RSS logo
Home > Our services > Management Consulting > Bestuurlijk risicoprofiel

MazarsOnline

Accountancy

Tax Services

Management Consulting


Transactions Services

Outsourcing

HR Services

Country Desks

Mazars University

Recently visited pages

Bestuurlijk risicoprofiel

Een bestuurlijk risicoprofiel heeft twee belangrijke functies.
Ten eerste is het een krachtig communicatiemiddel tussen de raad van toezicht en de raad van bestuur over de (met name strategische) risico´s waaraan de organisatie blootstaat.
Ten tweede is het bestuurlijk risicoprofiel een compact en krachtig stuur- en coördinatie instrument voor de raad van bestuur en het topmanagement van de organisatie.

Communicatiemiddel tussen de raad van bestuur en de raad van toezicht

In navolging van de Corporate Governancecode ´Tabaksblat´ voor beursgenoteerde vennootschappen in Nederland, hebben verschillende sectoren hun eigen Governancecodes ontwikkeld. Zo zijn er codes voor culturele instellingen, hoge scholen, de gezondheidszorg en woningbouw corporaties. Sleutelwoorden in de Governancecodes zijn transparantie, maatschappelijke verantwoording en controle.

In de Zorgbrede Governancecode lezen we:

Artikel 2.1.3 (taak en werkwijze)
De Raad van Bestuur is verantwoordelijk voor het beheersen van de risico’s verbonden aan de activiteiten van de zorgorganisatie en voor de financiering van de zorgorganisatie. De Raad van Bestuur rapporteert hierover aan en bespreekt de interne risicobeheersings- en controlesystemen met de Raad van Toezicht.

Artikel 3.1.1 (taak en werkwijze):
De Raad van Toezicht heeft tot taak toezicht te houden op het besturen door de Raad van Bestuur en op de algemene gang van zaken in de zorgorganisatie. In dit kader bewaakt de Raad van Toezicht c.q. houdt deze toezicht op tenminste:

  • de realisatie van de doelstellingen van de zorgorganisatie;
  • de strategie en de risico’s verbonden aan de activiteiten van de zorgorganisatie;
  • de opzet en werking van de interne risicobeheersings- en controlesystemen;
  • de financiële verslaglegging;
  • de naleving van wet- en regelgeving;
  • het als zorgorganisatie op passende wijze uitvoering geven aan het zijn van een zorgonderneming met een bijzondere maatschappelijke verantwoordelijkheid.

Overige codes hebben soortgelijke artikelen met een zelfde strekking.

Hoewel het naleven van deze codes niet wettelijk verplicht is, geldt wel de zienswijze: ´pas toe, of leg uit´. Zolang het goed gaat is er niets aan de hand, maar als zich onverwacht toch calamiteiten voordoen is het ontbreken van een bestuurlijk risicoprofiel, al resultaat van het continu en systematisch opgezet risicobeheersings- en controle systeem zoals benoemd in de Governancecodes, uiteraard geen pré.

Het risicobeheersings- en controlesysteem hoeft niet van scratch af te worden ontwikkeld. Er zijn verschillende internationale standaarden waarbij kan worden aangesloten. Zoals bij het Enterprise Risk Management Integrated Framework van COSO (afgekort tot ERM). Het ERM wordt meer en meer gezien als dé defacto standaard voor een risicobeheersings- en controle systeem zoals bedoeld in de Governancecodes. Het Framework biedt de kapstok om de risico´s die (strategische) doelstellingen zouden kunnen bedreigen, te identificeren, op hun zwaarte in te schatten en terug te brengen tot een acceptabel risiconiveau. Wat acceptabel is wordt bepaald door de raad van bestuur.
Een bestuurlijk risicoprofiel is het resultaat van een zogenaamde ´Risk Self Assessment (RSA)´, een workshop met de raad van bestuur en het topmanagement van de organisatie (veelal MT-leden).
In deze workshop wordt een inventarisatie van risico´s gemaakt en wordt de collectieve visie van de top van het bedrijf op de risico´s en de daarbij te treffen beheersmaatregelen vastgesteld. Essentieel is dat hierbij over de competenties en deelverantwoordelijkheden binnen de organisatie wordt heen gestapt. Het strategisch bestuurlijk risicoprofiel geeft prioriteiten in het geheel van risico´s aan. Het is de basis voor optimalisatie van bestaande procedures en maatregelen. Het maakt transparant hoe met risico´s effectief en efficiënt wordt omgegaan.

Een strategisch risicoprofiel gaat met name in op risico´s die de organisatie van buiten bedreigen.
Is er sprake van nieuwe toetreders in de markt, zijn de producten en diensten van de organisatie eenvoudig te vervangen door substituut-producten? Zijn we nog wel de klant georiënteerde organisatie die we altijd waren? Of zijn we ongemerkt meer en meer een productieorganisatie geworden en zijn we ongemerkt vervreemd van onze klanten? Hoe staat het met onze reputatie en hoe tevreden zijn onze klanten over ons?

Stuur- en coördinatie instrument voor de bestuurder en het topmanagement

Bestuurders en directies worden geconfronteerd met een bedrijfsvoering die steeds dynamischer en meer complex wordt. Voornamelijk wordt dit veroorzaakt door veranderingen in de markt, door technologische ontwikkelingen en zeker ook door veranderende wet- en regelgeving. Toezichthouders en stakeholders van ondernemingen stellen eisen aan de verantwoording over de bedrijfsvoering. Het gevolg is dat nieuwe eisen aan de bedrijfsvoering worden gesteld en nieuwe risico´s zich aandienen waarop geanticipeerd moet worden. Veelal door het treffen van maatregelen in de organisatie en in informatiesystemen. Inmiddels dienen zich hierdoor nieuwe organisatievraagstukken aan en al gauw dreigt inefficiëntie. Maatregelen worden veelal gericht op een thema dat op een gegeven moment in de belangstelling staat. Hierdoor is al gauw sprake van een soort van ad hoc benadering.

Bijkomend verschijnsel is dat voor dit soort ontwikkelingen al gauw een beroep dient te worden gedaan op een specialist. Iedere specialist richt zich uiteraard op dat gebied waartoe zijn expertise zich uitstrekt. Sterker, beroepsregels vereisen dat vaak ook. Het gevolg is dat bestuurders en directies, meestal generalisten, geconfronteerd worden met specialisten die zich op deelgebieden richten. Suboptimalisatie en doublures in maatregelen en controlesystemen dreigen. Dit in combinatie met traditionele verdeling in competentiegebieden binnen de eigenorganisatie en interne politieke (deel)belangen ten aanzien van risico´s en maatregelen, maakt het onderkennen van de juiste risico´s en effectieve maatregelen vaak minder eenvoudig.

Enterprise Risk Management (ERM) geeft een handreiking om suboptimalisatie terug te dringen en geeft bestuur en directie de mogelijkheid om het overzicht over risico´s en maatregelen te houden en de organisatie hiertoe efficiënt in te richten.

De dubbelrol van het bestuurlijk risicoprofiel

Voor rapportage en toezicht is het bestuurlijk risicoprofiel een adequaat instrument om te kunnen voldoen aan de eisen zoals gesteld in de verschillende Governance codes.
Het fungeert als communicatiemiddel tussen de raad van toezicht en raad van bestuur én als stuur- en coördinatie instrument voor raad van bestuur en het management van de organisatie.
Deze dubbelrol en de verbintenis met de managementprocessen van de organisatie komen de kwaliteit en de actualiteit van het bestuurlijk risicoprofiel ten goede.

Het bestuurlijk risicoprofiel is qua presentatie managementinformatie in zijn zuiverste vorm.
Via kleurcoderingen is op één A4 in een oogopslag te zien waar de echte voetangels en klemmen in de organisatie zitten en aan welke oplossingen kan worden gedacht.

U vindt hier een voorbeeld van een risicoprofiel voor de sector verpleging en verzorging in de Gezondheidszorg (pdf, 66kb).

Enkele voordelen van Risicomanagement

Door structureel op risico´s te anticiperen kunt u veel bereiken. Een paar voorbeelden op strategisch niveau:

  1. De toekomst brengt onzekerheden en dús risico´s en kansen met zich mee. De ondernemer die hier slimmer mee omgaat dan zijn concurrenten is in het voordeel;
  2. Hoe meer risico´s kunnen worden beheerst, hoe meer ruimte ontstaat om meer en andere risico´s te nemen. Het resultaat hiervan is meer winst door toenemende effectiviteit van investeringen;
  3. De uitkomsten van de risicoanalyse geven aanknopingspunten voor inrichting en aansturing van de interne controle- en compliancefunctie;
  4. Rationele besluitvorming dankzij betere informatie over de onderliggende risico´s;
  5. Compliance met wet- en regelgeving en uiteindelijk meer comfort in besluitvorming.

Maar ook op operationeel niveau zijn vele voordelen te behalen:

  1. Betrouwbare, stabiele en goed beveiligde informatievoorziening;
  2. Efficiënte en effectieve interne beheersing;
  3. ERM ondersteunt de planning en coördinatieactiviteiten van compliance- en IA officers;
  4. Er doen zich minder verrassingen en crises voor;
  5. Betrouwbare rapportages.

Voorbeelden van concrete resultaten van de Risicomanagemen cyclus zijn:

  • Risicostrategie- en beleidsnotitie
  • Bestuurlijk-strategische en uitvoerende risicoprofielen
  • Risicocontrolematrix
  • Een goed tegen risico´s beschermde organisatie
  • Audit rapport met statusrapportage risico´s
  • Managementinformatie en risicomanagement tools

Contact

For questions or observations please contact

Jan Matto

Jan Matto

Partner
+31 (0)88 277 13 99

Walfried van Egeraat

Walfried van Egeraat

Partner
+31(0)88 277 20 90

Brochure

Brochure Management Consultants

Mazars Management Consultants