Een directeur Risicomanagement binnen de overheid?

Op een congres Euromenion bepleitte minister Bos voor een stabiele interne governancestructuur met onafhankelijke en deskundige commissarissen met veel aandacht voor risicobeheersing. Bijvoorbeeld door de meest senior Risk Officer lid te maken van de Raad van Bestuur, liefst met vetorecht als het om risicobeheersing gaat. Dit onder andere naar aanleiding van het rapport van KPMG uit oktober 2008 dat 76 procent van de managers – toen de crisis al in alle hevigheid aan de gang was – de risicomanager nog steeds als een ‘support function’ zag. Ook de commissie Maas pleit voor een Chief Risk Officer (CRO).

Na de financiële sector benoemen steeds meer bedrijven uit andere sectoren ook een CRO. Voor het bedrijfsleven is er dus voldoende aanleiding om risicomanagement binnen raden van bestuur te verankeren. Geldt dit ook voor overheden? Nog nooit is er zo vaak stilgestaan, door de media, toezichthouders en andere belanghebbenden bij het ontbreken van de juiste risico-informatie om tot juiste besluitvorming te komen. Pleit dit voor een directeur Risicomanagement of zijn er andere mogelijkheden?

Bij een groeiende behoefte aan specifieke risicoinformatie dient zich de vraag aan hoe dit georganiseerd moet worden en wie waarvoor verantwoordelijk wordt. Het grootste risico is hierbij wellicht dat risicomanagement tussen wal en schip valt omdat niemand zich ervoor verantwoordelijk voelt.
In dit artikel wordt stilgestaan bij de voor- en nadelen van een CRO/directeur Risicomanagement en of er alternatieven zijn om risicomanagement structureel te organiseren.

Stand risicomanagement binnen overheden
Met de invoering van de BBV en de Waterschapswet 2008 is voor gemeenten, provincies en de waterschappen het hebben van een risicomanagementbeleid een wettelijke verplichting geworden. Sindsdien hebben deze organisaties een paragraaf weerstandsvermogen.
Voor woningcorporaties geldt dat zo goed als alle corporaties aangesloten zijn bij Aedes en zich vanuit dien hoofde hebben geconfirmeerd aan de AedesCode. De wetgever eist een risicomanagementbeleid en een onderbouwing van de noodzakelijke reservepositie om de risico’s op te vangen. Er is met name nadruk op financiële risico’s komen te liggen doordat er een rechtstreeks koppeling tussen risico’s en de financiële positie wordt gevraagd. Indertijd was het uitgangspunt nog dat het hebben van voldoende financiële middelen de organisatie te allen tijde door moeilijke perioden heen helpt. Bovendien geeft de meeste wet- en regelgeving wel aan dat er aan risicomanagement moet worden gedaan, maar wordt onvoldoende helder welk niveau risico’s bedoeld wordt en waar risicomanagement gepositioneerd dient te worden. Dit heeft tot gevolg gehad dat bij de ene organisatie een trainee verantwoordelijk is voor risicomanagement en bij de andere de gemeentesecretaris, de commissaris van de koningin of de controller.

De huidige positionering van risicomanagement bij overheden hangt af van het niveau van risico’s. We onderscheiden strategische, tactische en operationele.

Figuur 1. Risiconiveaus

• Overheden lopen steeds meer strategische risico’s door veranderende macro-omstandigheden (vergrijzing), wetgeving (Wmo) en grote projecten met veel belanghebbenden. Er wordt in dit verband steeds vaker aan lokale overheden gevraagd om ze te organiseren. Kortom, strategische risico’s zijn niet abstract en statisch zoals velen denken, maar veranderen continue en zijn daardoor ook moeilijk grijpbaar. Vorig jaar was personeel moeilijk te krijgen, maar was de financiering van een project redelijk eenvoudig.
  In de huidige economische situatie is dit volledig omgedraaid. Afhankelijk van wat er in de omgeving gebeurt, zijn er gevolgen voor de organisatie en zal er dus ook een inschatting moeten worden gemaakt ten aanzien van de belangrijkste risico’s. Bij strategische risico’s worden vaak ad-hocmaatregelen genomen. Overheidsorganisaties lijken hierin flexibel te kunnen opereren. Zo is bij vele gemeenten een crisisteam samengesteld, om te kunnen anticiperen op risico’s die voortvloeien uit de economische ontwikkelingen. De vraag is of een en ander zo effectief gebeurt en of er hierbij voldoende juridische en communicatieve kennis aanwezig is binnen dergelijke projectgroepen. Voordeel van een dergelijke aanpak is dat er snel geschakeld kan worden en de organisatie niet belast wordt. De verantwoordelijkheid voor dit type risico’s hoort bij de directie te liggen zodat zij kunnen ingrijpen, enerzijds door de juiste beheersmaatregelen te nemen, anderzijds door bij te sturen in de doelstellingen.
  
  
• Bij tactische risico’s gaat het om risico’s welke samenhangen met samenwerken. Dit kan tussen afdelingen zijn dan wel tussen samenwerkende specialisten, bijv. een ingenieur die met de juridische afdeling moet samenwerken. Probleem bij deze risico’s is dat de beheersing bij andere afdelingen soms verondersteld wordt: “Dat is toch verzekerd” of “We hebben 10-0 verloren, maar ik heb een fantastische wedstrijd gespeeld.” Juist van deze risico’s is niet altijd duidelijk waar ze moeten worden beheerst of wie waarvoor verantwoordelijk is. Organisaties proberen met procesbeschrijvingen, programmamanagement en projectmatig werken structuur aan te brengen. Voor de beheersing van tactische risico’s is samenwerking nodig, en dienen de managers een belangrijke rol te spelen. Hier moet over silo’s heengestapt worden en dus echt over risico’s worden gecommuniceerd. Onze ervaring leert dat binnen organisaties met een zwak managementteam grote tactische risico’s spelen, doordat medewerkers, die het geheel niet overzien, toch besluiten nemen omdat het management dit laat afweten.
  Hierdoor gaan projecten een eigen leven leiden en gebeurt het ook dat veel projecten in tijd uitlopen en het budget overschrijden. Het management heeft een afdelingsoverstijgende verantwoordelijkheid en dient zich derhalve goed bewust te zijn van de tactische risico’s die zich kunnen voordoen in de organisatie. Door als management niet alleen de projecten te initiëren maar aangehaakt te blijven tijdens het gehele proces, beslissingen te nemen met een afdelingsoverstijgende verantwoordelijkheid, successen te communiceren en persoonlijke belangen op de achtergrond te plaatsen kan dit soort risico’s goed worden ingeperkt.
  
  
• Operationele risico’s zijn risico’s die zich binnen een afdeling of team voordoen. Hierbij moet gedacht worden aan bugs in processen, verstoringen van systemen et cetera. Ten aanzien van operationele risico’s blijkt uit de praktijk dat risicomanagement nog het meest wordt neergelegd bij de controller of hoofd financiën, en daarmee veelal gezien wordt als supportfunctie. Door de achtergrond van deze mensen blijft de focus vaak financieel (rondje kredietaanvragen), aangezien risicomanagement wel even wordt meegenomen in de reguliere jaarcyclus. De problemen die dergelijke personen in de uitvoering van hun functie ondervinden, zijn soortgelijk met die van de risicomanagers bij de banken voor de kredietcrisis. Zij missen vaak de onvoorwaardelijke back-up van de directie.
  Er wordt onvoldoende naar ze geluisterd; ze worden gezien als ballast en als weer een blokje op de controletoren. Hierdoor is het moeilijk om risicomanagement tussen de oren van management en personeel te krijgen. Het moge duidelijk zijn dat de positie van de huidige risicomanagers bij banken aanzienlijk verbeterd is.

Concluderend kan men zeggen dat risicomanagement binnen overheden nog te veel op de operationele risico’s gefocust is en daarmee te laag gepositioneerd is om echt toegevoegde waarde voor organisaties te kunnen leveren. Over tactische en strategische risico’s wordt weinig gesproken. Aan de ene kant wordt dit veroorzaakt doordat men zich niet bewust is van de correlatie tussen verschillende risico’s. Anderzijds is het niet altijd in het belang van een afzonderlijke afdeling of directie om met behulp van risicomanagement ‘open kaart te spelen’. De informatie wordt niet graag prijsgegeven. Verder zorgt de regelgeving ervoor dat financiële risico’s nog de boventoon voeren. Maar hoe kijken de verschillende directies naar risicomanagement? Beseffen zij dat negentig procent van de risico’s veroorzaakt wordt door menselijk handelen en dat hun voorbeeldgedrag bepalend is voor het risicoprofiel van de organisatie? Kortom, de aandacht voor een risicobewuste cultuur is nog ver te zoeken én niet te organiseren, indien het management zich nog onvoldoende bewust is van het belang van risicomanagement op de verschillende niveaus. Kennis, vaardigheden en gedrag kunnen alleen beïnvloed worden wanneer de Tone at the Top gelijk is en ook uitstraalt.

Organisatie van risicomanagement
Zoals reeds hierboven in de inleiding aangegeven is het niet meer de vraag óf er aan risicomanagement moet worden gedaan maar hóe dit moet worden georganiseerd. Kan dit doormiddel van een CRO? Kan de directie het integraal? Is het een taak van de controller? Zo ja, maakt deze deel uit van de directie? En wie communiceert er naar de Raad van Toezicht? Et cetera.

Hieronder zullen wij van de verschillende mogelijkheden de voordelen en nadelen uitwerken en ook enkele randvoorwaarden formuleren die minimaal noodzakelijk zijn.

Integrale directieverantwoordelijkheid
Tot op heden is de meest besproken mogelijkheid om risicomanagement tot een integrale directieverantwoordelijkheid te maken. Immers, directies sturen het bedrijf aan, maken de strategische keuzes en zoeken daarbij de balans tussen risico’s nemen en risico’s beheersen. Een directeur zonder risico’s is een slechte directeur, wordt wel gesteld. Op directieniveau komen ook alle soorten risico’s samen. De praktijk leert dat veelal de strategische en tactische risico’s de grootste impact hebben op een organisatie, maar dat operationele risico’s – zoals een verstoorde samenwerking waardoor de verkoop van woningen in een corporatie stagneren –ook op directie niveau besproken dienen te worden.

Het voordeel van een verankering van risicomanagement binnen de directie is dat het topmanagement intern en extern laat zien dat zij het onderwerp serieus neemt. Dit is nodig om daadwerkelijk organisaties te veranderen en medewerkers meer integraal risicobewust te maken. Verder is het een bestaand overlegplatform waardoor het mogelijk is snel de verbanden tussen risico’s te signaleren.

Valkuilen voor de directie zijn onder andere de mogelijkheid om verantwoordelijkheden af te schuiven en te denken dat dan collega’s deze oppakken. Ook de bedrijfsblindheid die binnen een directie kan ontstaan, kan zorgen voor bagatellisering van risico’s.

Een randvoorwaarde is dat risicomanagement een goed geborgd proces is binnen de directie; de gemiddelde mens praat immers slechts over zijn risico’s indien daar expliciet naar gevraagd wordt. Ook dient men te kunnen vertrouwen op volledige en juiste informatie in een beschermde omgeving. Heldere kaders zijn noodzakelijk om vooraf te bepalen welke informatie naar de Raad van Commissarissen wordt gecommuniceerd. Binnen deze kaders moet echter wel enige speelruimte aanwezig zijn. Hierdoor voorkomt men de schijn dat er een gekleurd of niet breed gedragen risicoprofiel wordt besproken. Doelstelling is dat er een discussie op gang wordt gebracht tussen het bestuur en de Raad van Commissarissen waarbij beide organen goed moeten inschatten waar de kritieke factoren liggen en elkaar hierop bevragen.
Een andere, en tevens de belangrijkste, randvoorwaarde is de houding en het gedrag van de betreffende directieleden. Zij zullen zich continue bewust moeten zijn van het voorbeeldgedrag dat ze tentoonspreiden.
Last but not least is de samenstelling van de directie een belangrijke voorwaarde: een autoritaire leider is slecht voor risicomanagement, deze persoonlijkheden dulden weinig feedback, zodat er voor het proces weinig ruimte is.

CRO/directeur Risicomanagement
Het aanstellen van een CRO/directeur Risicomanagement is een tweede mogelijkheid en de praktijk leert dat dit ook steeds vaker gebeurt. Uit een recent onderzoek van accountant KPMG blijkt dat zestien procent van de banken en verzekeraars een CRO heeft. In andere sectoren is dat maar zeven procent. De Nederlandse CRO zit zelden in de Raad van Bestuur. Meestal rapporteert hij aan de Chief Financial Officer (CFO). Bij ING zat de CRO wèl in de hoogste managementlaag, maar is besloten de functie af te splitsen. Cees Maas is de laatste CFO van de bankverzekeraar die tegelijkertijd Chief Risk Officer is. “Het wordt te veel, het wordt te zwaar”, zei hij in het online magazine Financieel Management. De reden is volgens hem overregulering, waardoor de taken van beide functies veel zwaarder zijn geworden. De algehele denktrend is inmiddels wel dat men pleit voor een CRO wiens functie is gescheiden van die van de CFO, omdat risicomanagers meer dan alleen financiële risico’s behandelen en soms ook zaken moeten onderzoeken waarvoor de CFO verantwoordelijk is.

Voordeel van een separate CRO in de directie is het duidelijke signaal naar de buitenwereld en de interne organisatie dat risicomanagement serieus genomen wordt. Dit is vergelijkbaar met de integrale directieverantwoordelijkheid. Er wordt één persoon verantwoordelijk gemaakt voor het proces en daarmee voor de kwaliteit, uniformiteit en volledigheid van de informatie. In deze zin is de functie vergelijkbaar met een CFO. De CRO kan als een echte aanjager functioneren en vanuit zijn functie de rest van de organisatie en zijn collega-directeuren expliciet aanspreken op hun gedrag en discipline om aan risicomanagement te doen.

Een nadeel kan zijn dat het bestuur zich minder integraal verantwoordelijk voelt. Afschuifgedrag en het wijzen naar de verantwoordelijke voor risicomanagement lijkt een gemakkelijke weg. De praktijk leert ook dat men de betrokkenheid van de CRO bij veel initiatieven als vertragend in de besluitvorming kan ervaren en deze daardoor wellicht ook bewust gaat mijden. Een ander nadeel kan de afstemming met de CFO zijn, die in de praktijk tot problemen kan leiden doordat belangen verschillen.

Randvoorwaarden voor deze mogelijkheid zijn de positionering in de directie en de hiërarchische positie. In enkele organisaties is het inmiddels zo dat de CRO wordt aangesteld door de Raad van Commissarissen. Bij de meeste organisaties rapporteert de CRO aan de algemeen directeur. Zo gaat het ook bij levensverzekeraar Zwitserleven, waar CRO Dick Stoop rapporteert aan de algemeen directeur. “Dat is goed, want zo functioneer ik onafhankelijker dan als ik aan de financieel directeur zou rapporteren”, vindt hij.

Los van de positionering zijn natuurlijk ook de kwaliteit van de CRO zelf en de samenstelling van de directie van belang. De CRO moet zijn rol opeisen en daarmee over lef en proactiviteit beschikken. Ook dient hij de organisatie en haar risico’s goed te kennen om niet risicomijdend te worden.

Controller
Een derde mogelijkheid is om de functie te koppelen aan de controller. Zeker in kleinere en (semi)overheidsinstellingen is dit een veel gebruikte oplossing.

Een belangrijk voordeel is dan ook dat deze functie van nature al een cyclische invulling kent die organisatiebreed wordt uitgeoefend. Daarnaast is er een ontwikkeling gaande, waarin de controller de harde financiële controls steeds meer aan de financieel directeur laat en zelf zich richt op de meer zachte controls. Hierdoor lijkt risicomanagement qua noodzakelijke vaardigheden vaak te passen bij de controller.

Nadeel is echter dat de controller veelal nog een financieel imago heeft. Hierdoor wordt de controller vaak onvoldoende hoog en met onvoldoende mandaat gepositioneerd. De controller legt verantwoording af aan de financieel directeur of de algemeen directeur waardoor de controller erg afhankelijk is van de leiderschapsstijl die gehanteerd wordt. Een CRO die deel uitmaakt van de groep heeft dit probleem niet. Verder leert de praktijk dat de aandacht sterk gericht is op de operationele risico’s in de processen en er te weinig aandacht is voor de strategische en tactische risico’s. Dit is ook te verwachten aangezien de controller de noodzakelijke informatie voor deze risico’s ontbeert.

Randvoorwaarde om deze mogelijkheid toch te laten slagen is veel aandacht voor de verhoudingen tussen de directie en de controller dan wel de controller deel uit te laten maken van de directie. Ook hier kan aanstelling gebeuren door de Raad van Commissarissen.

Risk Committee
Als laatste mogelijkheid gaan we in op het zogenaamde Risk Committee. Grote ondernemingen hebben vaak een aparte organisatie opgetuigd voor het risicomanagement. Zo kent ING een afdeling Group Risk Management (GRM), die verantwoordelijk is voor het bepalen van het risicoprofiel van de bank, het risicobeleid en het meten en bewaken van risico’s.

De voordelen van zo’n committee is de slagkracht, het bewaken van de uniformiteit, de capaciteit et cetera; eigenlijk is alles aanwezig om het gehele proces van risicomanagement door dit committee te laten uitvoeren. Dit is tevens ook het grote nadeel. Sterker nog dan bij een CRO zal niet alleen de directie maar de gehele organisatie snel het gevoel hebben dat het Risk Committee hun risico’s beheerst. De praktijk leert ook dat zo’n committee uit personen bestaat met veelal dezelfde achtergrond en ervaring, meestal financieel, waardoor wederom teveel aandacht op het financiële aspect wordt gelegd.

Belangrijke randvoorwaarden om deze mogelijkheid toch te laten slagen zijn dan ook dat er goed gelet moet worden op de samenstelling van de groep en hun vaardigheden. Het is een kunst om het proces zodanig te faciliteren dat de juiste informatie wordt opgehaald, maar dat de risico-eigenaren zich wel verantwoordelijk blijven voelen voor de beheersing. De samenstelling van een dergelijke commissie dient breed te zijn en de escalatie naar de directie vooraf geregeld.

Conclusie
Politiek bedrijven is risico’s nemen. Maar ook risico’s beheersen. De overheid wordt gekenmerkt door vele regels en procedures om te voorkomen dat negatieve verrassingen zich voordoen. Toch zullen er altijd negatieve verrassingen zijn en daarom is voor aantoonbaar risicomanagement borging op het hoogste niveau noodzakelijk. Het wegdelegeren zal steeds minder geaccepteerd worden.

Er zijn verschillende opties waaruit een organisatie kan kiezen om risicomanagement goed te borgen. Belangrijk is dat er gekozen wordt voor de wijze die het beste past bij de bestaande organisatie, rekening houden met de factoren zoals hierboven besproken:

• Samenstelling directieteam; indien de samenstelling te eenzijdig is zal een CRO sneller een optie zijn om zo de rest van het team op scherp te houden en hen te wijzen op hun verantwoordelijkheid.
• Leiderschapsstijl CEO, gemeentesecretaris of bestuurder.
• De fase waarin het bedrijf verkeert; indien de organisatie in een crisis verkeert kan het verstandig zijn om een CRO aan te stellen. Naast de imago redenen is het ook van belang dat er één aanspreekpunt komt om over de risico’s van de organisatie te communiceren en dus te beheersen.
• ‘Tone at the Top’; bij een gezonde risicobewuste cultuur binnen de directie is een CRO niet nodig en moet het directieteam in staat zijn elkaar aan te spreken op de risico’s die genomen worden. Is dit niet het geval dan moet men deze kennis binnenhalen. Het is niet voor niks dat Leen Pape in zijn artikel over in-control-verklaringen cultuur/ Tone at the Top en de wijze waarop feedback binnen directies is geregeld als meest relevante elementen van een managementcontrolsysteem benoemt.

Wil men het gehele spectrum van strategische, tactische en operationele risico’s in beeld krijgen, dan zal besloten moeten worden dat risicomanagement een directieverantwoordelijkheid is. Ervaring leert dat wanneer risicomanagement onder het directieniveau (bijvoorbeeld bij de controller die geen deel uitmaakt van het directieteam) wordt gepositioneerd, en het proces dus wordt weggedelegeerd, het niveau van de benoemde risico’s amper het operationele niveau overstijgt. Mede hierdoor vindt een directie het ook snel niet meer de moeite van het bespreken waard.

Vanuit onze ervaring stellen wij voor dat een CRO op dit moment voor veel organisaties een must is, dan wel dat de controller als CRO wordt gepositioneerd in de directie. Veel directieteams zijn te onervaren met risicomanagement en zijn niet gewend elkaar aan te spreken op elkaars verantwoordelijkheden op dit gebied. Een CRO kan helpen om het proces in gang te zetten om regelmatig als directie over de belangrijkste risico’s van de organisatie (strategisch, tactisch en operationeel) te discussiëren en uit te dragen naar de rest van de medewerkers. Risicomanagement gaat over gedrag, vaardigheden en kennis en dus over cultuur. Alleen wanneer de directie consistent aandacht heeft voor risicomanagement en dus hoe men over risico’s communiceert, dan ontstaat er een risicobewuste cultuur waardoor proactief op ieder type risico kan worden ingesprongen.

Wie in de huidige tijd een overheidsorganisatie wil leiden, moet de essentiële risico’s van de organisatie en haar omgeving door en door kennen. Hij of zij moet samen met collega-bestuurders de gevolgen van besluiten voor de belangen van personeel, inwoners, en de samenleving, kunnen en willen inschatten en hierop direct kunnen worden aangesproken.

Het is een kwestie van tijd dat van overheden expliciet een signaal wordt gevraagd risicomanagement serieus te nemen.

Mr. R.P.G. ’t Hart en Drs. E.R. van Marle zijn werkzaam bij het Nederlands Adviesbureau voor Risicomanagement (www.risicomanagement.nl) en zijn tevens verbonden als docent aan de masteropleiding Risicomanagement van de Universiteit Twente.