In het recent verschenen 2e Nationale Onderzoek naar Risicomanagement in Nederland wordt gesuggereerd dat het hebben van een CRO een van de weinig positieve conclusies is die getrokken mag worden. Een cynicus zou antwoorden dat bij deze bedrijven de CRO de antwoorden heeft gegeven….

Er wordt al jaren gesproken over het nut en noodzaak van een CRO. Wat willen we dan? Dat de CRO de board bijpraat over de risico’s? Of reflectie geeft op de strategie vanuit zijn zicht op de risico’s? Elke zichzelf respecterende board moet zelf weten welke risico’s er samengaan met de strategie die ze aan het uitvoeren zijn.

Zodra een risk officer CHIEF wordt, ontstaat er een verkeerde verantwoordelijkheid. Ten eerste heeft iedereen in de board over het algemeen duidelijke taken en verantwoordelijkheden, een op een gekoppeld aan de prestaties van de organisatie. De CRO is daarmee dan verantwoordelijk voor de risico’s? Dit kan dus nooit het geval zijn want voor risico’s voel je je alleen verantwoordelijk als je ook iets kan met de upside ervan. Zonder risico geen rendement. Ten tweede, en zoals Martin van Staveren in zijn reflectie ook al concludeert is dat risicomanagement veel te veel wordt opgehangen aan structuur, systeem, compliance en bureaucratie. Terwijl het draait om de houding en het gedrag van het gangbare management. Dit los je niet op door een CRO aan te stellen, om de reeds hierboven benoemde argumenten.

Wat is er dan wel nodig?

In optima forma is er een board die zichzelf en zich door anderen kritisch laat bevragen op de strategie en de risico’s die hier mee samenhangen. De voorzitter speelt de cruciale rol. De voorzitter wordt gevoed uit de organisatie met informatie welke managers zich actief en welke zich niet actief bezig houden met strategierealisatie. In deze vraag zit verscholen; wat doe je aan de strategie, welke risico’s zie je, hoe beheers je de maatregelen die we hebben afgesproken?

Hierbij kunnen we dus geen CRO gebruiken die de gaatjes dichtloopt voor de managers die hier niet op acteren!