Risicobeheer blijft fragmentarisch, nut ERM betwijfeld

Ondernemingen boeken vooruitgang bij het implementeren van holistisch risicomanagement – maar vaak blijft het een ad hoc aandachtsgebied.

En dat geldt niet alleen voor het MKB.

51% van grote (omzet > $1 miljard) zowel beursgenoteerde als private ondernemingen en not-for-profits in de VS hebben ‘complete’ en formele  enterprise risk management (ERM) programma’s geïmplementeerd, zo stellen AICPA en North Carolina State University in een gezamenlijk rapport vast. Om tot die conclusie te komen ondervroegen zij een representatieve steekproef  van ruim 400 CFO’s.

Dat percentage geeft een prijzenswaardige stijging weer ten opzichte van eerder gevonden resultaten – in 2009 ging het nog maar om 32% van de beursgenoteerde en 24% van de overige ondernemingen. Een van de aanjagers van deze toename is de regelgeving van de SEC, die vanaf 2010 rapportage over risicobeheer verplicht stelde. 

Een kwart van de ondernemingen in de steekproef blijkt dezer dagen een formele ERM-functie te kennen ( in 2009 was dat nog maar 9%). Not-for-profits lopen wat dit betreft achter, met 17%.

Met de mond belijdt het gros van de organisaties het belang van een degelijk risicomanagementbeleid. En steeds meer noemen het ook een bedrijfsmatige prioriteit. Vaak hebben ze een Chief Risk Officer benoemd, en kennen ze commissies in de Board die speciaal moeten letten op strategische risico’s – maar toch blijft er een onrustbarend percentage over, dat zegt dat ze wel andere dingen aan hun hoofd hebben dan ‘ERM’.

Slechts een minderheid zal de inspanningen van de organisatie echt ‘enterprise wide’ durven noemen. Toch zegt 57% van de respondenten dat die risico’s de afgelopen jaren alleen maar groter zijn geworden, net als de eventuele gevolgen ervan. Maar een fors deel erkent ze alleen op detailniveau, en velen zien de zin en waarde van ERM niet echt. 

Bovendien heeft 46% er het geld niet voor. 44% verklaart dat er andere prioriteiten zijn, 34% betwijfelt eerlijk gezegd de toegevoegde waarde. Daarom bestaat ERM bij veel organisaties niet echt:

  • 47% zegt dat ze een andere oplossing hebben voor de mitigering van risico’s
  • 31% rapporteert dat er nooit van hogerhand gevraagd is om iets met ERM te doen
  • En ook 31% heeft wel ‘wat beters te doen’
  • 23% zegt dat er niemand is die ERM zou kunnen oppakken
  • 17% denkt dat de eventuele baten niet zouden opwegen tegen de kosten.

Het is duidelijk dat er nog (te) weinig de koppeling gelegd wordt tussen  ERM, strategie en control, concludeert het American Institute of CPA’s. Meer dan de helft van de CFO’s ziet dat verband nog helemaal niet…

Journalofaccountancy.

 

Gerelateerde artikelen