Magazine 01 maart 2008

De methode Van der Veer

Risk management is hot maar staat tegelijk nog in de kinderschoenen. Arnout van der Veer, risk manager bij Reed Elsevier, introduceerde daar sinds 2001 een 'innovatieve en praktische' aanpak. Een gesprek over 'de methode Van der Veer'.

Dit artikel is verschenen in de Accountant nr. 3, 2008

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Risk management bij Reed Elsevier

Het vak risk management is in opkomst. Onder druk van aandeelhouders, klanten en toezichthouders willen bedrijven steeds preciezer weten welke risico's ze lopen. Ze ontwikkelen scenario's over hoe daarop te anticiperen, te reageren en erover te communiceren. Dus zijn ook risk managers en risk officers in opkomst. Vorig voorjaar werd in de raad van bestuur van ING Groep de vertrekkende chief financial officer Cees Maas door twee nieuwe bestuurders opgevolgd: naast een nieuwe cfo werd ook een chief risk officer benoemd. Dat tekent een trend.

Grote verschillen

Maar wat risk management als discipline precies behelst is eigenlijk nog niet zo duidelijk. Het is een jong vak en heeft daar ook de kenmerken van. Takenpakket, profiel en ook de positie in de ondernemingshiërarchie van de risk manager kan van bedrijf tot bedrijf fors verschillen. Hoewel het logisch in hun pakket lijkt te passen, bemoeien risk managers zich meestal niet met het beleid ten aanzien van de verzekeringenportefeuille (toegespitst op schade en aansprakelijkheid) van een onderneming, of met de instrumenten om puur financiële risico's te sturen (rente- en wisselkoersschommelingen). Eenduidigheid over de criteria waaraan de prestaties van een risk manager kunnen worden afgemeten, zijn er veelal ook niet. Maar ook een beeld van welke opleiding ideaal zou zijn voor een risk manager, is nog niet uitgekristalliseerd.

Nieuwe visie

Nog steeds is bij veel bedrijven een afdeling risk management niet veel anders dan een met wat extra taken opgetuigde interne accountants- of controllersafdeling. Veel risk managers hebben een achtergrond als registeraccountant. Toen Arnout van der Veer in 2001, na zestien jaar bij KPMG Accountants, aantrad als directeur van de interne accountantsdienst bij Reed Elsevier in Londen, trof hij ook zo'n soort afdeling aan. “Wat me daarin niet beviel, was de puur interne gerichtheid, het focus op processen, het ticking the box-denken en de afwezigheid van het idee dat je ook aantoonbaar waarde kunt toevoegen.” Hij ging dus op zoek naar manieren om dat te veranderen. Nu, zeven jaar later en inmiddels risk manager bij de in veertig landen opererende informatiemakelaar Reed Elsevier, claimt hij een doordachte, gestructureerde methode te hebben ontwikkeld. “Al doende heb ik een nieuwe visie en aanpak ontwikkeld op risk managament. Een samenhangende filosofie die bij ons werkt en waarvan ik zeker weet dat die ook bij andere ondernemingen tastbare resultaten kan opleveren.”

‘Smoel’

Als het aan Van der Veer ligt gaat het vak risk management in de komende jaren eindelijk echt ‘smoel’ krijgen.

Hoe zou u de essentie van uw ‘innovatie’ van het vak omschrijven?

Van der Veer: “In plaats van alleen een bewaker te zijn die risico's signaleert en daarover aan het ondernemingsbestuur rapporteert, probeer ik met mijn team steeds al aan het begin van elke nieuwe operatie of investering de risico's en kansen in kaart te brengen. We staan de mensen die voor de uitvoering verantwoordelijk zijn, letterlijk met raad en daad terzijde. Echt al aan de voorkant van projecten willen we actief zijn. Zo'n team, een twintigtal mensen, moet echt multidisciplinair zijn. Als makelaar in hoogwaardige informatie leunt Reed Elsevier heel zwaar op zijn IT-systemen. We hebben dan ook webmasters, information security specialisten en anderen met een technologieachtergrond, náást de gebruikelijke financiële specialisten met een accountantsachtergrond. We voorkomen problemen of repareren ze meteen. Hands on en ter plaatse. Ikzelf ben ongeveer de helft van de tijd aan het reizen. Risk managers zijn bij ons een mix van interne consultants en reizende bedrijfsdokters.”

• De omgeving van een uitgeverij lijkt veiliger dan van, zeg, een oliemaatschappij. Over welke risico's hebben we het eigenlijk?

“De wereld waarin Reed Elsevier opereert, veranderde onder invloed van het internet extreem snel. Steeds meer informatie is een commodity geworden. Een aantal jaren geleden maakten we boeken en bladen, en elk land was een aparte markt. Nu zijn we veel meer een internetbedrijf, dus concurrent van bijvoorbeeld Google. Er zijn nieuwe aansprakelijkheidsrisico's. Zo verkopen we medische informatie die door verpleegsters wordt geraadpleegd. Een fout daarin over de dosering van een medicijn dat zij een patiënt moeten toedienen, betekent ook een gevaar voor de uitgever. Ander voorbeeld: we verhandelen creditcard- en sociale zekerheidsgegevens van honderdduizenden Amerikanen. Als die gehacked worden hebben we een enorm probleem. Zoiets is ons al een keer overkomen. Bij een klant die toegang had tot onze databank was onzorgvuldig met een toegangscode omgesprongen. In theorie konden allerlei privégegevens in verkeerde handen komen. Daaruit had een enorme bedrijfsschade kunnen voortvloeien - maar in principe nog te verzekeren. Zoniet de imagoschade. Daarin schuilt een nog wezenlijker bedreiging voor je onderneming.”

Strategisch

U leidt een stafafdeling die niet alleen dochterondernemingen ondersteunt maar ook de raad van bestuur. Wat zijn de typische onderwerpen die u met de top bespreekt?

“Met het bestuur bespreken we vooral de risico's en kansen die gepaard gaan met investeringen en overnames, maar ook eventuele desinvesteringen. Een voorbeeld van dat laatste was onze Amerikaanse educatietak Harcourt, die in schoolboeken deed. In de VS wordt elk jaar per staat beslist welke boeken leerlingen verplicht moeten afnemen. We konden onze markt als uitgever dus niet beïnvloeden. De resultaten schommelden daardoor sterk. We zijn ons gaan afvragen of we dat risico nog acceptabel vonden. Als bedrijf willen we in markten opereren waar onze risico's en resultaten niet te veel afhangen van externe - bijvoorbeeld cyclische - factoren. Mede omdat we een goede prijs voor Harcourt konden krijgen, besloten we toen te verkopen.”

Dus risk management heeft in uw aanpak ook een sterk strategische lading?

“Ja. Maar soms vallen dingen samen. Voorbeeld is een advies dat we gaven over de kwestie of we een investering van honderden miljoenen dollars wilden doen om een waterdicht back-up systeem te bouwen voor onze databanken. Het gaat daar in feite om de continuïteitsrisico's van je bedrijf. We hebben geanalyseerd wat enerzijds de kans was dat je die back-up capaciteit ooit nodig zou hebben, anderzijds hoe groot de schade zou zijn als je je databestanden zou verliezen. Lastig. Maar toen we merkten dat ook klanten het belangrijk vonden dat er een back-up was, en dat concurrenten het boden, hebben we geadviseerd die investering te doen.

Bij acquisities doe je natuurlijk je normale due diligence door boekenonderzoek, maar het gaat vaak ook over de vraag of de markt van een over te nemen bedrijf wel te beschermen is. Bestaat het gevaar dat de technologie of de formule gekopieerd wordt? Is bescherming bijvoorbeeld juridisch mogelijk? Met patenten, via het auteursrecht of een concurrentiebeding voor de directeuren en verkopende eigenaren van dat bedrijf? Je onderzoekt of de technologie door hackers kan worden ondermijnd. En je bekijkt hoe de concurrentie in elkaar zit. Op dit moment zijn de ontwikkelingen rond de community-sites, de zogeheten Web 2.0-formules, ook voor ons heel relevant. We hebben al vaak gezien dat business-modellen soms een heel kort leven hebben. De formule van een bedrijf dat gisteren nog heel aantrekkelijk leek, kan vandaag achterhaald zijn. Daar moet je bij stilstaan. Ook moet je je afvragen of een klein bedrijf van jonge whizzkids die in een hele informele bedrijfscultuur werken, wel kan floreren als onderdeel van een wereldwijde onderneming. Je moet zo'n bedrijf in je administratieve en controlesystemen inpassen, maar als je daarin te ver gaat, lopen de mensen weg om wie het allemaal begonnen was.”

Terreur

Dus risico's die met bedrijfscultuur samenhangen, vallen binnen uw domein?

“Zeker! Bij overnames en investeringen zitten de grootste gevaren altijd in de executierisico's. De manier waarop je met bedrijfscultuur omgaat, is daarin een cruciale factor. We hebben wel eens een bedrijf gekocht waarin we vervolgens een onderdeel van onze bestaande operatie onder brachten. We organiseerden een omgekeerde integratie vanwege die bedrijfsculturele kwaliteit.

Zelfs de cultuur van mijn eigen afdeling, die niet alleen multidisciplinair is maar ook internationaal en multicultureel, heeft soms een uitstralend effect op de dochters waar we aan het werk zijn. Belangrijk, want er is een sterk verband met het bedrijfsimago en de aantrekkingskracht die daarvan uitgaat op de arbeidsmarkt en de aandelenmarkt. Cultuur en imago kunnen heel waardevolle assets zijn. Een voorbeeld: Reed Elsevier lijkt in bepaalde opzichten op Google. Google kan dankzij zijn dynamische imago makkelijker jonge talentvolle mensen aantrekken. Je wilt dat dat jonge talent beseft dat Reed Elsevier die dynamiek ook biedt.”

Met welke vragen moet een risk manager zich nog meer bemoeien?

“Dat kan heel breed zijn. Het kan gaan om de afweging of je bepaalde taken wel of niet moet outsourcen, dan wel off shore laat uitvoeren. Sinds de aanslagen van 9- 11 zijn in het kader van de bedrijfscontinuïteit ook de risico's van terreur hoger op de agenda gekomen. Uitvoeringsrisico's bij de invoering van nieuwe IT-systemen vragen voortdurend aandacht. Je denkt na over de financieringsrisico's van overnames - na de recente beurskrach is het niet meer zo moeilijk je daar iets bij voor te stellen. En je moet draaiboeken hebben voor het geval er zich serieuze incidenten voordoen. Ook de communicatiekant daarvan is belangrijk.”

Rupsje Nooitgenoeg

De nieuwe risk manager lijkt wel een beetje een Rupsje Nooitgenoeg. Hij pikt terrein in van de ceo die over strategie gaat, van de cfo, en ook van de commerciële en de IT-afdelingen.

“Nee, nee. Dat is zeker niet de bedoeling. Je moet niet op de stoel van andere bestuurders gaan zitten. Je taken moeten helder afgebakend zijn: meedenken en adviseren. Risk management moet echt ondersteunend blijven. Een externe consultant moet ook niet op de stoel van de directie gaan zitten.”

Uw ambitie was waarde toe te voegen. Hoe meet u die?

“Een groot deel van het werk van het team hangt samen met het helpen vermijden van fouten in de executie van belangrijke bedrijfsinitiatieven zoals investeringsprojecten. Er zijn gemiddelde percentages bekend van de slagingspercentage van overnames, en van bijvoorbeeld van investeringen in IT. Als ik kan aangeven dat we als bedrijf daarin succesvoller zijn geworden, en wat we eraan doen om risico's aan de voorkant van het proces te managen, dan is dat toch ook de toegevoegde waarde van mijn team, nietwaar?”

Risicomanagement als business case

Voordelen van goed en proactief management:

• betere communicatie
• betere beleidsbeslissingen
• aanpak ten aanzien van governance is efficiënter
• beter in staat om strategische doelen te realiseren
• duidelijker verantwoordelijkheidsstelling
• betere management consensus
• positieve bijdrage aan vermindering volatiliteit resultaten
• verbeterde winstgevendheid
• identificatie van opportunities verbeterd