Een brede, geïntegreerde risicobeheersing is geboden. Het COSO ERM-model is het meest gebruikte raamwerk daarvoor. Urjan Claassen presenteert in 'Handboek Risicomanagement' met 'ERM plus' een meer praktische en gestructureerde aanpak van dit model.
In 'Handboek Risicomanagement ERMplus: een praktische toepassing van COSO ERM' wil Urjan Claassen (financiële) managers, risicobeheerders en auditors helpen door middel van een 'state of the art' taal en aanpak, gebaseerd op de principes van het COSO ERM-model.
The Committee of Sponsoring Organizations of the Tread Way Commission (COSO) publiceerde in 2004 het COSO Enterprise Risk Management framework. Het is vandaag de dag het meest gebruikte referentiemodel. Er is echter kritiek op dit model en dat betreft vooral de praktische bruikbaarheid.
Veel gehoorde punten van kritiek zijn:
1) Geen duidelijk normenkader
2) Ontbreken van stappenplan
3) Smalle definitie van interne beheersing
4) Permanente actualisering.
De auteur introduceert in dit boek de 'ERMplus-methodiek', waarmee aan die bezwaren tegemoet wordt gekomen. De vijf bouwstenen van dit ERMplus model zijn: risico's en risicostrategie, beheersingsprocessen, mensen, informatie&communicatie en toezicht. Vervolgens reikt Claassen voor het invullen van de bouwstenen een elftal gereedschappen aan. Dat levert een veelheid aan monitorings-en verbeterpunten op. Niet voor niets heeft de schrijver ruim 500 bladzijden nodig voor dit onderwerp.
Hoewel het de pretentie van dit boek dus is om een praktische handleiding te schrijven, is het toch vooral een zeer uitgebreide handleiding voor specialisten. En of die praktisch is, zal nog moeten blijken. Mij duizelde het na lezing van de (té) grote hoeveelheid aandachtspunten. Dat doet niets af aan de bewezen noodzaak van risicomanagement. Maar de psychologische wetenschap leert ons dat we maar zeven variabelen met ratio kunnen afhandelen.
Dat betekent dat deze ERMplus-methodiek, naar mijn mening, aan overzichtelijkheid zal moeten toenemen, wil het succesvol toegepast kunnen worden. Daar is de schrijver, die naast partner van Clascon een gespecialiseerd adviesbureau op het gebied van risicomanagement ook universitair docent Advanced Auditing aan de Nyenrode Business Universiteit is, ook van overtuigd.
Er valt nog veel te leren om de geheimen van de kunst van effectief risicomanagement te doorgronden, schrijft hij. Recente ontwikkelingen, zoals de grootschalige fraude door Jéròme Kerviel bij de Franse bank Société Général, de miljardenfraude door Bernard Madoff inde Verenigde Staten en natuurlijk de internationale kredietcrisis hebben dat op een pijnlijke manier duidelijk gemaakt.
Met name de timing in relatie tot de omvang van deze debacles is opvallend: de grootste financiële crisis van de afgelopen zestig jaar ontstaat - na - de (recente) wereldwijde implementatie van ingrijpende veranderingen in de regelgeving rond corporate governance (Sorbanes-Oxley, Combined Code, code Tabaksblat e.d)
De kunst van goed risicomanagement lijkt mij vooral te voorkomen dat het specialistenwerk wordt. Ik ben het heel erg eens met de vuistregel om risico beheersing zo laag mogelijk in de organisatie neer te leggen. Daar is eenvoud en overzichtelijkheid voorwaarde voor. Te veel extra werk leidt al snel tot een zekere verveling en moeheid. Medewerkers moeten het einddoel voor ogen hebben.
Claassen geeft daar zelf een mooi voorbeeld van, dat ik hier even citeer: 'lang geleden leefde in Japan de zenmeester Joji. Joji was sterk maatschappelijk betrokken en reisde met enige regelmaat door de Kobe-vallei. Tijdens een van zijn wandelingen kwam hij langs een steengroeve en zag daar een man aan het werk. Joji stopte en vroeg de man wat hij aan het doen was. De man keek op en antwoordde nors: “Zie je dat niet? Ik hak stenen!” Joji groette de man en vervolgde zijn reis door de vallei. Na enkele kilometers passeerde Joji opnieuw een steengroeve en zag daar ook een man aan het werk. Opnieuw vroeg Joji de man wat hij aan het doen was. De man antwoordde: “Ik hak in deze steengroeve stenen. Met het geld dat ik daarmee verdien voed ik mijn gezin.” Joji groette ook deze man en liep verder. Op het einde van zijn wandeling passeerde Joji een derde steengroeve. Ook daar was een man aan het wer0k. Joji vroeg opnieuw wat hij aan het doen was. De man stond op en antwoordde: “Ik hak stenen uit deze groeve en vorm ze tot bouwstenen. Met het geld dat ik er mee verdien onderhoud ik mijn gezin. Maar als u echt wilt weten wat ik doe zal ik met u doorreizen naar het dichtstbijzijnde dorp. Daar wordt met mijn bouwstenen een prachtig paleis gebouwd.”
Of de ERMplus-methodiek medewerkers helpt om 'het prachtige paleis van risicomanagement' voor ogen te krijgen, lijkt mij zeer de vraag. Maar dat neemt niet weg dat het lezen van dit boek de gevoeligheid voor risico's vergroot. En dat lijkt mij noodzakelijk voor iedere manager.
