Bestuurder verantwoordelijk voor risicomanagement

Met veel risico heeft de commissie Van Manen, het bestuur en de raad van commissarissen een gezamenlijke verantwoordelijkheid gegeven voor het implementeren en waarborgen van een cultuur die gericht is op de lange termijn waardecreatie. Een nieuw hoofdstuk corporate governance.

Dit zal  geen eenvoudige opgave zijn, cultuur maak je niet zo maar, het is er. Toch sluit het wel aan bij mijn beeld dat het bestuur  zeer belangrijk is voor de cultuur.

Maar hoe maken we het begrip cultuur en de rol van het bestuur concreter? Mijn inziens door de juiste vragen te stellen.

Stimuleren openheid en aanspreekbaarheid

  • Wat zijn voor het bestuur de grenzen aan transparantie?
  • Wanneer is het bestuur voor het laatst tegen gesproken en door wie?
  • Wanneer heeft het bestuur voor het laatst haar mening bijgesteld?
  • Hoe hoog is het verloop onder de criticasters in de organisatie?

Signalen en vermoedens van misstanden

  • Hoeveel incidenten vinden er plaats in de organisatie?
  • Welke incidenten zijn wel/niet acceptabel?
  • Zijn er targets qua aantal incidenten?
  • Hoe doorbreekt het bestuur de hiërarchie en daarmee samenhangende filtering van incidenten?

Verantwoordelijkheid bestuur voor cultuur

Helaas is deze paragraaf wat minder concreet; het bestuur is verantwoordelijk voor inbedding van de cultuur. Dit moet zij doen door gemeenschappelijke waarden, tone at the top, voorbeeldgedrag. Maar op welke vragen dient de directie dan een antwoord te geven? Wellicht geven onderstaande vragen vanuit FRC meer duidelijkheid:

  • Op welke wijze heeft het bestuur ingestemd met de risicobereidheid? Met wie is dit afgestemd?
  • Hoe beoordeelt het bestuur de cultuur in de organisatie? Hoe verzekert het bestuur zich ervan dat de organisatie een speak-up cultuur heeft en systematisch leert van fouten uit het verleden?
  • Hoe ondersteunen de cultuur, gedragsregels, personeelsbeleid en (prestatie) beloningssysteem het bereiken van de organisatiedoelen en risicomanagement?
  • Hoe beoordeelt het bestuur of het management de gewenste cultuur voldoende stimuleert en communiceert en het benodigde commitment laat zien aan risicomanagement?
  • Hoe wordt omgegaan met ongewenst gedrag? Zorgt dit mogelijk voor afbreukrisico’s?
  • Hoe zorgt het bestuur ervoor dat er voldoende tijd is om risico’s af te wegen en hoe is dit geïntegreerd met activiteiten waar het bestuur voor verantwoordelijk is?

Risico management en interne controle systemen

  • In hoeverre ondersteunt risicomanagement het business model van de organisatie en heeft dit hier een relatie mee?
  • Hoe zijn bevoegdheid, verantwoordelijkheid en aanspreekbaarheid voor risicomanagement vastgesteld, gecoördineerd en vastgelegd? Hoe beoordeelt het bestuur of dit duidelijk, relevant en effectief is?
  • Hoe goed is de organisatie in staat individuele risico’s en combinaties daarvan op te vangen wanneer deze zich voordoen? Hoe effectief is de benadering van lage kans-zeer hoge impact risico’s door het bestuur?
  • Hoe beoordeelt het bestuur of medewerkers over de benodigde kennis, vaardigheden en instrumenten beschikken om risico’s effectief te beheersen?
  • Wat zijn de communicatiekanalen die het voor individuen, waaronder medewerkers van derde partijen, mogelijk maken zorgen, vermoedde schendingen van wet- en regelgeving, andere onregelmatigheden of uitdagende toekomstverwachtingen te melden?
  • Hoe verzekert het bestuur zich ervan dat de informatie die zij ontvangt tijdig, kwalitatief goed, divers en relevant is?
  • Wat zijn de verantwoordelijkheden van het bestuur en het topmanagement in crisismanagement? Op welke wijze wordt het systeem van crisismanagement getest?
  • In hoeverre zijn risico’s van samenwerkingsverbanden, derde partijen en de wijze waarop de organisatie ingericht is geïdentificeerd? Hoe wordt met deze risico’s omgegaan?
  • Hoe zorgt de organisatie ervoor dat nieuwe en opkomende risico’s en mogelijkheden in beeld komen?
  • Hoe en op welk moment weegt het bestuur risico’s mee in discussies over wijzigingen in de strategie, het goedkeuren van transacties, projecten of producten of het aangaan van andere grote verplichtingen?
  • In hoeverre heeft de boord de kosten en baten van verschillende opties voor control afgewogen?
  • Hoe zorgt het bestuur ervoor dat zij de blootstelling aan de belangrijkste risico’s begrijpt, welke beheersmaatregelen hiervoor zijn en of deze werken zoals verwacht?

Monitoring en evaluatie

  • Wat is het proces op basis waarvan het management de effectieve toepassing van risicomanagement beoordeelt?
  • Hoe wordt het vermogen om risico’s bij te stellen en maatregelen effectief aan te passen als gevolg van veranderingen in doelstellingen, activiteiten of de omgeving beoordeeld?
  • Hoe worden processen of controls aangepast aan incidenten of veranderende risico’s? In hoeverre is het bestuur betrokken bij het actief zoeken naar opkomende risico’s?

Rapportage

  • Hoe vergewist het bestuur zich ervan dat de informatie over risicomanagement eerlijk, transparant en begrijpelijk is en ervoor zorgt dat stakeholders de informatie hierover krijgen die zij nodig hebben?
  • Hoe vergewist het bestuur zich ervan dat rapportages een eerlijk, transparant en begrijpelijk beeld geeft van de positie van de organisatie en haar toekomstperspectief?

Centraal in de taak van het management staat strategie(realisatie). De strategiekaart vormt de ontbrekende schakel tussen de formulering en uitvoering van strategie. Met de strategiekaart wordt risicomanagement voor bestuurders ook interessant. De strategiekaart vormt de basis voor de interne agenda en vraagt frequente aandacht van het management.

Door de dialoog over risico`s en prestaties gaande te houden wordt risicomanagement het proactieve en anticiperende stuurinstrument waar het voor bedoeld is. Het is een katalysator voor actiegerichtheid op de continue uitdagingen.

Veel gehoorde reactie van MT`s is dat het construeren van de strategiekaart net zo waardevol is als de kaart zelf. Maar het proces is niet eenvoudig. Het construeren zorgt voor discipline en logica in de strategische besluitvorming dat daarvoor veelal niet aanwezig was. Het eindresultaat is een basis voor interne en externe communicatie over doelstellingen en strategie. MT`s kunnen met de strategiekaart goed uitleggen waarom bepaalde zaken wel en andere niet worden ondernomen. Daar draait het om bij strategie, keuzes maken in de belangrijkste activiteiten die goed te onderbouwen zijn.

Strategie gaat om het selecteren van de activiteiten waarin de organisatie dient uit te blinken. De zogenaamde kritieke succesfactoren. Centraal bij het benoemen van kritieke succesfactoren (KSF) staat gegranuleerdheid. Dat betekent verder gaan dan algemeenheden als `onze medewerkers ontwikkelen` of `onze kernwaarden naleven` en focussen op de specifieke mogelijkheden en kenmerken die essentieel zijn voor het succes van de organisatie.

Vanuit de organisatie / de afdelingen dienen initiatieven te worden benoemd welke ondernomen worden om invulling te geven aan de KSF. Deze initiatieven leiden tot resultaten. Dat betekent dat uitvoering van strategie wordt gemanaged door de uitvoering van initiatieven.

De strategiekaart biedt het visuele kader om de doelstellingen van een organisatie in te integreren.

Meer over ‘nooit meer strategiepijn’ is te lezen in dit mooie boek!

Share on linkedin
LinkedIn
Share on twitter
Twitter
Share on facebook
Facebook
Share on email
Email
Share on print
Print

In het kort:

Over de auteur
Over de auteur

Robert ’t Hart is directeur van Naris. Hij is een veel gevraagde spreker op congressen vanwege zijn positieve kijk op het onderwerp risicomanagement. Daarnaast is hij een enthousiaste blogger over de nieuwste ontwikkelingen. Als docent is Robert verbonden aan de Universiteit Twente en Haagse Hogeschool en tevens is hij trainer aan de Naris Risk Academy. Hij is thuis op het gebied van governance en risicomanagement en helpt organisaties bij het daadwerkelijk implementeren daarvan. Risico-cultuur en het creëren van draagvlak behoort tot zijn expertise.

Meer artikelen: