daarin de afgelopen jaren geëvolueerd is. Het onderzoek gebeurde aan de hand van diepte-interviews met ervaren bestuurders uit meer dan twintig bedrijven van verschillende grootte en uit diverse sectoren.

Toegenomen belang van risicotoezicht

Een eerste conclusie van de studie is dat op vandaag nog maar weinig bestuurders twijfelen aan het belang van risicotoezicht op bestuursniveau. Het hoeft ons niet te verbazen dat de sterke druk vanuit regelgevende instanties een extra stimulans (geweest) is voor veel ondernemingen om hun risicobeheer te professionaliseren. Een interessante vaststelling is echter dat de toenemende interesse voor risico niet alleen het resultaat is van de verstrengde wet- en regelgeving in bepaalde sectoren – denken we maar aan de financiële wereld – maar vooral ook gegroeid is vanuit de overtuiging dat gestructureerd risicotoezicht waarde helpt creëren voor de organisatie. Het doel is namelijk om ervoor te zorgen dat de risico-dimensie systematisch op het netvlies staat in board discussies. Bestuurders worden geacht om (pro-)actief mee na te denken over de risico’s waaraan de onderneming is blootgesteld en in hoeverre de organisatie hierop voorbereid is.

Laten we in dit verband even teruggrijpen naar de essentie van het begrip ‘risico’, dat vaak gedefinieerd wordt als het effect van –gekende zowel als onvoorspelbare – factoren op het realiseren van de ondernemingsdoelstellingen. Ook in governance discussies primeert daarbij vaak de visie dat die impact negatief is, m.a.w. iets waartegen de bestuurders de organisatie moeten beschermen. Hoewel de meeste bestuurders wellicht vertrouwd zijn met het idee dat in elke crisis ook opportuniteiten schuilen, stellen we vast dat dit perspectief eigenlijk (nog) niet zo prominent aanwezig is in de praktijk en dat de meeste aandacht in risicotoezicht nog altijd gaat naar het proberen indijken van de negatieve consequenties.

Ondersteunende structuren en processen

Als tweede observatie uit de studie komt naar voor dat doeltreffend risicotoezicht op bestuursniveau steunt op aangepaste structuren en processen, in het bijzonder de risk governance (m.a.w. de manier waarop het risicobeheer organisatorisch in elkaar zit), de formele processen van risicotoezicht en de rapportering naar de raad van bestuur.

Het zgn. risk governance model heeft betrekking op de rol en verantwoordelijkheden van de risicobeheersfunctie, de risico comités op board (en management) niveau, en de rapporteringslijnen en mechanismen voor de escalatie van risico’s binnen de organisatie. De geïnterviewde bestuurders zijn het erover eens dat naarmate de bedrijfsvoering complexer wordt, er meer nood is aan een gestructureerd risicobeheer. Behalve in de financiële sector, waar het een verplichting is, blijkt geen van de deelnemende bedrijven echter een afzonderlijk risico comité opgericht te hebben. In het merendeel van de organisaties wordt het risicotoezicht uitgeoefend door het audit comité, dat deze rol combineert met zijn hoofdtaak van toezicht op de financiële verslaggeving. Als mogelijke nadelen van een gecombineerd audit- en risico-comité verwijzen de ondervraagde bestuurders naar de beperkte focus op niet-financiële risico’s (denken we bijvoorbeeld aan milieu-gerelateerde risico’s) en een potentieel tekort aan specifieke risico-gerelateerde competenties. Evenmin blijkt het een courante praktijk te zijn om een aparte risicoverantwoordelijke of Chief Risk Officer (CRO) aan te stellen als zgn. “tweede lijn” (na het management), met rechtstreekse toegang tot de CEO en de board. In een aantal gevallen wordt het risicobeheer uitgevoerd door de interne auditfunctie. In ondernemingen waar zowel een CRO als een intern audit team aanwezig zijn, is het wel belangrijk om beide goed te coördineren. Op die manier vermijdt men dat risico’s fragmentarisch gerapporteerd en aangepakt worden, met nodeloze spraakverwarring en duplicatie van activiteiten tot gevolg.

Wat het formeel proces van risicotoezicht betreft, is het een standaard praktijk dat het management jaarlijks op vraag van de raad van bestuur (meestal met de hulp van een onafhankelijke risico-verantwoordelijke binnen de organisatie) een grondige inventarisatie maakt van alle risico’s. Dit met de bedoeling de bedrijfsleiding ertoe aan te zetten om op regelmatige basis te reflecteren over de risico’s waaraan de organisatie is blootgesteld en de nodige maatregelen te nemen. De uitkomst van deze oefening wordt in detail gerapporteerd naar het audit comité, dat vervolgens een samenvatting maakt voor de volledige raad van bestuur. Meestal verloopt het risicotoezicht volgens een vaste jaarlijkse cyclus, hoewel in de praktijk ook andere frequenties geobserveerd worden in functie van hoe snel de risico’s veranderen. Het management team is dan verantwoordelijk voor het opstellen en uitvoeren van een risico-actieplan, dat op kwartaalbasis opgevolgd wordt door het audit comité. Een aantal geïnterviewde audit comité voorzitters benadrukken het grote belang van deze actiegerichte focus zodat het risicobeheer niet beperkt blijft tot een papieren oefening.

Tenslotte, een heldere risicoverslaggeving naar de board is van cruciaal belang om de bestuurders voldoende inzicht te geven in de risico’s die ingecalculeerd zijn in de strategische, financiële en actieplannen van het management. Een klassiek rapport beschrijft de belangrijkste risico’s die op board niveau moeten besproken worden (bv. strategische risico’s, financiële risico’s, cyber risico’s, …) en gebruikt een visuele representatie van de impact en waarschijnlijkheid dat een bepaald risico zich zal voordoen. Hoewel de meeste geïnterviewde bedrijven relatief tevreden lijken over hun risicoverslaggeving, merken we toch dat sommige bestuurders eerder sceptisch staan t.o.v. gedetailleerde risicorapportage en dit ervaren als een administratieve last. Voor een aantal wegen de inspanningen die het van de organisatie vergt om zo’n rapporten uit te werken, niet op tegen de toegevoegde waarde ervan. Veel bedrijven voorzien trouwens niet in een afzonderlijk risicoverslag, maar integreren de bespreking van mogelijke risico’s in hun standaard management rapportering naar de raad van bestuur.

Formaliseren of niet?

Het spreekt voor zich dat er meer behoefte is aan een geformaliseerde aanpak van risicotoezicht naarmate de organisatie groter is – en des te meer wanneer het een beursgenoteerd bedrijf betreft dat onderworpen is aan allerhande externe rapporteringsverplichtingen. Dit leidt ons meteen naar de derde bevinding van het onderzoek, nl. dat formeel risicotoezicht niet in de weg hoeft te staan van succesvol ondernemerschap. In tegenstelling tot wat sommigen beweren, betekent het structureren van een aantal verantwoordelijkheden en processen niet dat het risicobeheer – alsook het toezicht erop – gereduceerd moeten worden tot een verplicht compliance ritueel op kwartaal- of jaarlijkse basis (de zgn. “box-ticking” benadering). Integendeel, een waarde-georiënteerde aanpak biedt volgens onze respondenten een belangrijke toegevoegde waarde om de juiste balans te vinden tussen enerzijds het realiseren van de groei ambities van de onderneming en anderzijds de risico’s die deze groei met zich kan meebrengen. Een treffende analogie in dat verband is die van een racewagen: hoe sneller de wagen, hoe beter de remmen moeten functioneren; m.a.w. een bedrijf dat snel wil groeien, kan maar beter beschikken over adequaat risicobeheer om de groei onder controle te helpen houden. Een belangrijke voorwaarde is evenwel dat men een pragmatische aanpak nastreeft bij de implementatie om het proces niet nodeloos te verzwaren.

Uit onze studie blijkt dat het niet altijd evident is voor boards om het juiste evenwicht te vinden tussen een informele, intuïtieve stijl van risicobeheer versus een meer formele aanpak. Indien bestuurders opteren voor een informele benadering van risicotoezicht, bestaat enerzijds het gevaar dat het management een te lakse houding aanneemt t.o.v. risico’s en regelgeving, waardoor men onvoldoende oog heeft voor wat er kan mislopen. Anderzijds ervaren bestuurders een duidelijke “push” naar meer gestructureerd risicotoezicht, vanuit de regelgeving maar ook op basis van zgn. best practices die gepromoot worden door professionele organisaties. De ondervraagde bestuurders zijn zich er echter van bewust dat een doorgedreven formalistische aanpak in bepaalde omstandigheden kan ontaarden in ongewenste bureaucratie die het ondernemerschap fnuikt, vandaar hun pleidooi voor “de gulden middenweg”.

Het belang van risicocultuur

Als vierde conclusie van de studie zien we dat risicotoezicht op bestuursniveau naast de formele structuren en processen ook een gepaste risicocultuur vereist. Het merendeel van de ondervraagde bestuurders zien het gebruik van kwalitatieve handvaten waaronder risicocultuur als een nuttige, en zelfs noodzakelijke, aanvulling op de formele procedures. De risicocultuur van een organisatie wordt gecreëerd door het cultiveren van een gemeenschappelijke manier van denken en handelen m.b.t. risico, zodat risico’s op een verantwoorde manier worden genomen op elk niveau. Een gezonde dosis risico-bewustzijn, die medewerkers helpt om risico’s tijdig te herkennen en te escaleren naar het juiste niveau binnen de organisatie, biedt extra comfort aan de board dat het risicobeheer goed onder controle is.

Tegelijkertijd is de ervaring dat deze zgn. “soft controls” in de praktijk vaak moeilijker te realiseren zijn dan de “harde” processen en systemen. Het management en de bestuurders hebben hierin een belangrijke voorbeeldfunctie te spelen. Uit het onderzoek blijkt dat de focus op cultuur en waarden vooral voelbaar is in familiebedrijven, waar de referentieaandeelhouder(s) hun stempel drukken op de organisatie met hun behoedzame lange-termijn visie. Zodoende helpt de aanwezigheid van leden van de aandeelhoudersfamilie(s) in de board om beslissingen te nemen die vallen binnen de grenzen van de gewenste risico appetijt.

Integratie van strategie en risicobeheer

Bestuurders worden geacht een strategische rol te spelen op het vlak van risicotoezicht door zowel waardevernietiging tegen te gaan als waardecreatie te bevorderen. Wat betreft het doeltreffend integreren van strategie en risicobeheer op bestuursniveau, blijkt in de meeste bedrijven echter nog wat werk aan de winkel te zijn. Dit zowel als het gaat over het incorporeren van risico’s in de strategische besluitvorming als wat betreft het definiëren van de risicobereidheid in lijn met de strategie en de verwachtingen van de verschillende stakeholdergroepen.

Op het vlak van strategische besluitvorming blijkt uit de studie dat slechts in een minderheid van de ondervraagde bedrijven de managementprocessen voor risicobeheer en strategievorming expliciet op elkaar afgestemd zijn. In deze gevallen zijn de risico’s die verbonden zijn aan specifieke strategische opties, een terugkerend punt op de agenda van de raad van bestuur, zowel bij het bepalen van de strategie als bij het opvolgen van de uitvoering ervan. Een van de geïnterviewde bedrijven gaat nog een stap verder en voorziet in een aantal formele momenten in hun periodiek besluitvormingsproces om de input van het risicobeheersproces expliciet te integreren in de strategische planningscyclus en het resultaat hiervan ter goedkeuring voor te leggen aan de raad van bestuur. Een ander voorbeeld om het risico-denken te integreren in de besluitvorming op bestuursniveau is door systematisch de assumpties te testen die aan de basis liggen van het strategisch plan. Dit komt o.a. neer op het evalueren van de lange-termijn impact van bepaalde gebeurtenissen, inclusief extreme worst-case situaties (de welbekende “black swans”), aan de hand van scenario analyse.

In de meeste gevallen gebeurt de integratie van het risico- en strategisch denken echter op een relatief eenvoudige manier, bijvoorbeeld op basis van een korte managementpresentatie tijdens de strategische planning oefening of de bespreking van strategische projecten. Daarin wordt dan aangegeven met welke risico’s het management rekening heeft gehouden en welke acties gepland zijn in het geval een van deze risico’s zich zou voordoen.

Een andere manier om risico en strategie te integreren op board niveau is door het expliciet definiëren van de risico appetijt in functie van de bedrijfsstrategie en deze daarna als richtlijn te hanteren voor belangrijke management beslissingen. De bestuurders kunnen de risico appetijt bijvoorbeeld afleiden van de gewenste schuldgraad en lange-termijn continuïteit van de business. Alle investeringsvoorstellen van het management die op de tafel van de board belanden, worden vervolgens getoetst aan deze richtlijn. Daar waar de financiële sector een traditie heeft om de risico appetijt gedetailleerd te kwantificeren, wordt deze in veel andere bedrijven hoofdzakelijk kwalitatief bepaald en gezien als onderdeel van de risicocultuur. De bedoeling van zowel de formele processen als de risico-cultuur is om het management ertoe aan te zetten beslissingen te nemen die in lijn zijn met de gewenste risico-appetijt.

Geen universele aanpak

Het spreekt voor zich dat er in deze complexe materie geen standaard aanpak bestaat die de optimale oplossing biedt voor alle bedrijven. Bestuurders worden geacht de nodige dosis pragmatisme aan de dag te leggen in het toepassen van de juiste benadering inzake risicotoezicht, zoals bijvoorbeeld het bepalen van de intensiteit van de risicorapportering naar de raad van bestuur. Meer bepaald komt het erop aan om de juiste balans te vinden tussen “hard” en “soft” mechanismen. Veel hangt af van de sector en de regelgevende context waarin de onderneming actief is; de aard, schaalgrootte en complexiteit van de bedrijfsactiviteiten; de aandeelhoudersstructuur; de visie van de board op het vlak van risicobereidheid; en de algemene maturiteit van de onderneming inzake interne governance. In de strikt gereguleerde financiële sector zijn bestuurders gewend aan een doorgedreven geformaliseerde aanpak, met specifieke structuren en processen voor risicotoezicht. Aan het andere eind van het spectrum hebben we de kleinere familiebedrijven, die doorgaans meer intuïtief tewerk gaan en waar de opvolging van risico’s niet apart gestructureerd is, maar wel impliciet aan bod komt in strategische reflecties of de periodieke bespreking van de bedrijfsresultaten. Opvallend is dat de aandacht van bestuurders in deze laatste context vooral gefocust is op business opportuniteiten eerder dan op formeel risicobeheer. We zien dat de risicocultuur die uitgedragen wordt door de familiale aandeelhouders, voor een deel het gebrek aan formele risicoprocedures compenseert. Nochtans zijn de ondervraagde bestuurders zich ook hier ervan bewust dat een minimum aan formalisatie nuttig en noodzakelijk is om een actieve risico-dialoog binnen de organisatie op te starten en de nodige stappen te zetten op het vlak van identificeren en opvolgen van risico’s ter ondersteuning van de groeistrategie.

Het is duidelijk dat steeds meer bedrijven vooruitgang boeken in het professionaliseren van hun risicotoezicht op bestuursniveau, maar dat er nog ruimte is voor verdere ontwikkeling en verfijning. Disruptieve gebeurtenissen zoals de recente Covid-19 pandemie zijn voor veel bedrijven een goede test geweest van de maturiteit en robuustheid van hun risicotoezicht. Extreme situaties stellen immers niet alleen de gehanteerde risicomodellen en -processen op de proef, maar tasten ook de limieten af van het vermogen van een organisatie om een crisis om te buigen naar een opportuniteit voor toekomstige groei. Beide aspecten zijn van kritisch belang voor het behoud en lange-termijn welvaren van de onderneming. Uit ons onderzoek studie blijkt dat het een belangrijke uitdaging is voor bestuurders om een gestructureerde aanpak van risicotoezicht na te streven die helpt om een natuurlijke discipline rond risicobeheer te creëren in de organisatie, maar zonder overdreven formalisme waardoor het een doel op zich dreigt te worden. Bedrijven die erin slagen hun risicotoezicht te ondersteunen met de juiste risicocultuur hebben hierbij een onmiskenbaar voordeel.

Prof. dr. ir. Regine Slagmulder

Prof. dr. ir. Regine Slagmulder werkte eerst als expert consultant bij de afdeling strategie van McKinsey & Company. Vandaag is ze onafhankelijk bestuurder bij Quest for Growth, EKOPAK en MDxHealth, waar ze ook voorzitter is van het auditcomité. Bij Vlerick doceert Regine in de opleidingen Master in General Management en in het Executive MBA.

 

Bron: De Bestuurder

Next events

  • Apr. 12, 2024

    La cybercriminalité et la gestion des risques dans les entreprises

  • Apr. 14, 2024 Belrim Events

    BELRIM Miles of Hope: Les 15 kms de Liège Métropole