Renze Munnik: Lopen we te weinig risico?
Renze Munnik: Lopen we te weinig risico?
Door Renze Munnik, Risk Management Consultant bij Probability & Partners
Bij financiële risico’s zoeken we risico op (om rendement te behalen). Daar willen we niet ‘te weinig’ risico lopen. Bij niet-financiële risico’s willen we dat niet. Daar wordt controle op controle gestapeld. Ten behoeve van wat? En ten koste van wat? Wordt het niet eens tijd om daar anders tegenaan te kijken?
Risico’s worden doorgaans onderverdeeld in financiële risico’s en niet-financiële risico’s. Daarbij gaan de financiële risico’s over de risico’s die gelopen (of genomen) worden bij beleggingen (dus het betalen van een verkeerd bedrag aan een leverancier wordt niet beschouwd als een financieel risico).
En die risico’s zijn verschillend in karakter. De financiële risico’s worden opgezocht. Je wil die risico’s nemen, omdat je daar rendement mee verwacht te verdienen. Te veel risico nemen is natuurlijk niet goed, maar te weinig ook niet. Dan behaal je immers niet het rendement dat je wil. Te veel beheersing kost dus te veel.
Het verschil met niet-financiële risico’s
Bij de niet-financiële risico’s wordt daar anders tegenaan gekeken. Die neem je niet om rendement mee te verdienen. Nee, ze zijn een onlosmakelijk bijproduct van een basisproces, zoals het administreren van pensioenen.
Bij bijvoorbeeld een ALM-studie wordt doorgaans (ook) expliciet gekeken naar waar meer risico genomen moet worden. Bij een risicoanalyse voor niet-financiële risico’s is de uitkomst doorgaans slechts beperkt tot die punten waar extra maatregelen genomen moeten worden.
Hoe vaak wordt er een analyse gemaakt en een lijstje opgesteld van maatregelen die geschrapt gaan worden? En dan bedoel ik ook echt geschrapt, niet alleen uit een rapportage verwijderen maar wel als processtap blijven uitvoeren.
Overmatige interne ‘beheersing’
Zo zie je legio voorbeelden van bijvoorbeeld een volledig hot stand by datacenter (met bijbehorende hoge kosten) voor als een administratiesysteem uitvalt. Terwijl uit de risicoanalyse blijkt dat we twee à drie weken zonder dat systeem kunnen. Vier-, zes- en soms wel acht-ogen checks voor mutaties die weinig impact hebben of redelijk eenvoudig te herstellen zijn, mocht het een keer fout gaan. Vele detailcontroles en dubbelchecks op mutaties die je ook achteraf met een goede overall controle kan beoordelen.
Het zijn maatregelen die ooit in het verleden wellicht nodig waren of simpelweg uit een soort angst zijn ingericht. Of gewoon zijn geïmplementeerd omdat er nooit goed naar is gekeken wat nou écht het risico is. En als de organisatie verandert, het proces verandert, of de impact van de processtappen verandert, wordt maatregelen vrijwel nooit verwijderd.
En de risicoanalyses zijn enkel gericht om te identificeren waar extra maatregelen genomen moeten worden. Waar is het netto-risico hoger dan de risicobereidheid? Daar moeten maatregelen bij.
Vrijwel nooit wordt de discussie gevoerd: waar is het netto-risico te laag, en kunnen er dus maatregelen weg? Waar kunnen ze worden samengevoegd? Of waar kunnen ze van aard veranderen? Vreemd, want bij de financiële risico’s doen we dat wel. Te weinig risico? Dan moeten we extra risico gaan nemen.
Bedrijfseconomische bril
Waarom niet veel ‘economischer’ naar risico’s kijken? Te veel beheersing is immers ook een risico. Je maakt te veel (onnodige) kosten. Door controle op controle te stapelen neemt het verantwoordelijkheidsgevoel ook steeds verder af, want ‘na mij kijken er nog drie mensen naar’. En dat terwijl degenen die als laatsten de controles uitvoeren er minder nauwkeurig naar kijken, want die steunen op de controles die daarvoor al zijn uitgevoerd. Meer controles hebben, is dus geen garantie voor meer kwaliteit of zekerheid.
Nee, er zijn ook nog andere manieren om nog eens goed te kijken naar hoe je je risicomanagement, of de beheersing, wilt inrichten. Bijvoorbeeld een SWOT-analyse. Risicomanagement is niet iets dat bij de T’s (threats) komt kijken om die te mitigeren. Nee, je kunt de uitkomsten van de SWOT gebruiken voor het inrichten van risicomanagement.
Maar wat zijn nou jouw strengths? Wat zijn de punten waar je als organisatie heel goed in bent? Op die punten kun je wellicht de beheersing wel wat afschalen. De kans dat er iets fout gaat is daar immers kleiner. En misschien kun je daar afstappen van veel detailcontroles tijdens het proces en die vervangen door een overall (verbands)controle aan het eind? En mocht er wel een keer iets gebeuren, dan ben je kundig genoeg om daar adequaat op te reageren en de impact te minimaliseren.
En wat zijn jouw weaknesses als organisatie? Waar ben jij als organisatie niet zo goed in? Daar wil je misschien meer aandacht aan besteden bij je beheersing. Daar wil je misschien juist wel meer controles tijdens het proces. De kans dat er iets fout gaat is daar immers groter. Bovenien is de kans dat je adequaat op een probleem kan reageren waarschijnlijk kleiner. Je kunt het dan dus maar beter zien te voorkomen.
Win-win-win
Maak een goede analyse en durf erop te vertrouwen dat je inschatting goed is. Als jij vindt dat je twee weken zonder administratiesysteem kan (en natuurlijk weet ik dat dat dan een vervelende twee weken worden, maar het is niet onoverkomelijk), moet je dan echt zo veel geld uitgeven aan maatregelen die - laten we eerlijk zijn - nogal over the top zijn?!
Misschien kun je ook aan de klanten uitleggen, dat ze inderdaad ze een of twee dagen hebben moeten wachten, maar de kosten zijn dan ook wel aanzienlijk lager.
Misschien kun je de niet-financiële risico's meer behandelen als waren zij financiële risico's. Bepaal hoeveel risico je wilt/mag lopen en wat mag de beheersing kosten, en richt daar de beheersing op in. Nee, dan heb ik het niet over alleen de kapitaalratio-cijfers, maar écht risico. Je doet dit ook niet voor de toezichthouder. Je doet dit voor jezelf. En neem daar bijvoorbeeld ook een analyse van jouw sterkten en zwakten in mee.
Door de focus van interne beheersing op de juiste plaats te leggen, dring je de kosten terug, je verhoogt de efficiency en het werkplezier zal toenemen doordat mensen minder met (onnodige) controles bezig zijn. Een win-win-win-situatie dus.
Probability & Partners is een Risk Advisory Firm die geïntegreerde risicomanagement en kwantitatieve modelleringsoplossingen biedt aan de financiële sector en aan data-gedreven ondernemingen.