Rollen in Risk Management

Transcriptie

1 Rollen in Risk Management 10 oktober Inleiding In de afgelopen maanden heeft de Enterprise Risk Management-werkgroep een tweetal columns op de IIA website gepubliceerd: 1. Een algemene inleiding ERM; 2. De stappen in het ERM-proces. In deze serie is dit de derde column. Later zal in een afzonderlijke column een verdiepingsslag plaatsvinden op de rol van Internal Audit in het ERM-proces. De vijfde column gaat nader in op de vraag welke functies verantwoordelijk kunnen zijn voor de diverse stappen in het ERM-proces. De economische ontwikkelingen in de afgelopen jaren hebben op het gebied van risicobeheersing een aantal zaken duidelijk gemaakt. Ondermeer: De noodzaak voor organisaties om een deugdelijk allesomvattend en consistent risicobeheersingssysteem te hebben. Integraal risico management (verder ook wel aan te duiden als ERM ) dient verweven te zijn in alle haarvaten van een organisatie en behoort op alle managementlagen aandacht te krijgen. Continu is de vraag: Wat zijn de risico s en welke risico mitigerende acties zijn nodig? Uit de beantwoording kan ook voortvloeien dat er helemaal geen actie ondernomen hoeft te worden, omdat de consequenties van een risico te gering zijn dan wel dat de te ondernemen actie te kostbaar is of het fungeren van een organisatie belemmert. De afweging moet wel stelselmatig gebeuren. Ook al beschikte een organisatie over een risicobeheersingssysteem toch kwamen verschillende bedrijfstakken in de problemen. In een aantal gevallen viel te constateren dat er totaal onverwachts problemen optraden, ondanks het feit dat een organisatie aan risicobeheersing deed. Of dat een eerdere (vroegtijdige) signalering uit de risicoinventarisatie ten onrechte, zoals later zou blijken, in de wind was geslagen In het huidig maatschappelijk verkeer luidt in toenemende mate de roep aan organisaties om transparant over de risico s te zijn, ook naar buiten toe. Een ontwikkeling waarin sommige Europese landen al verder zijn qua implementatie dan Nederland. Deze column gaat niet in op de ERM uitgangspunten, omdat de grote lijnen worden verondersteld bekend te zijn. Wel de opmerking dat ERM een duidelijke link heeft naar de bedrijfsdoelstellingen, dat ERM de verantwoordelijkheid van de gehele organisatie is en dat het niet alleen om bedreigingen gaat maar ook om kansen. 2 Betrokken functies ERM behoort in de haarvaten van de bedrijfsvoering te zitten. Echter bij uitstek zijn een aantal functies in eerste instantie verantwoordelijk voor c.q. dragen bij aan de invoering en de handhaving van integraal risicomanagement, de daaropvolgende handhaving en de verdere verbetering van het risicomanagement systeem. In de praktijk houdt een veelvoud aan functies zich bezig met het managen van een breed spectrum aan risico s. In de veelvoud aan functies die zich met een of meer facetten van ERM bezighouden, schuilt een wezenlijk gevaar. Namelijk dat van verkokering of het Silo denken : 1

2 Enerzijds kan dit leiden tot: Inefficiënties het zelfde risico wordt door 2 verschillende functies gemonitored met de kans van 2 geheel verschillende follow-up acties. Anderzijds het gevaar dat een risico niet tijdig onderkend is de andere afdeling zal zich wel met het specifieke risico bezig houden. De risico s kunnen liggen op een breed gebied. Niet alleen operations, of business continuïteit maar ook op het gebied van disaster recovery, security, financial, environmental, public relations, enz. De voornaamste functies zullen hieraan bod komen. De betrokken functies zullen geplot worden tegen de indeling naar de Lines of Defence : 1ste Operations and Business Units; 2de Support Functions; 3de Internal Audit; 4de Oversight Functions. In de uitwerking komen alleen de interne functies aan de orde en blijven andere instanties, zoals de externe accountants buiten beschouwing. First Line of Defence Operations and Business Units Op diverse plaatsen in de organisatie vindt in de dagelijkse bedrijfsvoering risicobeheersing plaats. Het is een onderdeel van het primaire proces. Niet alleen in het productieproces, maar ook bijvoorbeeld op de procurement afdeling, of bij business development. Andere voorbeelden zijn: Customer support; Distributie; Produkt ontwikkeling. Lijnmanagement Risicobeheersing is een onderdeel van de dagelijkse bedrijfsvoering en naast het dagelijks managementtoezicht (een krachtige control) een onderdeel van de reguliere taak van het management. Bij het lijnmanagement ligt de primaire verantwoordelijkheid voor de toepassing van riskmanagement in al haar facetten. Zij bezitten het feitelijk eigenaarschap. Het is dus aan het lijnmanagement om periodiek en stelselmatig de risico s in beeld te brengen en per risico vast te stellen: de likelihood (waarschijnlijkheid dat een specifiek risico zich kan voordoen) en de impact (wat kunnen de consequenties zijn van een zich voltrokken risico?) Op grond van de afweging welke risico s men bereid is te nemen, maakt management een prioriteitsafweging en bepaalt welke acties ondernomen gaan worden om de risico s te beheersen. Essentieel is het om te weten wat de risk appetite van het management is. In de praktijk blijkt, mede door de abstractie van het begrip het moeilijk om (vooraf) op een inventariserende wijze bij het management te achterhalen wat mogelijke criteria voor het vaststellen van de risk appetite zijn. Een eventuele benaderingswijze is om bij een concreet benoemd risico met het management af te stemmen wat nog wel aanvaardbaar is en wat niet. Het is de verantwoordelijkheid van het lijnmanagement om een balans te vinden in de afweging van welke acties ondernomen moeten worden om de consequenties van de geïnventariseerde risico s te mitigeren en in welke mate het dan nog overblijvend restrisico acceptabel is. 2

3 Het is eveneens aan het management om te rapporteren over de risico s en de follow-up acties aan naast hoger management. Criteria om bepaalde risico s niet te rapporteren, zijn essentieel om vooraf te definiëren. Noot: In de praktijk neemt het management nog weleens klakkeloos alle risico s in de rapportage op en brengt geen onderscheid aan in belangrijkheid. ( Dat mag het naast hogere management doen! ) Periodiek dient gerapporteerd te worden over de uitkomsten van de risk assessment, de te ondernemen follow-up acties en de voortgang van eerdere follow-up acties. Raad van Bestuur Enerzijds krijgt de RvB de diverse divisies rapportages en anderzijds heeft ze haar eigen risk assessments. Deze laatste zijn veelal strategisch van aard. In gesprekken met (senior) management dient de RvB inzicht te krijgen hoe de andere echelons zijn omgegaan met het risicobeheersingssysteem en welke criteria zij hanteren om bepaalde risico s wel of niet aan de RvB rapporteren. Op hun beurt rapporteert de RvB aan de Raad van Commissarissen, in een enkel geval aan het Audit Committee. Echter als het niet alleen om financiële risico s gaat maar ook om strategische, tactische of operationele risico s kan niet volstaan worden met enkel te rapporteren aan het Audit Committee. Daarnaast is de sponsorrol van een lid van de RvB voor ERM cruciaal. Veelvuldig ligt die bij de CFO, maar het heeft de voorkeur dat de CEO die sponsorrol vervult. De invloed van voorbeeld gedrag van het topmanagement op de cultuur en gedrag van de organisatie (control environment) is evident. Dat geldt ook voor dit onderwerp. Second Line of Defence Support Functions De second Line of Defense wordt gevormd door de ondersteunende afdelingen. Voorbeelden van deze afdelingen zijn ondermeer: IT Tax Legal HR Finance/Control Elk geeft vanuit de eigen expertise een oordeel over de risico-inventarisatie opgesteld in de eerste Line of Defence. Niet alleen een kwalitatief oordeel, maar ook aanvullend op de geïnventariseerde risico s. Op deze wijzewordt mede een check op de volledigheid gekregen. Finance/Control hebben een belangrijke rol gezien het belang van de indirecte monitoring op de werking van de controls via de sleutelindicatoren in de reguliere managementrapportages. Risk management functie Veelal ligt aan het risicobeheersingssysteem een vaste procesgang ten grondslag. Ondermeer: Periodiciteit; Wijze van uitvoeren van risk assessments; Wijze van rapporteren over de risico s/follow-up/ realisatie van verbeteracties enz; Om aan deze procesgang invulling te geven en te bewaken dat die ook gevolgd wordt, kennen organisaties een Risk Officer (ook wel aangeduid als een Chief Risk Officer). De rol van deze functionaris gaat overigens veelal verder dan in deze column is aangegeven. 3

4 In het merendeel van de gevallen wordt een Risk Officer bijgestaan door een kleine staf van specialisten. Aanvullend op de eerder genoemde punten inzake de procesgang dienen zij ook inzicht hebben hoe de individuele divisies met ERM zijn omgegaan en te komen met voorstellen tot verbetering voor de procesgang. Overige afdelingen Andere afdelingen die in deze categorie thuishoren zijn Internal Control, Compliance afdelingen en andere op risk monitoring en beheersing geënte afdelingen. Afhankelijk van de typologie van een organisatie, of de aard van het productieproces kunnen er verbijzonderde risicobeheersing afdelingen ingesteld zijn. Bijvoorbeeld in de chemische industrie of in de financiële sector. Third Line of Defence Monitoring Functions Deze categorie kenmerkt zich niet alleen door een monitorende rol maar is ook soms richtinggevend voor de verdere inrichting van het risk management framework. Kenmerkend voorbeeld is Internal Audit. Deze afdeling draagt bij aan de assurance voor het topmanagement van een onderneming. Internal Audit In het recente verleden heeft deze functie in veel organisaties bijgedragen aan het invoeren en uitbouwen van het risicobeheersingssysteem. Veelal trad vermenging op van de rol van de Risk Management functie met die van de primaire Internal Audit functie. In een dergelijke situatie is het niet mogelijk om een audit uit te voeren op het ERM van de organisatie. Ook al zouden de auditors die de audit uitvoeren andere zijn dan de collega s betrokken bij het risicobeheersingssysteem. Juist door het uitvoeren van audits op de wijze waarop de organisatie het integraal risk management invult, draagt de Internal Audit Functie bij aan het realiseren van een volwassen ERM systeem. Het bijdragen bestaat enerzijds uit het geven van assurance aan topmanagement en anderzijds uit consulting. Fourth Line of Defence Oversight Functions. De functies in de vierde linie houden zich uit hoofde van hun toezichthoudende functie ook bezig met de het toezicht op de wijze waarop het risk management in de organisatie ingevuld wordt. De uitkomsten van de diverse risk assessment zijn van groot belang voor hun eigen activiteiten. Het meest sprekende voorbeeld in deze line of defense is de Raad van Commissarissen. Raad van Commissarissen Actief hoort deze Raad de Raad van Bestuur te bevragen over de risico s. Het zijn tenslotte de risico s waarover ook zij in een AvA verantwoording moeten afleggen. Vaak vindt een voorbehandeling van de risicorapportages plaats in het Audit Committee. Te verwachten valt dat in toenemende mate risicobeheersing (ook onder druk van wetgeving) een steeds grotere rol gaat spelen. Her en der wordt dit belang al geïllustreerd door de discussies over de vorming van afzonderlijke Risk Committees op het niveau van Raad van Commissarissen. Deze mogelijke trend wordt al voorafgegaan door de vorming van aparte Risk Committees op lager echelons in bedrijven. De externe accountant, andere certificerende toezichthouders en eventuele andere externe toezichthouders worden ook tot deze line of defence gerekend, maar daar wordt in deze column niet nader op ingegaan. 4

5 5