Bachelor scriptie. Jurriaan Blok. [Enterprise Risk Management. een vergelijking van systemen]

Transcriptie

1 Bachelor scriptie Jurriaan Blok [Enterprise Risk Management een vergelijking van systemen]

2 Inhoud INHOUD INLEIDING ONDERWERP AANLEIDING VRAAGSTELLING WERKWIJZE ELEMENTEN VAN RISK MANAGEMENT STANDARDS BASIC PRINCIPLES PLANNING CONTROL MONITORING INFORMATION AND COMMUNICATION MANAGEMENT OF RESOURCES OTHER ASPECTS POSITIEVE EN NEGATIEVE ONZEKERHEDEN BINNEN HET BEGRIP RISICO SAMENVATTING ERM FRAMEWORKS FERMA DE RISK MANAGEMENT NORM BASIC PRINCIPLES PLANNING CONTROL MONITORING INFORMATION & COMMUNICATION MANAGEMENT OF RESOURCES OTHER ASPECTS BETEKENIS RISICO SAMENVATTING ISO/DIS BASIC PRINCIPLES PLANNING CONTROL MONITORING INFORMATION & COMMUNICATION MANAGEMENT OF RESOURCES OTHER ASPECTS BETEKENIS RISICO SAMENVATTING AS/NZS 4360: BASIC PRINCIPLES PLANNING CONTROL MONITORING INFORMATION & COMMUNICATION MANAGEMENT OF RESOURCES OTHER ASPECTS BETEKENIS RISICO SAMENVATTING CONCLUSIE LITERATUURLIJST... 31

3 1 Inleiding 1.1 Onderwerp In de Sarbanes-Oxley wet (SOx) worden standaarden aangegeven waaraan bedrijven die aan de Amerikaanse beurs zijn genoteerd moeten voldoen. Delen van deze standaarden zijn erop gericht om interne controleprocedures vast te leggen. Jaarlijks moet aangegeven worden of de procedures effectief zijn (Moeller, 2004, p.23). Voor deze procedures kunnen bedrijven gebruikmaken van het internal control framework zoals beschreven door de Committee of Sponsoring Organizations of the Treadway Commission (COSO). Een onderdeel uit dit framework is het identificeren van risico's. Risicomanagement of het latere Enterprise Risk Management (ERM) is iets wat bedrijven moeten doen als onderdeel van de dagelijkse interne controle (Knechel, 2007, p.388). Enterprise Risk Management is het onderwerp van deze scriptie. 1.2 Aanleiding ERM wordt voor bedrijven steeds belangrijker. Dit belang is tijdens conferenties van banken nog eens aangestipt. Zij hebben in een akkoord (Basel II) gesteld dat bedrijven meer aan risicomanagement moeten doen. Ook rating agencies (Standards and Poors, Moodys) en analisten kijken veel naar risicomanagement van bedrijven voor het maken van hun ratingbeslissingen(quinn, 2006, p.46). Wereldwijd zijn er verschillende ERM-standaarden, die bedrijven kunnen helpen bij het op zetten van een ERM-framework. Dit zijn COSO ERM, AS/NZS 4360, CAN/CSA Q850 en a risk management standard adopted by the Federation of European Risk Management Associations(FERMA). 1.3 Vraagstelling Als je als leiding van een bedrijf risicomanagement wil introduceren binnen de organisatie, dan kan je kiezen uit vele standaarden, frameworks en systemen. Geschreven door even zoveel instanties. Om deze keuze eenvoudiger te maken ga ik de volgende vraag beantwoorden: Welke standaard zou je het beste kunnen gebruiken voor jouw organisatie? Om deze vraag goed te kunnen beantwoorden zal er gekeken moeten worden of een standaard alle elementen bevat die een Risk management standaard zou moeten bevatten. Ook moet er gekeken worden of er rekening wordt gehouden met het feit dat het begrip risico zowel een positief als een negatief effect kan hebben.

4 1.4 Werkwijze In het tweede hoofdstuk zullen de elementen die een Risk management standaard zou moeten bevatten worden omschreven. Daarna worden een aantal standaarden omschreven. Er zal aansluitend gekeken worden of ze de eerder genoemde elementen bevatten die een Risk management standaard zou moeten bevatten. En of er zowel naar positieve als naar negatieve risico's wordt gekeken. In het laatste hoofdstuk volgt de conclusie.

5 2 Elementen van risk management standards In dit hoofdstuk wordt een beoordelingsschema beschreven voor Risk management standards. In het boek Risikocontrolling in Nicht Finanzunternehmen van dhr. P. Winter uit 2007 wordt een uitgebreid schema gegeven aan de hand waarvan risk management standards kunnen worden beoordeeld. Dit schema is later uitgebreid en verbeterd door de Duitse risk management Association (R.M.A. ev.) (R.F. Erben, 2008, p23). Het schema bevat zeven categorieën die elk bestaan uit één of meerdere elementen. 2.1 Basic principles De eerste categorie, basic principles, bevat vier elementen. Ten eerste Corporate strategy, is er binnen de bedrijfsstrategie en de bedrijfsvisie rekening gehouden met risicomanagement. Ten tweede Risk policy, zijn er basisprincipes hoe om te gaan met risico s, en hoeveel risico het bedrijf kan/wil hebben (risk appetite) volgens de strategische doelstellingen. Ten derde Risk program, is er een risico programma waarin de risk management doelstellingen en activiteiten zijn beschreven. Als vierde element Organization/responsibilities, hoe zijn binnen de organisatie de rollen en verantwoordelijkheden verdeeld. Deze elementen komen ook terug in de volgende artikelen. Als basis wordt het genoemd in: Success factors for implementing enterprise risk management(bowling, 2005, p22), 12 Top ERM implementation Challenges (Schanfield, 2008, p42), Simple Tools and Techniques for Enterprise Risk Management(Chapman, 2006, p110) en in Enterprise risk management: from incentives to controls(lam, 2003, p51-53). In de laatste twee papers worden alle elementen genoemd in de eerste komt van alle genoemde elementen alleen het element risk policy niet voor. 2.2 Planning De tweede categorie, planning, bevat ook vier elementen. De identificatie, inschatting en het verzamelen en minimaliseren van risico s. In deze categorie gaat het om de methodes, processen en instrumenten om risico s te identificeren, in te schatten, te verzamelen en af te handelen. Deze elementen worden als zeer belangrijk aangehaald in de volgende artikelen: COSO Enterprise Risk Management: Understanding the New Integrated ERM(Moeller, 2007, p22), in Enterprise risk management: from incentives to controls(lam, 2003, p51-53), Success factors for implementing enterprise risk management(bowling, 2005, p23), Simple Tools and Techniques for Enterprise Risk

6 Management(Chapman, 2006, p ) en in 12 Top ERM implementation Challenges(Schanfield, 2008, p43). Dit is de kern van risk management. 2.3 Control De derde categorie, control, bestaat uit implementeren en controleren. Hier wordt gekeken of een risk management systeem wordt geïmplementeerd met genoeg- en efficiënte methodes en processen. Dit komt ook terug als een belangrijk element in de volgende artikelen: Success factors for implementing enterprise risk management(bowling, 2005, p25) en in 12 Top ERM implementation Challenges(Schanfield, 2008, p42). 2.4 Monitoring De vierde categorie, monitoring, bevat vier elementen. De eerste continuous monitoring, het continue in de gaten houden van alle risico s en de methodes die deze risico s behandelen. Ten tweede periodieke controles en reviews, hierin wordt periodiek gekeken naar het risk management systeem en haar structuur. Ten derde management assessment waarbij er door het top management beoordeeld wordt of het risk management proces efficiënt en adequaat gebeurt. Als laatste wordt het vorige punt ook door externe partijen gedaan bijvoorbeeld auditors. Al deze elementen worden belangrijk gevonden in de volgende artikelen: COSO Enterprise Risk Management: Understanding the New Integrated ERM(Moeller, 2007, p22 en p40) en wordt verkort genoemd in 12 Top ERM implementation Challenges(Schanfield, 2008, p44). In Success factors for implementing enterprise risk management(bowling, 2005, p23) wordt alleen aandacht besteed aan de eerste twee elementen en wordt er niets geschreven over de laatste twee elementen uit de categorie monitoring. 2.5 Information and communication De vijfde categorie, information en communication, bevat vijf elementen. Het eerste element is informatie voorziening. Hierbij wordt alle nodige informatie bij elkaar gezocht. Ten tweede documentatie hierbij worden alle aannames, informatie, methodes, processen en resultaten met betrekking tot risk management vast gelegd. Als derde element wordt al deze ingewonnen informatie opgenomen en opgeslagen. Als vierde en vijfde element worden risk management gerelateerde onderwerpen naar interne en externe stakeholders gecommuniceerd. In de literatuur worden een aantal elementen uit deze categorie genoemd. De laatste twee elementen worden genoemd in: Success factors for implementing enterprise risk management(bowling, 2005, p22) en Enterprise risk management: from incentives to controls(lam, 2003, p51-53). De eerste drie

7 elementen van deze categorie worden genoemd in Project Risk Management Processes, Techniques and Insights(Chapman, 2003, p33). 2.6 Management of resources De zesde categorie, management of resources, bestaat uit twee elementen human resources en andere middelen. Kennis die nodig is om een risk management systeem te kunnen implementeren en te bedienen zoals IT, consultants etc. Deze wordt alleen genoemd in het artikel: Success factors for implementing enterprise risk management(bowling, 2005, p22). 2.7 Other aspects De zevende en laatste categorie, andere aspecten, bevat twee elementen. Als eerste business continuity en crisis management: zijn er maatregelen getroffen om in het geval van schade de weerslag hiervan te limiteren en zo snel mogelijk de normale gang van zaken weer op te pakken. Ten tweede de samenhang met andere management systemen, hoe zijn de relaties en interacties van de risk management standaard met andere systemen zoals, accounting, quality management etc. Uit deze categorie wordt alleen het laatste element genoemd in het artikel: Enterprise risk management: from incentives to controls(lam, 2003, p51-53) en 12 Top ERM implementation Challenges(Schanfield, 2008, p44). 2.8 Positieve en negatieve onzekerheden binnen het begrip risico Het woord risico kan meerdere dingen betekenen(kloman, 2003, p4). Namelijk de kans op een verlies of de kans op een onverwachte uitkomst. Die onverwachte uitkomst wordt gemeten in een maatstaf van de mogelijke schade die een uitkomst met zich meebrengt(rasmussen, 2007, p6). Die schade probeert men in te perken. Dit geeft echter aan dat risico alleen maar een negatieve kant heeft, terwijl er een discussie gaande is, of er ook positieve kanten zijn(hulett, 2002,p1-11). Tussen de bestaande standaarden kan er onderscheid gemaakt worden tussen zij die alleen negatief risico onderkennen, zij die een brede definitie hebben of degene die expliciet risico zowel in positieve als negatieve zin onderkennen(raz, 2005,p10). Echter waar iedereen het over eens is, is dat het aanpakken van zowel de positieve als de negatieve onzekerheden de kans van slagen van een project vergroot(hulett, 2002,p8).

8 2.9 Samenvatting Alle bovengenoemde punten worden in onderstaande tabel kort samengevat. Categorie Nr. Element omschrijving basic principles 1 corporate strategy worden de aspecten van risicomanagement overwogen voor de bedrijfsstrategie en bedrijsvisie 2 risk policy is er bekend hoe om te gaan met risico's en is er bekend wat de risk appetite is 3 risk program programma waarin de activiteiten en doelstellingen van riskmanagement zijn beschreven 4 organisation/responsibilities wat zijn de rollen en verantwoordelijkheden en hoe zijn ze verdeeld binnen de organisatie planning 5 risk identification methods methodes en processen om risico's te identificeren 6 risk assessment methods methodes en processen om risico's in te schatten 7 risk aggregation methods methodes en processen om risico's verzamelen 8 risk mitigation methods methodes en processen om risico's te beheersen control 9 implementation/controlling zijn er genoeg, efficiënte methodes en processen monitoring 10 continous monitoring het continue in de gaten houden van de risico's en de methodes om deze te beheersen periodical checks and 11 reviews periodiek onderzoek naar het proces en haar structuur 12 managament assessment beoordeling door top management of het proces efficiënt en adequaat is 13 system efficiency beoordeling door externe partijen of het proces efficiënt en adequaat is 14 information supply verzamelen van alle benodigde informatie 15 documentation information & communication 16 recording 17 internal reporting 18 external reporting 19 human resources management of resources 20 other resources business continuity/crisis 21 management interfaces to other other aspects 22 management systems betekenis risico 23 positief/negatief vastlegging van alle aannames, informatie, methodes, processen en resultaten m.b.t. risicomanagement opnemen en opslaan van alle informatie verkregen uit de vorige twee elementen communicatie van risicomanagement gerelateerde onderwerpen naar interne stakeholders communicatie van risicomanagement gerelateerde onderwerpen naar externe stakeholders kennis die nodig is om het systeem te bedienen en te implementeren andere middelen die nodig zijn om het systeem te bedienen en te implementeren zijn er maatregelen om in het geval van schade de weerslag hiervan te limiteren hoe gaat het risicomanagement systeem om met andere management systemen wordt er gekeken naar zowel de positieve als de negatieve onzekerheden binnen het begrip risico

9 3 ERM frameworks Aan de hand van de tabel zoals gegeven in het vorige hoofdstuk zullen in dit hoofdstuk een aantal risk management standards worden beschreven. Te weten Ferma de risk management norm(2002), ISO/DIS 31000(2008), AS/NZS 4360:2004. Er is voor deze drie gekozen omdat, AS/NZS 4360 de oudste - en het meest gebruikte(connell, 2004, p3) en het meest geciteerd standaard is(schanfield, 2008, p42), ISO/DIS voor publicatie in 2009 de nieuwste,en FERMA de norm door de Europese risk management organisaties als standaard is aangenomen. Naar aanleiding van een onderzoek uit 2008 waaruit naar voren is gekomen dat hoewel COSO ERM het meest gelezen model is deze niet als praktisch wordt ervaren(fraser, 2008, p.77). En daardoor niet gebruikt wordt als bron voor informatie en begeleiding(fraser, 2008, p.85). Om deze redenen wordt COSO ERM niet gebruikt in deze scriptie. 3.1 Ferma de Risk management norm Deze norm is samengesteld door risicobeheer organisaties in het Verenigd Koninkrijk, waaronder de Institute of Risk Management en de Association of Insurance and Risk managers. Zij hebben de norm samengesteld op basis van de best practice binnen tal van beroepsorganisaties. De norm kan gaandeweg aangepast worden als de best practice veranderd. Dit geeft de norm een hoge mate van flexibiliteit. In de norm wordt een proces beschreven waarlangs het risicobeheer kan worden uitgevoerd en de organisatiestructuur die nodig is om de doelstellingen van het risicobeheer te bewerkstelligen. Het risicobeheer proces omvat de volgende onderdelen om de strategische doelstellingen van de organisatie beter helpen te bereiken: risico-inschatting, risico-rapportering, beslissingen, risicobehandeling, rapportering restrisico en toezicht. Dit geheel wordt continue gecontroleerd en aangepast waar nodig. Om dit goed te kunnen implementeren geeft de norm aan hoe de structuur en de administratie opgezet zou kunnen worden. Dat kan door de rol van de diverse functies te omschrijven. Door gebruik te maken van verschillende samengestelde delen van de norm kan een bedrijf verklaren dat de norm wordt nageleefd. Echter de norm is niet bedoeld om tot een certificeerbaar proces te leiden. In de norm gebruikt men de terminologie zoals opgenomen in ISO/ICE Guide 73 Risk management -vocabulary- Guidelines for use in standards(ferma, 2003, p2).

10 3.1.1 Basic principles Corporate strategy Door het risicobeheer te koppelen aan de algemene doelstellingen van het bedrijf, worden de kansen deze doelstellingen te halen vergroot. En de risico s die de het behalen van de doelstellingen in weg staan verkleint(ferma, 2003, p3). De directie bepaalt de algemene doelstellingen die het bedrijf zou moeten behalen. Daarnaast zal zij ook ruimte moeten creëren en structuren moeten aanleggen waarin het risicobeheer voldoende ruimte krijgt om te functioneren(ferma, 2003, p12). Risk policy De organisatie geeft als onderdeel van het risicobeheer aan wat de risicocriteria zijn. Deze criteria geven aan per soort risico tot welke hoogte zij dit risico zelf kan dragen tot ze over gaat tot maatregelen. De criteria kunnen zoal wettelijke vereisten als kosten en baten omvatten.nadat de risicoanalyse is voltooid worden de risico's met de risicocriteria vergeleken(ferma, 2003, p10). Als men het risicobeheer programma opstart dient men de risico limieten waaraan de organisatie zich wil blootstellen weer te geven(ferma, 2003, p12). Risk program Vanuit het topmanagement moet er een effectief programma en beleid worden opgesteld die men integreert in de cultuur van de organisatie(ferma, 2003, p3). De risicobeheerder dient het beleid uit te werken en de strategie voor het risicobeheer te bepalen(ferma, 2003, p13). Organisation/responsibilities De strategie dient vertaald te worden in operationele en tactische doelstellingen. Van waaruit door de organisatie heen verantwoordelijkheden dienen te worden toe gewezen. Waarbij iedereen vanuit zijn functiebeschrijving verantwoordelijk is voor risicobeheer(ferma, 2003, p3). Een effectief risicobeheer vind plaats door de binnen de organisatie de verantwoordelijkheden toe te wijzen(ferma, 2003, p12). Mensen die betrokken zijn bij het risicobeheerproces moeten naast hun gewone functie een duidelijke omschrijving hebben van hun rol binnen de coördinatie van de risicobeheer strategie(ferma, 2003, p14).

11 3.1.2 Planning Risk identification methods Bij risico-identificatie probeer men alle risico's en onzekerheden waaraan de organisatie blootstaat te identificeren. De identificatie wordt systematisch aangepakt zodat van alle activiteiten binnen de mogelijke risico's worden geïdentificeerd en afgebakend. Deze identificatie kan met behulp van externen, maar aan de hand van goede interne documenten kan dit ook intern gebeuren. Hulpmiddelen hiervoor worden gegeven in de bijlage op pagina 15(Ferma, 2003, p6). Risk assessment methods Risk assessment bepaald de waarschijnlijkheid van een risico en het gevolg van dit risico. Deze analyse kan op drie manieren gemaakt worden: kwalitatief, semi-kwantitatief of kwantitatief(ferma, 2003, p7). Om risico's te analyseren kan men gebruik maken van meerdere technieken. Echter voor zowel het positief risico als het negatieve risico zijn er verschillende mogelijkheden. Deze worden in de bijlage gegeven(ferma, 2003, p9). Risk aggregation methods Met behulp van de risicoanalyse kan er aan elk risico een cijfer worden toegekend aan de hand waarvan men een lijst opstelt. Met deze lijst kan dan bepaald worden welk risico het eerst behandeld dient te worden(ferma, 2003, p9). Risk mitigation methods Risicobehandeling beslaat het proces waarin de organisatie maatregelen treft om het risico te beheerden en of te verlagen. Mogelijke maatregelen moeten aan een kosten baten analyse worden onderworpen om te kijken of raadzaam is het risico aan te pakken. Er zijn meerdere methodes om zich te beschermen tegen risico's bv.: risico-overdracht en risicofinanciering(ferma, 2003, p10) Control Implementation/controlling Vanaf het begin af aan en gedurende de volle looptijd van een project dient risicobeheer te worden geïmplementeerd door het management(ferma, 2003, p13).

12 3.1.4 Monitoring Continuous monitoring Het dagelijkse beheer van de risico's ligt bij de business units zelf. Soms kan Interne Audit de geïdentificeerde risico's en de verschillende risicobeheer processen binnen de organisatie controleren(ferma, 2003, p13) Periodical checks and reviews De risicobeheerder zorgt voor het ontwerp en eventuele herziening van de verschillende processen van het risicobeheer(ferma, 2003, p13). Goed risicobeheer vereist een goed lopende rapportering en herzieningsproces. Die aan geeft dat risico's goed worden ingeschat en behandeld. Het risicobeheer moet regelematig gecontroleerd worden, waarbij er ook gekeken wordt of de normen worden nageleefd en of deze verbetering behoeven(ferma, 2003, p14). Management assessment De directie moet er van op aan kunnen dat het proces van risicobeheer naar behoren werkt(ferma, 2003, p11). Voor een goede beoordeling van de interne controle moet er gekeken worden of het risicobeheerproces naar behoren werkt(ferma, 2003, p13). System efficiency Men kan verklaren dat de norm wordt nageleefd door een aantal delen van de norm te gebruiken en hier aan te voldoen(ferma, 2003, p2) Information & communication Information supply Er moet vastgesteld worden of de verzamelde informatie en de betreffende procedures voldoende zijn(ferma, 2003, p14).

13 Documentation De methodes gericht op de controle moeten worden vastgelegd. Hieronder vallen: de verantwoordelijkheden van de leiding, de methodes voor risico identificatie, risicoanalyse, risicobeheer en de structuur van controle en revisie van het risicobeheer systeem(ferma, 2003, p12). De risicobeheerder legt de structuur van het risicobeleid en de structuren hiervoor voor de business units vast(ferma, 2003, p13). Recording Niet genoemd in de tekst. Internal reporting Het risicobeheerproces moet de nodige informatie kunnen verschaffen die binnen organisatie nodig is en per afdeling kan verschillen(ferma, 2003, p11). External reporting Richting de stakeholders moet er regelmatig verslag worden gedaan over de effectiviteit van het risicobeheerbeleid. En hoe dit zich vertaald naar het behalen van de doelstellingen(ferma, 2003, p11) Management of resources Human resources Een betere kennis van zaken kan helpen de juiste beslissingen te nemen. En zou in de toekomst kunnen helpen voor het maken van een goeie beoordeling van het systeem(ferma, 2003, p14) Other resources Elke business unit moet aangeven welke middelen zij nodig denken te hebben om het risicobeheerbeleid zo goed mogelijk uit te voeren(ferma, 2003, p14) Other aspects Business continuity/crisis management De risicobeheerder dient ook rekening te houden met eventuele rampen. En hoe het bedrijf na zo n gebeurtenis de zaken weer zo snel mogelijk kan oppakken(ferma, 2003, p13)

14 Interfaces to other management systems Niet genoemd in de tekst Betekenis risico positief/negatief In de norm gaat men er vanuit dat risico zowel positieve als negatieve kanten heeft(ferma, 2003, p2). Een gebeurtenis die invloed kan hebben op de algemene doelstellingen van de onderneming kan hier zowel een positieve als een negatieve invloed op hebben. Risicobeheer houdt hier in toenemende mate rekening mee. Zo ook de norm(ferma, 2003, p3) Samenvatting De elementen recording en interfaces to other management systems worden niet behandeld in de norm. Daarnaast kunnen de categorieën control en management of resources alleen uit de context gehaald worden. Zij worden dus niet duidelijk in de norm behandeld. De elementen corporate strategy, risk program, organisation/responsibilities, implementation/controlling, management assessment, information supply, human resources en other resources kan je uit de context halen en worden ook specifiek zij het kort in de tekst behandeld. De overige elementen worden duidelijk behandeld in de norm. Echter voor het element system efficiency wordt door de norm aangegeven dat zij niet bedoeld is als certificeerbaar proces. Categorie Nr. Element niet aanwezig uit de context aanwezig basic principles 1 corporate strategy x x 2 risk policy x 3 risk program x x planning 4 organisation/responsibilities x x 5 risk identification methods x 6 risk assessment methods x 7 risk aggregation methods x 8 risk mitigation methods x control 9 implementation/controlling x monitoring 10 continous monitoring x 11 periodical checks and reviews x 12 managament assessment x x 13 system efficiency x information & 14 information supply x

15 communication 15 documentation x 16 recording x 17 internal reporting x 18 external reporting x management of 19 human resources x resources 20 other resources x 21 business continuity/crisis management x other aspects 22 interfaces to other management systems x betekenis risico 23 positief/negatief x 3.2 ISO/DIS Deze standaard houdt rekening met alle mogelijke organisaties en niveaus van risico. Het geeft een algemene gids om risicobeheer te implementeren. Risicobeheer moet er voor zorgen dat er op de juiste manier omgegaan wordt met risico s. Om dat goed te kunnen doen moet risicobeheer verweven zijn in de organisatie. Dit hangt ook sterk samen met de context waarin het risicobeheer zal plaats vinden. Hieraan wordt extra aandacht besteed in deze internationale standaard. Ook zal deze algemene gids bedrijven helpen te voldoen aan wetgeving, reglementaire vereisten en internationale normen. De standaard bestaat uit drie delen die onderling verbonden zijn. Dit zijn de risk management principles, het framework for managing risk en het process for managing risk. Deze standaard wil risk management processen in de bestaande en toekomstige standaarden harmoniseren. Deze standaard gebruikt de terminologie zoals opgenomen in ISO/ICE Guide 73 Risk management -vocabulary- Guidelines for use in standards(iso, 2008, p1) Basic principles Corporate strategy Risicobeheer is de verantwoordelijkheid van de leiding en een integraal onderdeel van de normale organisatie structuur. Het staat niet los van de algemene activiteiten en processen van de organisatie (ISO, 2008, p2). De risicobeheerder moet rekening houden met de mogelijkheden, veronderstellingen en de intenties van externe en interne mensen. Die bij kunnen dragen aan de doelstellingen van de organisatie of deze juist hinderen(iso, 2008, p2). De doelstellingen van het risicobeheer moet gelijk lopen met de doelstellingen en de strategieën van de onderneming(iso, 2008, p4)

16 Het risicobeheer beleid moet duidelijk aangeven wat doelstellingen van de organisatie zijn met betrekking tot risicobeheer en wat haar toewijding hier toe is. Er moet duidelijk aangegeven worden wat de link is tussen het risicobeheer beleid en de doelstellingen van de onderneming(iso, 2008, p5) Risicobeheer vind plaats binnen de context van de doelstellingen van de organisatie. Doelstellingen van een bepaald project of activiteit moeten bekeken worden in het licht van de doelstellingen van de gehele organisatie(iso, 2008, p9) Risk policy Het risicobeheerbeleid moet duidelijk aangeven wat de risicocriteria zijn of risico aversie is(iso, 2008, p5) De organisatie moet criteria ontwikkelen die gebruikt kunnen worden bij het evalueren van de significantie van een risico. Deze criteria moeten de waarden, doelstellingen en middelen van de organisatie weergeven. Sommige criteria kunnen worden opgelegd door of afgeleid worden uit wetten en regelgeving. De risicocriteria moeten passen bij het risicobeheerbeleid van de organisatie(iso, 2008, p10). Risk program Risicobeheer draagt bij aan het aantoonbaar behalen van doelstellingen en verbeteringen van bijvoorbeeld: de menselijke gezondheid en veiligheid, milieu bescherming, corporate governance en de reputatie van de onderneming(iso, 2008, p2). Het risicobeheer beleid moet duidelijk aangeven wat doelstellingen van de organisatie zijn met betrekking tot risicobeheer en wat haar toewijding hier toe is(iso, 2008, p5). Organisation/responsibilities Zorg voor een goede toewijzing van de verantwoordelijkheden en toerekenings mogelijkheden op de juiste niveaus binnen de organisatie(iso, 2008, p4). Het risicobeheer beleid moet duidelijk aangeven wat doelstellingen van de organisatie zijn met betrekking tot risicobeheer en wat haar toewijding hier toe is en moet duidelijk bevatten wat verantwoordelijkheden en toerekenings mogelijkheden zijn voor het managen van risico(iso, 2008, p5). De organisatie moet er voor zorgen dat er iemand is de verantwoordelijk is voor en de regie voert voor het managen van risico s. Hieronder valt het implementeren en het onderhouden van het

17 risicobeheer proces. En het zorgdragen voor een adequate en effectieve risico methodes(iso, 2008, p5) Planning Risk identification methods De organisatie moet de oorzaken van risico, de delen waar het z n beslag heeft en de mogelijke gevolgen hiervan identificeren. Het doel van deze stap is om een zo complete mogelijke lijst te creeren van gebeurtenissen die invloed kunnen hebben op de doelstellingen van de onderneming. Ook moet er gekeken worden naar de risico s die samenhangen met het niet opvolgen van een kans. Uitgebreide identificatie is cruciaal, omdat een risico die nu niet geidentificeerd wordt niet wordt meegenomen in latere analyse. Met de identificatie moeten ook die risico s worden meegenomen die niet onder de controle vallen van de organisatie. De organisatie moet die methodes voor risico identificatie gebruiken die passen bij de doelstellingen, capaciteiten en de risico s die de onderneming loopt(iso, 2008, p11). Risk assessment methods Bij risico analyse gaat het erom dat men het risico begrijpt, waardoor later de juiste maatregelen genomen kunnen worden. Ook wordt er bepaald of het wel nodig is dat een risico wordt behandeld(iso, 2008, p11). Risico analyse kan al dan niet gedetailleerd gebeuren afhankelijk van het risico, het doel van de analyse, de informatie, data en middelen die beschikbaar zijn. Analyse kan kwalitatief, semikwantitatief of kwantitatief of een combinatie van deze zijn afhankelijk van de situatie(iso, 2008, p12). Risk aggregation methods Het doel van risico evaluatie is om te helpen beslissing te nemen, op basis van de risico evaluatie, over welke risico s behandeld moeten worden en waar de prioriteit komt te liggen om dit te implementeren. Bij risico evaluatie worden de gevonden risico s vergeleken met de risicocriteria die het bedrijf heeft opgesteld. Als het risico boven de criteria uitkomt moet deze behandeld worden(iso, 2008, p12).

18 Risk mitigation methods Bij risico behandeling worden een of meerdere opties gekozen om risico s aan te passen en worden deze geïmplementeerd. Als een risico wordt moet er gekeken worden of er rest risico is en bepalen of deze eventueel ook behandelt dient te worden tot deze binnen de risicocriteria van de onderneming valt. Bepaalde methodes om risico s te behandelen sluiten elkaar niet uit en sommige zijn niet altijd geschikt(iso, 2008, p12) Control Implementation/controlling Om succesvol te zijn moet risicobeheer plaatsvinden binnen een risicobeheer raamwerk. Dit raamwerk verzorgt de basis en de organisatorische fundamenten waar binnen het door de gehele organisatie zal plaats vinden. Dit raamwerk zal de organisatie helpen de risico s effectief te beheren op de diverse niveaus binnen de organisatie(iso, 2008, p3). Bij het implementeren van het risicobeheer raamwerk behoren er de volgende punten te gebeuren: het definiëren van een tijdslijn voor de implementatie van het raamwerk; het toepassen van het risicobeheerbeleid en processen op de processen van de organisatie; het voeldoen aan de betreffende wetten regels; het vastleggen van de beslissingen, waaronder de ontwikkeling van doelstellingen die gelijk lopen met de uitkomsten van het risicobeheer proces; het houden van informatie- en trainingssessies; en het communiceren en raadplegen met stakeholders om er voor te zorgen dat het risicobeheer proces up to date blijft(iso, 2008, p6-7). Risicobeheer wordt ingevoerd door er voor te zorgen dat het proces zoals beschreven in Clause 6 op alle niveaus en functies van de organisatie wordt toegepast als onderdeel van de dagelijkse bedrijfsprocessen(iso, 2008, p7) Monitoring Continuous monitoring Om er voor te zorgen dat risicobeheer effectief is en blijvend de bedrijfsprestatie ondersteund behoort er: periodiek de voortgang gemeten worden tegen en afwijking van het risicobeheer plan;

19 periodiek bekijken of het risicobeheer raamwerk, beleid en het plan nog toepasselijk zijn binnen de interne en externe context van de organisatie; rapporteren over risico s, voortgang met het risicobeheerplan en of hoe goed het risicobeheerbeleid gevolgd wordt(iso, 2008, p7). Periodical checks and reviews Om er voor te zorgen dat risicobeheer effectief is en blijvend de bedrijfsprestatie ondersteund behoort er: gekeken te worden naar de effectiviteit van het risicobeheer raamwerk(iso, 2008, p7). De risicocriteria moeten aan het begin van elk risicobeheerproces worden ontwikkeld en continue worden gereviewed(iso, 2008, p10). Managament assessment De introduction van risicobeheer moet blijvend gesteund worden door het hogere management. Ook moeten zij er op toe zien dat het risicobeheer raamwerk blijft voldoen(iso, 2008, p4). System efficiency Niet genoemd in de tekst Information & communication Information supply Het raamwerk moet er voor zorgen dat risico informatie afkomstig uit het process naar behoren wordt gerapporteerd en gebruikt als basis voor beslissingen op alle relevante niveaus van de organisatie(iso, 2008, p3). Vanuit het process moet informatie verzameld en samen gevoegd worden waar nodig. Hierbij dient men te letten op de gevoeligheid van de informatie(iso, 2008, p6). Documentation Op het volgende moet gelet worden: de gedocumenteerde processen en procedures(iso, 2008, p6). Het is belangrijk om de interne context te begrijpen in termen van: beleid, doelstellingen en de strategieën om die te bereiken(iso, 2008, p10).

20 Recording De benodigde middelen, verantwoordelijkheden, bevoegdheden en de documenten die bewaard moeten blijven moeten worden gespecificeerd(iso, 2008, p10). Activiteiten in het kader van risicobeheer moeten gevolgd kunnen worden. In het risicobeheerproces zorgt de documentatie voor een goede basis voor zowel het verbeteren van methodes als het verbeteren van het algehele proces(iso, 2008, p14). Internal reporting De organisatie moet een interne communicatie- en rapporteringstructuur beginnen. Deze hoort er voor te zorgen dat: belangrijke elementen van het risicobeheer raamwerk en aanpassing hiervan, naar behoren worden gecommuniceerd; er voldoende gerapporteerd wordt over het raamwerk, de effectiviteit en de uitkomsten hiervan; relevante informatie vanuit het risicobeheerproces tijdig beschikbaar is op die niveaus die het nodig hebben; en processen zijn waarbij interne stakeholders geraadplaagd kunnen worden(iso, 2008, p6). External reporting De organisatie moet een plan ontwikkelen en implementeren waarin staat hoe ze met externe stakeholders zal communiceren. Hier moet in staan: de juiste externe stakeholders erbij betrekken en er voor zorg dragen dat er effectief informatie uitgewisseld kan worden; extern rapporteren om te voeldoen aan wetten, regels en corporate governance vereisten; het bekend maken van materiaal met betrekking tot gestelde wettelijke eisen; het geven van feedback en rapporteren over raadplegingen en communicatie; gebruik maken van communicatie om vertrouwen in de onderneming op te bouwen(iso, 2008, p6) Management of resources Human resources/other resources De organisatie moet een manier ontwikkelen waardoor de juiste middelen voor het risicobeheer op de juiste plaats komen. Er moet gelet worden op het volgende:

21 mensen, vaardigheden, ervaring en competenties; benodigde middelen voor elke stap van het risicobeheerproces(iso, 2008, p5-6) Other aspects Business continuity/crisis management De organisatie moet een plan ontwikkelen en implementeren waarin staat hoe ze met externe stakeholders zal communiceren. Hier moet in staan: communiceren met stakeholders mocht er een crisis of een onvoorziene gebeurtenis zijn(iso, 2008, p6). Interfaces to other management systems Als een organisatie in zijn huidige management systemen al onderdelen gebruikt voor risicobeheer om bepaalde typen risico aan te pakken. Dan moet hier kritisch naar gekeken worden, met deze standaard als uitgangspunt, om te kijken of ze voldoen(iso, 2008, p3) Betekenis risico positief/negatief Risico analyse houdt rekening met de oorzaken en bronnen van risico, en hun positieve en negatieve gevolgen(iso, 2008, p11) Samenvatting Het element system efficiency wordt niet genoemd in deze standaard. Daarnaast kunnen twee elementen en twee categorieën alleen uit de context worden gehaald. De overige elementen worden duidelijk behandeld in deze standaard. Verder worden de meeste elementen eerst in het kort besproken als onderdeel van het framework en later uitgebreid als onderdeel van het process for managing risk. In deze standaard worden sommige van de elementen genoemd als onderdeel van een ander element en staan niet op zich. uit de context Categorie Nr. Element niet aanwezig aanwezig basic principles 1 corporate strategy x x 2 risk policy x

22 planning 3 risk program x 4 organisation/responsibilities x 5 risk identification methods x 6 risk assessment methods x 7 risk aggregation methods x 8 risk mitigation methods x control 9 implementation/controlling x monitoring 10 continuous monitoring x 11 periodical checks and reviews x 12 managament assessment x 13 system efficiency x information & 14 information supply x communication 15 documentation x 16 recording x x 17 internal reporting x management of resources other aspects 18 external reporting x 19 human resources x 20 other resources x 21 business continuity/crisis management x 22 interfaces to other management systems x betekenis risico 23 positief/negatief x 3.3 AS/NZS 4360:2004 AS/NZS 4360:2004 is de derde versie van deze standaard waarvan de eerste gepubliceerd werd in Deze standaard kan toegepast worden gedurende alle stadia van een activiteit, functie, project, product. Het proces beslaat zowel potentiële voordelen als nadelen. In deze versie is hier meer nadruk op komen te liggen(as/nzs, 2004, piii). Alle gebruikte termen in het document worden uitgebreid uitgelegd(as/nzs, 2004, p2-6). De standaard bestaat uit zeven onderdelen te weten: Communicate and consult, establish the context, identify risks, analyse risks, evaluate risks, treat risks en monitor and review Basic principles Corporate strategy Voordat er begonnen wordt met de activiteiten van risicobeheer is het van belang om de organisatie te begrijpen. Belangrijke punten zijn: Doelstellingen en doeleinden en de strategien om deze te bereiken;

23 het beleid, de doelstellingen en intresses van de organisatie helpen om bij het verfijnen van het risicobeleid; en specifieke doelstellingen en criteria van een project of activiteit moeten gezien worden in het licht van de doelstelling van de volledige onderneming(as/nzs, 2004, p14). Risk policy Bepaal de criteria waartegen risico wordt geëvalueerd. Beslissingen om te bepalen of risico behandeling nodig is worden misschien gebaseerd op technische, financiële, wettelijke en andere criteria. De criteria moeten een weerspiegeling zijn van het interne beleid, doeleinden, doelstellingen en interesses van de stakeholders(as/nzs, 2004, p15). Risk program De doelstellingen, doeleinden, strategieën, scope en parameters van een activiteit, of het onderdeel van de organisatie waarop het risicobeheer van toepassing zal zijn, moet worden bepaald. Dit proces moet gedaan worden met in acht neming van de kosten, opbrengsten en mogelijkheden. De middelen die nodig zijn en de documenten die bijgehouden moeten worden moeten worden vastgelegd(as/nzs, 2004, p15). Organisation/responsibilities Dingen die ook besproken moeten worden kunnen het volgende bevatten: De rollen en verantwoordelijkheden van de verschillende delen van de organisatie die meedoen met het risicobeheerproces(as/nzs, 2004, p15) Planning Risk identification methods Deze stap heeft als doel die risico s te identificeren die aangepakt moeten worden. Uitgebreide identificatie door middel van een goed gestructureerde systematiek is cruciaal, omdat een niet geïdentificeerd risico niet mee genomen wordt door het rest van het proces. Risico s waarover de onderneming geen controle heeft moeten worden meegenomen(as/nzs, 2004, p16). Methodes om risico s te identificeren zijn bijvoorbeeld: checklists, oordelen op basis van ervaring, scenario analyse. Deze en andere methodes worden uitgebreid besproken in het handboek 436(AS/NZS, 2004, p16).

24 Risk assessment methods Bij risico analyse draait het om het begrijpen van het risico. Dit begrip bepaald of een risico moet worden behandeld en hoe dit zo kosten effectief mogelijk te doen. Er moet ook rekening worden gehouden met oorzaak van een risico, haar positieve en negatieve gevolgen en de kans dat deze gevolgen gaan gebeuren. In sommige gevallen wordt er ook rekening gehouden met al bestaande controle maatregelen(as/nzs, 2004, p16-17). Risico analyse kan al dan niet gedetailleerd plaats vinden afhankelijk van het risico, het doel van de analyse, de informatie, data en middelen die beschikbaar zijn. Analyse kan kwalitatief, semikwantitatief, kwantitatief of een combinatie van deze afhankelijk van de omstandigheden(as/nzs, 2004, p18). Risk aggregation methods Het doel van risico evaluatie is het maken van beslissingen, gebaseerd de uitkomsten van de risico analyse, over welke risico s er behandeld moeten worden en met welke prioriteit. Risico evaluatie bestaat uit het vergelijken van de risico s met de risico criteria die het bedrijf heft vastgelegd. Er moet ook gekeken worden naar de doelstellingen van de onderneming en de omvang van de mogelijke kansen. De keuze voor een bepaalde methode hangt af van de context waarbinnen de organisatie zich bevind(as/nzs, 2004, p19). Risk mitigation methods Risico behandeling bestaat uit het identificeren van de opties die beschikbaar zijn om een risico te behandelen. Het beoordelen van deze opties, daarna het voorbereiden en implementeren van de gekozen opties(as/nzs, 2004, p20). Het selecteren van de meest geschikte optie bestaat uit het balanceren van de kosten van elke optie tegen de voordelen die het moet opleveren. Hierbij moet ook rekening worden gehouden met de context waarbinnen dit allemaal gebeurt. Ook is het belangrijk om rekening te houden met directe en indirecte kosten, voordelen tastbaar of niet en uitgedrukt in geld of andere middelen(as/nzs, 2004, p21).

25 3.3.3 Control Implementation/controlling Een organisatie behoort risicobeheerbeleid, -plan en ondersteuningsmogelijkheden te ontwikkelen. Dit zal er voor zorgen dat het risicobeheer effectief binnen de organisatie geïmplementeerd zal worden. Ook moet er in het plan strategieën staan hoe risicobeheer geplaatst kan worden in de systemen, processen en de praktijk van de organisatie(as/nzs, 2004, p25) Monitoring Continuous monitoring/periodical checks and reviews Het continue bespreken van het management plan is essentieel om deze up to date te houden. Er zijn namelijk factoren die invloed kunnen hebben op de kans en de gevolgen van een uitkomst, als ook de factoren die de geschiktheid of de kosten van de behandelingsmethoden beïnvloeden. Het is daarom noodzakelijk het gehele process regelmatig te herhalen. Monitoren bestaat ook uit het leren van het risicobeheerproces, door het bekijken van gebeurtenissen, de behandelingsplannen en de uitkomsten daarvan(as/nzs, 2004, p22). Managament assessment Niet genoemd in de tekst. System efficiency Niet genoemd in de tekst Information & communication Information supply Niet genoemd in de tekst. Documentation Elke stap binnen het risicobeheerproces behoort vastgelegd te worden. Aannames, methodes, data bronnen, analyses, resultaten en de redenen voor bepaalde beslissingen vallen hier allen onder(as/nzs, 2004, p23).

26 Recording Voor elke stap van het proces moeten er gegevens worden bijgehouden om bepaalde beslissingen die genomen zijn te begrijpen(as/nzs, 2004, p8). De bijgehouden gegevens zijn belangrijk als onderdeel van goede corporate governance(as/nzs, 2004, p23). Internal reporting/external reporting Communicatie en consultatie zijn belangrijke punten voor elke stap van het risicobeheerproces. Er moet een dialoog ontstaan met de stakeholders in plaats van een eenzijdige stroom van informatie. Het is belangrijk om een communicatie plan voor zowel de interne als de externe stakeholders te ontwikkelen aan het begin van het proces. Hier moeten punten in staan over het risico en de processen deze risico s managen. Effectieve interne en externe communicatie is belangrijk om zij die er bij betrokken zijn begrijpen waarom bepaalde beslissingen genomen worden(as/nzs, 2004, p11) Management of resources Human resources/other resources De organisatie moet de middelen identificeren die ze nodig hebben om risicobeheer te kunnen implementeren. Er moet rekening gehouden worden met: mensen en vaardigheden; gedocumenteerde processen en procedures; Informatie systemen en databases; en geld en andere middelen voor specifieke risico behandelings activiteiten(as/nzs, 2004, p27) Other aspects Business continuity/crisis management Niet genoemd in de tekst. Interfaces to other management systems Voor dat er begonnen wordt met het ontwikkelen van een risicobeheerplan moet de organisatie eerst kritisch kijken naar en beoordelen van de huidige risicobeheer systemen. Dit moet gedaan worden

27 aan de hand van de behoeftes van de organisatie en haar context. Er moet goed gekeken worden naar: De volwassenheid, karakteristieken en de effectiviteit van bestaande business en risicobeheer cultuur en systemen; de mate van integratie en consequentie van risicobeheer door de gehele organisatie en van alle verschillende types van risico; de processen en systemen die aangepast moeten worden(as/nzs, 2004, p25) Betekenis risico positief/negatief De processen beschreven in dit document kunnen zowel op potentiële winsten als op potentiële verliezen worden toegepast(as/nzs, 2004, p1). Risico is de kans dat iets gebeurt wat invloed kan hebben heeft op de doelstellingen Notitie 3: Risico kan zowel een positieve als een negatieve impact hebben(as/nzs, 2004, p4). Het identificeren van bestaande processen, apparaten en handelingen die negatieve risico s minimaliseren en positieve risico s versterken. En deze beoordelen op hun sterke en zwakke punten(as/nzs, 2004, p17) Samenvatting De elementen management assessment, system efficiency, information supply en business continuity worden niet genoemd in de tekst. Alle andere elementen worden duidelijk beschreven in deze standaard. Één categorie(management of resources) en de elementen internal- and external communication worden in de tekst als zijnde een geheel genoemd. Al worden de laatste twee later inhoudelijk apart beschreven. Categorie Nr. Element niet aanwezig uit de context aanwezig basic principles 1 corporate strategy x 2 risk policy x 3 risk program x 4 organisation/responsibilities x planning 5 risk identification methods x

28 6 risk assessment methods x 7 risk aggregation methods x 8 risk mitigation methods x control 9 implementation/controlling x monitoring 10 continuous monitoring x 11 periodical checks and reviews x 12 managament assessment x 13 system efficiency x 14 information supply x information & 15 documentation x communication 16 recording x 17 internal reporting x 18 external reporting x management of 19 human resources x resources 20 other resources x 21 business continuity/crisis management x other aspects 22 interfaces to other management systems x betekenis risico 23 positief/negatief x 4 Conclusie In deze scriptie wordt onderzocht welke Enterprise Risk Management Standard een organisatie het beste zou kunnen gebruiken voor het risicobeheer proces. Dit is gedaan door FERMA, de risk management norm, ISO/DIS en AS/NZS 4360:2004 met elkaar te vergelijken op basis van een aantal categorieën. Gekeken is of alle elementen aanwezig zijn. Categorie FERMA ISO/DIS AS/NZS 4360 Nr. niet semi wel niet semi wel niet semi wel basic principles 1 x x x x x 2 x x x 3 x x x x 4 x x x x planning 5 x x x 6 x x x 7 x x x 8 x x x control 9 x x x monitoring 10 x x x 11 x x x 12 x x x x 13 x x x

29 14 x x x information & 15 x x x communication 16 x x x x 17 x x x 18 x x x management 19 x x x of resources 20 x x x 21 x x x other aspects 22 x x x betekenis risico 23 x x x AS/NZS 4360:2004 is op basis van deze elementen de betere keus om te gebruiken bij implementatie van een Enterprise Risk Management standaard binnen een organisatie. De andere twee doen niet helemaal onder voor deze standaard, maar missen meer elementen of laten deze slechts uit de context blijken. De drie besproken modellen hebben elk hun eigen uitgangspunt. FERMA is geschreven aan de hand van de best practice binnen tal van bedrijven. Dit maakt de norm natuurlijk zeer bruikbaar omdat het neer komt op een confirmatie van wat de bedrijven reeds doen. Daarnaast kan een bedrijf hiermee richting de aandeelhouders verklaren dat zij aan zich aan de regels van het risicobeheer houden, deze zijn feitelijk door de bedrijven zelf bedacht en niet te controleren door de aandeelhouders. Dit maakt FERMA minder betrouwbaar. ISO/DIS probeert een algemene gids te maken die alle andere standaarden vervangt. Deze gids moet bedrijven helpen bij het implementeren van een risicobeheer proces die opgesteld is aan de hand van die gids. De gids hebben ze gebaseerd op een aantal andere bestaande standaarden, voornamelijk AS/NZS. Sommige delen uit de tekst zijn bijna letterlijk overgenomen. Door het samenvoegen van meerdere standaarden is het geheel gefocust op maar een paar kernpunten van risicobeheer. Wat AS/NZS 4360 betreft stamt het origineel uit De hier besproken versie is de derde versie van deze standaard. Dit heeft er voor gezorgd dat de samenstelling van de standaard door de jaren heen verfijnd is. En de verschillende punten van risicobeheer duidelijk beschreven worden. Mede door het handboek wat bij deze standaard hoort is AS/NZS eenvoudig toe te passen. Over de lijst van elementen die R.F. Erben aandraagt met de aanvulling van het inhoudelijke betekenis van risico, kan nog gezegd worden, dat het eerste element uit de categorie other aspects meer een risico op zich is en dus niet mee zou moeten tellen als element voor deze categorie.