1.1 Waarom integraal risicomanagement?

Transcriptie

1 1 Inleiding 1.1 Waarom integraal risicomanagement? Onder bestuurders, collega s of studenten rijst met enige regelmaat de vraag wat de feitelijke toegevoegde waarde is van integraal risicomanagement voor een organisatie. Waarom moeten we aan integraal risicomanagement doen? Veel gehoorde opmerkingen in dit kader zijn: We doen dit voor de accountant of de financiële controller, Risicomanagement betekent extra werk en checklisten of Risicomanagement is toch gewoon je werk goed doen? Voor bepaalde groepen bestaat het beeld dat risicomanagement met name toegevoegde waarde heeft voor anderen en niet de organisatie zelf. Dit is zorgelijk. Zonder een duidelijk antwoord te hebben op de vraag waarom een organisatie aan integraal risicomanagement moet doen, is de kans groot dat elk initiatief op dit terrein mislukt. Kortom: we zullen onszelf eerst moeten overtuigen van het nut en de noodzaak van integraal risicomanagement alvorens we verdere organisatorische of inhoudelijke stappen kunnen zetten het conformance - en performance -motief Nut en noodzaak voor risicomanagement is gelegen in een tweetal basisprincipes die het bestaansrecht van elke organisatie bepalen: het conformance- en performance -motief. Het conformance -motief Het eerste basisprincipe heeft betrekking op het voldoen aan wet- en regelgeving, zoals fiscale en civielrechtelijke wetgeving of corporate-governancecodes. Organisaties zullen zich moeten conformeren aan deze wet- en regelgeving. Ingeval een organisatie zich niet houdt aan wet- en regelgeving, kan dit leiden tot sancties zoals boetes of het verlies van vergunningen. Ook kunnen meer schades in termen van tijd en geld het gevolg zijn van non-conformance. Denk hierbij bijvoorbeeld aan vertragingen in bouwprojecten of onverwachte juridische kosten. Feitelijk biedt het voldoen aan wet- en regelgeving een licence to operate, ofwel een licentie om de bedrijfsvoering te kunnen uitoefenen. Het voldoen aan wet- en regelgeving 17

2 hoofdstuk 1 wordt ook wel geduid als het conformance -motief. Door risico s te inventariseren ten aanzien van relevante wet- en regelgeving en hiertoe een stelsel van beheersingsmaatregelen in te richten, kan op efficiënte en effectieve wijze worden voldaan aan wet- en regelgeving. Risicomanagement is in dit kader een nuttig hulpmiddel. Risicomanagement kent hierbij wel een sterk defensief karakter, het moet, het heeft mogelijk een check the box-mentaliteit tot gevolg. Het performance -motief Het tweede basisprincipe heeft betrekking op het creëren van toegevoegde waarde. In het bedrijfsleven zal dit met name betrekking hebben op het creëren van aandeelhouderswaarde. In de publieke sector zal het performancemotief betrekking hebben op het realiseren van maatschappelijke doelstellingen. Hierbij kent risicomanagement een offensief karakter. Het is gericht op bedreigingen die het bereiken van deze doelstellingen in de weg kunnen staan. Het performancemotief is dan ook gericht op het waarborgen van het (commerciële) bestaansrecht van de organisatie, ofwel een licence to survive. Interessant in dit kader is een onderzoek van Booz Allen Hamilton uit 2004 naar de belangrijkste redenen voor het verlies van aandeelhouderswaarde. Dit onderzoek toonde aan dat in slechts 13% van de onderzochte ondernemingen het verlies aan aandeelhouderswaarde, of breder geformuleerd maatschappelijk nut, te wijten was aan het niet voldoen aan wet- en regelgeving. De overige 87% was te wijten aan operationele en strategische blunders. Figuur 1.1 Redenen voor het verlies aan aandeelhouderswaarde (bron: Booz Allen Hamilton 2004) 18

3 inleiding van risicomanagement naar integraal risicomanagement Zoals uit het aangehaalde onderzoek blijkt wordt het bestaansrecht van een organisatie in hoge mate bedreigd door andere soorten risico s dan waar we traditioneel gewend zijn naar te kijken. Als uw medewerkers of collega s melding maken dat risicomanagement moet van de accountant spreken we enkel over het conformance -motief. Maar ondertussen weten we dat het mislukken van het echte werk, te weten het nakomen van onze beloftes in termen van winstprognoses of het realiseren van doelstellingen, in belangrijke mate voorkomen had kunnen worden door strategische en operationele risico s goed te beheersen. Integraal heeft hierbij betrekking op het inrichten van risicomanagementprocessen op strategische en operationele doelen, financiële verslaggeving en de naleving van wet- en regelgeving. Kortom: het conformance - en performance -terrein gecombineerd. Opmerkelijk in dit kader is de hoeveelheid tijd en geld die beursgenoteerde ondernemingen hebben besteed om te voldoen aan wet- en regelgeving alsook de bijbehorende kritiek daarop. Zo pleitte de Amerikaanse senator Ron Paul in april 2005 in het Amerikaanse congres voor minder strenge regelgeving ten aanzien van financiële verslaggeving omdat Sarbanes-Oxley te kostbaar en te tijdsintensief is voor beursgenoteerde bedrijven in de Verenigde Staten. In totaal is tot en met januari 2008 reeds 1,2 triljoen dollar besteed om te voldoen aan Sarbanes-Oxley. 1 Amerikaanse congresleden vrezen de opkomst van andere kapitaalmarkten, zoals de London Stock Exchange, ten nadele van Nasdaq en de Dow Jones. 1.2 Het COSO ERM-model coso het meest gebruikte referentiemodel voor (integraal) risicomanagement Wereldwijd hebben verschillende instanties standaarden ontwikkeld voor de vormgeving van (integraal) risicomanagement. Het meest recente en bekende is het door The Committee of Sponsoring Organizations of the Treadway Commission (COSO) gepubliceerde raamwerk COSO Enterprise Risk Management Integrated Framework uit 2004, dat voortborduurt op het COSO Internal Control Integrated Framework uit Andere standaarden vinden vaak hun oorsprong binnen een bepaalde branche of een bepaald land. Zo is er de Australian/New Zealand Risk Management Standard 4360 waarvan reeds in 1995 de eerste versie werd uitgegeven door de Council of Standards voor beide landen. Voorbeelden van branchespecifieke standaarden zijn Basel II voor het bankwezen en Solvency II voor het verzekeringswezen. 1 WorldNetDaily, U.S. in the red and getting redder, Ilana Mercer, February 29,

4 hoofdstuk 1 Uit onderzoek van PricewaterhouseCoopers en de Rijksuniversiteit Groningen in 2004 onder leden van het Controllers Instituut blijkt dat 63% van de respondenten gebruikmaakt van een standaardrisicomanagementmethodiek. Van deze groep hanteert bijna driekwart van de respondenten COSO. Figuur 1.2 Het gebruik van risicomanagementstandaarden in Nederland (bron: PricewaterhouseCoopers en Rijksuniversiteit Groningen, 2004) tekortkomingen coso erm Ondanks het gegeven dat COSO ERM wereldwijd veelvoudig wordt toegepast, is er ook kritiek op het model. Kritiek die zich in belangrijke mate richt op de praktische bruikbaarheid ervan. Hierna volgt een overzicht van veelgehoorde punten van kritiek. 1. Geen eenduidig normenkader Een veel gehoorde kritiek op COSO ERM is het theoretische karakter van het model. COSO ERM is conceptueel van aard en beschrijft slechts een aantal aandachtspunten voor de inrichting van risicomanagement en interne beheersing. Wel zijn voor COSO ERM ondersteunende werkdocumenten beschikbaar waarin, door middel van praktische voorbeelden, de (deel)componenten nader worden uitgelegd. Echter, een concreet en eenduidig normenkader voor het beoordelen van (de effectiviteit van) risicomanagement en interne beheersingssystemen ontbreekt. Dit is jammer omdat van veel bestuurders, in navolging van corporate-governanceregelgeving, een expliciete uitspraak wordt verwacht over de effectiviteit van delen van hun risicomanagement- en interne beheersingssystemen. 20

5 inleiding 2. Ontbreken stappenplan Voor het implementeren van risicomanagement is een eenduidig en concreet stappenplan van wezenlijk belang. COSO ERM voorziet niet in een dergelijk stappenplan voor implementatie. Veel organisaties worstelen dan ook met de vraag waar en hoe te beginnen. Afhankelijk van de aanleiding en de sponsoren voor de implementatie van risicomanagement leidt dit tot specifieke complicaties. Als voorbeeld noemen we het ontwikkelen van een beheersingsraamwerk voor het management naar aanleiding van de introductie van een corporate-governancecode. Het stappenplan voor een dergelijke implementatie is geheel anders dan wanneer een organisatie start met een risicogebaseerde auditaanpak waarmee een auditafdeling het management informeert over de effectiviteit van de beheersing. 3. Smalle definitie van interne beheersing Interne beheersing wordt binnen het COSO ERM-raamwerk gedefinieerd als richtlijnen en procedures gericht op het waarborgen dat risico s adequaat worden beheerst. Beheersing richt zich hierbij op het reduceren van (de gevolgen van) risico s. De betekenis van interne beheersing in relatie tot het verzilveren van kansen wordt niet nader uitgewerkt. Dit is opvallend omdat naar verwachting de aard van de activiteiten beduidend verschilt. Zo zal de beheersing van risico s gepaard gaan met bijvoorbeeld verificaties, checks en functiescheidingen. Het verzilveren van kansen richt zich veel minder op dergelijke controles maar meer op het optuigen en realiseren van (de juiste) projecten. De toegevoegde waarde van strategische planning en planning en control blijft binnen COSO ERM dan ook onderbelicht. 4. Permanente actualisering Een laatste punt van kritiek komt voort uit problemen die organisaties ervaren rondom het borgen en het actueel houden van risicomanagement en interne beheersingssystemen. Vooral in situaties waarin organisaties snelle en ingrijpende veranderingen ondergaan, zoals bij fusies of de invoering van nieuwe wetgeving. Binnen het COSO ERM-raamwerk worden in beperkte mate handreikingen geboden voor het borgen en actueel houden van risicomanagement- en interne beheersingssystemen. Dit is jammer omdat organisaties juist in dergelijke situaties het meeste behoefte hebben aan adequate risicomanagement- en interne beheersingssystemen. 1.3 ERMplus doelstelling Doelstelling van dit boek is een meer uitgewerkte methodiek te bieden om COSO ERM binnen uw organisatie meer handen en voeten te geven en tekortkomingen 21

6 hoofdstuk 1 van dit model zo veel mogelijk weg te nemen. Via meer concrete handvatten en inzichten wordt een routekaart geboden die beoogt de praktische toepasbaarheid van COSO ERM te vergroten. In figuur 1.3 is een nadere uiteenzetting gegeven op welke wijze de genoemde tekortkomingen worden weggenomen. Figuur 1.3 Invulling tekortkomingen COSO ERM Tekortkoming COSO ERM 1. Geen eenduidig normenkader 2. Ontbreken stappenplan 3. Smalle definitie van interne beheersing 4. Permanente actualisering ERMplus Binnen ERMplus worden de componenten uit het ERM-model gedetailleerder uitgewerkt waarbij zoveel mogelijk concrete handreikingen worden geboden. Deze uitwerking is een nadere concretisering van de deelcomponenten en vormt daarmee een eenduidiger normenkader voor de beoordeling van risicomanagement en interne beheersing In dit boek is een concreet stappenplan uitgewerkt voor het implementeren van risicomanagement. Aanvullend wordt het stappenplan verrijkt door middel van implementatiestrategieën. Deze implementatiestrategieën hangen nauw samen met de plaats in de organisatie waar de implementatie aanvangt. Deze implementatiestrategieën worden hierna aanvliegroutes voor implementatie genoemd ERMplus onderkent een integraal beheersingskader waarbij expliciet een instrumentarium wordt geboden voor het verzilveren van kansen. Hierbij wordt nauw aansluiting gezocht met de betekenis van de planning- en controlcyclus en de rol van personeel en organisatie. Aanvullend maakt ERMplus onderscheid tussen interne beheersing voor strategische en procesrisico s Het onderhoud van risicoprofielen en beheersingskaders is binnen EMRplus uitgewerkt aan de hand van een vijftal rollen, te weten materiedeskundige, management, risicomanager, controller en auditor. Een of meer van deze rollen kunnen, in onderlinge samenwerking, zorgdragen voor het actualiseren van risicomanagement Hoewel veel tijd en energie geïnvesteerd is in het uitwerken van deze methodiek, zullen in de loop der tijd ongetwijfeld nieuwe inzichten ontstaan die de kwaliteit van deze aanpak verder zal verbeteren. Zo bezien is dit boek dan ook geen statisch document. Mocht u bij het lezen van dit boek hiertoe suggesties willen doen, dan bent u van harte uitgenodigd uitgangspunten Voor het uitwerken van de ERMplus-methodiek is een aantal uitgangspunten gedefinieerd. Deze uitgangspunten vormen belangrijke principes voor de aard en wijze van invulling van de methodiek. Deze uitgangspunten zijn: Binnen dit boek wordt corporate governance bezien vanuit twee aandachtsgebieden: goed bestuur en het afleggen van verantwoording. 22

7 inleiding Risicomanagement wordt binnen dit boek eveneens gezien als een onderdeel van goed bestuur. De toepassing van risicomanagement, als onderdeel van corporate governance, is in de praktijk veelal gericht op getrouwe (financiële) verantwoording en een deugdelijke interne beheersing. De kern van risicomanagement zoals beschreven in dit boek, is het bevorderen van waardecreatie en het verbeteren van prestaties. Daarbij richten we ons op de totstandkoming en het realiseren van bedrijfsdoelen, het beoordelen en ontwikkelen van medewerkers en het afleggen van verantwoording aan stakeholders. Risicomanagement is een proces, bewerkstelligd door mensen op elk niveau van de organisatie, en gericht op het herkennen van potentiële gebeurtenissen die van invloed zijn op de organisatie en op het beheersen van het risico binnen de risicoacceptatiegraad. Risicomanagement is erop gericht om een redelijke, maar geen absolute, mate van zekerheid te bieden aan het management dat organisatiedoelstellingen worden gerealiseerd. Risicomanagement en integraal risicomanagement worden in dit boek als synoniemen gebruikt. Integraal heeft hierbij betrekking op enerzijds een geïntegreerde beheersing van strategische, operationele, financiële en compliancerisico s; deze risico s worden niet enkel vanuit aparte specialistische functies en afdelingen beheerst. Anderzijds heeft integraal betrekking op de organisatiebrede betrokkenheid van mensen. Risicomanagement wordt onderverdeeld in strategisch risicomanagement en procesrisicomanagement. Dit onderscheid is van belang in verband met het beschikbare instrumentarium voor het management van risico s en het verbeteren van prestaties. Verantwoording heeft binnen dit boek betrekking op het afleggen van rekenschap aan stakeholders omtrent gerealiseerde prestaties alsmede de effectiviteit van het interne risicomanagement en beheersingssysteem. Verantwoording over prestaties is gekoppeld aan de (beloofde) bedrijfsdoelstellingen. Verantwoording over interne beheersing heeft betrekking op de getrouwheid van de (financiële) verantwoording en effectiviteit van de interne beheersing. Risicomanagement is zowel een zaak van het (top)management, de toezichthouder, de interne en externe auditor als de uitvoerder zelf. Zowel het management, de auditor als de medewerker hebben een expliciete verantwoordelijkheid in het beheersen van risico s en het leveren van prestaties. Dit wordt in dit boek geduid als de eerste tot en met de vijfde verdedigingslinie van risicomanagement. Raad van commissarissen en raad van toezicht worden in dit boek als synoniemen gebruikt. Beide termen duiden op de rol van een toezichthoudend orgaan. Het gebruik van deze termen verschilt in de praktijk per branche. 23

8 hoofdstuk Voor wie is dit boek geschreven? Dit boek is geschreven voor operationele medewerkers, managers, adviseurs en auditors die in de praktijk betrokken zijn bij risicomanagement. Dit boek heeft als doel hen te voorzien van praktische handvatten en inzichten om risicomanagement aan de hand van het COSO ERM-model te ontwerpen en te implementeren. Voor operationele medewerkers wordt een nadere uitleg gegeven rondom de betekenis van specifieke documenten en richtlijnen rondom risicomanagement. Daarnaast treffen zij in dit boek handvatten aan op welke wijze risico s en beheersingsmaatregelen kunnen worden geïdentificeerd, geanalyseerd en worden getest. Voor managers bevat het boek handreikingen om van hoger hand sturing te geven aan risicomanagement binnen hun organisatie. Aanvullend biedt het boek een kapstok voor de inrichting van een intern beheersingskader voor het doen functioneren van interne beheersing binnen de lijnorganisatie. Voor adviseurs biedt het boek een passende methodiek voor het adviseren van cliënten bij het ontwerp en inrichten van risicomanagement. Auditors kunnen met dit boek hun voordeel doen bij het ontwerpen en inrichten van een risicogebaseerde auditaanpak. De principes van COSO ERM worden in dit boek uitgewerkt aan de hand van gangbare en bekende modellen. Hierdoor stelt het boek, voor iedereen die enigszins vertrouwd is met organisatiekunde en management control, geen bijzondere eisen. 1.5 Verdere indeling van het boek Dit hoofdstuk heeft een beschouwing gegeven waarom risicomanagement van nut en toegevoegde waarde is. De reden waarom we aan risicomanagement zouden moeten doen, is het veiligstellen van het bestaansrecht van de organisatie: vanuit een conformance - en performance -motief. In het vervolg van dit handboek zullen we allereerst ingaan op de vraag wat risicomanagement inhoudt. In hoofdstuk 2 zal hiertoe een introductie worden gegeven van corporate governance en ontwikkelingen binnen het vakgebied risicomanagement. Deze introductie heeft tot doel de achtergrond te schetsen waarlangs belangrijke principes uit het gedachtegoed in dit boek zijn ontstaan. De wat-vraag wordt verder vervolgd door de beschrijving van een gemeenschappelijke taal voor risicomanagement in hoofdstuk 3. Op de vraag hoe risicomanagement kan worden uitgevoerd, zal worden ingegaan in de hoofdstukken 4 tot en met 9. Hoofdstuk 4 richt zich hierbij op de randvoorwaardelijke organisatie van risicomanagement. De inhoudelijke uitvoering van het risicomanagementproces start in hoofdstuk 5 met het identificeren van risico s 24

9 inleiding en risicostrategieën, gevolgd door het inrichten van beheersing (hoofdstuk 6), monitoring en continu verbeteren (hoofdstuk 7), verantwoording aan de buitenwacht (hoofdstuk 8) en de implementatie van risicomanagement (hoofdstuk 9). De hoofdstukken 10 tot en met 13 vormen tezamen een naslagwerk voor een aantal specifieke onderwerpen. In hoofdstuk 10 wordt een nadere beschouwing gegeven rondom risicomanagement en de kredietcrisis. Eveneens wordt in dit hoofdstuk een toekomstbeeld geschetst rondom de ontwikkeling van het vak risicomanagement. In hoofdstuk 11 wordt een nadere uiteenzetting gegeven van de rol van de raad van commissarissen ten aanzien van risicomanagement en interne beheersing. In hoofdstuk 12 wordt een samenvatting gegeven van de belangrijke wet- en regelgeving in relatie tot risicomanagement in Nederland. Tot slot treft u in hoofdstuk 13 een nabeschouwing aan in de vorm van een epiloog. 25

10

11 2 Ontwikkelingen en achtergronden 2.1 Inleiding De publieke aandacht voor het realiseren van bedrijfsdoelstellingen is in de afgelopen decennia steeds verder toegenomen. Overduidelijk door de recente kredietcrisis. Maar ook al daarvoor. Naar aanleiding van boekhoudschandalen en overdadige bonussen van bestuurders zijn stakeholders vaak bedrogen uitgekomen. Bedrijfsdoelstellingen in termen van winsten (of anderszins) werden niet gerealiseerd en de berichtgeving hieromtrent was onbetrouwbaar of te laat. In toenemende mate wensen stakeholders daarom meer transparantie rondom de bedrijfsvoering. Als bekende voorbeelden noemen we Enron en Worldcom waarbij duizenden medewerkers hun banen verloren en investeerders miljarden US dollars schade leden als gevolg van onbetrouwbare financiële verslaggeving. Als gevolg van deze schandalen is in de Verenigde Staten de Sarbanes-Oxley Act geïntroduceerd in juli Doelstelling van deze wet is het verkrijgen van meer zekerheid omtrent de financiële verslaggeving en de totstandkoming hiervan. In sectie 302 en 404 van deze wet dienen bedrijven zich te verantwoorden over de effectiviteit van de interne beheersing ten aanzien van financiële verslaggeving. De wens van stakeholders tot transparantie beperkt zich echter niet enkel tot de betrouwbaarheid van de financiële verslaggeving. Stakeholders willen in toenemende mate openheid over andere onderwerpen zoals beloningen en verantwoordelijkheden van bestuurders en commissarissen, maatschappelijke betrokkenheid en maatschappelijk verantwoord ondernemen. Hiermee wordt de reikwijdte van risicomanagement breder. Strategische, operationele en compliancerisico s maken vaker onderdeel uit van ingerichte risicobeheersings- en interne controlesystemen. De belangen van stakeholders reiken verder dan enkel een betrouwbare jaarrekening; het bereiken van (meerdere) doelstellingen staat hierbij centraal. Deze toegenomen informatiebehoefte van stakeholders is waarneembaar in diverse wet- en regelgeving. Zo zien we dat in de 8e Europese richtlijn, The New Combined Code in het Verenigd Koninkrijk en de code-tabaksblat in Nederland de ondernemingsleiding wordt gevraagd verantwoording af te leggen over de inrichting van risicomanagement in de brede zin des woords. 27

12 hoofdstuk 2 De verantwoordelijkheden van organisaties ten aanzien van stakeholders worden ook wel samengevat onder de noemer corporate governance. Corporate governance heeft hierbij de betekenis van deugdelijk bestuur. Als we kijken naar de toepassing van corporate governance in de praktijk, heeft het in belangrijke mate betrekking op verantwoordelijkheden van directies, toezichthouders, externe accountants ten aanzien van verantwoording en interne beheersing. Het beheersen van risico s staat centraal. Hierbij wordt vaak impliciet verondersteld dat het beheersen van risico s voldoende basis biedt voor het effectief en efficiënt behartigen van belangen van stakeholders. Deze veronderstelling vormt een belangrijke bron van inspiratie voor dit boek. In onze optiek staat waardecreatie centraal en niet enkel het beheersen van risico s. De inhoud van het begrip waarde binnen waardecreatie wordt ingevuld door de betrokken stakeholders. Zo zullen aandeelhouders waarde vaak uitdrukken in termen van winst of een stijging van aandelenkoersen. Andere stakeholders zullen waarde duiden door middel van het behoud van banen (vakbonden), het zorgvuldig omgaan met flora en fauna (milieuorganisaties) of het tijdig en volledig betalen van belastingen (Belastingdienst). Het begrip waarde heeft betrekking op de verschillende (soorten) belangen van stakeholders. Waardecreatie reikt verder dan enkel het beheersen van risico s. Ook over kansen ten aanzien van waardecreatie, het afwegen van verwachte opbrengsten en hieraan gekoppelde risico s spelen een rol. Neem bijvoorbeeld Philips. Ingeval Philips op grote schaal producten ontwikkelt die niet succesvol zijn op de markt, kan dit ernstige financiële problemen tot gevolg hebben. Hierdoor komt een belangrijke doelstelling van aandeelhouders, te weten winstgevendheid, ernstig in gedrang. Indien deze verliezen betrouwbaar worden gerapporteerd, is voldaan aan bijvoorbeeld de vereisten vanuit Sarbanes-Oxley maar is de doelstelling winstgevendheid voor de aandeelhouder nog niet ingelost. Een betrouwbare jaarrekening vormt in onze optiek dan ook enkel een noodzakelijke randvoorwaarde om aandeelhouders goed te informeren, maar geen garantie voor duurzaam succes. Geplande acties om de verliesgevendheid om te buigen in winstgevendheid zijn minstens zo relevant. Het onderkennen van kansen in dit kader en het verzilveren van deze kansen is van wezenlijk belang om de doelstelling winstgevendheid voor de aandeelhouder te realiseren. Ten aanzien van het managen van bedreigingen en kansen kunnen belangrijke verschillen worden onderkend. Bedreigingen kunnen veelal direct worden gerelateerd aan beheersingsmaatregelen die door het management dienen te worden gemanaged. Kansen daarentegen kunnen niet worden gerelateerd aan beheersingsmaatregelen. Kansen dienen te worden uitgewerkt in strategieën en bedrijfsplannen, en te worden gemonitord door middel van de planning- en controlcyclus of de humanresourcecyclus. In dit boek beogen wij een praktische handreiking te bieden voor het inrichten van management control rondom waardecreatie. Kenmerkend voor de wijze 28

13 ontwikkelingen en achtergronden waarop is het integraal managen van risico s én kansen. Hiervoor zullen we gebruikmaken van het COSO Enterprise Risk Management (ERM)-raamwerk. Binnen dit boek is aansluiting gezocht met het COSO ERM-raamwerk omdat dit managementcontrolmodel in de praktijk een van de meest gangbare modellen is ten aanzien van corporate governance. Naast het operationaliseren van dit model, zal in dit boek ook kritiek geuit worden op COSO ERM. Suggesties ter verbetering van COSO ERM zijn integraal uitgewerkt in de praktische handreiking. Dit hoofdstuk begint met een nadere uiteenzetting van de betekenis van corporate governance, gevolgd door een beschouwing rondom de ontwikkeling van risicomanagement in de loop der tijd. In paragraaf 2.4 zal nader in worden gegaan op COSO Enterprise Risk Management (ERM) en de relatie met het management van risico s en kansen. Tot slot zal in paragraaf 2.5 een praktische handreiking worden gegeven, gebaseerd op COSO ERM, voor integraal management van risico s en kansen: de ERMplus-methodiek. 2.2 Corporate governance Financiële schandalen hebben de (financiële) wereld de afgelopen jaren op haar grondvesten doen schudden. Deze schandalen waren het gevolg van het tekortschieten van interne beheersingssystemen en het falen van toezichthoudende interne en externe instanties. Als gevolg hiervan verlangen belanghebbenden in toenemende mate transparantie over de activiteiten, doelstellingen en risico s van organisaties. Een en ander heeft dan ook geleid tot wet- en regelgeving op het gebied van corporate governance. Ten aanzien van de regelgeving kan onderscheid worden gemaakt tussen zelfregulering en een reglement waarbij de naleving van de aanbevelingen verplicht is op grond van wetgeving. Ingeval van zelfregulering is geen sprake van een wettelijke verplichting maar dient de onderneming toe te lichten als voorschriften niet worden gevolgd. Verplichte naleving is stringenter. Dat corporate governance maatschappelijke belangstelling geniet, blijkt onder meer uit het feit dat steeds meer niet-beursgenoteerde ondernemingen eigen corporategovernancevoorschriften ontwikkelen. Voorbeelden hiervan zijn corporate-governancevoorschriften voor de zorgsector, onderwijs en lokale overheden. Deze branchecodes onderscheiden zich doordat naast de financieel georiënteerde onderwerpen ook niet-financiële onderwerpen centraal staan. Deze niet-financiële aandachtspunten vloeien voort uit het feit dat deze branches een maatschappelijke functie hebben en niet per definitie winstgeoriënteerd zijn. Renes en Blöte structureren corporate governance aan de hand van vier onderling samenhangende kernprocessen (zie figuur 2.1). 29

14 hoofdstuk 2 Figuur 2.1 De vier samenhangende governanceprocessen Elk kernproces is uniek en onderscheidt zich door middel van een specifiek aandachtsgebied. Zo betreft het kernproces besturen het richting geven aan een organisatie. Beheersen richt zich primair op het op koers houden van de organisatie. Hierbij wordt opgemerkt dat besturen een randvoorwaardelijke functie vervult om beheersing te kunnen uitvoeren. Zonder doel kan een organisatie immers niet op koers gehouden worden. Het kernproces toezicht houden richt zich op het monitoren van de activiteiten van het bestuur en het management van de organisatie. Tot slot dient verantwoording te worden afgelegd over de eerste drie governanceprocessen aan diegenen die een legitieme eis daartoe hebben. Een goede corporate-governancestructuur leidt uiteindelijk tot een evenwichtige balans tussen het realiseren van ondernemingsdoelstellingen, het afleggen van verantwoording aan belanghebbenden, gewenst ondernemingsgedrag en een aanvaardbare kosten-batenafweging. De praktische toepassing van corporate governance richt zich veelal op risicobeheersing rondom financiële verslaglegging, de rol van toezichthoudende organen en de beloningsstructuur van bestuursleden. Corporate governance in de praktijk benadrukt hierbij het belang van het identificeren en beheersen van risico s. Zoals in de vorige paragraaf al is aangehaald, omvat het besturen van een organisatie meer dan dat. Waardecreatie behoort tot de kernverantwoordelijkheid van het management. Het tijdig signaleren en reageren op kansen, het afwegen van verwachte opbrengsten en hiermee samenhangende risico s en het beheersen van deze risico s gaan hierbij hand in hand. Waardecreatie wordt binnen de reguliere toepassing van corporate-governancecodes nog vaak beperkt belicht. De relatie 30

15 ontwikkelingen en achtergronden tussen besturen, in de breedste zin, en beheersen komt daardoor nog onvoldoende tot haar recht. Kijkend naar de invulling van corporate governance in de praktijk, rijst automatisch de vraag of deze smalle invulling niet kan worden verbreed. Om op deze vraag antwoord te geven, zullen we in de volgende paragraaf nader ingaan op de evolutie op het gebied van risicomanagement in het algemeen en COSO ERM in het bijzonder. 2.3 De evolutie van risicomanagement Met het toenemende belang van en daardoor belangstelling voor corporate governance en risicomanagement, neemt ook de behoefte toe aan een conceptueel raamwerk. Diverse onderzoeken en publicaties hebben aangetoond dat COSO ERM een veelgebruikt conceptueel raamwerk is voor het implementeren van corporate-governancestructuren. In deze paragraaf zal de evolutie van traditioneel risicomanagement naar Enterprise Risk Management nader worden toegelicht. Hierbij wordt een drietal stadia onderkend, te weten traditioneel risicomanagement, bedrijfsrisicomanagement en Enterprise Risk Management traditioneel risicomanagement Onverwachte financiële tegenslagen en/of schandalen vormen voor veel organisaties (en individuen) vaak het vertrekpunt voor het nadenken over financiële verslaggevingsrisico s. De consequenties van financiële risico s zijn direct waarneembaar en hebben vaak verstrekkende consequenties. Het traditionele risicomanagement richt zich met name op de beheersing van financiële en, in beperkte mate, operationele risico s. Deze risico s worden beheerst door het treffen van interne controlemaatregelen binnen de bedrijfsprocessen en door gebruik te maken van specifieke producten zoals contractuele bepalingen, verzekeringen en derivaten waarbij het risico wordt afgewenteld op een onafhankelijke derde. Zonder af te doen aan het belang om financiële verslaggevingsrisico s te beheersen, zijn er een aantal kanttekeningen te plaatsen bij de reikwijdte van traditioneel risicomanagement. Allereerst wordt opgemerkt dat binnen traditioneel risicomanagement risico s met name financieel van aard zijn, terwijl risico s van velerlei aard kunnen zijn. Daarnaast kunnen er onderlinge afhankelijkheden bestaan tussen verschillende soorten risico s. Zo kunnen financiële en operationele risico s aan- 31

16 hoofdstuk 2 leiding geven tot politieke risico s en vice versa. Het traditioneel risicomanagement is derhalve te beperkt. Ten aanzien van beheersing binnen traditioneel risicomanagement vindt risicobeheersing veelal gefragmenteerd plaats door afzonderlijke, gespecialiseerde afdelingen. Het voordeel hiervan is dat de betreffende afdeling over veel kennis beschikt. Nadeel is dat er hierdoor een hokjesgeest ontstaat, waarbij medewerkers in de organisatie het risico niet als hun probleem beschouwen en afschuiven op een andere functionaris of afdeling. Dit fenomeen wordt ook wel verkokering genoemd. Als gevolg van deze hokjesgeest vindt geen coördinatie plaats tussen de afzonderlijke risico s, zodat niet vanuit het bedrijfsbelang geredeneerd wordt, maar juist vanuit het belang van afzonderlijke afdelingen of businessunits. De tijdhorizon van deze risicobenadering is dan ook kort, waardoor voor suboptimale oplossingen gekozen wordt in plaats van voor de strategie die het beste bijdraagt aan de realisatie van de organisatiedoelstellingen. Een derde kenmerk van traditioneel risicomanagement is dat beleidsvorming reactief plaatsvindt naar aanleiding van een calamiteit. Als gevolg hiervan is de respons onvoldoende aangezien management bezig is met brandjes blussen in plaats van het vormen van een structureel beleid dat aangepast is aan de zich wijzigende omstandigheden bedrijfsrisicomanagement Zoals in de vorige paragraaf beschreven, richt het traditionele risicodenken zich primair op het identificeren en beheersen van financiële verslaggevingsrisico s. Door deze beperking in de reikwijdte worden andersoortige risico s mogelijk niet onderkend en beheerst. Verzekerbare, technologische, financiële, operationele, automatiserings-, milieu-, veiligheids-, kwaliteits-, integriteits- en frauderisico s enzovoort, worden hierdoor niet in ogenschouw genomen en/of onafhankelijk van elkaar beheerst vanuit separate, gespecialiseerde organisatieonderdelen. Dit rechtvaardigt een meer geïntegreerde en bredere risicobenadering. Binnen de gangbare literatuur wordt deze bredere risicobenadering ook wel bedrijfsrisicomanagement genoemd. Het bedrijfsrisicomanagement rekent behalve de financiële risico s ook de niet-financiële risico s tot zijn aandachtsgebied. Daardoor is ook het operationeel management betrokken bij het identificeren en beheersen van risico s. Dit resulteert in het doorbreken van de hokjesgeest zodat risicomanagement een verantwoordelijkheid is geworden van alle functionarissen van een organisatie. De focus van bedrijfsrisicomanagement ligt echter met name op het beheersen van individuele risico s en groepen van gerelateerde risico s. Dit uit zich onder meer in het ontbreken van richtlijnen omtrent rapportage en man- 32

17 ontwikkelingen en achtergronden agementwijze van de risico s. Het effect van risico s op de totale organisatie is daarom moeilijk te bepalen. Een aanvullend, niet onbelangrijk, detail van bedrijfsrisicomanagement is dat binnen de literatuur naast risico s voor het eerst ook melding wordt gemaakt van kansen. Het onderscheid tussen risico s en kansen kan worden verduidelijkt door het begrip gebeurtenis. Een gebeurtenis met een negatieve impact op het bereiken van de organisatiedoelstellingen wordt binnen bedrijfsrisicomanagement een risico genoemd. Een gebeurtenis met een positieve impact wordt een kans genoemd. Weliswaar wordt binnen bedrijfsrisicomanagement voor het eerst melding gemaakt van zowel risico s als kansen, maar nadere concretisering blijft uit enterprise risk management Tot dusver hebben we gezien dat traditioneel risicomanagement, met een duidelijke financiële focus, evolueert naar bedrijfsrisicomanagement waarbij een breder palet aan risico s in ogenschouw wordt genomen. Enterprise Risk Management komt voort uit bedrijfsrisicomanagement. Om de betekenis van Enterprise Risk Management goed te begrijpen is het van belang een heldere definitie ter hand te nemen. The Committee of Sponsoring Organizations of the Treadway Commission definieert Enterprise Risk Management als volgt: Enterprise risk management is a process, effected by an entity s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. Uit deze definitie blijkt dat Enterprise Risk Management uitgaat van een procesmatige aanpak om gebeurtenissen die effect hebben op de organisatie te identificeren en risico s te beheersen. Het gebruik van het woord gebeurtenis of potential event is hierbij opvallend. Doordat gebeurtenissen een gevolg hebben voor de organisatiedoelstellingen, en dit gevolg zowel positief als negatief kan zijn, wordt hiermee het verschil tussen risico s en kansen benadrukt. Hiermee onderkent Enterprise Risk Management het belang van het creëren van waarde voor de organisatie. Aanvullend wordt opgemerkt dat, in tegenstelling tot bedrijfsrisicomanagement, binnen Enterprise Risk Management correlatie tussen risico s en het (gecumuleerde) effect daarvan onder de aandacht wordt gebracht. Onderlinge effecten kunnen de impact van het risico sterk beïnvloeden en dienen dus in ogenschouw genomen te worden bij het beheersen van risico s. 33

18 hoofdstuk 2 De ontwikkeling van het traditionele denken inzake risicomanagement tot Enterprise Risk Management is schematisch weergegeven in figuur 2.2. Figuur 2.2 De evolutie van risicomanagement (bron: DeLoach 2000) conclusie Resumerend kunnen we constateren dat risicomanagement zich op een aantal fronten heeft ontwikkeld. Deze zijn: de organisatie van risicomanagement de uitvoering van het risicomanagementproces de reikwijdte van risicomanagement In figuur 2.3 zijn de belangrijkste ontwikkelingen per deelgebied nader toegelicht. 34

19 ontwikkelingen en achtergronden Figuur 2.3 Overzicht ontwikkelingen in risicomanagement Deelgebied De organisatie van risicomanagement De uitvoering van het risicomanagementproces Reikwijdte van risicomanagement Traditioneel risicomanagement Gefragmenteerd; risicomanagement is ondergebracht bij een specifiek hiervoor aangewezen afdeling Functioneel georiënteerd: de identificatie en beheersing van risico s is sterk gekoppeld aan functies of afdelingen Enterprise Risk Management Geïntegreerd; risicomanagement is volledig geïntegreerd binnen de reguliere operationele bedrijfsvoering Procesgeoriënteerd: de identificatie en beheersing van risico s is afdelingsoverstijgend en gekoppeld aan het proces Schade; geïdentificeerde risico s gericht op Waardecreatie; geïdentificeerde risico s gerelateerd aan de value drivers van de orga- het verlies van waarde nisatie Reactief: het identificeren en beheersen van risico s wordt gestart ná het voordoen van één of meer incidenten Ad hoc: risicomanagement vindt op adhocbasis plaats Smalle reikwijdte: risicomanagement gefocust op de beheersing van financiële risico s Proactief: het identificeren en beheersen van risico s wordt proactief ingezet ter voorkoming van incidenten Continu: risicomanagement wordt op een gestructureerde wijze uitgevoerd met hantering van voorgedefinieerde vervaltermijnen Brede reikwijdte: risicomanagement betreft bedrijfsrisico s en bedrijfskansen. Correlatie en relaties tussen risico s wordt meegenomen 2.4 COSO Enterprise Risk Management Zoals eerder aangegeven is COSO ERM veruit het meest bekende en geaccepteerde raamwerk voor Enterprise Risk Management. Dit raamwerk is bedoeld om organisaties een uniform en gemeenschappelijk referentiekader aan te bieden voor het inrichten van een intern beheersingssysteem. Uit de in paragraaf opgenomen definitie van Enterprise Risk Management blijken enkele fundamentele aandachtsgebieden ten aanzien van de aard en reikwijdte van risicomanagement. Enterprise Risk Management is: een proces, voortdurend en stromend door de gehele onderneming; bewerkstelligd door mensen van elk niveau in een organisatie; toegepast bij de formulering van strategische doelstellingen; toegepast in de hele onderneming, op elk niveau en onderdeel, en omvat een portfoliovisie op ondernemingsniveau op risico; ontworpen om potentiële gebeurtenissen te herkennen die, als ze voorkomen, van invloed zijn op de onderneming en het risico te beheersen binnen de risicoacceptatiegraad; in staat om een redelijke zekerheid aan het management van een onderneming en de raad van bestuur te bieden; ingericht om de doelstelling te behalen in een of meer afzonderlijke maar wel overlappende categorieën. 35

20 hoofdstuk 2 Binnen COSO ERM wordt het realiseren van organisatiedoelstellingen centraal gesteld, waarbij wordt verondersteld dat organisatiedoelstellingen een volledige en juiste reflectie vormen van de diverse belangen van stakeholders. Organisatiedoelstellingen worden onderverdeeld in vier soorten, te weten: strategisch: betreft globale doelen en is afgestemd op de visie en missie; operationeel: betreft effectief en efficiënt gebruik van de middelen; rapportage: betreft betrouwbaarheid van interne en externe financiële en nietfinanciële verslaggeving; toezicht: betreft naleving van wet- en regelgeving. Door ondernemingsdoelstellingen in te delen in bovengenoemde categorieën wordt het mogelijk risicomanagement gericht toe te spitsen op specifieke doelstellingen van de organisatie. We merken hierbij op dat bovengenoemde categorieën een zekere mate van overlap kennen; een bepaalde doelstelling kan in meerdere categorieën vallen. Eveneens kunnen ondernemingsdoelstellingen tot de verantwoordelijkheid behoren van verschillende directieleden. Figuur 2.4 Enterprise Risk Management Framework (COSO ERM) Het COSO Enterprise Risk Management model bestaat uit acht samenhangende componenten. Deze componenten zijn afgeleid van reguliere verantwoordelijkheden 36

21 ontwikkelingen en achtergronden en taken van het management. Onderstaand worden de acht componenten uit het COSO ERM-model toegelicht. Interne omgeving: de interne omgeving omvat de toon van een organisatie en stelt de basis voor hoe risico s worden beschouwd en geadresseerd door de mensen van een onderneming, inclusief risicomanagementbeleid en risicoacceptatiegraad, integriteit, ethische normen en waarden en de omgeving waarin zij opereren. Formuleren van doelstellingen: doelstellingen moeten bestaan voordat het management potentiële gebeurtenissen die invloed hebben op het behalen van deze doelen kan erkennen. Ondernemingsrisicomanagement bewerkstelligt dat het management een proces heeft dat doelstellingen vastlegt, dat gekozen doelstellingen afgestemd zijn op de missie, deze ondersteunen en consistent zijn met de risicoacceptatiegraad. Identificeren van gebeurtenissen: interne en externe gebeurtenissen die invloed hebben op het behalen van de doelstellingen van de ondernemingen moeten worden geïdentificeerd, daarbij onderscheid makend tussen risico s en kansen. Kansen worden teruggekoppeld naar het strategie- en/of doelstellingenformuleringsproces. Risicobeoordeling: risico s worden geanalyseerd, in overweging nemend de waarschijnlijkheid en de impact, als basis voor het vaststellen hoe deze zouden moeten worden gemanaged. De inherente en restrisico s worden ingeschat. Reactie op risico: management selecteert de reacties op risico s vermijden, accepteren, verminderen of delen van risico waarbij een set acties wordt ontwikkeld om risico s af te stemmen op de risicotolerantie en risicoacceptatiegraad. Beheersingsactiviteiten: richtlijnen en procedures worden geformuleerd en geïmplementeerd om te waarborgen dat de reacties op risico effectief worden uitgevoerd. Informatie en communicatie: relevante informatie wordt geïdentificeerd, verzameld en gecommuniceerd in een vorm die en tijdsbestek dat mensen mogelijk maakt hun verantwoordelijkheden te kunnen uitvoeren. Effectieve communicatie vindt ook in ruimere zin, horizontaal, verticaal en bilateraal, plaats binnen een onderneming. Bewaking: de totaliteit van ondernemingsrisicomanagement wordt bewaakt en wijzigingen worden waar nodig aangebracht. Bewaking wordt mogelijk gemaakt door voortdurende managementactiviteiten, afzonderlijke evaluaties of beide. Enterprise Risk Management is een regelkring waarbij de acht deelcomponenten elkaar kunnen beïnvloeden. Hierbij is het niet noodzakelijk dat de acht componenten in volgordelijkheid worden doorlopen. Zo kunnen wijzigingen in processen 37

22 hoofdstuk 2 (beheersingsactiviteiten) leiden tot aanpassingen in het risicoprofiel en de bijbehorende risicoreactie. Voor de uitvoering van Enterprise Risk Management heeft elke functionaris een eigen verantwoordelijkheid. Zo draagt de algemeen directeur eindverantwoordelijkheid en houdt toezicht op de uitvoering van het gehele risicomanagementproces. Het hoger en middelmanagement dienen het risicobeleid en de risicoacceptatiegraad te ondersteunen en dit uit te dragen binnen de organisatie. Medewerkers op meer operationeel niveau zijn verantwoordelijk voor de operationele uitvoering van Enterprise Risk Management. Het ondersteunen en toetsen van de uitvoering kan betrekking hebben op meerdere, verschillende functies. Veelal vervullen de interne accountant en financieel verantwoordelijke hierin een belangrijke rol. Ook is het mogelijk dat de risicoverantwoordelijke binnen de lijnorganisatie deze rol op zich neemt. 2.5 ERMplus Het COSO ERM-model is een theoretisch raamwerk om ondernemingsrisicomanagement te evalueren en te verbeteren. In dit boek wordt beoogd dit raamwerk nader te concretiseren en managers praktische handvatten te bieden voor het operationaliseren van dit model. De ERMplus-methodiek is een praktische uitwerking van COSO ERM waarbij een integrale benadering wordt uitgewerkt voor het beheersen van risico s én kansen. 38