Wat maakt het verschil tussen een rapportage die in de spreekwoordelijke lade verdwijnt en een rapportage die discussie en actie uitlokt? Vijf tips om risicorapportages relevanter, interessanter en leesbaarder te maken.

Tip 1: Link de risico’s aan de doelen van de organisatie

Ik kom in de praktijk nog vaak risicorapportages tegen die gebaseerd zijn op een door Risk opgestelde risicotaxonomie, in plaats van de strategische doelen van de organisatie. De rapportage begint dan bijvoorbeeld met het onderscheid tussen financiële en niet-financiële risico’s en beide categorieën worden in de rapportage verder onderverdeeld (renterisico, valutarisico, etc.) en uitgebreid toegelicht. Het resultaat: een lijvig document met een droge opsomming van risico’s. Terwijl bestuurders, die toch al weinig tijd hebben, juist behoefte hebben aan een beknopt overzicht en antwoorden op de volgende vragen:

• Wat kan het realiseren van de (strategische) doelstellingen op korte en lange termijn in gevaar brengen?

• Welke managementacties zijn eventueel nodig om deze risico’s te verkleinen?

Mogelijke verbeteracties:

• Leg een duidelijk verband tussen de risico’s en de (strategische) doelstellingen van de organisatie. Prioriteer daarbij de risico’s op basis van kans en impact;

• Gebruik zoveel mogelijk KRI’s om de ontwikkeling van risico’s zichtbaar te maken;

• Onderbouw waarom eventueel aanvullende management acties noodzakelijk zijn en formuleer deze zo SMART mogelijk, liefst met een indicatie van de kosten en de benodigde implementatietijd.

  
  

Tip 2: Geef een vooruitblik, niet alleen een terugblik

Veel risicorapportages laten uitsluitend historische data zien. Bijvoorbeeld, hoe het renterisico zich heeft ontwikkeld in de afgelopen maanden of hoeveel datalekken er zijn geweest in de afgelopen kwartalen. Besturen is echter vooruitzien. Typische vragen zijn in dat verband: welke veranderingen in de interne of externe omgeving kunnen bepaalde risico’s vergroten? Hoe gevoelig is de organisatie voor deze veranderingen?

Een terugblik met betrekking tot de ontwikkeling van de risico’s heeft zeker een functie. Het laat namelijk zien of de beheersmaatregelen effectief waren om de risico’s binnen de bestuurlijk vastgestelde limieten of doelstellingen (risicobereidheid) te houden.

Om de risicorapportage nog meer relevant te maken is het echter van belang om ook toekomstgerichte inzichten aan de rapportage toe te voegen.

Mogelijke verbeteracties:

• Beschrijf/analyseer de interne en externe ontwikkelingen die relevant kunnen zijn voor het (toekomstig) risicoprofiel van de organisatie. Bijvoorbeeld, voor een zorgverzekeraar maakte ik, samen met andere afdelingen, een analyse van de te verwachten ontwikkelingen op het gebied van de (wettelijke) zorgplicht, de effectiviteit van de bestaande beheersmaatregelen en welke mogelijke impact er te verwachten zou zijn;

• Introduceer “early warning” indicatoren die aangeven of de kans groter wordt dat een bepaalde ontwikkeling of risico zich zal voordoen, of dat de effectiviteit van bepaalde beheersmaatregelen zal kunnen verminderen;

• Voeg eventueel scenario-analyses en/of stress-tests toe in de rapportage. Dit kan de organisatie helpen om zich voor te bereiden op bepaalde (risico) gebeurtenissen.

Tip 3: Wees neutraal, feitelijk en onderbouw stellingen en aanbevelingen

Risicorapportages stellen soms of vaak zaken aan de orde die bestuurders liever niet zwart op wit zien. Bijvoorbeeld over voortdurende tekortkomingen in de risicobeheersing. Of het structureel overschrijden van de met commissarissen afgesproken risicobereidheid. Als opsteller van de risicorapportage is het belangrijk om juist in die situaties neutraal en feitelijk te blijven en eventuele stellingen of aanbevelingen goed te onderbouwen. Dit voorkomt dat de rapportage bestuurlijk terzijde wordt geschoven omdat de rapportage “niet concreet genoeg” is of, erger, de “feiten niet kloppen”.

Mogelijke verbeteracties:

• Wees zo concreet mogelijk in het taalgebruik. Bijvoorbeeld, voorkom zinnen als “de risicolimiet wordt regelmatig zonder goedkeuring overschreden”, of “het aantal ineffectieve controls is structureel veel te hoog”. Gebruik in plaats daarvan zinnen als “in het afgelopen kwartaal is de limiet voor het valutarisico 15 maal overschreden waarbij in 13 gevallen geen goedkeuring is gevraagd of verkregen” en “het aantal ineffectieve controls ligt in de afgelopen 4 kwartalen boven de 60%”;

• Onderbouw eventuele aanbevelingen en maak duidelijk hoe die het risico kunnen verkleinen. Tip: stem aanbevelingen daarbij zoveel mogelijk van tevoren af met de verantwoordelijk bestuurder of manager. Maak in de rapportage eventueel duidelijk als daarover er geen overeenstemming bestaat.

Tip 4: Maak gebruik van “hooks”

Het klinkt veel risicomanagers raar in de oren als ik ze vertel dat ze in de risicorapportage meer gebruik moeten maken van “hooks” om de rapportage interessanter te maken. Een “hook” is een element dat de aandacht van de lezer trekt. Het is bedoeld om de nieuwsgierigheid op te wekken en ervoor te zorgen dat mensen verder willen lezen.

Een “hook” kan bijvoorbeeld een verrassende statistiek zijn of een onbekend feit. Vaak kun je bruikbare “hooks” vinden in de rapportages van de business (divisies, BU’s etc.) of andere stafafdelingen. Zo had ik voor een organisatie, die kampte met fikse personeelstekorten (risico) en dat in verband bracht met de krappe arbeidsmarkt, uitgezocht dat het aantal sollicitanten op het aantal vacatures een factor tien(!) bedroeg. Het gevolg: een discussie of de oorzaak van de personeelstekorten niet een “krappe” arbeidsmarkt was, maar wellicht het wervingsproces of de selectiecriteria. Het gaf de directie een nieuw en beter handelingsperspectief.

Het gebruik van “hooks” maakt dat bestuurders een risicorapportage met meer dan gemiddelde belangstelling gaan lezen. Zorg dat de “hooks” wel relevant zijn en niet alleen werken als goedkope “clickbait”.

Mogelijke verbeteracties:

• Gebruik “hooks” aan het begin van een hoofdstuk, sectie of paragraaf;

• Gebruik alleen “hooks” die betrekking hebben op de toprisico’s en de belangrijkste (strategische) doelstellingen;

Tip 5: Gebruik een gemakkelijk leesbaar presentatie format

Veel bestuursleden geven de voorkeur aan het lezen van rapportages in een presentatie format. Een risicorapportage in Word roept dan onnodige weerstand op. Het opstellen van een rapportage in PowerPoint heeft nog een ander voordeel. Het noodzaakt de opstellers bijna automatisch tot het prioriteren van de informatie en de eventuele aanbevelingen. Kom daarbij niet in de verleiding om een rapportage met 50 slides en lettergrootte 8 aan te leveren. Zie het als een uitdaging om de rapportage kort en krachtig te maken. “In de beperking toont zich de meester”, zei Goethe al.

Mogelijke verbeteracties:

• Gebruik visuele hulpmiddelen zoals dashboards en heatmaps om de risico’s en de beheersing daarvan beknopt, overzichtelijk en duidelijk te presenteren. Veel bestuurders zien graag een top 3, 5 of 10 van de belangrijkste risico’s;

• Beperk het aantal slides. Ik probeer een risicorapportage voor de Board meestal te beperken tot ca. 10 slides. N.B. de (interne) risicorapportage voor de C(F)RO zal doorgaans uitgebreider zijn dan die voor de Executive of Supervisory Board;

• Begin met een executive summary waarin de belangrijkste risico’s en aanbevelingen duidelijk worden gepresenteerd, zodat bestuurders snel de kern van het rapport kunnen begrijpen.

• Vermijd zoveel mogelijk technisch jargon. Voeg eventueel een bijlage toe met een begrippenlijst of toelichting.

Een risicorapportage is een belangrijk hulpmiddel voor bestuurders om het realiseren van doelstellingen en de continuïteit van de organisatie te bewaken en, indien nodig, tijdig bij te sturen. Met behulp van de bovenstaande tips kunnen risicorapportages relevanter, interessanter en leesbaarder worden gemaakt en daardoor meer bijdragen aan het succes van de organisatie.