Martin van Staveren (VSRM): “Risicomanagement is makkelijk ingewikkeld te maken; terugbrengen tot de essentie is veel lastiger.”

De steeds veranderende VUCA-wereld (volatiliteit, onzekerheid, complexiteit en ambiguïteit) maakt risicomanagement essentieel voor accountants en financieel professionals. De eisen aan organisaties nemen toe, zeker met de introductie van de Verklaring Omtrent Risicobeheersing (VOR) per 1 januari 2025 in de Corporate Governance Code.

Maar hoe pas je risicomanagement effectief toe in een wereld waarin onzekerheid de enige constante is? Dr. Ir. Martin van Staveren MBA, risicomanagement-expert en docent bij de Sijthoff Accountants Academy, pleit voor een vernieuwende aanpak: minder focus op ingewikkelde beheersystemen en meer aandacht voor risicoleiderschap en veerkracht.

De loden last van compliance
Volgens Van Staveren staat risicomanagement onder druk door de steeds verder uitdijende compliance-beweging. “Risk en compliance lijken wel aan elkaar vastgeketend, maar effectief omgaan met risico’s is zoveel meer dan voldoen aan wet- en regelgeving,” stelt hij. Hij waarschuwt voor de ontembare behoefte aan meer controles, die nodig zijn voor verantwoording, om aan te tonen dat je als organisatie compliant bent. “Dat maakt risicomanagement makkelijk heel ingewikkeld en tijdrovend.” Organisaties gaan steeds meer tijd besteden aan het verantwoorden van hun risicobeheersing, terwijl dat niet betekent dat ze beter met risico’s omgaan.´

Naast de interne druk zijn er vele externe ontwikkelingen met bijbehorende onzekerheden. “Die kunnen een forse impact hebben op bijvoorbeeld de financiële situatie van organisaties. Denk aan geopolitieke ontwikkelingen, nieuwe wet- en regelgeving of de aanhoudende stroom van cyberaanvallen.”

“Risk en compliance lijken wel aan elkaar vastgeketend, maar effectief omgaan met risico’s is zoveel meer dan voldoen aan wet- en regelgeving.”

De VOR: een gemiste kans?
Met de introductie van de Verklaring Omtrent Risicobeheersing (VOR) vanaf 2025 hoopt men organisaties te helpen bij het effectief managen van risico’s. Van Staveren heeft hier gerede twijfels over, op basis van het voorstel van de zogenoemde ‘schragende partijen’, de partijen die de Corporate Governance Code ondersteunen (VNO-NCW, VEUO, Eumedion, VEB, CNV en Euronext.) “Zo richt de VOR zich slechts op de 4 soorten ‘COSO-risico’s’, waaronder de compliance risico’s. Wat te doen met cyberrisico’s of klimaatrisico’s? Daarbij hoeft er gek genoeg geen verantwoording te worden afgelegd over de strategische risico’s, terwijl die meestal wel de grootste gevolgen hebben.”

Daarnaast stelt hij dat er geen zekerheid hoeft te worden gegeven over het gedrag van medewerkers. “Nu is dit laatste natuurlijk uitermate lastig. Maar aspecten als de ‘tone at the top’ en de mate van sociale veiligheid binnen de organisatie zijn wel in hoge mate bepalend voor de wijze waarop met risico’s wordt omgegaan.”

De focus van de VOR – en breder nog, de hele Corporate Governance Code – ligt nu vooral op risicobeheerssystemen. Maar volgens Van Staveren is dat een te eenzijdige benadering. “De ervaring heeft inmiddels wel geleerd dat effectief risicomanagement veel meer vraagt dan louter beheerssystemen.”

Van beheersystemen naar risicoleiderschap
Van Staveren pleit voor een fundamentele verandering in de benadering van risicomanagement: persoonlijk risicoleiderschap. Voordat hij hier dieper op ingaat, maakt hij eerst helder wat hij onder de ‘traditionele benadering’ verstaat: “Het gebruikelijke, instrumentele risicomanagement, dat met kwantificering, modellen en vaak ingewikkelde ‘heatmaps’ met waarschijnlijkheden en gevolgen risico’s probeert te temmen.” Het verbaast hem dat in managementland al jarenlang het verschil tussen managers en leiders wordt benadrukt, terwijl in risicomanagementland de discussie zich vrijwel uitsluitend richt op risicomanagers. “Waar zijn de risicoleiders? Dit bleek een vraag die ook wereldwijd nog niet beantwoord was. Op basis van literatuur en hedendaagse organisatieontwikkelingen heb ik een risicoleider gedefinieerd als iemand die doelgericht durft om te gaan met onzekerheden, risico’s en kansen.”

“Actueel risicomanagement vraagt persoonlijk risicoleiderschap van iedereen in de organisatie. Als het goed is, draagt immers iedereen bij aan de doelen.”  

Volgens Van Staveren is persoonlijk risicoleiderschap cruciaal in actueel risicomanagement, juist vanwege complexe vraagstukken zonder eenduidige oplossingen. Volgens hem is er een aantal onmisbare vaardigheden voor persoonlijk risicoleiderschap. Deze zijn onder andere:

1. Onzekerheden toelaten en ze durven zien en benoemen
2. Keuzes maken over welke maatregelen al dan niet te nemen
3. Vragen stellen, bijvoorbeeld om perceptieverschillen en de mate van risicobereidheid helder te krijgen

Van Staveren benadrukt dat persoonlijk risicoleiderschap niet per se een formele leidinggevende functie vereist. “Actueel risicomanagement vraagt persoonlijk risicoleiderschap van iedereen in de organisatie. Als het goed is, draagt immers iedereen in een organisatie bij aan doelen, in de breedste betekenis van het woord en op allerlei niveaus.”

Wicked problems herkennen en aanpakken
Veel vraagstukken waar organisaties (en dus ook accountants en financials) mee te maken hebben, zijn wat Van Staveren ‘wicked problems’ of wilde vraagstukken noemt. Dergelijke kwesties zijn volgens hem complex, nooit volledig te begrijpen, niet betrouwbaar te kwantificeren en daarmee inherent onvoorspelbaar. Traditionele risicomodellen, zoals risicomatrices waarin soms wel tien klassen voor waarschijnlijkheden en gevolgen worden gehanteerd, bieden hierbij volgens hem geen uitkomst.

“Een eerste, fundamentele stap is het herkennen en erkennen van dergelijke wilde vraagstukken in de organisatie. Die vragen namelijk andere vormen van risicomanagement dan hun tegenhangers, de zogenoemde tamme vraagstukken. Dit zijn vaak vooral financiële of technische kwesties met heldere oorzaak-gevolgrelaties en eenduidige oplossingen.”

Hij benadrukt dat het niet alleen gaat om het herkennen van deze wilde vraagstukken, maar om als volgende stap ze ook daadwerkelijk anders aan te pakken. “Bijvoorbeeld met risicodialogen en door het ontwikkelen van resilience of veerkracht. Denk hierbij ook aan schijnbaar ouderwetse benaderingen, zoals wat extra liquide middelen en voorraden achter de hand houden, voor als zich onvoorziene situaties voordoen. Want die blijven zich gewoon voordoen, die zekerheid kan ik wel geven.”

Bewustwording als eerste stap
Wat kunnen accountants en financials direct doen om persoonlijk risicoleiderschap te ontwikkelen? Van Staveren benadrukt het belang van bewustwording. “Erken dat niet alle onzekerheden en daaruit volgende risico’s kunnen worden beheerst met risicobeheersings- en controlesystemen, terwijl bijvoorbeeld bestuurders, toezichthouders en de samenleving daar wel vaak vanuit gaan,” licht hij toe. “Zie bijvoorbeeld de Corporate Governance Code, dat leidt tot overmatig ingewikkeld risicomanagement en genoemde doorgeschoten compliance. Realiseer je dat het doelgericht omgaan met onzekerheden soms ook kan betekenen dat een risico het beste kan worden geaccepteerd en leg dat uit aan je omgeving.”

“Risicomanagement is makkelijk ingewikkeld te maken; terugbrengen tot de essentie is veel lastiger.” 

De toekomst: risicogestuurd werken
Volgens Van Staveren zou risicomanagement een integraal én expliciet onderdeel van finance en corporate governance moeten worden, in plaats van iets dat erbuiten staat. Dit geldt ook voor risicomanagement in alle andere onderdelen en disciplines van de organisatie. “Ik noem dit risicogestuurd werken, waarbij ik de ‘m’ van management op z’n kop zet en je zo de ‘w’ van werken krijgt. Daarnaast is het natuurlijk razend interessant om met elkaar uit te vinden hoe AI ons kan helpen met het effectief omgaan met risico’s en kansen. Uiteraard op een verantwoorde wijze. Ik doel hier nadrukkelijk niet op het type systemen dat in de Toeslagenaffaire is ontaard.”

Daarbij benadrukt hij dat hij ervan overtuigd is dat voorlopig de factor mens van groot belang blijft. “Accountants en financials spelen een belangrijke rol om bij de wilde vraagstukken op een realistische en proportionele manier om te gaan met onzekerheden, risico’s en kansen. Bijvoorbeeld door het blijven stellen van vragen.”

Start met eenvoud
Van Staveren onderstreept het belang van eenvoud te midden van complexe vraagstukken: “Complexiteit vraagt om starten met eenvoud. Risicomanagement is makkelijk ingewikkeld te maken; terugbrengen tot de essentie is veel lastiger. In feite kun je het terugbrengen tot drie DOD-vragen: wat is ons Doel?, wat is daarbij Onzeker?, wat is daaraan al dan niet te Doen? Hier heb ik zelf 15 jaar voor nodig gehad. Want zoals de onze nationale voetbalfilosoof al jaren geleden stelde: ‘Je ziet het pas als je het doorhebt…’.”

Benieuwd hoe je actueel risicomanagement in jouw organisatie effectief kunt toepassen? Meld je dan aan voor de eendaagse, interactieve cursus Actueel Risicomanagement, verzorgd door Martin van Staveren bij de Sijthoff Accountants Academy. Verzeker je vandaag van een plek.