Risk management & internal control

Activiteiten die een belangrijke bijdrage leveren aan het waarborgen van de geloofwaardigheid van bestuurders en daarmee van de organisatie als geheel zijn risicomanagement en, in het verlengde daarvan, interne controle.

Risicomanagement en interne controle gaan in principe uit van de in de onderneming genomen beslissingen met betrekking tot de missie, visie en strategie en de daarbij tot uitdrukking komende wens om in meer of mindere mate risico's te nemen en te aanvaarden. De problematiek kan daarbij onderscheiden worden:

  • naar verschillende niveaus in de organisatie (concerntop, business unit, bedrijfsonderdeel);
  • naar de onderscheiden doelstellingen (strategisch, operationeel, verslaggeving en wet- en regelgeving);
  • naar de verschillende activiteiten of onderdelen van het risicomanagementsysteem (interne omgeving, doelbepaling, identificatie van gebeurtenissen, risicoanalyse, risicobehandeling, beheersingsactiviteiten, informatie en communicatie en bewaking).

Vooral het bestuur van een onderneming heeft een grote invloed op de risicocultuur in de onderneming en geeft dat vorm door een manier van aansturen (stellen van doelen, termijnen, beschikbaar stellen van middelen, belonen, etc.). Risicomanagement en interne controle systemen die onvoldoende aansluiten op de hiervoor geschetste context kunnen op termijn niet effectief zijn. Daarnaast geldt dat de verschillende componenten van risicomanagement in interne controle ook onderling consistent en consequent op elkaar moeten zijn afgestemd.

Daarnaast geldt dat er verschillende factoren zijn te onderkennen die samenhangen met de historie van een onderneming, branchekenmerken, de omvang en geografische spreiding van een organisatie en specifieke wet- en regelgeving voor bepaalde ondernemingen (beursgenoteerde ondernemingen, financiële instellingen, etc.)

De begrippen risico's en interne controle krijgen in het kader van corporate governance en compliance een bijzondere betekenis voor de onderneming. Zij zijn niet langer een normale voorwaarde voor succesvol ondernemerschap, maar de aantoonbare kwaliteit ervan wordt in toenemende mate een voorwaarde voor behoud van de zogenoemde 'license to operate'. Van een moderne controller mag verwacht worden dat hij niet alleen in staat is kwalitatief goed risicomanagement en interne controle te definiëren, maar deze ook in te richten, te doen functioneren en te beoordelen en er daarbij tevens voor te zorgen dat het bestaan en de effectieve werking ook aan derden kan worden aangetoond.