De Risicoverklaring: Van Papieren Tijger naar Echte Verantwoordelijkheid

haisma@succesmanagement.nl

De Risicoverklaring: Van Papieren Tijger naar Echte Verantwoordelijkheid

In mijn werk als adviseur voor directies en besturen zie ik vaak een hardnekkig probleem: risicomanagement blijft te vrijblijvend. Processen zijn er wel, maar de échte, doorleefde verantwoordelijkheid ontbreekt. Een instrument dat ik in de praktijk inzet om dit te doorbreken, is de risicoverklaring.

Waarschijnlijk fronst u nu de wenkbrauwen. Een risicoverklaring? Dit instrument is in Nederland nog relatief onbekend, en dat is een gemiste kans. Een goed geïmplementeerde risicoverklaring kan namelijk een enorme impuls geven aan het risicobewustzijn en de daadwerkelijke beheersing van risico’s binnen een organisatie.

Wat is een Risicoverklaring Precies?

Stel u een eenvoudig A4-document voor. Op dit document geeft een manager van een afdeling, proces of project expliciet aan dat de opgesomde risico’s een juist en volledig beeld geven van de risico’s waarvoor hij of zij verantwoordelijk is.

De kern van de verklaring zit in de bekrachtiging: de manager plaatst een persoonlijke handtekening en verklaart dat het document naar eer en geweten is opgesteld. Dit gebeurt op basis van de kennis die hij of zij redelijkerwijs zou moeten hebben. Het is geen administratieve afvinkoefening, maar een persoonlijke committering.

De Oorsprong: Een Les uit het Enron-schandaal

De risicoverklaring is niet uit de lucht komen vallen. De oorsprong ligt bij een van de grootste bedrijfsschandalen uit de recente geschiedenis: de ondergang van het Amerikaanse energiebedrijf Enron. Het bedrijf verzweeg stelselmatig enorme risico’s in de jaarrekening. Zo werd geld uit de pensioenkas gebruikt voor risicovolle investeringen, wat uiteindelijk leidde tot het faillissement van het bedrijf en het verlies van de pensioenen van 2,2 miljoen (oud-)medewerkers.

Dit soort fraude was niet nieuw, maar de schaal en de impact waren een keerpunt. Voorheen kwamen bedrijven weg met een boete die uit de bedrijfskas werd betaald. De senatoren Sarbanes en Oxley introduceerden echter wetgeving (bekend als de SOX-wet) die dit voorgoed veranderde. De belangrijkste vernieuwing: bestuurders werden persoonlijk aansprakelijk.

Vanaf dat moment moesten boetes uit het privévermogen van de bestuurder worden betaald. Bovendien werden er zware gevangenisstraffen ingevoerd voor het bewust verzwijgen van relevante risico’s. De CEO van Enron kreeg destijds een celstraf van ruim 24 jaar.

Hoe Werkt dit in de Praktijk?

Deze SOX-wetgeving zorgde voor een cultuurschok. Bestuurders van Amerikaanse beursgenoteerde bedrijven hadden er plotseling een direct en persoonlijk belang bij dat hun risicomanagement waterdicht was. Niemand wil immers zijn privévermogen verspelen of in de gevangenis belanden.

Maar de vraag die ik regelmatig van bestuurders krijg, is: “Hoe kan ik als eindverantwoordelijke van een complexe organisatie ooit weten of alle relevante risico’s echt in beeld zijn?

Denk aan de affaire met handelaar Nick Leeson, die in 1995 de Barings Bank ten onder liet gaan door stiekem enorme risico’s te nemen. Of denk aan de subprime-hypotheken die in 2008 de kredietcrisis veroorzaakten. In al deze gevallen wisten bestuurders niet wat er op de werkvloer gebeurde, maar hadden zij het wel moeten weten.

De risicoverklaring is het antwoord op deze vraag. Een bestuurder, die eindverantwoordelijk is, kan alleen met een gerust hart zijn eigen verklaring afgeven als hij kan bouwen op de garanties van zijn ondergeschikte managers. Door hen een persoonlijke risicoverklaring te laten ondertekenen, wordt de verantwoordelijkheid door de hele organisatie heen belegd. De boodschap is helder: als jij een risico niet meldt, breng je niet alleen de organisatie, maar ook mij persoonlijk in gevaar.

Om de vrijblijvendheid volledig weg te nemen, koppelen veel organisaties hier sancties aan, variërend van disciplinaire maatregelen tot ontslag op staande voet bij het willens en wetens onjuist informeren.

De Risicoverklaring in de Nederlandse Context

Ook in Nederland groeit de aandacht voor aantoonbare beheersing, bijvoorbeeld via het ‘In Control Statement’. Toch zien we in de praktijk dat dit zonder onderliggende borging een papieren tijger kan worden. We worden nog te vaak verrast door affaires die al jaren speelden, zoals bij de Belastingdienst, datalekken die te laat werden gemeld, of het gesjoemel met emissiecijfers.

Hier kan de risicoverklaring het cruciale, ontbrekende puzzelstuk zijn. Het maakt de eindverantwoordelijkheid van de bestuurder concreet en afdwingbaar. Een bestuurder kan zijn In Control Statement pas met overtuiging afgeven als zijn managementlaag heeft verklaard dat zij ‘in control’ zijn over hun eigen domein.

Een dergelijke verklaring, ondersteund door serieuze consequenties, transformeert risicomanagement van een periodieke rapportage naar een doorleefde, continue verantwoordelijkheid.

Hoe Ziet een Risicoverklaring eruit?

Laat u niet afschrikken door de juridische lading; een risicoverklaring is in de basis een verrassend eenvoudig document. Het is vaak niet meer dan een A4-pagina waarop de belangrijkste risico’s voor de organisatie als geheel worden samengevat.

De kracht zit niet in de complexiteit, maar in de ceremoniële handeling: het bewust en persoonlijk ondertekenen. Dit officiële moment doorbreekt de vrijblijvendheid en verankert het belang van risicomanagement in de cultuur van de organisatie. Het maakt van een abstract concept een persoonlijke belofte.

Over de auteur:

Drs. Geert Haisma is de drijvende kracht achter Succesmanagement. Tijdens zijn jarenlange werk als bestuurskundige zag hij hoe een integrale kijk op doelen, processen en risico’s leidt tot meer succes. Daarom ontwikkelt hij vooruitstrevende instrumenten die organisaties helpen om effectiever te worden met behulp van data, moderne ICT en AI.

Categories: