Risicomanagement, kan het concreter?

Transcriptie

1 Risicomanagement, kan het concreter? Scriptie MSRE Patrick Glas Mei-2011

2 Shall I explain understanding for you? When you understand something, know that you understand it. When you don't understand something, know that you don't understand it. That's understanding. (Confucius) 1 1 Hinton, D (1998), The analects of Confucius, Counterpoint Washington DC, 1998, p15 ii

3 VOORWOORD Voor u ligt het resultaat van mijn onderzoek naar risicomanagement binnen vastgoedorganisaties. Naar aanleiding van recente fraudezaken en de financiële crisis is risicomanagement binnen vastgoedorganisaties een hot item. Hoewel er diverse modellen bestaan waarmee risicomanagement organisatiebreed (ook wel Enterprise Risk Management (ERM) genaamd) geïmplementeerd kan worden, blijven veel organisaties worstelen met de vraag hoe zij dit concreet kunnen aanpakken. Met behulp van deze scriptie wil ik een bijdrage leveren aan een oplossing voor deze problematiek. Deze doelstelling lijkt nobel, maar is zeker ook enigszins naïef te noemen. Wereldwijd hebben veel professionals hun tijd en energie gestoken in onderzoeken naar ERM. Er zijn derhalve al talrijke publicaties uitgegeven ten aanzien van dit onderwerp. Echter, tot mijn verbazing kwam ik erachter dat geen van deze onderzoeken het onderwerp ERM heeft bekeken vanuit Organizational Development theorieën. Terwijl juist het vakgebied Organizational Development zich richt op het organisatievraagstuk waar de schoen lijkt te wringen ten aanzien van het organisatiebreed inzetten van risicomanagement. Ik ben daarom van mening dat mijn onderzoek weldegelijk een bijdrage levert aan het verder concretiseren van de wijze waarop ERM geïmplementeerd kan worden in een vastgoedorganisatie. Deze bijdrage heb ik uiteraard niet helemaal alleen tot stand kunnen brengen. Veel mensen hebben tijd vrij gemaakt om met mij de dialoog aan te gaan over dit boeiende onderwerp. Zonder anderen te kort te willen doen, wil ik hierbij vooral Janneke de Wagt (de Alliantie), Cyriel Mintjens (Corio) en Nico de Groot (Ahold) bedanken voor hun medewerking, vertrouwen en kritisch meedenken. Daarnaast mag de rol van mijn begeleider Ton van Welie niet onderbelicht blijven. Naast zijn drukke baan als CEO van Ortec Finance was hij altijd bereikbaar om mee te denken en mijn stukken kritisch door te lezen. Ten slotte wil ik ook het thuisfront bedanken voor het feit dat ik deze opleiding heb mogen volgen. Met twee hele jonge kinderen is het niet vanzelfsprekend dat je vrouw je de ruimte geeft om een dergelijke uitdaging aan te gaan. Kim, bedankt! Patrick Glas Mei 2011 i

4 ii

5 SAMENVATTING Risicomanagement is een onderwerp dat volop in de schijnwerpers staat bij vastgoedorganisaties. Niettemin worstelen het management en risicomanagementprofessionals van deze organisaties hoe zij risicomanagement organisatiebreed, ook wel Enterprise Risk Management (ERM) genaamd kunnen implementeren. Deze constatering heeft geresulteerd in de volgende centrale vraag: Hoe ziet een raamwerk er uit dat vastgoedorganisaties meer handvatten geeft om ERM te implementeren in de organisatie? Omdat het begrip organiseren een belangrijk aspect in de vraagstelling is, zijn Organizational Development theorieën gebruikt om het implementeren van ERM te analyseren. Hierbij is gebruik gemaakt van negen aandachtsgebieden die ontleend zijn aan de denkbeelden van Morgan en Nieuwenhuis, te weten: strategie, structuur, cultuur, middelen, mensen, resultaten, ketens, communicatie en integratie. Vanuit deze negen aandachtsgebieden is gekeken naar bestaande ERM literatuur en twee belangrijke ERM modellen: het COSO ERM model en ISO Uit deze analyse zijn vervolgens vijf implementatie elementen gedestilleerd die vastgoedorganisaties in acht moeten nemen bij het implementeren van ERM in hun organisatie. Deze vijf implementatie elementen zijn: 1. ERM moet worden geplot op het organogram: ERM moet op alle niveaus worden uitgevoerd en de taken, rollen en verantwoordelijkheden ten aanzien van ERM moeten helder worden belegd. 2. ERM besteedt expliciet aandacht aan het managen van de cultuur van een organisatie. De cultuur moet goed aansluiten bij de missie en visie van de organisatie. 3. Een risicomanagementcyclus die gericht is op het bottom-up verzamelen en aggregeren van risico s in een organisatie. Hier gaat een top-down proces aan vooraf waarin de strategie, missie/visie, doelstellingen en risicoacceptatiegraad worden gecommuniceerd. 4. ERM moet worden geïntegreerd in alle processen van een organisatie. Dit vertaalt zich in het expliciet opnemen van risicomanagement in de besturing (kaders, rapportages) en ondersteuning (mensen, middelen) van de processen. 5. Binnen een organisatie moet de werking (effectiviteit) van ERM worden geëvalueerd en blijvend worden verbeterd. Dit proces kan zowel continu als op gezette tijden plaatsvinden. Met name het vierde implementatie element kan vastgoedspecifiek worden gemaakt. Vastgoed is een heterogeen, kapitaalintensief product dat niet liquide is en waar veel regelgeving en actoren invloed op uitoefenen. Bij het integreren van risicomanagement in de processen van vastgoedorganisaties moet rekening worden gehouden met deze karakteristieken. De vijf implementatie elementen zijn vervolgens geplaatst in de structuur van het COSO ERM model. Er is met name voor deze structuur gekozen omdat iii

6 het overzichtelijk is en de verbanden tussen de elementen goed weergeeft. Grafisch ziet het nieuwe ERM raamwerk er als volgt uit: Het nieuwe ERM raamwerk 5 Evalueren en verbeteren 2 Managen van de cultuur 3 Risicomanagement Cyclus 1 4 Integreren in bedrijfsvoering De implementatie elementen en het nieuwe raamwerk zijn vervolgens op twee manieren getest. Allereerst heeft een praktijkonderzoek plaatsgevonden bij drie verschillende vastgoedorganisaties: Ahold Europe Real Estate & Construction (voorheen Ahold Vastgoed), Corio en de Alliantie. Binnen deze organisaties is bekeken of (en op welke wijze) er invulling wordt gegeven aan de verschillende implementatie elementen en de relatie tussen deze elementen. Deze exercitie heeft geen aanpassingen aan het raamwerk tot gevolg gehad. Vervolgens is er een tweede validatie uitgevoerd met behulp van een ronde tafel bijeenkomst. Aan deze sessie hebben vastgoedexperts, risicofunctionarissen, adviseurs en financiële experts deelgenomen. Hoewel er tijdens deze sessie een aantal belangrijke nuanceringen zijn aangebracht, werd het raamwerk door de deelnemers aan de ronde tafel bijeenkomst gevalideerd. Ten aanzien van het implementeren van het nieuwe ERM raamwerk zijn ten slotte drie aandachtspunten benadrukt. Om te beginnen is draagvlak binnen de directie van cruciaal belang voor de effectiviteit van ERM in een organisatie. Ten tweede is het implementeren van ERM in de bedrijfsvoering geen sinecure. Per proces moet nauwkeurig gekeken worden naar kaders, ondersteunende middelen, benodigde kennis van het personeel en de gewenste rapportages. Ten slotte blijkt de communicatie tussen de verschillende niveaus in een organisatie die tot stand komt binnen de risicomanagementcyclus veel toegevoegde waarde te kunnen hebben. Hierbij lijkt met name de dialoog (over specifieke risico s, de risicoacceptatiegraad en de wijze waarop men om wil gaan met risico s) van eminent belang iv

7 INHOUDSOPGAVE VOORWOORD...i Samenvatting... iii Inhoudsopgave Inleiding Achtergrond en doelstelling Centrale vraag Deelvragen Onderzoeksopzet Implementatiecriteria voor een raamwerk Ontwerpvariabelen van een organisatie Barrières voor implementatietrajecten Resume: negen implementatiecriteria Enterprise Risk Management Risico, Risicomanagement en ERM Literatuur inzake ERM ERM modellen COSO ERM model ISO Resume Vastgoedorganisaties en ERM Kenmerken van vastgoed Vastgoedspecifieke implementatie elementen Hulpmiddelen voor risicomanagement Resume Contouren van het nieuwe ERM raamwerk Structuur van het raamwerk Positionering implementatie elementen in het raamwerk Verbanden in het raamwerk...i 5.3 Verbanden in het raamwerk Praktijktoets Onderzoeksmethode De vijf implementatie elementen in de praktijk Analyse Praktische relevantie van de implementatie elementen Praktische relevantie van het nieuwe ERM raamwerk Resume Validatie Aanpak ronde tafel bijeenkomst Resultaten Ronde tafel bijeenkomst Resume Conclusies Implementatie elementen

8 9.2 Een raamwerk voor het implementeren van ERM Aandachtspunten en randvoorwaarden Reflectie Bibliografie...78 Bijlage 1: Lijst met geinterviewden...80 Bijlage 2: Het 7-S Model en het INK model...81 Bijlage 3: Risico matrix...83 Bijlage 4: Casestudies...84 Bijlage 5: Voorbeeld heatmap...86 Bijlage 6: Controles op het investeringsproces

9 1. INLEIDING In dit hoofdstuk worden de contouren van deze scriptie uiteengezet. Het behandelt de aanleiding en doelstellingen van het onderzoek, de centrale vraag waar de scriptie zich op zal richten, de deelvragen die gebruikt worden in het onderzoek en de opzet c.q. opbouw van de scriptie. 1.1 ACHTERGROND EN DOELSTELLING De recente vastgoedschandalen en de crisis in het vastgoed hebben de schijnwerpers binnen de vastgoedwereld eens te meer gericht op risicomanagement. Van oudsher werd risicomanagement binnen organisaties vanuit een zogenaamde silo aanpak benaderd. Disciplines en afdelingen binnen een organisatie hadden ieder hun eigen risicomanagementmethoden en -aanpak. Sinds het begin van dit millennium wordt de aandacht echter steeds meer gevestigd op geïntegreerde risicomanagementmethoden. Deze methoden worden ook wel Enterprise Risk Management (ERM) genoemd en richten zich op de vraag hoe risicomanagement organisatiebreed kan worden geïmplementeerd. In de loop der jaren zijn er een aantal modellen/raamwerken voor ERM gepubliceerd. Deze modellen richten zich op het begrip ERM en op welke wijze een organisatie hier mee om kan gaan. Echter, deze modellen ogen complex, niet concreet en lijken niet volledig. Ondanks het bestaan van deze modellen blijven veel (vastgoed)organisaties worstelen met de vraag hoe zij Enterprise Risk Management kunnen implementeren in de organisatie. Dit heeft bijvoorbeeld geresulteerd in kennisgroepjes waarin organisaties hun ervaringen met Enterprise Risk Management uitwisselen. Zowel marktpartijen als Ahold, TomTom en Corio, als semi overheidinstellingen zoals woningcorporaties, zoeken elkaar op om kennis te delen en antwoorden te vinden op vragen rondom ERM. Hierbij ligt de nadruk op de vraag hoe ERM geïmplementeerd (lees georganiseerd) kan worden in de organisatie. In deze scriptie wil ik aantonen op welke wijze ERM geïmplementeerd kan worden in vastgoedorganisaties. Het doel is om een raamwerk te creëren dat vastgoedorganisaties concrete handvatten geeft voor het implementeren van ERM in de organisatie. Bestaande ERM modellen zoals het COSO ERM model en ISO zullen hierbij als basis en inspiratiebron dienen. 1.2 CENTRALE VRAAG Het onderzoek zal worden uitgevoerd met behulp van een centrale vraag, welke ondersteund wordt door zes deelvragen. De centrale vraag die ten grondslag ligt aan dit onderzoek is: Hoe ziet een raamwerk er uit dat vastgoedorganisaties meer handvatten geeft om ERM te implementeren in de organisatie? 3

10 Deze centrale vraag bevat begrippen die enige toelichting vereisen. Een belangrijk begrip in de centrale vraagstelling is implementeren. Het (online) woordenboek Van Dale 2 verstaat onder implementeren iets in werking stellen of iets invoeren. Implementeren is een begrip dat, net als een munt, twee kanten kent. Enerzijds gaat het om het proces van invoeren. Dit wordt ook wel de zachte kant van implementeren genoemd. Anderzijds richt implementeren zich op de vraag hoe iets georganiseerd moet worden in een organisatie. Dit wordt ook wel de harde kant van implementeren genoemd. Dit onderzoek zal zich nadrukkelijk focussen op dit laatste aspect. In de centrale vraag kan het begrip implementeren dan ook worden uitgewisseld met het begrip organiseren. Het (online) woordenboek van Van Dale 1 vertaalt het begrip raamwerk als een kader, opzet of een structuur. Binnen de context van deze scriptie betekent dit dat er een kader wordt opgesteld voor ERM dat vastgoedorganisaties kunnen gebruiken voor het implementeren van ERM in de organisatie. Het raamwerk fungeert als een kapstok waaraan zaken worden opgehangen en toont het verband tussen verschillende processen en organisatie elementen. Een derde begrip uit de centrale vraagstelling is Enterprise Risk Management, dat vrij vertaald ondernemingsrisicomanagement betekent. Het doel van ERM is om risico s organisatiebreed te inventariseren en beheren. Een nadere toelichting op de begrippen risico, risicomanagement en ERM wordt gegeven in hoofdstuk drie. Het eindproduct van dit onderzoek is primair bedoeld voor vastgoedorganisaties. Kenmerkend voor deze organisaties is dat vastgoed een elementair onderdeel uitmaakt van het primaire proces. Hieronder worden onder andere beleggers, projectontwikkelaars, woningcorporaties en corporate real estate organisaties gerekend. Door de materie vanuit verschillende type vastgoedorganisaties te analyseren probeert dit onderzoek maximaal inzicht te verschaffen in de vastgoedspecifieke elementen die kunnen worden aangebracht in een ERM model. 1.3 DEELVRAGEN Ter ondersteuning van de centrale vraag zijn een zestal deelvragen opgesteld. Deze deelvragen geven structuur en richting aan het onderzoek. Zij worden gebruikt om stap voor stap toe te werken naar het creëren van een raamwerk dat vastgoedorganisaties meer handvatten geeft voor het implementeren van ERM. De zes deelvragen zijn: 1. Welke criteria kunnen worden gebruikt om het implementeren van ERM te analyseren? 2. Welke implementatie (organisatie) elementen zijn er te onderscheiden binnen bestaande ERM literatuur? 3. Welke modellen worden gebruikt om ERM te implementeren? 2 4

11 4. Welke implementatie elementen zijn er te onderscheiden binnen het COSO ERM model en ISO 31000? 5. Welke implementatie elementen kunnen vastgoedspecifiek worden gemaakt? 6. Op welke wijze hebben vastgoedorganisaties de implementatie elementen geïmplementeerd in de organisatie? 1.4 ONDERZOEKSOPZET Om een vastgoedspecifiek raamwerk voor het implementeren van ERM te kunnen creëren is een kwalitatief, bedrijfskundig onderzoek uitgevoerd. In drie fasen zijn implementatie elementen uit bestaande ERM literatuur en ERM modellen geïdentificeerd, geconcretiseerd, vastgoed specifiek gemaakt en aangebracht in een nieuw raamwerk. Deze drie fasen bestaan uit een literatuurstudie, praktijkonderzoek (case studie) en ronde tafel bijeenkomst (expert panel). De opzet van het onderzoek is grafisch uitgebeeld in figuur 1. Figuur 1: De opzet van het onderzoek H1 H2 H3 H4 H5 H6 H7 H8 H9 H10 Inleiding Implementeren van een raamwerk Enterprise Risk Management Vastgoedorganisaties en risicomanagement Nieuw ERM raamwerk Praktijktoets Analyse Validatie Conclusies Reflectie Literatuuronderzoek Praktijkonderzoek Expert panel Het literatuuronderzoek bestrijkt hoofdstukken twee tot en met vijf. Hoofdstuk twee identificeert (aan de hand van twee Organizational Development theorieën) criteria die gebruikt kunnen worden om het implementeren van ERM te kunnen analyseren. Deze criteria worden in het onderzoek als een bril gebruikt om naar het implementeren van ERM te kijken. In hoofdstuk drie wordt het begrip Enterprise Risk Management nader toegelicht. Wat zijn de voordelen van ERM? Welke ERM raamwerken bestaan er en welke implementatie elementen bevatten twee belangrijke ERM modellen? Hoofdstuk vier borduurt hier op voort en richt zich op vastgoedspecifieke elementen ten aanzien van het implementeren van ERM. 5

12 Welke unieke karakteristieken van de vastgoedmarkt moeten in ogenschouw worden genomen? En welke middelen bestaan er om risicomanagement ten aanzien van vastgoed te ondersteunen? Hoofdstuk vijf is het slotstuk van het literatuuronderzoek. In dit hoofdstuk worden de bevindingen uit de hoofdstukken twee tot en met vier samengevoegd en uitgewerkt in een nieuw ERM raamwerk voor vastgoedorganisaties. De tweede fase van het onderzoek betreft een praktijkonderzoek. Met behulp van een case studie is bij drie verschillende vastgoedorganisaties (een belegger, een woningcorporatie en een corporate real estate organisatie) bekeken hoe zij ERM hebben geconcretiseerd in de praktijk. In hoofdstuk zes wordt het nieuwe ERM raamwerk met behulp van deze case studie getoetst aan de praktijk. Welke implementatie elementen uit het nieuwe ERM raamwerk worden teruggevonden in deze drie vastgoedorganisaties en op welke wijze zijn deze (concreet) uitgewerkt? Na het praktijkonderzoek worden de resultaten in hoofdstuk zeven nader geanalyseerd. De verschillen tussen het nieuwe model dat is opgezet vanuit een theoretisch kader en de bevindingen uit het praktijkonderzoek worden op een rij gezet en besproken. Hieruit worden voorlopige conclusies getrokken, die in hoofdstuk acht worden gevalideerd met behulp van een expert panel (ook wel ronde tafel bijeenkomst genaamd). Voor deze laatste fase van het onderzoek zijn zowel medewerkers van de onderzochte organisaties benaderd, als experts op het gebied van risicomanagement of vastgoed die nog niet bij het onderzoek betrokken zijn geweest. Deze laatste groep brengt naast hun expertise ook een gewenste, frisse blik mee naar de sessie. Nadat in de voorgaande hoofdstukken alle deelvragen zijn beantwoord, presenteert hoofdstuk negen het definitieve ERM model voor vastgoedorganisaties. In die zin vormt dit hoofdstuk het slotstuk van de scriptie waarin de centrale onderzoeksvraag wordt beantwoord. Het onderzoek wordt ten slotte afgesloten met een nabrander; in hoofdstuk tien vindt reflectie plaats op het onderzoek en worden suggesties voor vervolgonderzoek gedaan. 6

13 2. IMPLEMENTATIECRITERIA VOOR EEN RAAMWERK Binnen dit onderzoek neemt het begrip implementeren een belangrijke plaats in. In hoofdstuk één is reeds kort aangegeven wat er in de context van dit onderzoek onder implementeren wordt verstaan. Het is nu de vraag op welke wijze het implementeren van een concept als ERM onderzocht kan worden. Daarom richt hoofdstuk twee zich op de deelvraag: Welke criteria kunnen worden gebruikt om het implementeren van ERM te analyseren? Voor het bepalen van deze criteria lijken theorieën op het gebied van Organizational Development uitkomst te kunnen bieden. Organizational Development (OD) is een vakgebied dat zich richt op het organisatieproces in de breedste zin van het woord, met als doelstelling om de efficiency en levensvatbaarheid van organisaties te vergroten. Aangezien deze scriptie zich toelegt op de vraag hoe ERM in vastgoedorganisaties geïmplementeerd (lees georganiseerd) kan worden, vormen OD theorieën een zeer geschikt hulpmiddel. Met behulp van OD theorieën zullen criteria worden opgesteld waarmee de implementatie van een ERM raamwerk kan worden geanalyseerd. De criteria uit de OD theorieën worden als het ware als een bril gebruikt om naar het implementatievraagstuk van een ERM raamwerk te kijken. In de volgende paragraaf zal aandacht worden besteed aan twee belangrijke publicaties op het gebied van Organizational Development. Dit zijn The art of management van Nieuwenhuis en Imaginization, the art of creative management van Morgan. De publicatie van Nieuwenhuis is interessant omdat deze een aantal belangrijke theorieën binnen Organizational Development samenvoegt. De theorie van Morgan is een goede aanvulling op de publicatie van Nieuwenhuis, omdat deze juist gebaseerd is op praktijkervaring. 2.1 ONTWERPVARIABELEN VAN EEN ORGANISATIE Volgens Nieuwenhuis (2003, p8) zijn er zeven ontwerpvariabelen, ook wel aandachtsgebieden of bouwstenen genaamd, waar het management aandacht aan moet besteden bij het besturen van een organisatie. Deze ontleent hij aan bekende modellen zoals het 7 S model van McKinsey en het INK model (zie bijlage 2 voor een korte toelichting op deze modellen). De ontwerpvariabelen zijn de belangrijkste fundamenten voor het management en vormen elk een invalshoek bij het managen van een organisatie. Hiermee vormen zij een uitermate geschikte tool om het organiseren van Enterprise Risk Management te analyseren. De zeven ontwerpvariabelen zijn: strategie, resultaten, ketens, mensen, middelen, cultuur en structuur. In het vervolg van deze paragraaf worden deze nader toegelicht. Net als McKinsey wijst Nieuwenhuis er op dat alle ontwerpvariabelen in samenhang bekeken moeten worden. Er dient een evenwicht te zijn tussen de variabelen. Wanneer een van de ontwerpvariabelen onderontwikkeld is ten opzichte van de andere ontwerpvariabelen kunnen er problemen ontstaan. Zo leidt een gebrek aan structuur veelal tot chaos, en een gebrek aan het aandachtsgebied cultuur vaak tot weerstand. Daarnaast heeft een aanpassing van slechts één aandachtsgebied (bijvoorbeeld de structuur) 7

14 zelden het gewenste resultaat tot gevolg. Indien het management daadwerkelijk zaken wil veranderen, dan zullen ook de andere ontwerpvariabelen moeten worden aangepast. DE ONTWERPVARIABELE STRATEGIE Dit aandachtsgebied gaat over de doelstellingen van een organisatie en de wijze waarop deze moeten worden gerealiseerd. Aangezien de strategie alle andere bouwstenen direct raakt, staat deze bouwsteen volgens Nieuwenhuis als het ware boven de andere bouwstenen. Hiermee lijkt Nieuwenhuis de indruk te wekken dat er een eenzijdig verband bestaat tussen de strategie en de andere aandachtsgebieden. Er zijn auteurs die een andere gedachte zijn toegedaan. Zo is er bijvoorbeeld veel onderzoek gedaan naar de relatie tussen de strategie en structuur van een organisatie. Hall en Saias (1980, p161) zijn binnen dit onderzoeksgebied van mening dat de relatie tussen de variabelen strategie en structuur zeer complex is en dat de structuur van een organisatie ook de strategie beïnvloedt. De mening van auteurs als Hall en Saias vormt geen belemmering voor de keuze van Nieuwenhuis om de strategie als startpunt te kiezen voor het inrichten van de organisatie. Echter, organisaties dienen wel in ogenschouw te nemen dat de relatie tussen strategie en andere aandachtsgebieden bilateraal is: Over the long term however, we believe that a mismatch between strategy and structure will lead to inefficiency in all cases, that is to say a less than optimal input/output ratio. This is precisely the reason why strategists must pay close attention to structure when elaborating strategic plans (Hall en Saias, 1980, p162) Volgens Nieuwenhuis (2003, p18) staat het begrip strategie ook in nauw verband met de missie, visie, identiteit en de doelstellingen van een organisatie: Missie en visie beschrijven de identiteit van een organisatie, de bestaansreden en een globaal toekomstbeeld. Een strategie concretiseert dit toekomstbeeld in termen van doelstellingen die in de gewenste situatie bereikt moeten zijn. De strategie beschrijft hoe een organisatie waarde toevoegt in haar omgeving en welke handelingen men intern moet uitvoeren om deze waarde te kunnen realiseren. Wat wil een organisatie bereiken en op welke wijze gaat men dit bereiken? De organisatie neemt als het ware een outside-in en een inside-out perspectief. De ontwikkeling en implementatie van een strategie zijn geen eenmalige activiteiten. Ze zijn onderdeel van de besturende processen van een organisatie (Nieuwenhuis, 2003, p19). Deze besturing vindt plaats op verschillende niveaus binnen de organisatie, welke middels kaders en rapportages met elkaar in verband worden gesteld. Hierdoor vindt bestuurlijke communicatie top-down en bottom-up plaats. De bestuurlijke processen worden nader toegelicht onder de bouwsteen structuur. DE ONTWERPVARIABELE RESULTATEN De ontwerpvariabele resultaten richt zich op de vraag wat de inspanningen van de organisatie hebben opgeleverd (Nieuwenhuis, 2003, p10). Dit aandachtsgebied heeft Nieuwenhuis vooral ontleend aan het INK model. Het INK model is een van de modellen waar resultaten een belangrijk onderdeel zijn van het 8

15 model. Hierbij legt het INK model de nadruk op de resultaten van vier belangrijke stakeholders: medewerkers, leveranciers, klanten en de maatschappij. Door expliciet stil te staan bij de vraag wat de inspanningen hebben opgeleverd, kunnen waar nodig acties worden ondernomen om de resultaten verder te verbeteren. DE ONTWERPVARIABELE MENSEN Het begrip managing is afgeleid uit de woorden man en aging en betekent feitelijk het volwassen maken van medewerkers (Nieuwenhuis, 2006, p64). Naast klassieke aandachtspunten als ziekteverzuim, een hoge productiviteit en een laag verloop van het personeel, gaat personeelsmanagement steeds meer de nadruk leggen op de ontwikkeling van de medewerkers. Het opdoen en vergroten van kennis en vaardigheden wordt in veel organisaties systematisch aangepakt. Op zich is dit niet verwonderlijk, aangezien het personeel misschien wel de belangrijkste resource is van veel organisaties. Nieuwenhuis kiest hiervoor de term competentiemanagement, waarbij hij competentie beschrijft als een combinatie van kennis, vaardigheden en eigenschappen (Nieuwenhuis, 2006, p66). Doel is om de competenties van medewerkers te laten aansluiten op de strategie en doelstellingen van de organisatie. Hierbij gaat het zowel om de vraag hoe kennis en vaardigheden door een organisatie kunnen worden geborgd, als om de vraag hoe medewerkers zichzelf (verder) kunnen ontwikkelen. DE ONTWERPVARIABELE MIDDELEN Deze bouwsteen is gericht op andere resources dan mensen, zoals machines, ICT, financiën en facilitair management. Deze middelen voeren zelfstandig stappen uit binnen een proces of worden door actoren gebruikt om activiteiten uit te voeren (Nieuwenhuis, 2003, p48). Middelen zijn geen input in de zin dat zij verbruikt of omgezet worden in het proces (zoals bijvoorbeeld grondstoffen). DE ONTWERPVARIABELE STRUCTUUR De structuur vormt het hart van de besturing van een organisatie (Nieuwenhuis, 20003, p68). De structuur bepaalt de vorm en de werkwijze van een organisatie en bestaat uit twee elementen: een organisatiestructuur en een processtructuur. Nieuwenhuis benadrukt dat beide structuren nodig zijn in een organisatie. De organisatiestructuur is opgebouwd uit een organieke structuur, een functionele structuur en een personele structuur. De organieke structuur is het organisatieschema (ook wel organogram) genaamd. Hierin vindt men onder andere divisies, afdelingen en entiteiten terug. In de functionele structuur worden alle functies binnen een organisatie beschreven. De personele structuur ten slotte verbindt de organisatiestructuur en de functionele structuur met elkaar, door de personele bezetting van functies binnen organisatie-eenheden te beschrijven. De organisatiestructuur is primair gericht op het beleggen van taken, rollen en verantwoordelijkheden. De processtructuur kent een heel ander karakter. Deze structuur wordt gevormd door ketens van activiteiten die gericht zijn op het leveren van bepaalde resultaten. Elk proces is volgens Nieuwenhuis opgebouwd uit vijf elementen: resultaten, activiteiten, mensen, middelen en kaders (zie figuur 2). 9

16 Resultaten, mensen en middelen zijn bouwstenen die reeds zijn toegelicht. Hierbij valt op dat resultaten in het procesmodel van Figuur 2: Een proces binnen een organisatie Besturing Plannen Rapportage Nieuwenhuis niet alleen output, maar ook input Kaders zijn voor een proces. Achterliggende gedachte hierbij is dat de resultaten uit een voorliggend proces input kunnen zijn voor een volgend Resultaten Activiteit Activiteit Activiteit Resultaten proces. Onder een activiteit verstaat Nieuwenhuis (2003, p47) een enkelvoudige processtap, wat een handeling of bewerking Mensen Middelen kan zijn. Deze activiteiten zijn allen gericht op het boeken van het gewenste resultaat. Een Ondersteuning Bron: Nieuwenhuis (2003, p47) kader ten slotte, wordt gevormd door alle randvoorwaarden (zoals wet- en regelgeving) en de plannen c.q. het beleid dat het management oplegt aan een proces. (Nieuwenhuis, 2003, p48). Hierbij moet men bijvoorbeeld denken aan kwaliteitsnormen waaraan een product of dienst moet voldoen of het budget dat beschikbaar is voor het uitvoeren van een proces. Nieuwenhuis (2003, p84) onderscheidt drie hoofdprocessen die in elke organisatie voorkomen: besturende processen, primaire processen en ondersteunende processen. Besturende processen geven richting aan een Figuur 3: Besturende processen binnen een organisatie organisatie. Activiteiten die hier bij horen zijn plannen, controleren, evalueren en bijsturen. Deze activiteiten komen op strategisch, tactisch en operationeel niveau voor binnen een organisatie. Kaders en rapportages vormen hierbij de spreekwoordelijke Haarlemmer smeerolie tussen de verschillende niveaus (zie figuur 3 ). Primaire processen zijn gericht op het produceren van zaken/goederen of op het verlenen van diensten. Aan deze processen ontleent een organisatie veelal haar bestaansrecht. Bron: Nieuwenhuis (2003, p19) Ondersteunende processen ten slotte, bieden ondersteuning aan de besturende, ondersteunende en vooral aan de primaire processen. DE ONTWERPVARIABELE CULTUUR De bouwsteen cultuur gaat, net als de bouwsteen structuur over de vraag hoe mensen met elkaar omgaan. Echter, daar waar structuur ingaat op de harde kant van de omgang, gaat cultuur in op de zachte kant van de omgang. Nieuwenhuis definieert cultuur als de gemeenschappelijke waarden en 10

17 normen van een organisatie en het daaruit voortvloeiende gedrag (Nieuwenhuis, 2006, p7). De cultuur van een organisatie blijft vaak impliciet, maar kan zichtbaar worden in zaken als voorschriften, symbolen, verhalen en sleutelfiguren. DE ONTWERPVARIABELE KETENS Volgens Nieuwenhuis (2003, p13) vervagen de organisatiegrenzen in de netwerkmaatschappij waarin wij momenteel verkeren. Partners worden hierdoor een steeds belangrijker onderdeel van het bestuursspectrum. Elke organisatie zal zichzelf af moeten vragen welke waarde de organisatie toevoegt, wat de plaats in de keten is, welke zaken men zelf doet en welke zaken uitbesteed worden aan andere partijen. Hoewel deze vraagstukken een sterk strategisch karakter kennen, worden zij op alle niveaus binnen een organisatie terug gevonden. 2.2 BARRIÈRES VOOR IMPLEMENTATIETRAJECTEN De bouwstenen van Nieuwenhuis zijn voor het management van een organisatie concrete aandachtsgebieden voor het besturen en inrichten van een organisatie. Morgan heeft uitvoerig onderzoek gedaan naar de wijze waarop deze inrichting van de organisatie invloed heeft op het implementeren van nieuwe concepten. Uit zijn onderzoek blijkt dat er binnen een organisatie barrières aanwezig kunnen zijn die het aannemen van een andere manier van werken of de implementatie van een nieuw concept blokkeren. Morgan (1993, p. 156) heeft een aantal metaforen bedacht om deze barrières zichtbaar te maken. Dit zijn onder andere: de golf en deerhunting. BARRIÈRE DE GOLF : EEN GEBREK AAN COMMUNICATIE De golf is een fenomeen dat duidt op een gebrek aan communicatie tussen het topmanagement en het middenmanagement en tussen het middenmanagement en de operatie. Volgens Morgan is dit vaak te wijten aan topmanagement dat door de rest van de organisatie als autoritair wordt gezien. Doordat het topmanagement voor bepaalde kwesties de dialoog niet wenst aan te gaan, of signalen uit de organisatie expliciet naast zich neerlegt, worden belangrijke ontwikkelingen in en rondom de organisatie onvoldoende belicht. Communicatie tussen verschillende niveaus binnen de organisatie komt onvoldoende tot stand waardoor er eilanden ontstaan. Deze non-communicatie blokkeert een succesvolle implementatie van concepten of een nieuwe manier van werken. BARRIÈRE DEERHUNTING : EEN CONCEPT WORDT NIET DAADWERKELIJK GEÏMPLEMENTEERD Met behulp van een tweede metafoor deerhunting probeert Morgan (1993, p167) duidelijk te maken dat organisaties vaak niet in staat zijn om de essentie van een concept of model te implementeren: Deerhunters set out for the forest, shoot a deer, and carry it back home. Right? Well, not exactly. They carry back the body, but the essence of the living deer remains in the forest. 11

18 Nadat het implementatieproject is afgerond wordt de aandacht weer verlegd naar de dagelijkse gang van zaken en verschuift het nieuwe concept langzaam naar de achtergrond. Het nieuwe concept hangt dan nog slechts als een trofee aan de muur. Dit betekent dat initiatieven als Total Quality Management en Empowerment, maar zeker ook Enterprise Risk Management, daadwerkelijk moeten worden geïmplementeerd (beter gezegd geïntegreerd) in de bedrijfsvoering van een organisatie om effectief te zijn. Hiermee benadrukt Morgan feitelijk het belang om risicomanagement in de besturende, primaire en ondersteunende processen van een organisatie op te nemen. 2.3 RESUME: NEGEN IMPLEMENTATIECRITERIA Op basis van de theorieën van Nieuwenhuis en Morgan kunnen negen criteria worden afgeleid voor het analyseren van het implementeren van ERM in een organisatie. De eerste zeven criteria zijn ontleend aan de ontwerpvariabelen (bouwstenen) van Nieuwenhuis, de laatste twee uit de metaforen van Morgan. De criteria zijn (in willekeurige volgorde): 1. Cultuur: De gemeenschappelijke waarden en normen van een organisatie en het daaruit voortvloeiende gedrag. 2. Structuur: De vorm en de werkwijze van een organisatie, welke bestaat uit een organisatiestructuur en een processtructuur. 3. Strategie: Op welke wijze moeten de doelstellingen van een organisatie worden gerealiseerd? 4. Middelen: Welke middelen gebruiken mensen ter ondersteuning voor het bereiken van de gestelde doelen? 5. Mensen: Over welke competenties moeten mensen beschikken om de strategie te kunnen uitvoeren en de gestelde doelen te bereiken? 6. Ketens: Welke waarde voegt de organisatie toe, wat is de plaats in de keten en welke zaken worden uitbesteed aan andere partijen? 7. Resultaten: Dit criterium richt zich op de vraag wat de inspanningen van de organisatie hebben opgeleverd. 8. Communicatie: Non-communicatie tussen verschillende niveaus in een organisatie blokkeert een succesvolle implementatie van concepten of een nieuwe manier van werken. 9. Integratie: Om daadwerkelijk effectief te zijn moeten nieuwe concepten daadwerkelijk worden geïntegreerd in de bedrijfsvoering van een organisatie. Deze negen criteria zullen in het vervolg van het onderzoek gebruikt worden om naar het implementeren van ERM in (vastgoed)organisaties te kijken. 12

19 3. ENTERPRISE RISK MANAGEMENT In dit hoofdstuk staat het onderwerp Enterprise Risk Management (ERM) centraal. In dit kader zal eerst worden uitgelegd wat binnen de context van dit onderzoek wordt verstaan onder een risico, risicomanagement en ERM. Vervolgens zal antwoord worden gegeven op de volgende deelvragen: Welke implementatie (organisatie) elementen zijn er te onderscheiden binnen bestaande ERM literatuur? (Zie paragraaf 3.2) Welke modellen worden gebruikt om ERM te implementeren? (zie paragraaf 3.3) Welke implementatie elementen zijn er te onderscheiden binnen het COSO ERM model en ISO 31000? (zie paragrafen 3.4 en 3.5) 3.1 RISICO, RISICOMANAGEMENT EN ERM Over risico, risicomanagement en ERM is reeds veel geschreven. Van deze termen zijn derhalve veel definities gepubliceerd. In het kader van deze scriptie zullen de definities worden gehanteerd zoals deze zijn opgesteld door de invloedrijke commissie Committee of Sponsoring Organizations of the Treadway Commission. De naam van deze commissie wordt veelal afgekort tot COSO. Zij wijzen erop dat er gebeurtenissen kunnen plaatsvinden die een positief of negatief effect met zich meebrengen. Gebeurtenissen met een negatief effect worden risico s genoemd en gebeurtenissen met een positief effect bestempelt COSO als kansen (COSO managementsamenvatting, 2004, p7). Risicomanagement betekent logischerwijs, het managen van risico s. Oftewel hoe bereidt een organisatie zich voor op gebeurtenissen die een negatief effect kunnen hebben op de doelstellingen van de organisatie. Hierbij dient opgemerkt te worden dat een organisatie geen invloed uit kan oefenen op deze gebeurtenissen (ook wel onzekerheden genaamd). Een voorbeeld van een dergelijke onzekerheid is de rentestand. De term Enterprise Risk Management ten slotte, kan in het Nederlands worden vertaald als organisatie risicomanagement, oftewel organisatiebreed risicomanagement. COSO definieert ERM als: Ondernemingsrisicomanagement (ERM) is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om risico s te beheren zodat deze binnen de risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen (COSO, 2004, p4). ERM is een antwoord op traditioneel risicomanagement, dat veelal werd uitgevoerd door middel van een zogenaamde silo-aanpak. Vanuit verschillende disciplines en afdelingen binnen een organisatie werden risicomanagementactiviteiten ontplooid, maar de samenhang tussen al deze initiatieven was vaak onvoldoende. ERM pleit voor een geïntegreerde, continue en organisatiebrede aanpak van risicomanagement. Samengevat: de kern van ERM bestaat uit een organisatiebreed en gestructureerd 13

20 proces van het identificeren, analyseren, beheersen en monitoren van mogelijke gebeurtenissen die van invloed kunnen zijn op het behalen van de doelstellingen van een organisatie (PWC en RUG, 2006, p14). De potentiële toegevoegde waarde van ERM lijkt bijzonder groot. COSO gaat zelfs zo ver door te pretenderen dat ERM een redelijke zekerheid biedt ten aanzien van het behalen van de ondernemingsdoelstellingen (COSO, 2004, p4). Emanuels en De Munnik (2006, p294) nuanceren dit enigszins door te stellen dat de beschikking over ERM niet betekent dat de organisatie haar doelstellingen daadwerkelijk realiseert, maar dat hiermee wel transparant wordt gemaakt welke risico s samenhangen met de gestelde doelen en welke beheersmaatregelen worden getroffen. Volgens PriceWaterhouseCoopers en de Rijksuniversiteit Groningen (2006, p15) zijn organisaties die ERM goed hebben geïmplementeerd beter in staat om de opbrengsten te verhogen, kansen te benutten en operationele verliezen en verrassingen te voorkomen c.q. te verminderen. 3.2 LITERATUUR INZAKE ERM In de literatuur ten aanzien van het implementeren van ERM wordt veelal een onderscheid gemaakt tussen enerzijds het risicomanagementproces en anderzijds de randvoorwaarden die nodig zijn binnen een organisatie voor de implementatie van ERM. Daarnaast wordt in diverse publicaties benadrukt dat de kwaliteit van het ERM proces moet worden geëvalueerd en verbeterd. In een poging om een koppeling te maken tussen ERM en de negen criteria die zijn opgesteld in hoofdstuk twee, zal bij het behandelen van de literatuur waar mogelijk worden aangegeven op welk criterium het onderwerp betrekking heeft HET RISICOMANAGEMENTPROCES Het risicomanagementproces speelt zich af binnen alle geledingen van een organisatie en is gericht op het identificeren, inschatten en beheersen van risico s. Het proces start feitelijk al bij het vormen van de missie en visie van een organisatie (Paape, 2010). Uit deze missie en visie worden doelstellingen op het hoogste (strategische) niveau geconcretiseerd en bedenkt het Figuur 4: Input voor het risicomanagementproces management een strategie om deze doelstellingen te realiseren (Emanuels en De Munnik, 2006, p296). Deze zaken zijn een belangrijk kader voor het identificeren en inschatten van de risico s die een organisatie loopt. Het sterke verband tussen de identiteit, de strategie en de doelstellingen van een organisatie lijkt in het kader van ERM uitgebreid te kunnen worden met het begrip risicoacceptatiegraad (ook wel risk appetite genaamd). Dit begrip geeft de mate aan waarin een organisatie 14