Transcriptie

1 Corporate governance: DE WEG NAAR EEN GEDRAGEN IN CONTROL VERKLARING Beursfondsen hebben tijdgedreven een intern risicobeheersings- en controlesysteem moeten implementeren om te voldoen aan de eisen van corporate governance codes die op hen van toepassing zijn. Dat is geen eenvoudige zaak gebleken. Voor niet-beursgenoteerde organisaties ontbreekt de tijdsdruk, hetgeen hen de mogelijkheid geeft de implementatie van een irc-systeem kwaliteitgedreven uit te voeren. Jeppe Machielsen, Gerard Vesseur en Francis Bouman: Een intern risicobeheersingsen controlesysteem (irc-systeem) implementeren om te voldoen aan de eisen van de Code Tabaksblat of de Sarbanes-Oxley (SOx) Act is geen sinecure. Dit temeer omdat, vanwege de voor beursfondsen vaststaande invoerdatum, de implementaties tijdgedreven zijn geweest. Een voorbeeld daarvan is de implementatie bij Endemol, waarover een artikel is gepubliceerd in MCA in juni 2005 (Van Horn en Oostvogel). In navolging van de beursfondsen werken ook niet-beursgenoteerde organisaties aan de implementatie of verbetering van irc-systemen. Door het ontbreken van een beursnotering zijn zij daarbij niet gebonden aan een invoerdatum, waardoor zij de keuze kunnen maken om dit kwaliteitgedreven in plaats van tijdgedreven uit te voeren. In dit artikel beschrijven wij de ervaringen met een kwaliteitgedreven implementatie bij ENECO Energie. Vanwege haar bijzondere maatschappelijke rol heeft ENECO zich op vrijwillige basis geconfirmeerd aan de Code Tabaksblat en daarmee de verplichting op zich genomen een adequaat en effectief irc-systeem te hebben. Content en context De verschillen tussen een tijdgedreven en een kwaliteitgedreven aanpak zijn met name te vinden in de zachte factoren, ofwel de context, die bij een implementatie spelen. Voor wat betreft de harde factoren, ofwel de content, zijn bij een kwaliteitgedreven aanpak dan ook weinig verschillen te constateren. In het kader van de content heeft ENECO immers ook een irc-systeem moeten ontwikkelen en implementeren om vervolgens de werking ervan vast te stellen. De relevante aspecten bij een implementatie op het gebied van de content zijn uitgebreid beschreven in het artikel over de implementatie bij Endemol. Dit artikel richt zich daarom op de context, die per projectfase wordt uitgewerkt. Om de verschillen met een tijdgedreven aanpak inzichtelijk te maken zal daarbij regelmatig de vergelijking met de casus Endemol worden gemaakt. Fase 1: voorbereiding think before you act Een belangrijk verschil met een tijdgedreven aanpak betreft de tijd die kan worden genomen om de implementatie voor te bereiden. Daar waar Endemol vanwege de Amerikaanse beursnotering van haar moedermaatschappij Telefonica ultimo 2004 moest voldoen aan de vereisten van de Sarbanes-Oxley Act, kon ENECO de datum waarop de implementatie gereed moest zijn zelf bepalen. De additioneel beschikbare tijd heeft ENECO voor een belangrijk deel aan de voorbereiding besteed. Een drietal aspecten is daarbij vooraf goed geregeld: de projectstructuur en commitment, een herkenbaar control framework en aandacht voor verandermanagement. Projectstructuur en commitment Als projectstructuur is het Prince2-model aangehouden met een stuurgroep, een centraal corporate projectteam en decentrale teams in de bedrijfsonderde- MCA: maart 2008, nummer 1 33

2 len. Weinig nieuws zult u denken. Dat is ook zo, met dien verstande dat voor de bemensing de toon in de organisatie direct gezet is door geen blik consultants open te trekken maar eigen medewerkers vrij te maken om de teams te bemensen. Alleen waar dat absoluut noodzakelijk was, zijn kennis en ervaring extern ingehuurd. De inzet van eigen mensen en het nauw betrekken van de bedrijfsonderdelen in het bepalen van de aanpak is een belangrijk verschil met de aanpak bij Endemol. Daar is namelijk de externe accountant gevraagd welke acties noodzakelijk waren en is voor de uitvoering een extern adviesbureau ingeschakeld. Naast de inzet van eigen mensen heeft de Raad van Bestuur (RvB) van ENECO zijn commitment duidelijk laten blijken door een RvB-lid voorzitter van de stuurgroep te maken, de voortgang van het project maandelijks in het Audit & Risk Committee te behandelen en de voortgang te bespreken in de periodieke reviewgesprekken die de RvB heeft met de directies van de bedrijfsonderdelen. De lijnorganisatie, en daarmee een deel van de borging, is door ENECO daardoor vanaf het begin in de structuur verweven. Herkenbaar control framework Evenals Endemol heeft ENECO voor wat betreft de content het COSO-ERM-model (zie figuur 2) gebruikt als basis voor haar control framework. Een verschil is echter de mate waarin dit framework organisatiespecifiek is gemaakt. Om optimaal draagvlak voor het framework te bewerkstelligen heeft ENECO niet simpelweg de best practices uit COSO- ERM over de organisatie uitgerold maar is een diepgaande vertaalslag gemaakt naar een op de organisatie toegesneden irc-systeem; het ENECO Control & Risk Systeem (ECRS, zie figuur 3). Omdat gebleken is dat het voor medewerkers lastig is het driedimensionale COSO-model te begrijpen en toe te passen is het ECRS tweedimensionaal opgebouwd. Daarbinnen zijn alle bestaande beheersinstrumenten, die de organisatie al had, samengebracht binnen een structuur van dertien bouwstenen. Nieuwe elementen zijn slechts op beperkte schaal ingebracht en alleen daar waar dit absoluut noodzakelijk was. Door zichtbaar te maken dat het model een kapstok is waarin bestaande beheersinstrumenten zijn samengebracht, kon het model eenvoudig worden verkocht in de organisatie, hetgeen het draagvlak voor het systeem sterk ten goede is gekomen. WAT IS ENECO ENERGIE? ENECO Energie ( is een van de drie toonaangevende energiebedrijven in Nederland. ENECO voert een geïntegreerde distributiestrategie en richt zich op productie, transport, handel, levering en meting van energie (elektriciteit, gas en warmte) en daaraan gerelateerde producten en diensten. In totaal bedient zij circa twee miljoen zakelijke en huishoudelijke klanten. In 2006 behaalde ENECO een omzet van 4,3 miljard en een nettowinst van 311 miljoen. ENECO heeft circa 5000 medewerkers die vooral hun standplaats hebben in de provincies Zuid- Holland en Utrecht. Het hoofdkantoor is gevestigd in Rotterdam. WAT IS PRINCE2? Prince2 staat voor Projects IN Controlled Environments en is een in Engeland ontwikkelde public domain standaard voor het managen van projecten. De methode is gebaseerd op best practices, waarbij de belangrijkste kenmerken van de aanpak zijn: - toepassing van een business case voor de bedrijfseconomische rechtvaardiging van een project; - een voorgeschreven en vastomlijnde projectstructuur; - een gestructureerde indeling van een project in fasen (zie figuur 1); - toepassing van management by exception en risicomanagement gedurende het project. Prince2 is de meest door organisaties toegepaste standaard (VU, 2007) voor projectmanagement in Nederland. WAT IS COSO-ERM? COSO staat voor het Committee of Sponsoring Organizations of the Treadway Commission en is terug te voeren tot de Watergate-onderzoeken uit Om illegale transacties, zoals steekpenningen, te voorkomen heeft COSO in 1992 een control framework gepubliceerd onder de titel Internal Control Integrated Framework. In 2004 heeft COSO een verdieping op het gebied van risicomanagement aan dit model gegeven door publicatie van het Enterprise Risk Management model (zie figuur 2). 34 MCA: maart 2008, nummer 1

3 Programma en algemeen management Projectmandaat Dirigeren project (stuurgroep) Project- PID Rapportages Fase eindrapport Eindrapportages voorstel Opstarten project Initiëren project Beheersen van Managen van Afsluiten fasen fase overgang project Werkpakket Afgerond werkpakket Initiatieplan Projectplan Leveren Fase- en Eind- producten wijzigings- documentatie plannen Teamplannen Plannen en monitoren (projectmanager) Aanloop Initiatie Fasen (uitvoering en beheersing) Afsluiting Figuur 1. Prince2-projectfasen Doelstellingen Strategisch Operationeel Verslaggeving Compliance Interne omgeving Componenten Formuleren van doelstellingen Identificeren van gebeurtenissen Risicobeoordeling Risicocreatie Organisatiebreed Divisie niveau Business unit niveau Afdelingsniveau Beheersactiviteiten Informatie en communicatie Monitoring Organisatieniveau Figuur 2. COSO-ERM frame work MCA: maart 2008, nummer 1 35

4 Managers en medewerkers moeten hun eigen specifieke invulling aan de normen geven De opbouw van het ECRS is gegroepeerd in vier clusters: ~ doelstellingen: dit omvat de doorvertaling van de missie, visie en strategie van ENECO naar concretere operationele en financiële doelstellingen. Daarbij moet rekening worden gehouden met de risicobereidheid en de interne-controleomgeving. Onder laatstgenoemde vallen bij ENECO de van toepassing zijnde policies en procedures; ~ uitvoering: dit omvat alle processen en projecten die ENECO moet uitvoeren om de gestelde doelstellingen te kunnen bereiken, inclusief de toepassing van risicomanagement daarbij. Als randvoorwaarden hierbij zijn bouwstenen op het gebied van de bevoegd- en verantwoordelijkheden, organisatiestructuur en -cultuur alsmede human resource management en management development gedefinieerd; ~ rapportage: dit omvat het informeren, communiceren en monitoren van de uitvoering, bezien vanuit de drie doelstellingen die ENECO met het ECRS heeft: het bewaken van de realisatie van de strategische, operationele en financiële doelstellingen, het waarborgen van de betrouwbaarheid van de (financiële) verslaggeving, het waarborgen van de naleving van wet- en regelgeving (compliance); ~ toetsing: dit laatste cluster omvat de activiteiten die worden ondernomen om vast te stellen dat het gehele stelsel adequaat is opgezet en effectief werkt, hetgeen onder meer wordt vormgegeven door zelfcontroles, interne audits en externe audits. De vier clusters en de dertien bouwstenen waaruit deze zijn opgebouwd zijn nader uitgewerkt in een kleine honderd normen. Een voorbeeld van een norm uit de bouwsteen procesmanagement is dat bedrijfsonderdelen per proces inzichtelijk moeten hebben welke wet- en regelgeving van toepassing is en welke beheersmaatregelen getroffen zijn om te waarborgen dat de wetten en regels in dit proces worden nageleefd. Indien we dit voorbeeld relateren aan de COSO-ERM-kubus, geeft dit raakvlakken met de dimensie doelstellingen inzake compliance en de component met betrekking tot de beheersactiviteiten. Op soortgelijke wijze zijn alle raakvlakken tussen de drie dimensies van COSO-ERM en het ECRS van ENECO door middel van een matrix aan elkaar te koppelen door middel van een (zie tabel 1 op pag 39). In de tabel is voor wat betreft het organisatorische niveau geen nadere verdieping aangebracht omdat het ECRS voor alle organisatorische lagen van ENECO van toepassing is. Een ander aspect dat aan de acceptatie heeft bijgedragen is dat de in het ECRS opgenomen normen principle based en niet rule based zijn opgezet. Managers en medewerkers dienen hierdoor hun eigen specifieke invulling aan de normen te geven, waardoor zij tot nadenken worden gedwongen. Zo is bij het voorbeeld van de compliance met wet- en regelgeving binnen processen niet (rule based) voorgeschreven welke beheersmaatregelen moeten worden getroffen. Dit wordt (principle based) overgelaten aan de managers en medewerkers die verantwoordelijk zijn voor het desbetreffende proces. De gedachte hierbij is dat zij het beste kunnen beoordelen welke beheersmaatregel het meest adequaat en effectief is. Het bijkomende voordeel van deze aanpak is dat het risico op een afvinkmentaliteit hierdoor is verminderd en het risicobewustzijn wordt vergroot. Tot slot is het belangrijk dat het ECRS niet als de waarheid is verkocht, maar dat het openstaat voor verbetering. Door een kwetsbare opstelling van het corporate projectteam ten aanzien van het ECRS zijn vanuit de organisatie de afgelopen twee jaar vele waardevolle verbetersuggesties ontvangen. Deze hebben bijgedragen aan een steeds hogere kwaliteit en bruikbaarheid van het ECRS. Het ter harte nemen van opmerkingen vanuit het veld heeft bovendien het draagvlak en enthousiasme ervoor nog verder vergroot, waardoor het ECRS op een natuurlijke manier een levend begrip is geworden bij alle lagen van het management van ENECO. Indien we deze aanpak vergelijken met die van Endemol valt op dat de ontwikkeling van het control framework bij Endemol in belangrijke mate het werk is geweest van afdelingen van de holding, terwijl ENECO de bedrijfsonderdelen een prominente rol heeft gegeven om het draagvlak te vergroten en de praktische toepasbaarheid vooraf te toetsen. Integraal verandermanagement Al in de voorbereiding is, als integraal onderdeel van het projectplan, voorzien in voldoende aandacht voor de veranderaspecten. Het in control brengen van een organisatie is namelijk sterk afhankelijk van het risicobewustzijn van management en medewerkers. Dit bewustzijn wordt als randvoorwaarde gezien om de interne beheersing te 36 MCA: maart 2008, nummer 1

5 Missie, visie en strategie Strategische doelstellingen en risicobeleid Interne-controleomgeving Operationele en financiële doelstellingen (succes- en prestatie-indicatoren) Doelstelling Economisch Juridisch Fiscaal Organisatiestructuur Bevoegdheden en verantwoordelijkheden Proces-, project- en risicomanagement Act Identificeren risico s Monitoren en Processen evalueren Projecten Check Implementeren Uitvoeren Rapportage & monitoring Plan Acties bepalen Crisismanagement Do HR & MD management Organisatiecultuur Uitvoering Rapportage Operationeel Financieel Compliance Risico s Toetsen opzet en werking Toetsing Zelfcontrole Internal audit Externe controle Figuur 3. ENECO Control & Risk Systeem (ECRS) INTERNE IN CONTROL VERKLARING ENECO Wij bevestigen verantwoordelijk te zijn voor de opzet en werking van het ECRS in ons bedrijfsonderdeel. Het ECRS is ENECO s invulling van de bepalingen II.1.3 en II.1.4 van de Code Tabaksblat. Wij hebben over het eerste halfjaar van 2007 een zelfcontrole uitgevoerd op het in ons bedrijfsonderdeel geïmplementeerde ECRS. Doel van onze beoordeling was vast te stellen of we voldoen aan de normen die zijn vastgelegd in het ECRS normenkader. Gebaseerd op onze zelfcontrole bevestigen wij dat we voldoen aan de normen die zijn vastgelegd in het ECRS normenkader en dat wij mede op basis daarvan in control zijn. Dit met uitzondering van eventuele in de bijlage opgenomen tekortkomingen. WAT IS ISO? ISO staat voor International Organization for Standardization en is een wereldwijde federatie van nationale normalisatie-instituten, waarvan het Nederlands Normalisatie Instituut één van de leden is. Door ISO worden zogenaamde ISO-normen uitgegeven, waarvan ISO 9001 in het kader van procesmanagement de meest gebruikte standaard is. De doelstellingen van ISO 9001 zijn het verhogen van de klanttevredenheid, voldoen aan eisen uit wet- en regelgeving alsmede voldoen aan eisen van de organisatie zelf. Eén van de instrumenten om deze doelstellingen te bereiken is het uitvoeren van directiebeoordeling. MCA: maart 2008, nummer 1 37

6 kunnen verbeteren. Om die reden is in de planning voorzien in een intensief trainingsprogramma voor management en medewerkers en zijn communicatie-experts ingezet om een effectief communicatieplan uit te werken ter ondersteuning van het project. Uit de casusbeschrijving van Endemol valt af te leiden dat zij voornamelijk op managementniveau bewustwording hebben nagestreefd, hetgeen vorm heeft gekregen door de implicaties van de SOx-wetgeving te bespreken op basis van een door de afdeling Group Control van de holding opgesteld Management Control Report. Fase 2: de uitvoering Centraal stellen bedrijfsoperaties Doordat ENECO heeft vastgehouden aan de initiële reikwijdte van de Code Tabaksblat, ofwel een adequate en efficiënte werking van het irc-systeem voor zowel de operaties als de financiën, is het mogelijk gebleken de operationele afdelingen betrokken te krijgen en te voorkomen dat het een financefeestje is geworden. ENECO is oprecht van mening dat beheersing van de operaties een randvoorwaarde is om tot betrouwbare financiële verslaggeving te kunnen komen. Daarom is bewust afgezien van de mogelijkheid tot beperking van de reikwijdte van de Code zoals die door de monitoring commissie (Commissie Frijns) is gecreëerd. Interne beheersing is hierdoor een organisatiebreed gedragen onderwerp geworden. De directeuren van de bedrijfsonderdelen zijn dan ook samen met hun finance manager, in de rol van business controller, verantwoordelijk voor het in control brengen en houden van hun business. Ieder halfjaar dienen zij gezamenlijk een interne in control verklaring te ondertekenen en aan de RvB af te geven. Belangrijk is dat dit geen formaliteit is, maar daadwerkelijk wordt gebruikt als instrument om elkaar aan te spreken op de mate van interne beheersing. Dat de operaties centraal staan wordt tevens ondersteund door het risicomanagementbeleid van ENECO, dat niet alleen op financiën is gericht maar evenzeer op de aspecten veiligheid en reputatie. In dit beleid is daarom expliciet vastgelegd wat de risicobereidheid van de RvB is op de genoemde aspecten. Om te waarborgen dat geen risico s worden gelopen die deze risicobereidheid overschrijden, is in het beleid een risicomanagementproces opgenomen. Dit proces voorziet onder meer in periodieke risicoanalyses en vereist, voor risico s die de bereidheid overschrijden, dat afdoende risicoreacties zijn geïmplementeerd. Afdoende wil hierbij zeggen dat het risico is teruggebracht tot een niveau dat binnen de risicobereidheid ligt. Ook voor haar klanten legt ENECO de nadruk op de operaties. Zij zijn gebaat bij een zo betrouwbaar en continu mogelijke levering van energie in combinatie met een foutloze factuur en goed lopende klantprocessen. Uit dien hoofde zou het maatschappelijk ook niet verantwoord zijn het ECRS te beperken tot alleen financiële aspecten. Als we de focus bij ENECO vergelijken met die van Endemol, valt op dat financiële processen bij Endemol een prominentere rol hebben. Dit lijkt logischerwijs te verklaren door het verschil tussen de Code Tabaksblat en SOx, waarbij laatstgenoemde zich primair richt op de betrouwbaarheid van de financiële verslaggeving en Tabaksblat een bredere scope heeft. Het zou echter een deel van de verklaring kunnen zijn. ENECO heeft, ook extern, duidelijk gecommuniceerd de Code Tabaksblat te gebruiken om een verdere invulling te geven aan haar maatschappelijke verantwoordelijkheid. Daarbij past een kwaliteitgedreven aanpak. Het artikel over Endemol spreekt daarentegen over Endemol moest daarom aan de slag met deze wet, waaruit kan worden afgeleid dat naleving van de SOx Act een doel op zich was. Zelfcontrole Betrokkenheid van managers en medewerkers is verder versterkt door de mate van compliance met de in het ECRS opgenomen uitgangspunten door middel van zelfcontroles te laten vaststellen volgens een structuur van zwemdiploma s. Hierdoor spreekt men elkaar nu aan op het hebben van een A- (adequaat), B- (effectief) of C-diploma (excellent), wat het niveau van interne beheersing uit de abstracte sfeer heeft gehaald. De zelfcontroles dienen halfjaarlijks door de bedrijfsonderdelen te worden uitgevoerd. Het instrument zelfcontrole heeft sterke overeenkomsten met de directiebeoordeling die in het kader van een ISOkwaliteitssysteem moet worden uitgevoerd. Feitelijk betreft het een management review op basis waarvan het management wil vaststellen dat het kwaliteitssysteem nog geschikt en doeltreffend is. Aardig is te constateren dat veel bedrijfsonderdelen 38 MCA: maart 2008, nummer 1

7 Bouwstenen ECRS COSO-ERM dimensies model van ENECO Doelstellingen Componenten Organisatorische Strategisch Operationeel Verslaggeving Compliance Interne omgeving Formuleren doelstellingen Indentificeren gebeurtenissen Risicoreactie Beheersactiviteiten Risicobeoordeling communicatie Informatie en Monitoring niveaus Missie, visie en strategie Strategische doelstellingen en risicobeleid Interne- controleomgeving Operationele en financiële doelstellingen Organisatie- structuur Bevoegd- en verantwoordelijkheden Proces- management Project- management Risicomanagement Organisatiecultuur HR & MD management Rapportage & monitoring Toetsen opzet en werking Tabel 1. Raakvlakken ECRS en COSO-ERM MCA: maart 2008, nummer 1 39

8 Het niveau van interne beheersing is uit de abstracte sfeer gehaald van ENECO op een natuurlijke wijze aansluiting hebben gezocht tussen procesmanagement in het kader van het ECRS en de ISO-kwaliteitssystemen. De directiebeoordeling en zelfcontrole voeren zij dan ook in combinatie uit, hetgeen vanzelfsprekend efficiënt is. Het grote voordeel van zelfcontroles is dat bedrijfsonderdelen zelf eventuele tekortkomingen constateren, waardoor verbeteracties van nature worden geïnitieerd omdat men zichzelf direct als eigenaar van de tekortkoming ziet. Dat zou een heel ander verhaal zijn indien auditors tekortkomingen aanreiken. Dit wil overigens niet zeggen dat ENECO geen interne audits laat uitvoeren op de gerapporteerde diplomascores. De zelfcontroles staan echter centraal en de audits zijn slechts een instrument om additionele assurance te verkrijgen. Van een externe audit op de in control verklaring door de accountant maakt ENECO geen gebruik omdat de Code Tabaksblat dat niet vereist. In vergelijking met Endemol legt ENECO de nadruk met name op zelfcontroles die de organisatie zelf uitvoert, terwijl bij Endemol de audits een prominente rol spelen. Een voordeel van de zwemdiploma -methodiek dat nog niet ter sprake is gebracht is de mogelijkheid die het biedt om de interne beheersing meet- en herkenbaar te maken. Hierdoor kon een in control KPI worden gedefinieerd. Deze KPI komt neer op het percentage van de normen waarop een B-diploma of hogere score is behaald. De achterliggende gedachte is dat een 100%-score wil zeggen dat alle aspecten van het in control zijn binnen een bedrijfsonderdeel adequaat zijn opgezet en effectief werken. De KPI is opgenomen in de prestatiecontracten van de managers en sommige medewerkers van de bedrijfsonderdelen, hetgeen wil zeggen dat een deel van hun variabele beloning afhankelijk is gesteld van de mate van interne beheersing. De KPI is eveneens in de balanced scorecard (BSC) opgenomen. Omdat de beheersing van de operaties bij ENECO centraal staat is de KPI opgenomen in het proceskwadrant van de BSC en niet in het financiële kwadrant. Het gevolg van het opnemen van de KPI in de BSC is dat extra managementaandacht voor interne beheersing ontstaat en dit een integraal onderdeel van de reguliere bedrijfsvoering is geworden. Als we dit vergelijken met de situatie bij Endemol, valt op dat in het kader van de SOx-compliance bij Endemol niet over integratie met de reguliere bedrijfsvoering wordt gesproken en dit een systeem op zichzelf lijkt te zijn. Een kwaliteitgedreven implementatie lijkt, bijna automatisch, te leiden tot een integratie tussen het control framework en andersoortige kwaliteitssystemen. Communicatie Tijdens het gehele project wordt veelvuldig gecommuniceerd, zowel formeel als informeel. De formele communicatie wordt ondersteund door het communicatieplan dat is opgebouwd rondom diverse media. Schriftelijke communicatie vindt plaats via een intranetsite, een nieuwsbrief, artikelen in het personeelsmagazine en posters van het ECRS die overal in de organisatie hangen. In het kader van de mondelinge communicatie zijn aftrapbijeenkomsten gehouden voor de managementteams van de bedrijfsonderdelen, worden presentaties gegeven op managementbijeenkomsten en wordt jaarlijks in de nieuwjaarsspeech van de CEO aandacht aan interne beheersing besteed. Tot slot wordt, niet in de minste plaats door de leden van de projectteams, veelvuldig informeel gecommuniceerd: tijdens trainingen, in de koffiehoek of in het bedrijfsrestaurant. Trainingsprogramma Door de focus op de operaties is interne beheersing bij ENECO geen ver-van-mijn-bed-show geworden. Management en medewerkers dienen open te staan voor het denken in kansen en risico s, alsmede het willen beheersen van risico s die buiten de risicobereidheid vallen. Om dit te kunnen is een hoog risicobewustzijn vereist. Een organisatiebreed opgezet opleidingsprogramma levert daar een belangrijke bijdrage aan. Dit programma bestaat uit een inleidingscursus, een verdiepingscursus en een peer review cursus. Ten behoeve van de interactie wordt uit didactisch oogpunt in groepen van maximaal 15 personen per cursus gewerkt. In huis is de tweedaagse inleidingscursus ontwikkeld. Deze wordt gegeven door medewerkers van de corporate risicomanagementafdeling en is gericht op de lagere managementniveaus. In de cursus wordt, naast een globale behandeling van de theorie achter het ECRS, vooral met behulp van een ENECOspecifieke praktijkcase geoefend met interne beheersing. Deelnemers kunnen zich vrijwillig via open inschrijving aanmelden, waardoor cursusgroepen ontstaan die een mengeling zijn van medewerkers uit de diverse bedrijfsonderdelen. Het bijkomende 40 MCA: maart 2008, nummer 1

9 voordeel daarvan is dat interactie en begrip ontstaan voor elkaars werkzaamheden. De verdiepingscursus is ontwikkeld in samenwerking met Nivra-Nyenrode en richt zich op de hogere managementniveaus. Deze 8-daagse cursus biedt diepgaande kennis en vaardigheden inzake het vakgebied interne beheersing. Er zijn veel doorstromers uit de inleidingscursus, die nauw op de verdiepingscursus aansluit. Dat de cursus een hoog niveau heeft wordt bevestigd door de certificering die verkregen is ten behoeve van de permanente educatieplicht die geldt voor de bij ENECO werkzame RA s en RC s. Tot slot heeft ENECO nog een tweedaagse peer review cursus die in samenwerking met Lloyd s Register is ontwikkeld. Deze training ondersteunt het peer review programma. Van elkaar leren Als onderdeel van het in control project is ENECO gestart met collegiale toetsing, ofwel peer reviews. Nadat de peer review cursus is gevolgd gaan medewerkers van een bedrijfsonderdeel onder begeleiding van een lead auditor op bezoek bij een ander bedrijfsonderdeel om te zien hoe daar de zelfcontroles zijn opgepakt en uitgevoerd. Het gaat daarbij primair om van elkaar te leren, om ideeën en ervaringen uit te wisselen. Na afloop geeft de lead auditor persoonlijke terugkoppeling aan de reviewers, zodat zij het een volgende keer nog beter kunnen doen. Door assurance een secundaire doelstelling te laten zijn, vinden de peer reviews in een open sfeer plaats waardoor volop ruimte is gecreëerd om van elkaar te leren. In vergelijking met de aanpak van Endemol valt op dat ENECO veel aandacht heeft besteed aan verandermanagement om draagvlak te creëren en het toegenomen belang van interne beheersing aan de organisatie duidelijk te maken. Het verhogen van het risicobewustzijn kost tijd en de kwaliteitgedreven aanpak biedt dit. Het artikel over Endemol gaat niet in op de veranderaspecten, waarschijnlijk omdat men simpelweg de tijd daar niet voor had en zich volop moest richten op de content. IM-mens is een zelfstandig en onafhankelijk bureau voor interim-management en is actief in heel Nederland. Maak jij als mens het verschil? Want juist de mens in de manager is de kritische succesfactor voor een geslaagde opdracht en een tevreden cliënt. IM-mens is voortdurend op zoek naar interim-financials met relevante ervaring in de volgende branches: financiële instellingen, industrie, zorginstellingen, agro&food, lokale overheden, woningcorporaties en uitgeverijen. Heb jij als financial kennis en ervaring als corporate controller, business controller, jaarrekeningspecialist, auditor of consolidatiespecialist? Dan zijn we op zoek naar jou! L eonard S p ringerlaan P ostbus A C G roningen T [0 5 0 ] F [0 5 0 ] E info@ im-mens.nl I w w w.im-mens.nl IM-mens b.v. Interim Management & Finance Ben je een zelfstandig gevestigde interim-manager (of overweeg je dat te worden)? Neem dan contact op met Hans Peter Hoorn RC of Ginette Veldman. IM-mens werkt met ménsen MCA: maart 2008, nummer 1 41

10 Er is geen blik consultants opengetrokken om de teams te bemensen Fase 3: afronding Het streven van ENECO was om het project eind 2007 af te ronden en een ongeclausuleerde in control verklaring in het jaarverslag over 2007 te kunnen opnemen. Bij het ter perse gaan van dit artikel worden de laatste rapportages van de bedrijfsonderdelen, peer reviews en interne audits door ENECO geanalyseerd. De op basis daarvan in het jaarverslag te publiceren risicoparagraaf en in control verklaring zijn eind maart te downloaden van de website van ENECO. De afronding van het project en de in het jaarverslag te publiceren tekst zijn een groot compliment voor de organisatie en een bewijs dat een irc-systeem door een kwaliteitgedreven aanpak, met eigen werknemers, zonder veel weerstand of problemen, kan worden geïmplementeerd. Door deze aanpak is borging in de lijnorganisatie bijna als vanzelf gerealiseerd. De eigen medewerkers hebben het immers gedaan, het is hun irc-systeem en zij hebben geleerd van de door henzelf geconstateerde tekortkomingen. De kwaliteitgedreven aanpak heeft dan in totaal een doorlooptijd van drie jaar gehad, terwijl de tijdgedreven implementaties bij beursfondsen zoals Endemol anderhalf tot twee jaar hebben bestreken. Samenvatting Dit artikel heeft op basis van de kwaliteitgedreven implementatie bij ENECO, die is afgezet tegen de tijdgedreven implementatie bij Endemol, aangetoond dat het verschil tussen tijd- en kwaliteitgedreven niet in de content maar in de context van zo n implementatie ligt. De kwaliteit wordt met name gerealiseerd door eigen medewerkers de implementatie te laten uitvoeren, het irc-systeem organisatiespecifiek te maken, de bedrijfsoperaties centraal te stellen, uitgebreid te communiceren, zelfcontroles en peer reviews toe te passen in plaats van audits en het risicobewustzijn van medewerkers te vergroten door in maatwerk trainingsprogramma s te investeren. Het resultaat van deze kwaliteitgedreven aanpak is dat een irc-systeem zonder veel weerstand of problemen kan worden geïmplementeerd, waarbij de borging in de lijnorganisatie bijna als vanzelf is gerealiseerd. Dit zorgt voor een doorlooptijd die anderhalf tot tweemaal zo lang is maar geeft daarentegen minder druk op de organisatie en staat garant voor een kwalitatief en gedragen irc-systeem. Volgens ons is daarmee de dieperliggende doelstelling van een irc-systeem bereikt, namelijk risicobewuste medewerkers die handelen conform de risicobereidheid van de organisatie en elkaar aanspreken op de mate van interne beheersing. Literatuur ~ Centrum van normalisatie, Nederlandse norm NEN-EN- ISO 9001, december ~ Commissie Corporate Governance, De Nederlandse corporate governance code: beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen, 2003, ~ Emanuels, J.A en W. de Munnik, Enterprise Risk Management, een risicobeheersingssysteem voor organisaties, MAB, juni ~ ENECO Energie, Jaarverslag 2006, ~ Horn, H.A.L.M. van en A.T.W.M. Oostvogel, Endemols weg naar SO en COSO II, MCA, juni ~ Monitoring Commissie Corporate Governance, Rapport over de naleving van de Nederlandse Corporate Governance Code, december 2005, ~ Monitoring Commissie Corporate Governance, Tweede rapport over de naleving van de Nederlandse Corporate Governance Code, december 2006, ~ Onna, M. van en A.Koning, De kleine Prince 2, ~ PriceWaterhouseCoopers en Rijksuniversiteit Groningen, Risicomanagement de praktijk in Nederland, onderzoeksrapport, januari ~ The Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management Integrated Framework, AICPA, 2004, ~ The Committee of Sponsoring Organizations of the Treadway Commission, Internal Control Integrated Framework, AICPA, 1992, ~ Sarbanes, P. en M.G. Oxley, Sarbanes Oxley Act of 2002, januari ~ Vrije Universiteit Amsterdam i.s.m. BisNez Management, Projectmanagementenquête 2006/2007 handvatten voor succesvolle projecten, onderzoeksrapport, Drs. H.J. (Jeppe) Machielsen is CFO van ENECO Energie en voorzitter van de stuurgroep voor het in control project en tezamen met zijn collega RvB-leden eigenaar van ENE- CO s Control & Risk Systeem. G. (Gerard) Vesseur RA is stafdirecteur Control & Risk van ENECO Energie en gedelegeerd opdrachtgever voor het in control project van ENECO Energie. Drs. F. (Francis) H.C. Bouman RA RM is consultant bij 4Partners en belast met de aanpak van het in control project bij ENECO Energie. 42 MCA: maart 2008, nummer 1