Wat is er nodig voor een goed zicht op risico’s?
KPMG heeft gekeken of jaarverslagen genoeg inzicht hebben in risico’s. Om risico’s te vermijden moet er op tijd actie worden genomen. Daarvoor moet de omgeving in zijn geheel worden beoordeeld, en het is belangrijk om ver vooruit te kijken. Zoals eerder genoemd kunnen ontwikkelingen die verder weg liggen een grote impact hebben als ze zich voordoen. KPMG heeft best een hoop risico’s geïdentificeerd, ongeveer 450.
Worden de juiste risico’s gerapporteerd?
In het onderzoek is er gekeken of drie ontwikkelingen uit het Global Risk Report in de risicoparagrafen van bedrijven werden genoemd. Het gaat om klimaatverandering, cybersecurity en pandemie. Tien bedrijven hebben klimaatverandering expliciet als individueel risico gerapporteerd. Door 9 andere bedrijven wordt het matig beschreven: ze beschrijven het maar koppelen het risico niet aan hun eigen bedrijf of ze zetten het onder een ander risico. Terwijl klimaatverandering waarschijnlijk voor de meeste AEX-fondsen voor risico’s kan zorgen. Wat cybersecurity betreft zien alle bedrijven dit als een risico. Toch zijn er 11 bedrijven die het geen specifieke aandacht geven door het als onderdeel van een ander risico te zien. Er maar 7 bedrijven die een pandemie als risico benoemen.
Verbeterpunten in risicomanagement AEX bedrijven:
4 punten die beter kunnen volgens onderzoek van KPMG:
- Er wordt niet specifiek genoeg gerapporteerd. De risico’s zijn nog te algemeen. Ze gaan niet over concrete gebeurtenissen en welke specifieke gevolgen ze hebben voor de onderneming. De helft van de bedrijven had generieke risico’s, niet specifiek voor de eigen organisatie.
- Op te korte termijn rapporteren. Er wordt niet naar risico’s op lange termijn gekeken, hierdoor blijven er belangrijke risico’s over waar helemaal geen aandacht aan is besteed. Slechts 16 van de 445 risico’s zijn aan een lange termijn gekoppeld. 19 van de 25 bedrijven beschrijven niet om welke termijn het bij de risico’s gaat.
- Onvoldoende koppelen aan de materiële ontwerpen. Het lijkt alsof de bepaling van materiële onderwerpen en risico’s gescheiden processen zijn. Hierdoor kunnen niet-financiële effecten die een financieel risico vormen niet in de risico’s worden opgenomen.
- Onvoldoende eenduidige prioriteiten in belang en tijd geven. Er worden veel risico’s gerapporteerd zonder duidelijke prioriteitstelling. 40% van de ondernemingen rapporteert meer dan 20 risico’s, waarvan de meeste niet naar belangrijkheid zijn geordend of op lange tegen korte termijn.
Wat kunnen ondernemingen doen voor een beter zicht op risico’s?
- Risico’s definiëren naar korte, middellange en lange termijn.
- De nadruk leggen op impact, dus niet op kans. Gebruik maken van scenario’s kan ook handig zijn, nadenken over wat er zou gebeuren met het financiële stuk als een risico zich voor zou doen.
- Materialiteitsbepaling en risicomanagement integreren in één proces volgens de double materiality benadering.
- Het double materiality process als een continue process benaderen.
Wanneer organisaties deze informatie (wel) met elkaar delen (wellicht via Riskworld), kunnen hele sectoren sterker worden.