Risicomanagement bij Oikocredit
6 februari 2013 om 18:51 0 reacties
Welke valkuilen en succesfactoren kunnen zich zo al voordoen bij de implementatie van risicomanagement binnen een organisatie? De auteur beantwoordt deze vraag op basis van de ervaringen opgedaan binnen de investeringsmaatschappij Oikocredit. Om de context duidelijk
Welke valkuilen en succesfactoren kunnen zich zo al voordoen bij de implementatie van risicomanagement binnen een organisatie? De auteur beantwoordt deze vraag op basis van de ervaringen opgedaan binnen de investeringsmaatschappij Oikocredit. Om de context duidelijk te maken, schetst hij eerst kort de achtergrond van Oikocredit en de aanleiding tot de implementatie van risicomanagement. Nadat hij de verschillende fasen in de aanloop en uitvoering van het project heeft weergegeven, blikt de auteur in de conclusie terug op de belangrijkste factoren voor een succesvolle implementatie.
Oikocredit is een investeringsmaatschappij die wereldwijd mensen, kerken en instellingen stimuleert om hun financiële reserves sociaal-ethisch te beleggen. Met het ter beschikking gestelde kapitaal verschaft Oikocredit krediet aan groepen kansarme mensen in ontwikkelingslanden, zodat zij de mogelijkheid krijgen in hun eigen inkomen te voorzien. Vanuit het hoofdkantoor in Amersfoort en 28 regio- en landenkantoren (in totaal circa 100 medewerkers) financiert Oikocredit momenteel ruim 400 productieve ondernemingen in diverse ontwikkelingslanden. De middelen hiertoe krijgt Oikocredit door het uitgeven van aandelen waarop jaarlijks een beperkt dividend wordt uitgekeerd. Wereldwijd telt Oikocredit ruim 24.000 investeerders.
De organisatie is verplicht een prospectus te deponeren bij de Autoriteit Financiële Markten. De Nederlandsche Bank heeft Oikocredit erkend als kredietinstelling met een aantal vrijstellingen onder de Wet Toezicht Kredietwezen.
Aanleiding tot risicomanagement
In de afgelopen vijf jaar is Oikocredit sterk gegroeid en zijn het ledenkapitaal en de uitstaande kredietportefeuille in omvang bijna verdubbeld tot respectievelijk 218 miljoen en 114 miljoen euro. Deze groei is gepaard gegaan met de wens van het management om de organisatie op het gebied van interne beheersing verder te professionaliseren. Dit voornemen werd gesteund door het bestuur en het audit committee. Het aantal externe belanghebbenden bij de organisatie is groter geworden, maar ook de toenemende wet- en regelgeving heeft ertoe geleid dat de externe omgeving complexer is geworden, met als gevolg een toename van de risico's. Daarnaast is de groeiende maatschappelijke aandacht voor transparantie en goed bestuur niet aan de organisatie voorbij gegaan, al zijn bijvoorbeeld de Code Tabaksblat en de Sarbanes-Oxley Act formeel niet op Oikocredit van toepassing.
Vanuit deze achtergrond zijn gedurende 2004 een aantal maatregelen genomen om de interne beheersing verder te versterken. De taken en bevoegdheden van het audit committee zijn uitgebreid, er is een internal auditor aangesteld en er werd gestart met de implementatie van risicomanagement binnen de organisatie.
Projectvoorbereiding en fasering
In de aanloop naar de implementatie van risicomanagement binnen Oikocredit zijn een aantal keuzes gemaakt ten aanzien van het projectmanagement, de benadering van het project en de medewerkers die daarin betrokken werden. In deze fase speelt het draagvlak van de hoogste leiding een belangrijke rol.
Na de projectvoorbereiding werd gestart met de uitvoering van het project, onderverdeeld in de volgende fasen:
- definitie van het risico-universum;
- vragenlijsten, interviews en kwantitatieve analyse van de uitkomsten;
- opstellen van risicokaarten;
- workshops om de uitkomsten te evalueren en de risicokaarten te bespreken en af te ronden.
Projectmanagement
Oikocredit heeft gekozen voor intern projectmanagement met beperkte externe advisering en begeleiding. Het voordeel van deze aanpak is dat de noodzakelijke externe kennis en ervaring gedurende het project worden overgedragen aan de organisatie, zodat deze binnen die organisatie beschikbaar blijven. Het interne projectmanagement bevordert bovendien de integratie van risicomanagement binnen de organisatie: hoe groter de interne betrokkenheid tijdens de projectfase is, hoe groter de kans dat de beoogde integratie wordt bereikt. Zo wordt voorkomen dat risicomanagement beschouwd wordt als een eenmalige exercitie, waardoor de verankering binnen de organisatie onvoldoende plaatsvindt. De keuze voor een beperkte externe betrokkenheid heeft ook de kosten van het project gereduceerd.
Geïntegreerde benadering
In de aflopen jaren zijn op het gebied van risicomanagement vele methoden en technieken ontwikkeld. Binnen Oikocredit is gekozen voor een geïntegreerde benadering; dit betekent dat er naar risico's wordt gekeken vanuit de doelstellingen van de organisatie, de strategie en het te voeren beleid. Het gaat erom dat een risico de realisatie van die doelstellingen bedreigt. Dit kunnen strategische, operationele, markt- en kredietgerelateerde risico's zijn. Om tot een goede risicoinventarisatie te komen is het van belang gebleken dat er overeenstemming bestaat over de strategie en de doelstellingen. Warmeer dit niet het geval is, stuurt het proces min of meer automatisch aan op nadere interne afstemming hieromtrent binnen de organisatie.
Betrokkenheid
De start van een project is van cruciaal belang voor het verdere verloop en dit geldt ook zeker ten aanzien van risicomanagement. Allereerst dient te worden vastgesteld wie er binnen de organisatie betrokken worden bij het project. Aan de ene kant is het van belang dat er aandacht is voor risicomanagement binnen de gehele organisatie en daarom is een grote mate van betrokkenheid op diverse niveaus gewenst. Anderzijds dient het project de meest relevante risico's voor de totale organisatie op te leveren en dienen participanten in staat te zijn dit op organisatieniveau in te schatten. Daarnaast is het ook van belang dat niet te veel deelnemers de beheersbaarheid en de kwaliteit van het project in de weg staan. Er is uiteindelijk gekozen om het managementteam en de afdelingsmanagers - totaal zes personen - bij het proces te betrekken. Het voordeel van een relatief kleine organisatie is dat zulke managers tevens vrij goed zijn ingewijd in de processen op de diverse niveaus van de organisatie. Er is daarnaast gekozen om een afzonderlijke workshop te organiseren voor de regionale managers van Oikocredit. Deze zijn in hun regio verantwoordelijk voor de kredietactiviteiten aldaar. Zij bezitten veel kennis van het proces van kredietverstrekking in de landen binnen de regio, waardoor zij een goede inschatting kunnen maken van de risico's op dit niveau. De resultaten uit de workshop zijn later teruggekoppeld naar de projectgroep en in de beoordeling meegenomen.
Draagvlak
Bij de aanvang van het risicomanagementproject is het belangrijk dat er een draagvlak bestaat bij de hoogste leiding van de organisatie. Het is gebleken dat managers veelal hun aandacht richten op het verwezenlijken van de afdelingsdoelstellingen en zich minder bewust zijn van de hieraan verbonden risico's. Daarnaast speelt de risicohouding en -beleving van de individuele manager een belangrijke rol. In de praktijk bleek dat de inschatting van het belang van risico's op afdelingsniveau en organisatieniveau vaak verschilde. Bovendien kunnen persoonlijke eigenschappen niet genegeerd worden: is iemand van nature een risicomijder of een risicozoeker? Naarmate het project vorderde, nam de motivatie onder de deelnemende managers toe omdat het belang hiervan voor het eigen werkterrein werd onderkend. Het gaat immers over risico's waar men in de praktijk mee wordt geconfronteerd.
Fase 1: Definitie van liet risico-universum
De grote uitdaging aan het begin van het project was om tot een zo volledig mogelijk risico-universum te komen. Dit universum dient enerzijds alle risico's waar de organisatie mee te maken heeft te omvatten, maar ook dient het aantal risico's dat later in het project beoordeeld en gekwalificeerd moet worden, overzichtelijk te blijven. Het is dus van belang om de risico's op het juiste aggregatieniveau te benoemen, waarbij ze wel concreet maar niet te gedetailleerd beschreven moeten worden. Het beperken van het aantal risico's leidde ertoe dat in een aantal gevallen meerdere risico's ondergebracht werden in één risicobeschrijving. Later in het traject bleek dit interpretatieverschillen op te leveren omdat er geen eenduidigheid bestond over wat een risico nu precies inhield. Dit kwam vooral tijdens de interviews naar voren. Door dit later tijdens de workshops te bespreken was het alsnog mogelijk om tot een afgewogen oordeel over het betreffende risico voor de organisatie te komen.
Zoals reeds besproken, is het van belang dat het referentiekader (de doelstellingen en het daaraan gekoppelde beleid van de organisatie) duidelijk is. Dit kader helpt ook het risico-universum zo volledig mogelijk te beschrijven. Daarnaast is het zinvol om per beleidsmaatregel te analyseren welke typen risico's binnen welk deel van de organisatie van toepassing zijn. Hierbij kan gebruik gemaakt worden van bestaande risicomodellen. Ten slotte werd de mogelijkheid geboden om de lijst met risico's aan te vullen in de questionnaire. Deze maatregelen geven echter niet de garantie dat alle risico's zijn meegenomen en daarom is het van belang risicomanagement niet als een statisch project te zien maar als een managementinstrument, waarin van tijd tot tijd een evaluatie plaatsvindt op basis van nieuwe ervaringen en veranderende omstandigheden. Continue aandacht voor risicomanagement leidt ertoe dat een steeds vollediger en genuanceerder beeld ontstaat van de risico's waar de organisatie mee te maken heeft.
Fase 2: Vragenlijsten, interviews en kwantitatieve analyse van de uitkomsten
Nadat de risico's zo volledig mogelijk in beeld zijn gebracht, begint het proces van risicobeoordeling en kwalificatie. Hierbij dient tevens beoordeeld te worden of de organisatie reeds toereikende maatregelen heeft genomen om deze risico's te verminderen. Hiertoe zijn een aantal technieken gebruikt. Allereerst werd aan alle participanten een questionnaire voorgelegd, waarin gevraagd werd om per risico de impact voor de organisatie aan te geven en tegelijkertijd een inschatting te maken van de waarschijnlijkheid dat het risico optreedt. Het belang van het risico wordt logischerwijze door beide bepaald. Een risico dat een grote invloed heeft op de organisatie maar waarvan de kans van optreden vrijwel nihil is, behoeft weinig aandacht, evenals een risico met een grote kans van optreden maar met een geringe invloed.
Op basis van de questionnaires vond een analyse plaats, waaruit de risicoranking en de mate van consensus onder de participanten naar voren kwam. Deze uitkomsten zijn tijdens de interviews die met alle participanten zijn gehouden, nader besproken om tot een gevalideerde risicobeoordeling te komen.
Dit proces van validatie is zoals al aangegeven van groot belang, omdat interpretatieverschillen vaak leiden tot verschillende uitkomsten. Tijdens dit interview werd tevens de toereikendheid van genomen maatregelen besproken, evenals eventueel nieuw te nemen maatregelen.
Fase 3: Risicokaarten
De uitkomsten van de questionnaires en de interviews zijn per thema verwerkt op risicokaarten. Deze kaarten kunnen worden beschouwd als de uiteindelijke 'deliverables' van het project. Op de kaart staan de belangrijkste risico's, de reeds genomen maatregelen en de nieuwe verbetermaatregelen. Verder is op de kaarten een risico-evaluatie na eventuele implementatie van de nieuwe maatregelen opgenomen om de effectiviteit van het totale pakket maatregelen te beoordelen. Daarnaast zijn ook het implementatieplan en de benodigde tijd en het geld op de risicokaarten vastgelegd. Zulke kaarten vormen een hulpmiddel bij de bewaking van de implementatie van nieuwe maatregelen in de organisatie.
Fase 4: De workshops
Tijdens de afsluitende workshop zijn de uitkomsten naar aanleiding van de questionnaires en de interviews gepresenteerd, met daarin aandacht voor de meest belangrijke risico's (Risico Top Tien), de impact ervan, de mate van consensus onder de participanten alsmede voor de uitkomsten van de individuele risk assessments van de participanten. De belangrijkste doelstelling is echter om overeenstemming te verkrijgen over de risicostrategie welke is vastgelegd op de risicokaarten. Welke maatregelen dienen op welke termijn door wie genomen te worden om de risico's op voldoende wijze af te dekken.
Het bleek dat hiervoor één workshop niet voldoende was zodat er uiteindelijk drie gehouden zijn om tot een definitieve afronding van de risicokaarten te komen. Het voordeel van de workshop(s) is, dat managers met een diverse achtergrond vanuit een verschillend perspectief risico's bespreken, waardoor er een evenwichtig beeld ontstaat van het risicoprofiel van de organisatie. De aandacht kan daarbij worden gevestigd op die risico's waar op basis van de questionnaires en de interviews verschillend over wordt gedacht.
Cruciale factoren tijdens de uitvoering van het project
In het hierboven beschreven proces zijn de volgende factoren van groot belang gebleken:
- Bij het beoordelen van de waarschijnlijkheid van de risico's, heeft het de voorkeur om de inherente risico's zonder de reeds getroffen maatregelen te beoordelen. Praktisch bleek het echter vrij lastig te zijn een oordeel te geven over een veronderstelde situatie. Er is daarom uiteindelijk gekozen om de risico's met inbegrip van de interne beheersingsmaatregelen te beoordelen. Alle participanten moeten in ieder geval op eenzelfde wijze hun inschatting maken, anders ontstaat er een vertekend beeld.
- Het valideren van risico's tijdens de interviews en de workshops is cruciaal. Door interpretatieverschillen en kennisachterstand op bepaalde gebieden werd vaak de individuele risicobeoordeling bijgesteld. Het groepsproces leidde uiteindelijk ook tot de definitie van het risicoprofiel voor de gehele organisatie. Het is daarom belangrijk om voldoende tijd en ruimte te geven aan dit proces. Tevens dient het effect van bestaande en nieuwe maatregelen op de relevante risico's goed te worden beoordeeld.
- Er kan maar één eigenaar voor een risico verantwoordelijk zijn. Het blijkt dat indien er sprake is van een gedeelde verantwoordelijkheid voor bepaalde beleidsterreinen, risico's tussen wal en schip dreigen te vallen omdat niemand zich uiteindelijk verantwoordelijk voelt. Het is van belang om eerst overeenstemming te bereiken over de verantwoordelijkheid voor beleidsterreinen, zodat ook duidelijk wordt wie verantwoordelijk is voor de daaraan gerelateerde risico's.
Verankering
Na de projectfase kwam het moeilijkste deel nog: de verankering en borging van risicomanagement binnen de organisatie. Mede op advies van de externe adviseur is besloten risicomanagement als een directe verantwoordelijkheid van het lijnmanagement op te vatten en hiermee geen afzonderlijke functionaris te belasten. Het onderbrengen van risicomanagement binnen een afzonderlijke afdeling kan namelijk het gevaar inhouden dat de overige managers hun verantwoordelijkheid niet meer voelen. Verder is besloten risicomanagement op te nemen in de bestaande planning en control cyclus. Dit betekent dat bij de vaststelling van de doelstellingen voor het nieuwe jaar ook de daaraan gerelateerde risico's in aanmerking moeten worden genomen, evenals de implicaties voor de reeds bekende risico's. Een meer omvangrijke herbeoordeling van risico's dient samen met de evaluatie van de strategie plaats te vinden, omdat een nieuwe strategie andere risico's oplevert. Deze integratie is momenteel de uitdaging waar Oikocredit zich voor gesteld weet.
Conclusie
Voor de succesvolle implementatie van risicomanagement is het van belang dat de doelstellingen en de strategie van de organisatie duidelijk zijn geformuleerd. Risico's dienen binnen dit referentiekader te worden beoordeeld. Daarnaast zijn de keuze van de betrokkenen en het draagvlak van de hoogste leiding belangrijke condities voor een succesvolle implementatie.
Ter voorkoming van latere misverstanden is het van belang dat tijdens de implementatiefase risico's eenduidig beschreven worden, er een eenduidige beoordeling van risico's plaatsvindt en voldoende aan dacht aan de validatie van risico's wordt besteed. Dit proces leidt uiteindelijk tot een risicoprofiel voor de organisatie. Hierna komt het afdekken van risico's aan de orde en dient het totale pakket aan maatregelen ter reductie en afdekking van het risico te worden beoordeeld. Om de implementatie van nieuwe maatregelen te waarborgen dient duidelijk te zijn wie de eigenaar is van het risico en daarmee ook de verantwoordelijkheid draagt voor de beheersing daarvan.
Na de afronding van het project staat de organisatie voor de uitdaging risicomanagement te verankeren binnen de bedrijfsvoering. Hiertoe wordt aanbevolen om risicomanagement op te nemen in de bestaande planning en control cyclus, om een zo natuurlijk mogelijke integratie te bereiken en extra belasting bij het management zo veel mogelijk te beperken. De aandacht en het draagvlak van de hoogste leiding speelt hierin, evenals in de beginfase, een cruciale rol. Het bovenstaande is geen garantie voor succes, maar biedt zeker enkele waardevolle handreikingen voor een geslaagde implementatie van risicomanagement.
J.S. van Duijn RA is manager Internal Audit bij Oikocredit