Belangrijke rol internal auditor in risicomanagement

28 april 2010

Risicomanagement is een middel dat vaak tot doel wordt verheven en is dan vaak technocratisch. Handboeken omschrijven wat er wanneer moet gebeuren, zoals het regelmatig ijken van het risicoprofiel van de organisatie en het rapporteren over de uitkomsten. Zoals uit de praktijk en uit het onderzoek ‘Risicomanagement in tijden van crisis' blijkt, is dit geen garantie voor adequaat risicomanagement. Zo hoeven niet de juiste risico's gerapporteerd te worden en al worden ze juist gerapporteerd, dan betekent dat niet dat de juiste respons gekozen wordt door management. Onderzoekers van de Rijksuniversiteit Groningen, Nyenrode, NIVRA en PricewaterhouseCoopers kunnen zich niet aan de indruk onttrekken dat risicomanagement meer als schaamlap functioneert dan dat het is doorgevoerd en ingebed in de bedrijfsvoering. Zij vroegen bijna honderd respondenten in het onderzoek de kwaliteit van hun risicomanagement van een schoolcijfer te voorzien; gemiddeld gaven zij zich een 6,5. Op grond van de ingevulde surveys waardeerden de onderzoekers veel lager: een 4,5.


De principes voor risicomanagement die de onderzoekers hanteerden zijn:
1. Periodiciteit. Een subsantieel deel van de respondenten voert risicoanalyses niet of slechts éénmaal per jaar uit. Hetzelfde geldt voor het intern rapporteren over risico's.
2. Integraal karakter. Ook over de vraag met welke diepgang en breedte risico's worden geïnventariseerd, zijn de resultaten niet hoopgevend. Integrale analyses – voor zowel strategische, operationele, financiële als compliancerisico's – komen zeer beperkt voor. Dit geldt ook voor de integrale ‘in control'-verklaring.
3. Bedrijfsbrede benadering. De betrokkenheid van verscheidene managementlagen bij risicoanalyses en het afgeven van een ‘in control'-verklaring is voor verbetering vatbaar. Vaak blijft het beperkt tot de top en worden lagere echelons niet of onvoldoende betrokken.
4. Proactiviteit. De momenten waarop risico's worden geïnventariseerd scoren mager. Het gebeurt spaarzaam bij belangrijke – strategische – beslissingen of bijzondere gebeurtenissen en/of incidenten. Dit wordt bevestigd door het lage aantal organisaties dat het risicoprofiel heeft herzien naar aanleiding van de huidige crisis. Ook de lage score (minder dan de helft) voor bespreking van de risico's met Audit Commissie/raad van commissarissen is symptomatisch.
5. Expliciete karakter. Risicotolerantie blijft lastig; slechts een klein deel van de respondenten heeft dit bepaald en slechts zelden gekwantificeerd.
6. Gestructureerd. Het overgrote deel van de respondenten heeft geen risicoraamwerk zoals COSO in gebruik. De meer traditionele beheersinstrumenten zoals Handboeken AO/IC hebben de overhand en die worden vrij goed gewaardeerd. Sommige beheersmaatregelen zoals scenarioplanning, ‘business continuity planning' en ‘key risk indicators' worden nauwelijks gebruikt.
7. Coördinatie. Risicomanagement lijkt vooral het domein te zijn van de financiële functies, aangezien in een ruime meerderheid van de gevallen zij als coördinator optreden. Het gebruik van software om risico's te managen, staat nog in de kinderschoenen.
8. Rapportages. Externe rapportages over risicomanagement laten te wensen over. Risicomanagement is pas effectief als het leidt tot actie. Daarom is het ook verwonderlijk dat in veel gevallen niet wordt gerapporteerd over verbeteracties.
De internal auditor heeft een duidelijke kerntaak: het beoordelen en het geven van zekerheid over de toepassing van risicomanagement. Daarnaast zijn er diverse rollen mogelijk, mits wordt gezorgd dat de onafhankelijkheid van de auditor niet in gevaar komt, zoals:

  • het helpen faciliteren van het identificeren en evalueren van risico's;

  • het coachen van management in het reageren op onderkende risico's;

  • het coördineren van bepaalde risicomanagementactiviteiten;

  • het (helpen) consolideren van risicorapportages;

  • het onderhouden en ontwikkelen van het risicomanagementraamwerk van de organisatie;

  • het vervullen van een voortrekkersrol bij het invoeren van risicomanagement in de organisatie;

  • het voorbereiden van de risicomanagementstrategie, die vervolgens dient te worden goedgekeurd door het topmanagement.

De belangrijkste boodschap is dat duidelijk moet zijn dat het management zelf eindverantwoordelijk blijft. Binnen die marges is er meer dan voldoende werk te doen en gezien de resultaten van het onderzoek is het meer dan wenselijk dat ook de internal auditor de handen uit de mouwen steekt.

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *