Positionering van risicomanagement
Het klinkt raar, maar de positionering van risicomanagement ontstaat vaak uit puur toeval. Daarbij is deze positionering over het algemeen afhankelijk van wie het onderwerp op de agenda van het management heeft gezet. Soms is het een financial die het in zijn takenpakket opneemt, soms een concern controller die er enthousiast over is geraakt. Om risicomanagement te borgen en tot leven te brengen in een organisatie is (naast de sociale vaardigheden van de risicomanager) een juiste positionering hoe dan ook cruciaal. Een goed hulpmiddel is om de three lines of defense te gebruiken. In deze blog zetten we de voor- en nadelen van de verschillende opties onder elkaar. Overigens zonder een voorkeur of oordeel uit te spreken.
Financiën
De positionering van de risicomanagementfunctie onder financiën heeft als voordeel dat men op deze afdeling gewend is een integrale bril te dragen. Ook loopt hier over het algemeen al een proces waarbij decentraal informatie wordt opgehaald.
Andere voordelen zijn dat onder financiën sneller een doorvertaling naar de verplichte risicoverantwoording (risicoreserve) in het jaarverslag wordt gedaan. Daarnaast is de directe verhouding met de reserves en de cashflow een voordeel.
Als nadeel valt te noemen dat de focus te veel op financiën komt te liggen. Niet-financiële risico’s komen daardoor onvoldoende aan bod, terwijl deze juist van enorm belang zijn voor de business. Risicomanagement is op deze manier moeilijk naar de business over te dragen en gaat daardoor vaak niet leven.
Legal /compliance
De positionering van risicomanagementfunctie onder legal heeft als grootste voordeel dat het risico-denken zeer centraal staat bij juristen, en dat zij vaak integrale denkers zijn. Ook kunnen zij werkelijk iets doen met risico’s, door deze over te dragen, goede contracten en voorwaarden te scheppen, en de wet- en regelgeving krachtig te implementeren in de organisatie. Daarnaast is er vaak snel een koppeling te maken tussen governance risk & compliance. Het nadeel is wel dat het risico- denken zich vooral richt op aansprakelijkheid en het volgen van de wet, waardoor de relatie met de doelstellingen van de business weleens verloren gaat.
Bedrijfsvoering /control
De positionering van de risicomanagementfunctie onder bedrijfsvoering heeft als voordeel dat de focus op de kwaliteit van de organisatie komt te liggen. Ook worden medewerkers van deze afdeling meer gezien als trusted advisor. Daarnaast kan vanuit deze afdeling de interactie met andere vormen van beheersing (kwaliteit-compliance) worden gezocht (de tweede lijn).
Een gevaar is dat onder bedrijfsvoering vaak het proces- denken de boventoon voert. Er wordt kortom te detaillistisch en negatief ingestoken. Hierdoor kan het imago van administratief en bureaucratisch ontstaan. Het is dan ook belangrijk om altijd de koppeling met de doelstellingen en sturing van de organisatie te bewaken.
Concerncontroller
De positionering van de risicomanagementfunctie onder concern controller heeft als voordeel dat de focus op brede ontwikkelingen (extern, strategisch en intern) komt te liggen, die de doelstellingen van de organisatie kunnen raken. De medewerkers zijn vaak onafhankelijk en een directe escalatiemogelijkheid naar de directie helpt bij het uitvoeren van de functie. Door de focus op dialoog en tegenspraak kan de business meer gefaciliteerd worden. Een duidelijk nadeel is dat de support vanuit concern control vaak dun is. Ook belandt het risicomanagement door de enorme hoeveelheid aan wetgeving vaak onder op de stapel.
Audit
De positionering van de risicomanagementfunctie bij audit heeft als voordeel dat deze afdeling onafhankelijk is, en vaak een duidelijk mandaat en sterke positionering heeft.
Een nadeel is echter dat de focus hier op de bestaande beheersing ligt, terwijl naar voren kijken bij risico’s van belang is. Ook kan de risicomanager hier teveel als waakhond worden gezien. Tot slot helpt het niet mee dat het risicomanagement bij audit een formelere rol heeft (systeemverantwoordelijkheid), waardoor adviseren en faciliteren lastiger wordt.
Andere opties?
Maar het liefste zou ik als strategisch risicomanager direct bij of onder de directeur of bestuurder functioneren. Vanuit hier is het mogelijk om, conform Kaplan, risicomanagement haar echte toegevoegde waarde te laten bewijzen.