Andere aanpak risicow geeft beter zicht op ris

Transcriptie

1 Naar een gefundeerde onderbouwing van het Andere aanpak risicow geeft beter zicht op ris Met Enterprise Risk Management kunnen de belangrijkste risico s in organisaties in beeld worden gebracht. Vaak is de werkvorm een risicoworkshop onder leiding van een consultant waarbij de deelnemers zélf de toprisico s benoemen. Deze aanpak heeft als nadeel De auteur Rob Uiterlinden RC is principal consultant bij Atos Consulting / World Class Finance dat belangrijke risico s mogelijk over het hoofd worden gezien. Een meer systematische inrichting van risicoworkshops leidt tot een gefundeerdere onderbouwing van het. In de traditionele risicoworkshop is het de bedoeling dat deelnemers in brainstormsessies zelf tot een overzicht van de toprisico s in hun business komen. Daarbij wordt vaak stemsoftware of groupware ingezet als ondersteunende tool. Heeft de groep de lijst met toprisico s eenmaal vastgesteld, dan is de volgende stap om na te gaan of er gebieden zijn waar de beheersing van risico s mogelijk te wensen over laat. Op die gebieden worden dan acties gedefinieerd, waarvan de resultaten gedurende het jaar worden gemonitord. Vaak wordt op basis van de workshop van het afgelopen jaar de risicolijst geactualiseerd en worden eventueel nieuwe acties uitgezet. Dit proces van risico-identificatie en -beheersing is in veel ondernemingen een jaarlijks terug kerend ritueel. Beoordeling van de methode Een jaarlijkse sessie waarbij wordt nagedacht over bedrijfsrisico s is een nuttig managementinstrument. Alleen is het de vraag of de vorm van de workshop wel tot het gewenste resultaat leidt. In deze opzet worden de risico s door het gezelschap zélf naar voren worden gebracht. De kans dat zo een compleet en evenwichtig beeld ontstaat, is niet erg groot omdat: het beeld sterk afhangt van de samenstelling van het gezelschap en de vraag of alle kennis van de risico s die de business loopt aan tafel is verenigd; het vrijwel onmogelijk is voor een individu om in een workshop een zo compleet mogelijk beeld van de risico s vanuit zijn discipline in te brengen; managers de neiging hebben vooral risico s te benoemen waarmee zij de laatste jaren zijn gecon fronteerd; de beschikbare tijd (vaak een dagdeel of een dag) te kort is om echt diep te gaan; het gevaar bestaat dat dominantere managers in de workshop de overhand krijgen; de meer operationele risico s en procesrisico s onderbelicht blijven. Met andere woorden: de kans bestaat dat de groep een aantal risico s over het hoofd 30 oktober 2006 ControllersMagazine

2 orkshop ico s ziet die uit oogpunt van de noodzaak tot beheersing absoluut de aandacht verdienen. Dit is een probleem gezien de veel formelere wijze van omgang met risico s zoals die onder andere in de Corporate Governance Code Tabaksblat wordt aangehaald. Zo schrijft de Code voor: II.1.4 In het jaarverslag verklaart het bestuur dat de interne risicobeheersingsen controlesystemen adequaat en effectief zijn en geeft het een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersingsen controlesysteem in het boek jaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissen is besproken. II.1.5 Het bestuur rapporteert in het jaarverslag over de gevoeligheid van de resultaten van de vennoot schap ten aanzien van externe omstandigheden en variabelen. De Monitoring Commissie Corporate Governance Code (Commissie Frijns) heeft inmiddels een inter pretatie van bovengenoemde artikelen geproduceerd waarin nadere invulling is gegeven aan het gestelde. Daarbij ligt weliswaar de nadruk op financiële ver slag leggingrisico s maar toch wordt ten aanzien van operationele, strategische en wet- en regelgeving risico s aangegeven dat indien van toepassing, be langrijke tekortkomingen die in het verslagjaar zijn geconstateerd worden gemeld, waarbij tevens aangebrachte of geplande verbeteringen worden aangegeven. Organisaties die verplicht zijn een incontrol state ment op te nemen in het jaarverslag, dienen een raamwerk te hebben op basis waarvan de belangrijke tekortkomingen kunnen worden vastgesteld. De hui dige risicoworkshops van maximaal één dag voldoen niet, omdat zij te weinig waarborgen bieden voor even wichtige en complete uitkomsten. Overigens geldt dit ook voor organisaties die zich min of meer vrijwillig willen confirmeren aan de Code. Het alternatief in vier stappen Om de onzekerheden die voortkomen uit de traditio nele methode het hoofd te bieden, moet de aanpak op een aantal punten worden verbeterd: alle potentiële risico s moeten zoveel mogelijk van tevoren zijn bepaald; de wijze waarop tot een uitspraak over het risico wordt gekomen, de noodzaak en de kwaliteit van beheersing moeten transparant zijn; er moet voldoende tijd worden genomen om tot evenwichtige afwegingen te komen; de uiteindelijke keuze van de toprisico s moet goed onderbouwd zijn. Het is geen sinecure om van tevoren alle potentiële risico s in beeld te brengen, zeker niet als dit vanuit een nul-positie moet worden gedaan. Een leidraad is de volgende vijf stappen te volgen. 1) Opstellen van een questionnaire Gebruik een questionnaire die aansluit bij uw branche en die de bedrijfsspecifieke issues goed afdekt. Een essentieel onderdeel van deze uitgebreide vragenlijst vormt de strategie van de organisatie. Een strategisch plan is een belangrijke bron van infor matie bij de definitie van risico s omdat uit dit plan blijkt op welke specifieke items de onder ne ming succesvol zal moeten zijn om de bedrijfsdoelen te realiseren. Risico s zijn gekoppeld aan doel stel lingen en zonder dat het doel goed omschreven is, kan niet worden bepaald welke gebeurtenissen >> oktober 2006 ControllersMagazine 31

3 Support Primary COSO Corporate governance Finance Human Resource Management R&D Procurement ICT Infrastructure Delivery Marketing & Sales Logistics Compliance Reporting Strategic Service Figuur 1 De combinatie van het COSO II-model en Michael Porter s Value Chain Model Een workshop van een dag of een dagdeel is te weinig om tot een goed beeld te komen. (de risico s) de realisatie van het doel in weg kunnen staan. 2) Beschrijving best practices Naast de definitie van het risico moet ook om schreven zijn op welke wijze het risico kan worden beheerst. Uiteraard verschilt hier de oplossing per organisatie. Door het presenteren van best practices kan de organisatie zich een redelijk beeld vormen aan wat voor wijze van risicobeheersing moet wor den gedacht. Dit helpt om het oordeel over de kwaliteit van beheersing te kunnen onderbouwen. 3) Gerichte interviews Zoals opgemerkt is een workshop van een dag of een dagdeel te weinig om tot een goed beeld te komen. Beter is door middel van gerichte interviews met sleutelfunctionarissen de risico s binnen hun aan dachtsgebied door te nemen. Denk daarbij aan mana gers die verantwoordelijk zijn voor bijvoorbeeld sales & marketing, productie & logistiek, inkoop, research en developement, human resources, finance en dergelijke. Ook is een interview met de algemene leiding van de onderneming gewenst om de meer overkoepelende risico s de revue te laten passeren. Tijdens de interviews worden risico s voorgelegd waarbij de geinterviewde zowel een oordeel moet geven over de zwaarte van het risico alsook de mate waarin dit risico door de organisatie wordt beheerst. Om te kunnen bepalen of een risico in aanmerking komt voor beheersing, moet de organisatie vast stellen hoe ze een risico waardeert. Daarbij gaat het om een brutobeoordeling van het risico. Bruto bete kent: alle beheersingsmaatregelen worden buiten beschouwing gelaten. Het gaat om de identificatie van de kale risico s (ook al zijn deze soms goed afgedekt met bijvoorbeeld verzekeringen). De ervaring leert dat veel geïnterviewden deze wijze van beoor delen lastig vinden. De interviewer zal met name in het begin van het gesprek de geïnterviewde moeten terugplaatsen in de denkbeeldige situatie dat er geen risicobeheersing bestaat en zijn vragen dan opnieuw moeten stellen. De risico s wordt gescoord naar twee gezichtspunten: de kans dat een risico optreedt en de impact op de organisatie als het risico zich voordoet. Het is raadzaam om aan de keuzes criteria te hangen. Zo voor komt u willekeur bij het scoren van de risico s. De kans dat een risico zich kan voordoen, wordt uit gedrukt in het aantal malen per maand, jaar, decen nium of zelfs eeuw. Koppel deze frequentie aan de kwalificatie van de kans (hoog, midden, laag). Tip: geef geïnterviewden een aantal voorbeelden om ervoor te zorgen dat zij gefundeerder scoren. Hetzelfde geldt voor de impact. Ook hier moet aan de scores een richtlijn vastzitten. Meestal zal deze worden uitgedrukt in euro s schade, al moet direct worden gezegd dat de schade niet in alle gevallen te becijferen is. De richtlijn hangt ook af van wat de onderneming zelf als risico wenst te accepteren (de risicovoorkeur of risk-appetite). Het is aan de leiding van de onderneming om het risk-appetite vast te stellen en te kwantificeren. Zo zal een onderneming bepalen dat de impact als achtereenvolgens desas treus, hoog, midden of laag wordt vastgesteld op basis van grenswaarden in euro s die afgeleid zijn van het risk-appetite. Pas op voor diepgaande rekenexcercities om de score te onderbouwen. Het doel blijft het geven van hand vatten. Er zullen overigens altijd risico s zijn waar van de impact moeilijk te kwantificeren is (bijvoor beeld imagoschade). In die gevallen is het beste om kwalitatief tot een onderbouwing van de score te ko men. In alle gevallen zullen de interviewers de moti vatie achter de score vastleggen om latere reflectie mogelijk te maken. 4) Plenaire sessies Daarnaast moet de analyse die door het interview team is opgesteld, gedeeld 32 oktober 2006 ControllersMagazine

4 Coso II Value Chain Aspect Potentieel risico Best practice Kans Impact Risico Mate van beheersing Strategisch Infrastructuur Milieubeleid Milieubeleid definiëren. Beleid afstemmen op missie, visie en doelen. Beleid wordt regelmatig getoetst en bijgesteld indien nodig. Hoog Acties om de impact van bedrijfsactiviteiten op het milieu te beperken, zijn ontoereikend, ongecoördineerd en niet in lijn met de bedrijfsdoelstellingen Desastreus Hoog Top Zeer goed Goed Zeer laag Figuur 2 Risico-identificatie op basis van COSO II en value Chain Model worden met alle geïnter viewden in een plenaire sessie. In deze sessie neemt de groep een beperkte set van risico s (de top 100) nogmaals door en discussieert de groep over het belang van de risico s voor de organisatie en de mate waarin deze worden beheerst. Uiteindelijk wordt bepaald wat de toprisico s zijn en kan een verdere rang orde worden vastgesteld. Omdat de verschil lende spelers afzonderlijk zijn geïnterviewd, kan blijken dat de deelnemers het plenair niet met el kaar eens zijn. Veelal gaat het dan om grens over stij gende of ondernemingsbrede risico s. De dis cussie die ontstaat, is overigens nuttig om uitein de lijk een breed gedragen beeld op te bouwen. Ter voorbereiding van de plenaire sessie wordt aan de geïn terviewden een volledig inzicht verstrekt in de voor gelegde risico s en bijbehorende scores. Uiteraard is het mogelijk nieuwe risico s naar aanleiding van de sessie toe te voegen. Uitwerking Het COSO II-model is inmiddels een algemeen aan vaarde standaard voor Enterprise Risk Management. Het is dan ook raadzaam de vier invalshoeken van COSO II te kiezen voor de opzet van de question naire: strategic, operations, reporting, compliance: Strategic: welke strategische keuzen worden ge maakt en welke kansen en bedreigingen horen bij deze keuzen? : hoe kan de organisatie de effectiviteit en efficiency waarborgen? Compliance: handelt de organisatie in overeen stem ming met wetten en regelgeving? Reporting: zijn rapportages betrouwbaar en vol doen deze aan interne en externe vereisten? Het onderscheid dat het COSO II-model maakt, is te grof om risico s goed te kunnen indelen. Om tot een fijnmaziger aanpak te komen, gebruiken we het value chain model van Michael Porter, dat de functionele gebieden binnen organisaties goed weergeeft. In figuur 1 is de combinatie van COSO II en het Value Chain Model weergegeven. Daarna moeten binnen iedere combinatie van func tio neel gebied en COSO II-invalshoek de risico s verder worden ingedeeld in categorieën, zodat een over zichtelijk geheel ontstaat. Deze categorieën duiden de belangrijkste aspecten van te managen risico s aan en vormen de derde dimensie naast de COSO II-aspecten en de functionele indeling vol gens de value chain. Dat kan handig zijn als het mana gement bijvoorbeeld geïnteresseerd is in één specifiek item omdat dit een strategisch speerpunt blijkt te zijn (zoals innovatie). Het voert hier te ver een volledige uiteenzetting van alle categorieën te bespreken maar bij dergelijke indelingen moet gedacht worden aan begrippen als: Afhankelijkheid Continuïteit Innovatie Klantsatisfactie Rendement Reputatie Veiligheid Waarden Door alle vragen en resultaten vervolgens op te ne men in een database kan langs alle assen worden gerapporteerd. In figuur 2 zijn de verschillende attri buten van een specifieke risicovraag weergegeven. Chance High Rapportage Nadat de interviews met de managers van de func tionele gebieden zijn afgerond kan het interview team een eerste beeld geven van de uitkomsten van het selfassessment. Medium Low Hiertoe worden de resultaten van de risicobeoordeling weergegeven in een Risk Map (zie figuur 3). Deze Risk Map maakt duidelijk hoe er in totaal is gescoord op kans en impact en hoe de risico s zijn verdeeld over de diverse kans/ impact-combinaties. De combinaties hoog/desas treus en hoog/hoog geven het Low Medium High Disastrous aantal risico s weer dat voor beheersing in Impact aanmerking komt. (Dit is ove ri gens Figuur 3 Het aantal risico s, de kans dat ze zich voordoen en hun impact op de organisatie afhankelijk van de risicovoorkeur van >> oktober 2006 ControllersMagazine 33

5 Primary Support Strategic Marketing Sales Corporate governance Finance & Control Human Resource Management Research & Development Procurement ICT Infrastructure Delivery Logistics Service Figuur 4 Voorbeeld van risico-identificatie per activiteit of proces Enterprise Risk Management veronderstelt een proces dat begint met de visie en missie van de organisatie en dat eindigt met het daadwerkelijk toetsen van de risico beperkende maatregelen op bestaan en werking. de orga nisatie. Een risicovermijdende organisatie zal bij voor beeld ook de middenrisico s willen afdekken met beheersingsmaatregelen). Dergelijke presen ta ties kunnen uiteraard voor het totaal van de orga nisatie, maar ook per COSO II-invalshoek, func tio neel gebied, risicocategorie of combinaties daarvan worden gemaakt. Let wel: het betreft hier nog steeds een brutorisicobeoordeling waarin geen uitspraak is gedaan over de mate van beheersing die al in de organisatie bestaat. Het inzicht in de kwaliteit van de beheersing kan worden weergegeven door op basis van een gemid delde score per functioneel gebied middels een kleurindicatie een totaaloordeel te geven. Uiteraard kan deze presentatie voor het totaal van de organisatie als voor specifieke combinaties worden gemaakt en geeft de ingevulde questionnaire uiteindelijk in detail antwoord op de vraag waarom de geïnter viewden oranje of rood hebben gescoord. Omdat de interviewer tevens de motivatie bij de scores heeft opgenomen is een volledige analyse van het hoe en waarom steeds mogelijk. Tijdens de plenaire workshop worden de aan pas singen direct verwerkt in de questionnaire zodat het gezamenlijke gedeelde beeld wordt vastgelegd. Het is dan nuttig om nog eens te analyseren hoe en waarom scores zijn veranderd, bijvoorbeeld door de grafische presentaties van voor en na de workshop met elkaar te vergelijken. Het eindresultaat vormt een goed startpunt voor het inrichten van het risicomanagementproces. De organisatie is in staat om actief de risico s te managen die afhankelijk van de risicovoorkeur als te beheersen zijn aangemerkt. Het oordeel over de kwaliteit van de beheersing legt bloot waar de eerste verbeteracties op moeten worden gericht. Vervolgstappen Op basis van de uitkomst van het selfassessment kan de organisatie aan de slag met het formuleren van verbeterpunten om de beheersing op het gewen ste niveau te brengen. Daarbij ligt het voor de hand die risico s aan te pakken die het zwaarst wegen. Dus de risicocategorieën hoog/ desastreus en waar van de kwaliteit van de beheersing midden of lager is. Een verdere schifting kan nog worden gemaakt op basis van de in de plenaire sessie bepaalde rang orde. In de regel zijn voor een gemiddelde business unit in totaal circa 50 risico s te behappen. Uiteraard is daarvan de beheersingsgraad voor een groot ge deel te vermoedelijk wel op orde, zodat een 10 à 15 ver beterpunten zullen resteren. Vreemd is dit niet want risicomanagement heeft bij de meeste beslissingen altijd al een plaats gehad. Soms afge dwongen vanuit de AO/IC, ISO of andere kwaliteitsstandaarden. Nieuwe inzichten ten aanzien van het managen van risico s (zoals COSO II) en regelgeving zoals Tabaksblat scherpen het risicobewustzijn nu verder aan. Toch is de hier beschreven werkwijze nog steeds niet wat men onder Enterprise Risk Management ver staat. Het is een eerste stap. Enterprise Risk Management veronderstelt een proces dat begint met de visie en missie van de organisatie en dat eindigt met het daadwerkelijk toetsen van de risico beperkende maatregelen op bestaan en werking. Enterprise Risk Management gaat ook uit van een vol ledige opname van het proces in de manage mentcyclus, inclusief het met regelmaat rapporteren over de kwaliteit van risicobeheersing in de periodieke managementreviews. Daarnaast veronderstelt Enterprise Risk Management een bouwwerk dat volledig is gedocumenteerd en regelmatig wordt getest. Op basis hiervan kan de manager door middel van een Letter of Representation verklaren te zijn. Dat is nog een paar stappen verder dan dat hier is getoond. Maar voor wie wil starten, is dit een goed begin. << 34 oktober 2006 ControllersMagazine