EEN COMMERCIËLE UITGAVE VAN MEDIAPLANET, GEDISTRIBUEERD DOOR HET FINANCIEELE DAGBLAD.
Nr.2/december 2010 Ontwikkeling, toepassing en ervaring
RISK MANAGEMENT
5 TIPS
VOOR IMPLEMENTATIE BINNEN HET GEHELE BEDRIJF
Lines of defence Drie verdedigingslinies voor de beste preventie Informatie Zorg dat de riskmanager toegang heeft tot alle belangrijke informatie Integreren Door middel van structuur, gedrag en beloning Software Bepaal eerst het grc-doel en ga dan automatiseren.
GECONTROLEERD RISICO’S NEMEN VOOR GROTER SUCCES Peter den Dekker, voorzitter van de FERMA: “Risicofinanciering van grote bedrijven moet haalbaar en betaalbaar blijven”
Commissarissen trekken les uit crisis: “aanscherpen interne risicobeheersings- en controlesystemen wenselijk.” Uit een representatief onderzoek onder Nederlandse commissarissen blijkt dat riskmanagement meer aandacht vergt. Ook weten hoe commissarissen over deze en andere zaken denken? Kijk op www.gt.nl/commissarissenonderzoek. Accountancy - Belastingen - Advies
2 · DECEMBER 2010
UITDAGING Risicomanagement is een dynamisch vak, volgens Tjerk van Dijk, Risk and Insurance Manager bij Draka Holding. Omdat organisaties steeds weer nieuwe markten opzoeken, moet hun risicomanagement vaak op de schop.
WIJ RADEN AAN Arjen Ronner Hoogleraar aan de Universiteit van Amsterdam
PAGINA 6
Risicomanagement blijft altijd dynamisch lobalisering en de kredietcrisis zijn twee belangrijke thema’s die op dit moment relevant zijn in het vakgebied van risicomanagement. Globalisering speelt een grote rol omdat we steeds weer nieuwe markten opzoeken om zaken mee te doen.Wij zijn niet de enige organisatie die dat doen, steeds meer organisaties verbreden op deze manier hun marktaandeel door met exotische landen zaken te doen. Opkomende economieën zijn daarbij erg belangrijk.Als je met deze landen zaken doet, moet je met tal van risico’s rekening houden. Het is geen Europa. Denk aan omgangsvormen, betalingstermijnen en wettelijke belemmeringen, maar ook hoe je omgaat met zakelijke conflicten, mochten die zich voordoen.Bij landen die op de sanctielijst staan, zoals Iran, moet je extra goed je risico’s verkennen. Het zou zomaar kunnen dat je helemaal geen zaken mag doen met dat land. Het andere thema dat risicomanagement sterk beïnvloed is de kredietcrisis. Ik heb hier zelf mee te maken gehad doordat een klant als
G
gevolg van de afnemende kredietwaardigheid een deel van haar kredietlimieten aan ons moest herzien. Wij stonden toen voor een aantal belangrijke keuzes. De vraag was of wij meer kredietrisico wilden lopen of niet. Ook had de kredietcrisis invloed op de bedrijfsvoering. In Spanje kwamen veel bouwbedrijven in de problemen.Het kredietrisico neemt dan toe, terwijl de dekking van de verzekeraar afneemt. In onze eigen organisatie wordt men zich steeds meer bewust van het belang van goed risicomanagement. De medewerkers krijgen hierin veel begeleiding. Wij hebben weinig te maken met schade die leidt tot claims. Daarom komt het nogal eens voor dat risicomanagement op een laag pitje staat in de organisatie. Wij lossen dit op door scenario’s te schetsen voor het personeel. Hierdoor is het mogelijk om risicomanagement nog beter tussen de oren te krijgen bij onze medewerkers. Deze aanpak werkt erg goed. We benadrukken de voordelen van goed risicomanagement. De juiste vorm van risicomanagement leidt ertoe dat je weet waar de risico’s zitten binnen je organisatie. Je krijgt niet te maken met on-
‘Corporate Integrity’ beter gewaarborgd Op het gebied van risk management kan de financiële crisis uiteindelijk ook voor een verandering ten goede zorgen. Aangespoord door toezichthouders en brancheorganisaties moeten bestuurders van ondernemingen beter uitleggen hoe integriteit is gewaarborgd in de eigen bedrijfsvoering. Het traditionele gebruik van ‘In Control Statements’ en het afleggen van verantwoording via de aandeelhoudersvergadering en de jaarverslaggeving is nog weinig effectief gebleken. De beheersing van belangenconflicten, de inrichting van het beloningsbeleid, of hoe met signalen van klokkenluiders is omgegaan, is geen kwestie van afvinken. De ‘In Control Statements’ kunnen beter plaats maken voor ‘Corporate Integrity Statements’, waarbij de intern gemaakte afwegingen op het gebied van ethiek en integriteit beter tot uitdrukking komen. Dit zorgt voor een duidelijke transparante communicatie naar belanghebbenden, één van de twee onderdelen van een ‘Ethische Governance’. Het andere deel omvat de manier van werken die medewerkers stimuleert en stuurt bij het maken van integere afwegingen. ngCompliance, WellervanWoerden c.s. en CCC hebben een unieke propositie ontwikkeld om ondernemingen te helpen bij deze nieuwe vorm van bedrijfsvoering. De propositie biedt een combinatie van integriteits management software, expertise en begeleiding bij het inrichten van een integere bedrijfsvoering en implementatie, project- en procesmanagement op maat. Staat u voor de vraag hoe corporate integrity beter te waarborgen in uw bedrijfsvoering, kijk dan op www.ngcompliance.com/integriteit.
ngcompliance.com
wellervanwoerden.nl
ccc.nl
Tjerk van Dijk Risk and Insurance Manager bij Draka Holding
“Verandering in de structuur van de organisatie heeft tot gevolg dat het risicomanagement ook weer moet worden herzien”
verwachte verrassingen. Slecht risicomanagement kan er daarentegen weer toe leiden dat het imago van de organisatie schade oploopt. Ik merk dat open communicatie binnen je organisatie cruciaal is voor het beheersen van de risico’s.Hetzelfde geldt voor het delen van ervaringen en het uitwisselen van informatie met elkaar.Je laat hiermee zien dat je het beheersen van risico’s serieus neemt als organisatie. Als er dan een issue is,kunnen mensen op elkaar terugvallen en van elkaars ervaringen leren.Deze aanpak werkt.Uiteindelijk zijn het toch de mensen die het risicomanagement moeten uitvoeren.Ik merk dat steeds meer medewerkers in de organisatie ervan doordrongen zijn dat risicomanagement iedereen raakt, op alle niveaus. Van machinebediende tot directeur. Je ziet dat op het moment dat we op een andere manier gaan werken. Op dit moment zijn we bijvoorbeeld bezig met het harmoniseren van de productielijnen en het nemen van beheersmaatregelen. Deze verandering in de structuur van de organisatie heeft tot gevolg dat het risicomanagement ook weer moet worden herzien. Je ziet het, het blijft altijd dynamisch.
“Een centrale persoon die van afstand kan kijken naar de risico’s kan veel betekenen voor je organisatie”
We make our readers succeed! RISK MANAGEMENT, 2E EDITIE, DECEMBER 2010 Managing Director: Robbert-Jan Ossebaar Production Manager: Sanne Hollmann Print Manager: Marc Reineman Business Development Manager: Lot van Brakel Layout: Triin Metusalet Project Manager: Bart Gabriels Telefoon: 020-7077032 E-mail:
[email protected] Gedistribueerd: FD, december 2010 Drukkerij: Wegener NieuwsDruk Mediaplanet contact informatie: Telefoon: 020-7077000 Fax: 020-7077099 E-mail:
[email protected] Dit is een bijlage bij het FD. De inhoud van deze bijlage valt niet onder de hoofdredactionele verantwoordelijkheid van het FD.
Mediaplanet ontwikkelt hoogwaardige bijlagen die zich richten op een specifiek thema en de daarbij behorende doelgroep. Zo brengen wij lezer en adverteerder dichter bij elkaar.
#ULTURE¬EATS¬2ISK¬STRATEGIES¬FOR¬BREAKFAST Voorop gesteld, Risk management in al haar facetten gaat over verandering in het algemeen, en gedragsverandering in het bijzonder. Dat lijkt een vanzelfsprekendheid, maar dat blijkt het in de weerbarstige praktijk steeds minder te zijn.
Het vermijden ervan is nagenoeg net zo zinloos als het voorspellen ervan. Maar het reduceren van de gevoeligheid ervoor, daarin ligt de uitdaging. Een oplossing niet in energieabsorberende regels ca., maar in een energiegevende cultuuromslag.
Het is steeds meer als het wringen van een voet in een handschoen. En het leidt nogal tot ‘Enterprise Risk Management’ (ERM) als ‘window dressing’. Immers, in toenemende mate komen technische risicospecificaties en -normen over bedrijven en instellingen heen. Vaak geëntameerd door ‘schandalen’ (van boekhoudfraude tot milieuschade), en als reactie daarop de ferme wens dit soort uitwassen voor eens en altijd achter ons te laten. Hetgeen, ook in toenemende mate, leidt tot grote aandacht voor compliance – het ten minste voldoen aan de eisen, wetten en regels. Ook wel: gevangen in ‘the activity trap’. Toepassen, veel meer dan beleven. Maar dat in een omgeving van weinig budget, en geen werkelijke topprioriteit van topmanagement. Mogelijke pijn wordt niet ten diepste onder ogen gezien, maar liefst, verschuilend achter processen, vermeden. Een situatie van ‘stuck-in-the-middle’: reactief en agerend, daar waar proactief en regerend de toon zouden moeten zijn.
Nu is het bewerkstelligen van een cultuuromslag ook geen sinecure. Het is het bouwen van ‘structurele spanning’ in de organisatie – het creëren van een holistisch ‘level playing field’ waarin alles bespreekbaar is, waardoor ‘extern opgelegd’ wordt omgezet in ‘intern doorleefd’. Interne, culturele veiligheid is de ware voedingsbodem voor riskmanagement veerkracht. Waarin heldere regels worden omgezet in transparant gedrag, en vermijden wordt omgezet in pijn confronteren, vergroten en diepgaand oplossen. Waarin riskmanagement in deelgebieden wordt omgezet in integraal riskmanagement, ver voorbij de functionele disciplines.
Het lijkt wel een marathon, gelopen door sprinters…. geen uiteindelijk doel in zicht, telkens weer aanzetten, en vlak voor de finish horen dat het nog verder moet. Dit leidt tot – fysieke en mentale - uitputting. In organisaties leidt het tot entropie. Een fraaie beeldspraak in dit kader gaat als volgt: ‘Iedere morgen ontwaakt er een gazelle in Afrika. Zij weet dat zij sneller zal moeten rennen dan de snelste leeuw, anders zal zij worden gedood. Iedere morgen ontwaakt er een leeuw. Hij weet dat hij sneller zal moeten zijn dan de langzaamste gazelle, anders zal hij sterven van de honger. Eigenlijk maakt het niet uit of je een gazelle bent of een leeuw; als de zon opkomt moet je er voor zorgen dat je rent’. Een uitputtend bestaan, gebaseerd op angst. Wat nodig is om uit deze afmattende race te ontsnappen is een daadwerkelijke ‘paradigma shift’. In dit opzicht speelt het prachtige boek van Nicholas Taleb, ‘The Black Swan; The Impact of the Highly Improbable’, een belangrijke rol – daar waar hij de rol van ‘high-impact’ gebeurtenissen beschrijft, ver voorbij de range van normale verwachtingen.
Ik ben een groot en verklaard voorvechter dat elke externe norm, procedure en/of wet een pendant krijgt in een interne ‘cultuur assessment’ met aandacht voor openheid, vertrouwen, eerlijkheid, accountability, lerend vermogen. Hoe groter de culturele entropie, hoe lager het veranderpotentieel. Hoe sterker de verbinding, hoe groter de veerkracht. Alleen dan is het veelkoppige monster van ERM te temmen in de wetenschap dat er altijd veel op ons afkomt, maar dat er niets is dat we niet aankunnen. Het is mijn stellige overtuiging dat daar waar ERM raakt aan de waarden van de organisatie het een zeer positieve impact heeft op de waarde van de organisatie. Risicomanagement heeft grote waarde, maar alleen dan als het wordt gevat in gedeelde waarden. Daarmee wordt voorkomen dat riskmanagement verwordt tot een ‘process commodity’, en het een culturele uniciteit krijgt die recht doet aan het belang ervan: voor werknemers, reputatie, klanten, aandeelhouders, toezichthouders, en het grote publiek. Risk manager, ik wens u smakelijk eten. Peter Paul Leutscher Director Business Development Marsh Nederland
Leadership, Knowledge, Solutions... Worldwide.
CLIENT INTIMACY BASIS VOOR RISK MANAGEMENT Risicomanagement is cruciaal voor de continuïteit van organisaties. Meijers, registermakelaar in assurantiën, gebruikt het principe van client intimacy om tot de juiste aanpak van risk management te komen. Uitgangspositie is om een professionele sparringpartner te zijn bij de benadering van risico’s. Ongeacht het werkveld of de omvang van de klant.
TOTAALBENADERING
FAMILIEBEDRIJVEN EN RISK MANAGEMENT
“Voortdurend hebben wij oog voor het totale plaatje van de organisatie”, aldus Michel Schaft, directeur van Meijers. “Of het nu gaat om een verzekering op maat of om risk management consultancy. Wij kruipen in de huid van onze klant omdat we ervan overtuigd zijn dat het bieden van continuïteit vraagt om het juiste samenspel van factoren. Om de samenhang tussen verscheidene disciplines, processen en belangen. Client intimacy dus.” Met 120 medewerkers is Meijers een van de grootste zelfstandige makelaars in ons land. Een hoge sensitiviteit om de ‘tone at the top’ goed te vangen behoort daarnaast tot de kwaliteiten van Meijers. “We schrikken er niet voor terug om onze klanten doorlopend van duidelijke feedback te voorzien, ook als zaken niet goed lopen. Dit kan alleen als er sprake is van een hoge mate van betrokkenheid”, aldus Schaft.
Een van de risk consultants van Meijers, Rosalie André, heeft wetenschappelijk onderzoek verricht naar risk management bij familiebedrijven. Ze heeft in kaart gebracht wat familiebedrijven anders maakt en op welke manier dat van invloed is op risk management trajecten. “De betrokkenheid van de werknemers is groot, net als het belang van familiewaarden, maatschappelijk verantwoord ondernemen en een sterk sociaal netwerk. Bovendien volgen familiebedrijven vaak een lange termijn strategie. Dit maakt hen sterk en stabiel“, aldus André. Het onderzoek bevestigt wat Meijers al jaren in de praktijk ziet, bij klanten in allerlei sectoren, maar met name bij veel familiebedrijven en coöperaties. “Goed ondernemerschap ligt ten grondslag aan succesvol risk management. Meijers is een familiebedrijf, dus wij begrijpen dat continuïteit een cruciale kernwaarde is en stemmen onze dienstverlening daarop af. Iedereen kan daar zijn voordeel mee doen, familiebedrijf of niet.”
"
" ! "
Hoe haal je in 2011 het meeste uit Solvency II ? Het voldoen aan de richtlijnen van Solvency II is een opgave van formaat. Maar voor verzekeraars liggen er ook kansen in integratie van risicomanagement in de bedrijfsvoering, in een bedrijfsbrede gedragsverandering en in een adequate inbedding in de organisatie.
tureerde veranderaanpak die past bij de ‘blauwe’ werk- en denkstijl van financiële instellingen”, aldus Orange Oaks.
Vragen die vaak aan de kwantitatieve deskundigen en/of actuarissen gesteld worden zijn: “Uit het rekenmodel komt een verhoogde kapitaalseis. Vertel mij nu eens wat ik kan doen om die kapitaalseis positief te beïnvloeden of te verlagen? Wat moet ik doen in mijn operatie om het vereiste kapitaal te verlagen?” Dit is niet alleen een vraagstuk voor actuarissen. Om het antwoord te vinden zullen drie verschillende disciplines nog beter moeten samenwerken: risk management – financiën – en de operationele / lijnorganisatie.
Daarnaast moet risicomanagement geïntegreerd worden in de operatie. Dit vereist een blijvende inbedding in de interne organisatie, processen en documentatie. Risicomanagement moet geïntegreerd worden in bestaande managementinstrumenten, planning & control, besluitvorming- en besturingsprocessen, e.d. Hiervoor zullen risico management, financiën en de operationele/ lijnorganisatie beter moeten samenwerken om het beste te halen uit het Solvency II vraagstuk.
Veel aandacht is al gegeven aan de technische en kwantitatieve aspecten van Solvency II. De focus van zowel verzekeraars als toezichthouders zal de komende tijd verschuiven naar Pillar II: de governance, internal control, risk management en self-assessment (Own Risk Solvency Assessment). Ook de Nederlandsche Bank zal in 2011 specifiek aandacht besteden aan de aanpak en implementatie van Pillar II.
Cruciale onderdelen zoals het bepalen van de risicobereidheid, het uitvoeren van Own Risk Solvency Assessment en het aanpassen van dashboards vereisen een gestructureerde aanpak, maar vooral dat het management een degelijk proces doorloopt. Tevens worden de risico’s bij het uitbesteden van (kern)activiteiten vaak ten onrechte gerelativeerd. Solvency II vereist dat deze risico’s expliciet beoordeeld en beheerst worden.
Veel verzekeraars worstelen met de balans tussen ‘voldoen aan wetgeving’ en ‘het benutten van kansen’. De druk op korte termijn resultaten speelt hierin zeker mee. “Pillar II kan de sleutel vormen tot deze kansen”, aldus Orange Oaks. Maar hoe pak je dat aan? De aanpak van Pillar II vertoont grote gelijkenis met eerdere grote verandertrajecten die het gevolg zijn van ingrijpende wetswijzigingen. Voorbeelden hiervan zijn: Basel II, Sarbanes Oxley en Wft. Onze ervaring met eerdere implementaties is dat integratie van risicomanagement met de hele bedrijfsvoering ingrijpend is. Hierin zijn wij niet alleen: Van Elk van ING Investment noemt Solvency II “de grootste gebeurtenis voor de Europese verzekeringssector van de afgelopen 40 jaar”. En The Economist (februari 2010) schat dat de kosten van implementatie van integraal Governance Risk Compliance kunnen oplopen tot 5% van de jaarinkomsten.
Peter van Herwaarden Peter van Herwaarden is partner bij Orange Oaks Audit & Advisory.
Ook datakwaliteit is een cruciaal onderdeel. Voor Solvency II zijn gegevens nodig uit uiteenlopende bronsystemen. Het is cruciaal om de datakwaliteit te waarborgen van gegevens die als basis dienen voor risicomanagement en Solvency II. Doorslaggevende succesfactoren Op basis van onze ervaring met eerdere ingrijpende projecten weten we dat de aandacht voor cultuurverandering doorslaggevend is. Het integreren van risicomanagement in de bedrijfsvoering brengt significante organisatieveranderingen met zich mee. Dit vereist een veranderkundige aanpak die past bij de cultuur van de financiële sector. “Dus ‘geen bomen knuffelen’, maar een gestruc-
Samenvatting Het advies is daarom: “Ga snel van start met Pillar II in 2011.” De sleutel voor het vinden en benutten van kansen ligt in integratie van risicomanagement (Pillar II) in de dagelijkse operatie waarbij alle disciplines beter met elkaar (leren) samenwerken.
Orange Oaks Audit & Advisory ondersteunt bedrijven bij ‘In Control’ en risicomanagement implementaties en bij organisatieverandertrajecten. Orange Oaks is dé Solvency II implementatiepartner met een pragmatische aanpak die past bij wat de verzekeraar nodig heeft, zonder zaken onnodig complex te maken. Orange Oaks Audit & Advisory Postbus 12516 1100 AM Amsterdam i: www.orangeoaks.nl e:
[email protected] t: 020 312 0545’
DECEMBER 2010 · 5 TIP
NIEUWS
1 MAAK SCHERPE KEUZES
VRAAG & ANTWOORD Leo de Boer Directeur van het Verbond van Verzekeraars legt uit welke rol verzekeren speelt in risicomanagement.
O Welke betekenis heeft verzekeren in risicomanagement? “Verzekeren is het middel om je financiële risico’s af te dekken. Hierin moet je als organisatie scherpe keuzes maken. De vraag is of je met beheersmaatregelen,technologische of organisatorische maatregelen risico’s kunt verminderen. Zo niet, dan is verzekeren de beste oplossing. In principe kijk je eerst naar andere mogelijkheden. Als bedrijf maak je een risicoafweging en daar past verzekeren wel of niet bij. Naast het verzekeren van schade reikt de rol van verzekeraars in risicomanagement tegenwoordig steeds verder. Verzekeraars helpen organisaties met het beperken van de gevolgen van de schade en ondersteunen bij het afhandelen van de schade. Daarnaast kunnen verzekeraars informatie bieden over bijvoorbeeld het nemen van preventiemaatregelen of stellen zij daar in de polis eisen aan. Dit kan ook een korting op de premie opleveren.”
!
KOSTEN “We proberen de Europese toezichthouders ervan te overtuigen dat er ruimte moet blijven tussen risico en premie” FOTO: SHUTTERSTOCK
Risicofinanciering van grote bedrijven moet haalbaar én betaalbaar blijven Europese risicomanagers volgen de invoering van nieuwe kapitaaleisen voor verzekeraars met argusogen. Peter den Dekker, voorzitter van de FERMA (Federation of Europan Risk Management Associations) legt uit welk scenario dreigt voor Europese bedrijven.
“Zonder verzekering komt alles tot stilstand”
Peter den Dekker Voorzitter van de FERMA (Federation of Europan Risk Management Associations)
EXPERT Met gemengde gevoelens kijkt Peter den Dekker naar de invoering van Solvency ll. Deze richtlijn voor de solvabiliteit van verzekeraars die actief zijn op de Europese markt,wordt uiterlijk begin 2013 van kracht. “Die is bedoeld om polishouders te beschermen tegen faillissementen van verzekeraars. Voor grote internationaal opererende bedrijven die grote en bijzondere risico’s verzekeren, kan Solvency ll grote gevolgen hebben. Hoe kapitaalintensiever een bedrijf is, hoe moeilijker het straks nog is om er een verzekering voor af te sluiten.” De richtlijn Solvency ll is opgebouwd uit drie pilaren die de kapitaalstandaard dragen. De eerste pilaar bevat regels voor modellen die aangeven welke kapitaalreserve vereist is voor een verzekeraar. De tweede pilaar heeft betrekking op governance en risicobeheer. Verzekeraars moeten aantonen dat zij de modellen voor het vaststellen van kapitaalvereisten daadwerkelijk ge-
bruiken voor hun besturing, zoals prijsstrategie, kapitaalallocatie, herverzekeringsstrategie en de strategische besluitvorming. In de derde pilaar tenslotte zijn de regels vervat over rapportage en transparantie. “De invoering van de nieuwe richtlijn zit nu in een fase waarin duidelijk zal worden hoeveel extra
kapitaal verzekeraars nodig zullen hebben om aan de hogere eisen te kunnen voldoen. De Europese toezichthouders hebben naar aanleiding van de crisis vorig jaar de kapitaaleisen fors hoger gesteld. Dan vraag ik mij af of de risicofinanciering van grote bedrijven haalbaar en betaalbaar blijft.”
FEITEN O Verzekeraars hebben nog twee jaar om te voldoen aan de richtlijnen. De richtlijnen zullen in de komende jaren gefaseerd worden ingevoerd. Binnenkort zal duidelijk worden of verzekeraars voldoen aan de kapitaaleisen en of zij nog meer kapitaal opzij moeten zetten. O Verzekeraars moeten zo veel kapitaal reserveren om grote risico’s te dekken, dat de verzekeringscapaciteit zal worden beperkt en de premies niet meer zijn op te brengen. Grote bedrij-
ven vrezen dat een deel van hun activiteiten onverzekerbaar zullen worden. O Risicoanalyses bij strategische beslissingen zijn belangrijk voor bedrijven om de financiering van risico’s op de lange termijn beheersbaar te houden. Tweederde van de bedrijven hanteert nog niet systematisch de risicoanalyse. O Gegevens op basis waarvan teams kunnen sturen op risico’s zijn beschikbaar bij het merendeel van de bedrijven.
Vooral de risico’s waaruit nog jarenlang claims te verwachten zijn zullen moeilijk verzekerbaar worden, vreest Den Dekker. “Denk bijvoorbeeld aan risico’s die te maken hebben met productaansprakelijkheid en gezondheid en risico’s van catastrofes en een grote volatiliteit. Typisch zaken waar internationaal opererende bedrijven mee te maken hebben. Het risicokapitaal voor dit soort risico’s zal voor verzekeraars te duur kunnen worden, waardoor er een beperking van de verzekeringscapaciteit kan ontstaan. Dat is een grote onzekerheid voor de ruim vierduizend grootste Europese bedrijven die de FERMA vertegenwoordigt.” De angst van deze bedrijven is dat risicofinanciering zo kostbaar wordt dat zij niet meer kunnen concurreren met bedrijven buiten Europa, die minder last hebben van de Europese richtlijnen voor verzekeraars. “We proberen dan ook de Europese toezichthouders ervan te overtuigen dat er ruimte moet blijven tussen risico en premie”, zegt Den Dekker. “Je kunt verzekeraars niet gelijk stellen aan banken. De verzekeraars hebben de crisis goed doorstaan en zijn een belangrijke steun gebleken voor het Europese investeringsklimaat. De uitdrukking ‘zonder verzekering komt alles tot stilstand’ gaat in dit verband zeker op.”
O Signaleert u bepaalde trends binnen het verzekeren? “De essentie van verzekeren is van oudsher het inschatten van risico’s en het tegen vergoeding van een premie overnemen ervan. Voor burgers geldt dit net zozeer als voor bedrijven. Maar zeker voor ondernemers is de impact van een calamiteit vaak groot en ook vaak groter dan voorzien. Of dit nu de gevolgen zijn van een brand, een onverwachte onderbreking van het productieproces, stormschade of een inbraak. Naast de directe schade staat ook de continuïteit van het bedrijf al snel op het spel: één op de drie ondernemers gaat failliet na een grote brand. Verzekeraars en dan met name de risicodeskundigen in hun dienst, spelen een essentiële rol bij het juist inschatten van risico’s en het in overleg met ondernemers nemen van adequate maatregelen tegen die risico’s. Vaak kan de ondernemer zelf veel doen (preventie) en het restrisico kan via een goede verzekering worden gedekt. Mogelijk maken is daarom meer dan ooit het credo van verzekeraars. Als er zich dan ondanks alle preventie en zorgvuldigheid toch iets voordoet, wordt de schade snel en adequaat vergoed of hersteld, zodat de ondernemer door kan gaan met waar hij goed in is, namelijk ondernemen. Inschatting van risico’s, goede advisering, al dan niet met behulp van een assurantie-intermediair, oog voor de belangen van de klant en adequaat optreden bij schade zijn en blijven de kernwaarden van verzekeraars.”
!
HENK VLANING HENK VLANING
[email protected]
[email protected]
6 · DECEMBER 2010 TIP
NIEUWS
“MEER AANDACHT VOOR CULTURELE VERSCHILLEN” De recessie heeft heel wat heilige huisjes omver geschopt op het gebied van risicomanagement. Veel modellen bleken niet meer te werken toen de crisis zich volop manifesteerde. Het wordt daarom hoog tijd om op een andere manier naar risicomanagement te kijken, vindt professor Arjen Ronner, die gespecialiseerd is in Risk Management.
“Veel modellen die gebruikt worden voor risicomanagement zijn gebaseerd op het idee dat mensen rationeel denken. Maar wetenschappelijk onderzoek toont aan dat mensen geen rationele wezens zijn, maar gevoelsmensen. De modellen, die vaak een wiskundig karakter hadden, klopten dus niet. Vooral in de crisis kwam dit tot uiting. Onder druk reageren mensen heel anders dan wanneer alles goed gaat. En dan blijken de vooronderstellingen waarmee de modellen zijn gemaakt, helemaal niet te werken,” aldus Ronner, die naast zijn hoogleraarschap veel ken-
Ronner stelt dat de meeste modellen worden ontwikkeld door mannen van middelbare leeftijd. Die leiden vaak aan zelfoverschatting en een groot optimisme. Ook houden ze geen rekening met culturele verschillen,terwijl het voor zich spreekt dat Amerikanen anders aankijken tegen tal van zaken dan bijvoorbeeld Aziaten. Ook met verschillen tussen mannen en vrouwen werd geen rekening gehouden. “Met die attitude ontwikkelen zij de modellen om het risicomanagement vorm te geven. Tijdens de crisis hebben we hiervoor de rekening betaald.”
het gebied van risicomanagement. Dat er cultuurverschillen bestaan tussen landen maar ook intern bij bedrijven, wordt met de mond beleden maar nog niet opgenomen in de crisismodellen.” Daarnaast wordt er nog veel te optimistisch naar de toekomst gekeken. Ronner is ervan overtuigd dat we in de toekomst anders naar risicomanagement moeten kijken. “De culturele verschillen moeten veel meer aandacht krijgen. Daarnaast is er een sterke behoefte aan inzicht en transparantie. Divers samengestelde teams, bijvoorbeeld met verschillende opleidingsachtergronden, worden ook steeds belangrijker. Dit moet allemaal worden verwerkt in de modellen voor risicomanagement.” Een overkoepelende, centrale persoon die alle risico’s bij elkaar brengt en een helikopterview bezit, kan veel betekenen voor het risicomanagement in organisaties.
Te optimistisch
Benchmark
Volgens Ronner hebben veel bedrijven onvoldoende geleerd van de crisis. “De meeste bedrijven gaan nog steeds door op de ingeslagen weg op
De crisis heeft nog twee andere belangrijke inzichten opgeleverd volgens Ronner. “Ten eerste is men zich veel bewuster geworden van de houding ten opzichte van risk management. De vraag welke risicobereidheid organisaties willen nemen staat tegenwoordig hoger op de agenda dan vijf jaar geleden.Een tweede aspect is dat bedrijven veel meer transparantie bieden en benchmarkonderzoek doen. De vraag hoe ontwikkeld je risicomanagement is, wordt daarbij voortdurend gesteld.”
nis over risicomanagement heeft opgedaan in het bedrijfsleven. De modellen bleken ook niet bestand tegen de heftigheid van de crisis. “In oktober 2008 vond de ene beurscrash na de andere plaats. Niemand had hier rekening mee gehouden.”
Optimisme
“Een centraal persoon die van afstand kan kijken naar de risico’s kan veel betekenen voor je organisatie” Arjen Ronner Hoogleraar aan de Universiteit van Amsterdam
2 KIJK REALISTISCH NAAR DE TOEKOMST
JOLANDA VAN ZWIETEN
[email protected]
Wil jij meewerken aan herstel van vertrouwen? Wie weet wat de toekomst brengt. Geld kun je maar één keer uitgeven. Dus als mensen wat minder vertrouwen in de economie hebben, zullen ze eerder gaan sparen dan besteden. Handhaving van het vertrouwen is dan essentieel.
Werken aan vertrouwen.
DECEMBER 2010 · 7
SAMENWERKEN Transparantie en inzicht zijn erg belangrijk bij het bepalen van de risico’s FOTO: MEIJERS
De risico’s blijven, ondanks strenge regels Europese toezichthouders voeren Basel III in, een set regels die de risico’s van banken beteugelt. Banken verzetten zich ten onrechte hevig, zegt hoogleraar Ivo Arnold. ‘Zodra de regels zijn ingevoerd begint het spel van riskant bankieren opnieuw.’
ERVARING Basel III is ontworpen om banken beter te wapenen tegen klappen op de markt. Hiervoor moeten de banken volgens deze nieuwe richtlijn het percentage van hun risicogewogen activa in hun kernkapitaal in verhogen van 4 naar 7 procent. “Deze richtlijn is de opvolger van Basel II, die in 2008 van kracht werd”, zegt Ivo Arnold, hoogleraar monetaire economie. “Die was nog niet eens helemaal ingevoerd toen de bepalingen ervan achterhaald bleken. Zo waren de verplichte kapitaalreserves niet toereikend en ook niet van voldoende kwaliteit om een klap op te vangen. Basel III schrijft voor dat banken kapitaal moeten reserveren dat uit eigen vermogen bestaat. In het verleden konden zij nog kapitaalreserves opvoeren die uit allerlei financiële derivaten bestonden, zoals verpakte subprime-hypotheken.” Banken protesteren hevig tegen
CULTUUR Risicomanagement heeft ook met een menselijke factor te maken FOTO: SHUTTERSTOCK
De Nederlandsche Bank (DNB) houdt toezicht op de soliditeit van financiële instellingen. We stellen eisen aan banken, verzekeraars en pensioenfondsen en houden de vinger aan de pols. Verder dragen we – als onderdeel van het Europese Stelsel van Centrale Banken – bij aan een solide monetair beleid en een zo soepel en veilig mogelijk betalings verkeer. Zo maken we ons sterk voor de financiële stabiliteit van Nederland. Want vertrouwen in ons financiële stelsel is de voorwaarde voor welvaart en een gezonde economie. Werken bij DNB Naar buiten opereert DNB als een zakelijke, professionele organisatie. Intern heerst een informele sfeer waarin openheid, eigen verantwoordelijkheid, veranderingsgezindheid en integriteit belangrijke waarden zijn. Er
wordt veel in projeten gewerkt, zowel intern als op nationaal en inter nationaal niveau. Werken aan je ontwikkeling DNB is toonaangevend op het gebied van kennis. Wij vinden het belangrijk dat onze medewerkers zich blijven ontwikkelen. Niet alleen om te zorgen dat je vakinhoudelijk bijblijft, maar vooral ook om je talenten en competenties te stimuleren. Daarom bieden we je voortdurend mogelijkheden om te leren en te groeien, zowel op persoonlijk als op professioneel vlak. Werken aan vertrouwen DNB is een organisatie met een grote maatschappelijke verantwoordelijkheid – wát we doen, doet er toe. En dat doen we met integriteit, loyaliteit en een groot saamhorigheidsgevoel. Onze succesfactoren. Wil jij daaraan meewerken? Kijk op www.werkenbijdnb.nl.
Ivo Arnold Hoogleraar monetaire economie aan Universiteit Nyerode
deze richtlijnen. Een kapitaalreserve van zeven procent gaat de draagkracht te boven,zo beargumenteren zij. “Maar ik denk dat het allemaal reuze meevalt met die doemscenario’s”, relativeert Arnold. “Vooral omdat banken er tot 2019 over mogen doen om de vereiste reserves aan te leggen. Onderzoek van onder andere het IMF toont aan dat banken prima kunnen voldoen aan de nieuwe regels.” Toch is Arnold niet onverdeeld gelukkig met Basel III. Jazeker, banken zijn door de nieuwe richtlijn weerbaarder. Maar zware klappen kunnen ze nog steeds niet opvangen. “Daarom pleiten sommige economen voor kapitaalreserves van wel twintig procent. Het echte probleem is echter de bankstructuur. Nog steeds houden banken zich bezig met zowel retail banking als investment banking, waardoor ze zo groot blijven dat de risico’s nauwelijks te hanteren zijn. Zelfs de Engelse bankpresident is ervoor om retail banking te scheiden van investment banking.” Dat is voor de banksector niet acceptabel, weet Arnold. Kleinere risico’s gaan namelijk gepaard met minder winst. “Toezichthouders worden bestookt door de bankenlobby en durven deze stap niet aan, ook al is dat beter voor de risicobeheersing. Zodra de nieuwe richtlijn is ingevoerd, beginnen de banken opnieuw met het oprekken van de regels. Het is een spel, dat is legitiem. Maar riskant blijft het.” HENK VLAMING
[email protected]
Dirk Swagerberg Rijksuniversiteit Groningen
Risk appetite De RvC en vervolgens de RvB moeten zich uitspreken over de ‘risk appetite’, de risicohouding. Hiermee wordt aangegeven welke risico’s de organisatie kan en mag nemen. Wanneer de risk appetite eenmaal is aangegeven wordt dit vertaald naar: risicotolerantie, risicodoelen en risicogrenzen.
Financial audit De financial audit speelt nog geen centrale rol bij Risk Management. Voor het beheersen van risico’s is veel meer de operational audit van belang. Daarbij kunnen juist de interne processen en de procedures nader worden beschouwd.
Afstemmen beloningssysteem Er is duidelijk een relatie tussen ‘risk appetite’ en het beloningsbeleid. De RvC geeft aan welke risico’s de organisatie kan of mag lopen en dan weet het management wat de bijbehorende beloningen zijn.
Transparantie Dit is belangrijk, maar geeft ook veel prijs. Hoe transparant moet een organisatie zijn? Deze afweging vraagt veel wijsheid. Er is niet altijd een ‘level playing field’ tussen organisaties, met name ten opzichte van ondernemingen die niet beursgenoteerd zijn.
Controller Deze heeft van nature affiniteit met Risk Management, hoewel de controlfunctie ook een zekere distantie zou moeten bewaren. Op grond van het credo dat de controller de bewaker is van het bedrijfseconomisch geweten zal hij of zij aandacht moeten hebben voor Risk Management.
Actief risicobeheer met CMO COMPLIANCE Risicobeheersing als onderdeel van reguliere werkprocessen is het streven van elke organisatie. Dat lukt alleen als de werkvloer beschikt over de juiste tools daarvoor. Met CMO COMPLIANCE zet Pharox, professioneel risicobeheer binnen uw gehele organisatie op de kaart. Bedrijfsrisico’s werkelijk onder controle? Heeft u de bedrijfsrisico’s werkelijk onder controle, of is risicobeheer alleen op papier goed geborgd? In veel gevallen komt deze borging niet verder dan het topmanagement. Indrukwekkende rapporten wekken de valse schijn dat risico’s onder controle zijn. Actief risicobeheer vraagt om meer dan toezicht door de Raad van Bestuur. Het gaat om het uitvoeren van risicoanalyses, het nakomen van regelgeving en het voldoen aan kwaliteitsstandaards. Toezicht op risico’s hoort integraal onderdeel te zijn van de gehele bedrijfsvoering. Een ramp zoals dit jaar met het boorplatform Deepwater
Horizon in de Golf van Mexico, laat zien dat risicobeheersing gaat om de veiligheid van bedrijven, personen en milieu. Dat reikt verder dan alleen het in kaart brengen van financiële risico’s. De totale risico’s die van invloed zijn op de bedrijfsresultaten, moeten niet alleen in beeld zijn; de werkvloer moet ze ook dagelijks actief kunnen beheren. Dit is alleen mogelijk met de juiste hulpmiddelen. Alleen die maken het mogelijk om veiligheid te koppelen aan snelheid van handelen. Zonder goede ondersteuning is het niet de vraag of risico’s zich doen gelden, maar slechts wanneer dit het geval zal zijn. Pharox integreert dagelijkse werkprocessen! Pharox - Organizing Assurance biedt bedrijven de handvatten om risico’s zowel zichtbaar als beheersbaar te maken. Met CMO COMPLIANCE levert Pharox bewezen pakketsoftware die risicobeheer integreert met de dagelijkse werkprocessen in een organisatie. Het gaat hier om risicoanalyses,
regelgeving en kwaliteitsstandaards. Elke organisatie die CMO COMPLIANCE toepast, kan deze software volledig aanpassen aan de omstandigheden, zonder tussenkomst van dure analisten of software-engineers. Efficiënt en dynamisch! Het zelf uitvoeren van risicobeheer door de werkvloer is de hoeksteen van effectief risicobeheer. De klant kan met behulp van CMO COMPLIANCE zelf checklists invoeren, audits afnemen, controle uitvoeren, incidenten rapporteren, process flows definiëren en dynamische actiepunten creëren, uitvoeren en sluiten. Dit in combinatie met de juiste rapportages, waaronder escalaties paden en risico matrixen. Medewerkers en het management kunnen in één oogopslag zien waar de organisatie verhoogd risico loopt, wat het risico inhoudt, welke acties er vereist zijn, wie deze acties moeten uitvoeren en wanneer ze afgerond moeten zijn.
voerbaar op elk niveau in de organisatie. Deze zelfredzaamheid voorkomt langdurige processen die over tal van schijven lopen. De kosten van deze efficiënte werkwijze bedragen een fractie van die van het risicomanagement oude stijl, waarbij de volledige lijn zich buigt over vrijwel alle waargenomen risico’s. CMO COMPLIANCE voorkomt dat risico’s onder de oppervlakte blijven, niet afgehandeld worden of niet worden geïnitieerd. Elke risico dat niet wordt uitgesloten zal een keer slecht uitvallen, een combinatie van risicofactoren doet de uitkomt onevenredig toenemen. Effectief risicobeheer is een essentieel onderdeel van de continuïteit van uw organisatie. Meer Weten? Ga naar :www.Pharox.nl of mail naar :
[email protected]
Risicobeheer is op deze manier niet langer ongrijpbaar, maar op ieder moment uit-
Risicobeheersing, optimaal gebruik van informatie
“Veel geblaat, weinig wol”. Daar leent het onderwerp risico management zich bij uitstek voor. Weinig organisaties lijken erin te slagen om op een evenwichtige en efficiënte manier risico management bedrijfsbreed te implementeren. Het identificeren van risico’s is over het algemeen redelijk succesvol. Het gaat echter vaak fout bij het adresseren van de geïdentificeerde risico’s. De meest concrete risico’s worden als eerste beet gepakt. En dan vooral als de organisatie zelf in staat is om die risico’s beheersbaar te maken. Uit alle hoeken en gaten worden de procuratiere-
gelingen en checklists getrokken om ook het laatste beetje onvoorspelbaarheid uit de processen te elimineren. Vaak met als resultaat dat 80% van de efforts op gaat aan 20% van de risico’s. Gevolg: een kostbaar control framework veelal met bureaucratische trekjes. Dat goed gekeken wordt naar de risico’s die een organisatie zelf kan beheersen is logisch. De grote valkuil is wat ons betreft dat gelijk het hele risicolandschap – van fraude tot strategische risico’s – bekeken wordt en dat dit dan ook nog eens bedrijfsbreed uitgerold moet worden. Zulke roze-wolk ambities zijn goed maar kunnen niet anders dan tot teleurstelling leiden.
Een werkbare aanpak De betere aanpak is dan ook om stapsgewijs, per risico-domein en per bedrijfseenheid te kijken naar beheersingsmaatregelen. Daarbij moeten de volgende
Een praktijkvoorbeeld: Een grote zorgverzekeraar verwerkt maandelijks duizenden zorgdeclaraties. Bij de verwerking worden declaraties slechts op een aantal formele aspecten gecontroleerd waarna ze worden uitbetaald. De zorgverzekeraar heeft als risico gedefinieerd dat de kosten van kraamzorg worden vergoed aan mannelijke verzekerden. Maandelijks wordt een dump van alle zorgdeclaraties ingelezen in dataanalyse software van ACL. Vervolgens worden alle declaraties van mannelijke verzekerden met kraamzorgkosten als uitzonderingen gerapporteerd. Via workflow worden deze uitzonderingen gerapporteerd aan de verantwoordelijke manager. Nadere analyse kan duiden op fouten in het proces, onduidelijkheden in de polis of fraude met zorgdeclaraties.
opdrachten worden meegegeven: r Continu: Het control framework moet met de juiste periodiciteit informatie geven over hoe (en of ) risico’s zich manifesteren en juist zijn geadresseerd. r Eigen data eerst: De vastgelegde transacties van een organisatie worden vaak geaggregeerd bekeken waardoor het veel van zijn waarde voor risico management verliest. Analyse van data op transactieniveau kan helpen om risico’s te vertalen naar keiharde feiten. Kort gezegd: continuous monitoring. Dit maakt het mogelijk om te acteren als zaken daadwerkelijk fout gaan. Met de juiste tools kan een onderneming op eenvoudige wijze transacties identificeren waar een luchtje aan zit. De investering in dergelijke tools, zoals het continuous monitoring platform AX2 van ACL, verbleekt in vergelijking met (i) de toegevoegde waarde van het sturen op uitzonderingen en (ii) de kosten van meer traditionele maatregelen.
De uitvoering Natuurlijk leent niet iedere organisatie zich voor continuous monitoring. Slechts in uitzonderingen kun je op één A4tje de prestaties van de onderneming en de daaraan gerelateerde, gekwantificeerde risico’s samenvatten. Toch is data-analyse in veel gevallen een efficiënt instrument voor risicobeheersing. Per risico moet de simpele analyse gemaakt worden: In welk bedrijfsproces manifesteert dit risico zich? Welke
transactiestromen worden hierbij vastgelegd en hoe? Met een business process mining oplossing als Reflect|One van Pallas Athena kan dit inzicht worden verkregen. Welke sporen laat het risico achter in de populatie (trends of kenmerken van transacties)? Als deze vragen beantwoord zijn, moet de data ontsloten worden. Vervolgens kan vaak doelmatig bepaald worden welke transacties nader moeten worden onderzocht. De analyse kan vervolgens uitgevoerd worden met een frequentie die door de urgentie van het risico of dynamiek van de business wordt bepaald.
‘Close the loop’ Uiteraard is het lerend vermogen van een organisatie cruciaal voor goed risico management. In het kader van ‘close-theloop’, is het dan ook noodzakelijk dat de oorzaak van de gerapporteerde uitzonderingen leidt tot verbeteracties in processen of aanscherping van de analyses. Als het proces van monitoring soepel loopt, kan in veel gevallen worden bezuinigd op de controles aan ‘de voorkant’. Zo kan de organisatie zich weer volledig en in vrijheid concentreren op het ondernemen. Meer weten? Bezoek www.coney.nl of bel de partners van Coney: Joris Joppe, Pieter de Kok of Marco Hill op 010 284 9288.
DECEMBER 2010 · 9
DESKUNDIG INZICHT In de publieke sector wordt risicomanagement steeds belangrijker. Publiek risicomanagement is omvattender en raakt de maatschappij meer dan het bedrijfsleven. Het raakt de hele samenleving. RECENTE ONTWIKKELINGEN
“De overheid moet voor een effectief beleid zorgen” ubliek risicomanagement heeft alles te maken met de aansturing van het publieke domein.“Dat is op dit moment erg actueel. Met steeds minder geld moeten vraagstukken als samenhang in de wijk en veiligheid worden aangepakt. Dit vraagt om zeer adequat plannen en projecten die hun doel wel moeten raken”, aldus Jack Kruf, gemeentesecretaris / algemeen directeur van de gemeente Roosendaal.“Maar eigenlijk omvat risicomanagement bij de overheid”, volgens drs. Eugène Meuleman, secretarisalgemeen directeur, Hoogheemraadschap De Stichtse Rijnlanden, “alles wat het maatschappelijk domein raakt: klimaatverandering, pandemie, infrastructurele projecten, ICT, cyber crime en de veranderende samenstelling van de bevolking.” “Het is aan de overheid om deze problemen op de juiste manier te managen, de onvrede in de samenleving hierover weg te halen en vertrouwen en veiligheid ervoor terug te brengen”, zegt Kruf. “Daarvoor dienen overheden, rijk, provincie, gemeente en waterschap veel beter samen te werken dan nu het geval is. Bij de plannen van het kabinet zijn nauwelijks lokale bestuurders of gemeentesecretarissen betrokken geweest. Nu blijkt al dat de be-
P
%.&*$1(&
zuinigingen niet goed uit te voeren zijn. De tweede oorzaak is gelegen in het feit dat iedere gemeente tal van partners en stakeholders heeft, bedrijven en welzijnsinstellingen bijvoorbeeld. Een stad als Roosendaal heeft maar liefst 600 stakeholders. Met al deze stakeholders moet afstemming plaatsvinden. Het vraagt om een compleet nieuwe manier van besturen of politiek bedrijven. De beleving en benadering van risico’s is vaak compleet anders, dus ook de maatregelen. En hoe meer ruis, hoe minder effectief. Risicomanagement is dat wat het succesvol behalen van een doel in de weg staat. De overheid heeft daarbij twee rollen. De eerste loopt parallel met de rol die het bedrijfsleven ook heeft: het zorgen dat je als organisatie je spulletjes goed voor elkaar hebt. Ten tweede moet je zorgen dat je beleid effectief is.” Volgens Meuleman speelt risicomanagement een te kleine rol bij de overheid. “In het bedrijfsleven is de noodzaak voor goed risicomanagement urgenter. Althans wordt urgenter gevoeld. Als daar echt iets misgaat, kan dat het faillissement van het bedrijf betekenen. Meer vanzelfsprekend heeft het bedrijfsleven risicomanagement hoog in het vaandel staan. Bij de overheid is dit anders. Overheden kunnen niet failliet
gaan en geven daarom een minder hoge prioriteit aan risicomanagement. Een externe ‘marktprikkel’ ontbreekt om aan risicomanagement te doen.” Volgens Kruf zijn overheden beter in achteraf evalueren dan het vooraf inschatten van de risico’s. “Misschien is dat wel gewoon menselijk. Het is de kunst de ambitie van politiek te matchen met de capaciteit van je organisatie en de kennis van de wetenschap. Dit blijkt moeilijk. In zijn algemeenheid overschrijden projecten hun budget met gemiddeld 25 procent, één op de tien doelen van beleidsplannen wordt niet gehaald. Verkwisting van belastinggeld? In mijn ogen wel. Majeure bekende projecten in Nederland zijn hiervan een voorbeeld. Het is belangrijk om risicomanagement in procedures of zelfs wettelijk te verankeren. Ook moeten overheden onderling veel beter met elkaar afstemmen. Luisteren naar elkaar, de samenleving en je stakeholders zou overheden erg helpen. Korte lijnen tussen politiek, bestuur en ambtelijke organisatie kunnen veel effectiever zijn.Alleen met begrip en respect voor elkaar kunnen risico’s worden vermeden en teruggebracht, en kunnen we samen effectiever zijn.”
Ir. Jack P. Kruf Gemeentesecretaris / Algemeen directeur van de gemeente Roosendaal
"!".(*!."*$01 Ř.HQQLVGHOLQJPHWQDWLRQDOHHQ 1.+,"/" +(("$" Ř:HEVLWH
Ř$GYLHVRSPDDWYRRUOHGHQ
[email protected]
&/& +)*$")"*0 .&* &,"/& %0(7*"*
Ř'HVNXQGLJKHLGYDQH[SHUWV 1*&2"./&0"&0"*"*%+$"/ %+("* Ř2SOHLGLQJHQ
Naar betrouwbare “controlekamer” voor dienstverleners.
Ř$FWLHYHVDPHQZHUNLQJ )"02"(",1(&"'""(*$"* "%.0&$"./"*).'0,.07"* Ř6SUHHNEXLVQDPHQVGH
Ř5RQGHWDIHOVHQFRQJUHVVHQ
%0".*+,1(&"'"
Ř5HJLRQDOHOHGHQEóHHQNRPVWHQ
&/& +)*$")"*0!+//&"./
"!".(*! +/01/ 5"*$ .& .*'!&." 0"1. ".& #.*',.&)+*"!".(*!"1
visualiseert menselijke maat processen genereert in-control beelden presenteert voortgang real-time op dashboard
1,0+!0"&*#+.)0&"2".$.&*$ +,)0
MODULOR® SOFTWARE voor meer zekerheid in bereiken doelstellingen
Ř.HQQLVYHUVSUHLGLQJYDQ
333,.&)+*"!".(*!"1)"0
Mail
[email protected] voor risicomanagement (GRC)leaflet. www.modulor.nl Rotterdam
Publiek risicomanagement houdt zich bezig met vraagstukken op de lange termijn en vraagt om een integrale benadering. Daarnaast ook om intensieve samenwerking tussen de verschillende overheden. Daarbij gaat het om de harde (bijvoorbeeld ISO 31000) en de zachte kant (bijvoorbeeld HR Management). De overheid heeft twee rollen op het gebied van risicomanagement. De eerste loopt parallel met de rol die het bedrijfsleven ook heeft: het beperken van imagoschade en het goed besteden van budgetten. Specifiek voor de overheid geldt dat het om publieke middelen gaat.Daarnaast heeft de overheid een beleidsmatige rol. De samenleving moet optimaal functioneren en om die reden moet de overheid anticiperen op verwachte maatschappelijke problemen. Over publiek risicomanagement is nog te weinig bekend. Daarom werken bestuur, management en wetenschap steeds vaker met elkaar samen om kennis te delen. Wetenschappelijke onderzoeken worden gebruikt om risicomanagement naar een hoger niveau te tillen.
1
2
3
JOLANDA VAN ZWIETEN JOLANDA VAN ZWIETEN
&/'*+3("!$"
&/& +)*$")"*0 )'0 13 ,1(&"'" +.$*&/0&" )"". /1 "/2+(.+11/0"*$"#+ 1/0+,!"0+"'+)/0"'*/"* "*"!."&$&*$"*!&"13+.$*&/0&"0."##"*3+.!"*!"-10 "%""./0 !++. .&/& +)*$")"*0 2+(("!&$ +, 0" *")"* "* 0&"#0"$".1&'"*&*13+.$*&/0&""!".(*!&/2++. 1,1(&"'")*$"./!6"4,".0"*13*011.(7'",.0*".
333,.&)+*"!".(*!"1
“De beleving en benadering van risico’s is vaak compleet anders, dus ook de maatregelen.”
Drs. Eugene Meuleman Secretaris-algemeen directeur, Hoogheemraadschap De Stichtse Rijnlanden.
[email protected]
10 · DECEMBER 2010
INSPIRATIE TIPS
1
2
1. Zicht op financiële risico’s is cruciaal voor goed risicomanagement 2. Risicomanagers moeten een brug slaan tussen de verschillende belangen in de organisatie 3. Transparantie is erg belangrijk bij het managen van risico’s
3
FOTO: CPI
Prominente academici en experts uit het bedrijfsleven Interview mr. drs. Tsjerk-Friso Roelfzema Global Risk Manager TomTom In 2006 ben ik binnen de snel groeiende beursgenoteerde onderneming TomTom gaan werken. In de eerste anderhalf jaar heb ik als corporate Insurance manager de internationale verzekeringsportefeuille opgebouwd voor het gehele bedrijf. Vervolgens werd ik gevraagd om ook de risk management functie op te zetten. Het was in deze periode dat ik op zoek ben gegaan naar een universitaire opleiding die een theoretische verdieping van op de praktijk gebaseerde situaties bood. De specialisatie Enterprise Risk Management binnen de Executive Master in Verzekeringskunde aan de Amsterdam Business School (ABS) van de Universiteit van Amsterdam bleek de perfecte match te zijn. Deze geaccrediteerde Masteropleiding (MSc), onder leiding van professor programma directeur, bleek bij uitstek geschikt voor professionals die werkzaam zijn in risk & insurance management. Tijdens de opleiding heb ik een brede visie op risk management ontwikkeld. Prominente academici en risk experts en mede-studenten uit het bedrijfsleven hebben voor mij de brug geslagen tussen de wetenschappelijke theorie en de dagelijkse praktijk. De opgedane vakkennis heeft mij geholpen de juiste oplossingen te vinden voor de implementatie van Enterprise Risk Management binnen mijn organisatie. Voor meer informatie en aanmelden belt u met prof. dr. Arjen Ronner. Plantage Muidergracht 12 | 1018 TV Amsterdam | T +31 20 525 6132
[email protected] | www.abs.uva.nl/emerm
DECEMBER 2010 · 11 TIP
NIEUWS
3
Integreren in de gehele organisatie
BETREK RISICOMANAGEMENT BIJ BELANGRIJKE BESLUITEN
Risicomanagement is te weinig ingebed in de organisatie. Bestuurders zien risicomanagement als aparte entiteit, niet als integraal onderdeel van de strategische bedrijfsvoering. Het wordt tijd dat risicomanagement net zoveel aandacht krijgt als het behalen van rendement, vindt Simone Heidema, oprichter en managing partner bij CPI Governance. “Risico is geen onderdeel van de kern van de bedrijfsvoering. Deze kern bestaat uit de missie, de strategie en de risicobereidheid van een organisatie”,zegt Simone Heidema.“Maar het risicomanagement is vaak geïsoleerd en valt onder een aparte risicomanager die niet bij de belangrijkste besluiten wordt betrokken. Vaak wordt de risicomanager pas op het laatste moment geïnformeerd over bepaalde beslissingen. De collectieve verantwoordelijkheid voor risico’s wordt niet genomen.” Volgens Heidema zijn er drie belangrijke oorzaken voor het feit dat risicomanagement te weinig is ingebed in de organisatie: structuur, dus de mate waarin de balans tussen missie, strategie en risicobereidheid is ingericht binnen de organisatie, gedrag en meetbaarheid. “Het gedrag van mensen wordt bepaald door drijfveren, de combinatie van wat iemand heeft meegemaakt en hoe iemand in elkaar zit. Daarnaast wordt het gedrag ook beïnvloed door prikkels. In beursgenoteerde bedrijven waar aandeelhouders veel invloed hebben wordt het rendement veelal beloond. Het behalen van rendement wordt als iets goeds gezien; risico’s goed afwegen wordt als soft gezien. Men vraagt zich veel te weinig af wat de kostprijs is van risico’s bij
SIMONE HEIDEMA. “Er zijn drie belangrijke oorzaken voor het feit dat risicomanagement te weinig is ingebed in de organisatie: structuur, gedrag en meetbaarheid.”
bepaalde beslissingen.” Ook hebben we in ons gedrag volgens Hei-
dema te maken met zogenaamde ‘black swans’: het onvermogen
FEITEN
Risicomanagement* Bijna zestig procent van de respondenten geeft aan dat risicobereidheid naar hun mening niet met voldoende diepgang aan de orde komt in besprekingen tussen de raad van bestuur en raad van commissarissen. Thought leaders zien dat niet rendement op zich,maar risicobereidheid op basis van bredere stakeholdersbelangen het uitgangspunt van handelen moet zijn van de financiële instelling van de toekomst.
Gedrag/ cultuur De mens onderschat systematisch de impact van ‘black swans’, ook wel staartrisico’s genoemd. In de laatste 50 jaar zijn de tien meest
extreme dagen in de financiele markten verantwoordelijk geweest voor vijftig procent van het rendement. Bron: Black swan (Taleb)
Beloning* Ruim 70 procent van de respondenten ziet ruimte voor verbetering door de financiële prestaties in het kader van het beloningsbeleid te corrigeren voor (geschatte) risico’s. Commissarissen vinden dat zij zelf meer aandacht moeten geven aan de noodzakelijke cultuur- en gedragsverandering en geven een duidelijk signaal dit vaker op de agenda te willen zien.
van de mens om bepaalde risico’s te (willen) zien en de impact ervan te kunnen inschatten. “Ons brein werkt helaas niet zo dat we alles zorgvuldig afwegen. We (h)erkennen geen risico’s waar we zelf niet eerder mee te maken hebben gehad en maken keuzes op basis van onze eigen ervaringen in het verleden. Een goed voorbeeld daarvan is hoe weinig we hebben geleerd van voorgaande crises.” De derde oorzaak van het probleem is de meetbaarheid van risico’s. Of beter gezegd, het gebrek daaraan. Veel bedrijven zijn sterk gefocust op rendement, wat ook makkelijk te meten is. Heidema: “Risicomanagement is veel moeilijker te meten dan rendement. De consequenties van risico’s worden pas zichtbaar op de lange termijn en de technieken en modellen die de kostprijs van risico’s in kaart moeten brengen zijn zeker niet waterdicht.” Veel bedrijven zijn wel bezig met het meten van de klantwaarde. Het probleem daarbij is echter dat ze kijken hoeveel iedere klant hen oplevert. Vragen als ‘wat vind de klant van ons, hoe waardeert de klant ons, en wat is de risicoperceptie van de klant?’ worden niet gesteld.Terwijl juist deze antwoorden veel waardevolle informatie voor de organisatie opleveren. Om risicomanagement een volwaardige plek te geven in de organisatie, is het belangrijk dat de commissarissen hierin een serieuze rol spelen,” aldus Heidema. “Maar om het uiteindelijk goed te integreren in de organisatie, is tevens verdergaande maatschappelijke druk nodig om tot verandering te komen. Dit komt er uiteindelijk wel, maar is een kwestie van tijd.”
3 TIPS
Beter risicomanagement, drie tips van Simone Heidema De raad van commissarissen moet voorop lopen en intern toezicht houden op het risicomanagement. Zij moeten zich focussen op het gedrag binnen organisaties en op de geest van gedragscodes. Stel als toezichthouder de hoe-vraag. Hoe kunnen we onze rol beter vervullen? Welke middelen hebben we daarvoor nodig?
1
Schrijf geen beleidsstukken voor een beter risicomanagement. Deze verdwijnen toch in een la. Maak liever gebruik van (wetenschappelijke) technieken om gedrag te meten. Je kunt ook kijken naar de manier waarop mensen worden geprikkeld. Hoe worden mensen beloond? Hoe zit de bestuursstructuur van de organisatie in elkaar en waar worden de beslissingen genomen? Kijk bijvoorbeeld naar de laatste tien beslissingen die zijn genomen. Welke afwegingen zijn er gemaakt? Worden risico’s adequaat meegenomen in de beslissingen?
2
Haal als raad van commissarissen informatie uit de organisatie. Praat met de mensen in de organisatie en vraag hoe zij tegen bepaalde risico’s aankijken. Bespreek dit wel van te voren met de raad van bestuur. Het zit nog niet in iedere bedrijfscultuur ingebakken dat commissarissen met de medewerkers praten.
3
*Bron: onderzoek Risicobereidheid in de
JOLANDA VAN ZWIETEN
JOLANDA VAN ZWIETEN
financiële sector, CPI Governance 2010
[email protected]
[email protected]
BUSINESS CONTROL FRAMEWORK IS ZONDER TANDEN ALS HET NIET AANSLUIT OP DE ORGANISATIECULTUUR TRADITIONEEL INRICHTEN VAN HET BUSINESS CONTROL FRAMEWORK Een Business Control Framework (BCF) wordt ingericht om bestuurders en andere belanghebbenden zekerheid te geven dat de organisatie haar doelstellingen op een beheersbare wijze realiseert. Om dit te verwezenlijken wordt vaak gegrepen naar COSO als kapstok. Op zich niet verwonderlijk want ook in de governance codes wordt naar COSO verwezen. Echter, in de praktijk is het vertalen van het theoretische COSO naar de praktische toepassing een route met veel hobbels. Daardoor wordt het BCF niet ver genoeg uitgewerkt en blijft het steken in een BCF dat bij iedere organisatie van toepassing kan zijn. IN DE PRAKTIJK SCHIETEN THEORETISCHE FRAMEWORKS TEKORT Risk consultant Ton van den Hof: “Wij zien in de praktijk dat er tekortkomingen in beheersing zijn en zelfs fraudes plaatsvinden ondanks de aanwezigheid van BCF- elementen als gedragscode, werving & selectie beleid, planning & controlcyclus, internal en external audit en een Letter of Representation. Dit zijn signalen dat de instrumentele benadering onvoldoende is.” OP MAAT GESNEDEN BUSINESS CONTROL FRAMEWORK De consultants van Finext vinden het van essentieel belang de instrumentele benadering te laten aansluiten op harde en zachte factoren van de organisatie. Deze factoren komen bijvoorbeeld naar voren in de kwaliteitsdoelstelling van de organisatie. Ton van den Hof: “De werkelijke kracht van een BCF zit in de aansluiting met de organisatiecultuur, de stijl van leidinggeven, kernwaarden en andere “zachtere” factoren. The tone at the top is hierbij bepalend.”
MENSEN BEPALEN DE EFFECTIVITEIT VAN HET BUSINESS CONTROL FRAMEWORK Bij het in kaart brengen van een bestaand BCF is veelal een instrumentele aanpak het startpunt. De componenten zijn tastbaar en kun je duidelijk benoemen, terwijl het volgens Finext juist gaat om de wijze waarop de instrumenten benut worden en vooral om hoe ze gebruikt worden. Relevante vragen zijn bijvoorbeeld: waarom is de stijl van leidinggeven zoals die is en past deze nog bij de fase waarin de organisatie zich bevindt? Hoeveel beslissingsruimte kunnen en willen we onze medewerkers geven? Pas als op dergelijke vragen antwoorden gegeven zijn, kan bepaald worden of het instrumentele BCF de juiste dekking heeft. Kortom, niet de boor maar de tandarts bepaalt of diep genoeg is geboord. Consultants van Finext Risk kijken verder dan uw BCF lang is. Zij maken verbanden inzichtelijk tussen gedrags- en instrumentele benadering. Dit stelt u in staat om een op maat gemaakt BCF effectief te kunnen inzetten en uw doelstellingen op een beheersbare wijze te kunnen behalen. QUICKSCAN Finext biedt organisaties een quickscan aan om de mogelijkheden van hun eigen BCF in kaart te brengen. Neem hiervoor contact op met Ton van den Hof via telnr: 06-10218754 of email: ton.van.den.hof@finext.nl. Verder lezen kan op www.businesscontrolframework.nl.
12 · DECEMBER 2010 TIP
NIEUWS
4
Drie verdedigingslinies voor de beste risicopreventie
TRAIN JE MANAGERS OP RISICOBEPERKING
De beste risicopreventie bestaat uit het aanleggen van drie verdedigingslinies. Jonathan Pattinson, risicodirecteur van de grootste leverancier in hypotheekdiensten in Groot-Brittannië, legt uit hoe dat werkt. “Als er ergens veel ervaring is met risicomanagement,dan is het wel in de financiële dienstverlening. Om de risico’s beheersbaar te maken hebben we drie ‘lines of defence’”, zegt Jonathan Pattinson, risicodirecteur van HML. Tachtig procent van alle uitbestede hypotheekdiensten gebeurt door HML, variërend van acceptatie tot beheer. Het bedrijf beheert vierhonderdduizend hypotheken, wat overeenkomt met een waarde van 45 miljard pond aan hypotheken. Risicomanagement is zo goed als een kerncompetentie van HML. “De eerste line of defence is het lijnmanagement, van de raad van bestuur tot de uitvoerende managers. Elke dag komen zij de risico’s tegen. Hoe zij ermee omgaan heeft te maken met hun deskundigheid en integriteit. Zorg dat je de juiste
JONATHAN PATTINSON. Risicodirecteur van HML verteld hoe zij de risico’s beheersbaar maken.
mensen aantrekt, soms ook uit andere sectoren die een andere manier van denken meenemen.Train je managers intensief om hiermee te kunnen omgaan. Koppel beloning niet
overdreven aan prestaties,want dan stimuleer je riskant gedrag. Goed bestuur is vooral een kwestie van organisatiecultuur.” De tweede verdedigingslinie be-
staat uit het inrichten van een frame dat het risicomanagement initieert en controleert. Dit framework bestaat uit beleid, controlemechanismen en -systemen die alle activiteiten in de organisatie monitoren en vergelijken met de afdelingen Compliance en Assurance. De derde linie tenslotte wordt gevormd door de onafhankelijke Internal Auditor, een specialist die naar eigen inzicht toetst of de organisatie handelt volgens het afgesproken risicobeleid. “Zorg dat de Internal Auditor echt een onafhankelijke positie inneemt”, zegt Pattinson. “Hij moet rapporteren aan de Commissarissen en de Auditcommissie. Beloon hem niet hetzelfde als de managers, om te voorkomen dat hij zich aan bedrijfsresultaten committeert. Laat de Renumeratiecommissie deze beloning vaststellen. Bied ruimte om ieder mogelijk onderwerp tot op de bodem uit te zoeken. Dit zijn allemaal geen wettelijke voorschriften, maar best practices. Het is de beste manier om risico’s beheersbaar te maken.” HENK VLAMING
8 TIPS Zorg voor drie verdedigingslinies: management, controlesystemen en internal audit. Trek managers aan die integer zijn en over de juiste kwaliteiten beschikken om risico’s te herkennen en aan te pakken. Stel ook managers aan die ervaring hebben in andere sectoren dan waarin jouw organisatie opereert. Daarmee voorkom je kuddegeest en ingesleten patronen. Wees terughoudend met prestatiebeloning, zodat managers niet in de verleiding raken om te veel risico’s te nemen. Train managers intensief in het omgaan met risico’s. Zorg dat de Internal Auditor de ruimte heeft voor onafhankelijk onderzoek. De Internal Manager moet toegang tot alle informatie krijgen. Zorg dat hij rapporteert aan de Auditcommissie en de commissarissen. Beloon hem anders dan andere managers, zodat hij zich niet committeert aan bedrijfsresultaten.
[email protected]
Klantbeleving door optimale risk governance Als hypotheekservicer is Quion het verlengstuk van financiële instellingen voor wat betreft de uitvoering van hypotheekprocessen. Quion beschikt over een kant-en-klare infrastructuur van processen en systemen die aan geldverstrekkers (banken of institutionele beleggers) en distributiepartijen beschikbaar kan worden gesteld. Quion kan desgewenst de uitvoering van het hypotheekproces volledig of gedeeltelijk uit handen nemen. Nationale en internationale geldverstrekkers kunnen hiermee bij Quion een hypotheekportefeuille opbouwen,
Aldo Tognini, Manager Internal Audit & Veiligheidszaken van Quion
waaruit voor de geldverstrekkers een rendement wordt bereikt. Quion wordt ondersteund door een modern internet gebaseerd systeemplatform waarin de hypotheekprocessen voor een groot deel geautomatiseerd worden uitgevoerd. In de hypotheekservicing vanuit Quion speelt risicomanagement een belangrijke rol om controle te houden op de verschillende risico’s in de uitvoering van de hypotheekprocessen en in de opgebouwde hypotheekportefeuilles. Verlengstuk Aldo Tognini is manager Internal Audit & Veiligheidszaken; binnen Quion is Aldo ook verantwoordelijk voor risicomanagement. Het proces risicomanagement is feitelijk een verlengstuk van het proces vanuit de aangesloten geldverstrekkers. Als hypotheekservicer heeft Quion te maken met alle verschillende partijen en instanties in de uitvoering van het hypotheekproces en is daarmee in staat het risicomanagement proces vanuit het perspectief van de totale hypothecaire waardeketen uit te voeren. Quion is nu bezig om het risicomanagement voor de aangesloten geldverstrekkers volledig transparant te maken, zodat de geldverstrekkers daarbinnen eigen keuzes kunnen maken. Uitdaging Een hypotheekservicer zou ondersteunend moeten zijn bij de implementatie en uitvoer van de risicostrategie van de geldverstrekker. Aangezien hypotheek-
servicers over het algemeen met meerdere geldverstrekkers samenwerken en geldverstrekkers verschillende risicostrategieën beogen ontstaat een uitdaging voor de hypotheekservicer om hierin te faciliteren. Het bepalen van een risicocontext waarbinnen de servicing activiteiten worden uitgevoerd lijkt zodoende niet alleen een interne uitdaging, maar dient zo te worden georganiseerd dat de externe belanghebbenden hierin een duidelijk rol spelen. Dit vraagt om een specifieke risico governance. Quion heeft als visie op risicomanagement om een risico governance structuur aan te bieden die zowel de eigen risicostrategie ondersteunt maar vooral ook tegemoet komt aan de eisen die gesteld worden vanuit de risicomanagement processen van de bij Quion aangesloten geldverstrekkers. Een nieuwe ontwikkeling hierbij is dat gekozen kan worden uit verschillende niveaus van risicobeheersing binnen de dienstverlening van Quion afhankelijk van het gewenste niveau van risico acceptatie door de geldverstrekker. Vijf kernvragen In de praktijk betekent dit dat binnen de gezamenlijke risico governance een vijftal kernvragen moet worden beantwoord voor wat betreft de dienstverlening vanuit Quion. Ten eerste, “wat staat binnen de hypotheek servicing onder risico? en waarom?”, ten tweede “wat zijn de gebeurtenissen die aan deze risico’s ten grondslag liggen?”, ten derde “Wat weten we van deze risico’s? en hoe belangrijk
zijn deze risico’s?”, ten vierde “welke opties zijn er om deze risico’s te beheersen?” en tenslotte “worden de risico’s afdoende beheerst?”. Vanuit de Risico Governance van Quion wordt ernaar gestreefd om de verschillende aangesloten geldverstrekkers actief te betrekken bij de beantwoording van deze vragen, en de keuzes die in de risico beheersing gemaakt kunnen worden. Daarmee is sprake van een gezamenlijk proces tussen Quion en de aangesloten geldverstrekkers, en wordt het risicomanagement proces volledig transparant gemaakt. De kennis van de hypotheekservicer Quion en de kennis bij de verschillende geldverstrekkers worden op deze wijze gebundeld binnen de kaders van de risico governance van Quion. De inzet is om deze Risico Governance in al zijn facetten te organiseren en professionaliseren. Een hypotheekservicer dient hier onderscheidend in te zijn met een heldere informatievoorziening die ondersteunend is aan het risicomanagement proces in al haar facetten. Volgens Aldo Tognini draagt dit bij aan een optimale klantbeleving die Quion nastreeft richting haar business partners, waarbij Quion feitelijk gezien kan worden als het verlengstuk van de organisatie die een deel van de processen bij Quion heeft uitbesteed.
DECEMBER 2010 · 13
NIEUWS 8 TIPS Bepaal van tevoren of je grcsoftware nodig hebt.Als je interne toezicht eenvoudig is, kun je volstaan met bestaande werkwijzen en systemen. Check welke audits je moet uitvoeren en of die te automatiseren zijn met behulp van grcsoftware. Bepaal de doelen die je met grc-software wil behalen. Die kunnen variëren van het voorkomen van dubbel werk tot het ontlasten van medewerkers die aan audits moeten meewerken. Kijk of je het juiste pakket in huis haalt. Er zijn meerdere pakketten in omloop die verschillen in prijs en prestatie. Selecteer het pakket dat past bij jouw situatie. Zorg ervoor dat de software juist wordt ingezet. Het systeem dwingt tot discipline, daarvoor moet je wel de juiste processen ontwerpen.
DOEL Een nevendoel van grc-software is het zo min mogelijk belasten van medewerkers FOTO: SHUTTERSTOCK
Bundel alle regelgeving en assessments die nodig zijn voor audits in één framework. Zo garandeer je dat alles ook wordt meegenomen bij de geautomatiseerde audits.
De mogelijkheden van grc-software OVraag: Hoe zet je software in voor voor governance, riskmangement en compliance, de zogenaamde grc-software? OAntwoord: “De software is te gebruiken voor uiteenlopende doelen. Bepaal daarom eerst het grc-doel voor je automatiseert.” “Grc-software kun je gebruiken voor uiteenlopende doelen”, zegt Marc van den Berg, hoofd Internal Audit van de Staatsloterij. “Bijvoorbeeld het doen van audits in de organisatie voor meerdere typen re-
gelgeving, het faciliteren van een medewerker die het beste in staat is controles uit te voeren, het voorkomen van doublures, het reguleren van controleworkflow of het grip houden op controleactiviteiten. Een nevendoel is het daarbij zo min mogelijk belasten van medewerkers.” Van den Berg schetst drie opties waar grc-software een bijdrage aan kan leveren. De eenvoudigste optie is om als afdeling Internal Audit alle toetsen zelf uit te voeren en doublures te voorkomen. Een wat zwaar-
dere variant is om tweedelijnsafdelingen te betrekken bij deze toetsen, zoals de afdelingen Juridische Zaken of Security. “De meest complexe optie is om alle afdelingen zelf hun eigen toetsset te geven. Door middel van steekproeven ga je na of dat juist gebeurt. De mate van automatisering heeft hiermee te maken. Hoe zwaarder het riks management, hoe zwaarder ook de automatisering.”
Bepaal wie de grc-software bedient. Audits moeten worden uitgevoerd door personen die daarvoor het beste zijn toegerust. Bepaal wat je doet met de informatie die grc-software genereert. Conclusies over risico’s en compliance en daaruit voortvloeiende aanbevelingen moet je als organisatie zelf trekken. HENK VLAMING
Marc van den Berg Hoofd Internal Audit van de Staatsloterij
HENK VLAMING
[email protected]
[email protected]
Quality Online Enterprise Risk Management Quality Online introduceert een nieuwe standaard voor Governance, Risk en Compliance management. Met behulp van de Governance, Risk en Compliance Suite van Quality Online kunnen organisaties veilig al hun activiteiten binnen deze werkgebieden organisatiebreed en wereldwijd consolideren.
Compliance Het complete palet van regelgeving, verplichtingen, risico’s en rechten worden in één centraal beheerd platform samengebracht. Dit platform ondersteunt zowel preventief als reactief Risicomanagement, het geïntegreerde beheer van Wet- en Regelgeving, het registreren en behandelen van Incidenten en Audits en het implementeren van Corporate Policy & Change Management.
Werk efficiënter Governance, Risk en Compliance rapportages zijn op ieder moment op basis van ‘Need to know’ op één centrale plek te raadplegen of via een abonnement per e-mail te ontvangen. Aanzienlijke besparingen worden gerealiseerd door standaardisatie, efficiënter werken en het terugdringen van de complexiteit. Quality Online BV
Internationaal inzetbaar
Hengelosestraat 501 Postbus 1414 7500 BK Enschede
Eenvoudig toe te passen taaltechnologie, ondersteunt de lokale inzetbaarheid van Quality Online in alle taalgebieden ter wereld. Identieke processen en uniformiteit leiden tot betere communicatie en
t 053 480 9090 i www.qualityonline.nl
verbinden zo de verschillende culturen binnen één organisatie en de waardeketens waarin de organisatie opereert.
C o m p li a n c
Reduceer aansprakelijkheid Quality Online maakt de weg vrij voor de inzet van gespecialiseerde teams die de organisatie effectief ondersteunen op het gebied van regelgeving, compliance en duurzaamheid. Een gecoördineerde professionele aanpak maakt de weg vrij voor serieuze risicoreductie en daarmee het effectief inperken van de aansprakelijkheid van de organisatie waar ook ter wereld.
Betrouwbaar en bewezen De GRC Suite van Quality Online biedt operationele ondersteuning op alle noodzakelijke gebieden zoals o.a. het registreren en behandelen van Incidenten, Audits, Policies, Documenten, Risico’s en Changes. Dit alles gebundeld in een aansprekende en betrouwbare Enterprise omgeving waarvan al een groot aantal vooraanstaande organisaties gebruik maken zoals Bayer, KLM, Vopak, KPN, DHL, Greif, Syngenta en de NS.
R is k
e P o li c ie s
GRC G o ve r n a n c
e
Profiteer ook van deze nieuwe benadering. Voor meer informatie: www.qualityonline.nl
+($'$" -$ "## )#%#")%, ")## "'"$")!$$
Be Prepared
! $ %*$$#&!!" ) %# ####%
''')
Onbekendheid lokale regelgeving risico voor multinationals “Goed verzekerd is niet altijd juist verzekerd”, zegt Ron Verhulsdonck, Country Manager Benelux voor ACE Europe. Ieder land heeft eigen regelgeving op het gebied van verzekeringen en assurantiebelasting. Sinds het uitbreken van de financiële crisis is het toezicht op de naleving van deze regelgeving strenger geworden. Voor Multinationals is het niet eenvoudig om het overzicht op al deze regels te hebben en te behouden. En dat levert grote risico’s op. ACE ontwikkelde daarom een tool om multinationals beter in staat te stellen om de verzekeringspakketten wereldwijd in lijn te brengen met lokale regelgeving. Het gebrek aan harmonisatie van de internationale regels voor verzekeren en het strengere toezicht op de naleving van de lokale regelgeving brengt het risicobeheer van Multinationals in gevaar. Verzekeringsportefeuilles die gisteren de beste garanties gaven om risico’s af te dekken, volstaan morgen niet meer. Zo hebben bepaalde landen bepalingen die bedrijven verplichten om lokale risico’s ook lokaal te verzekeren of om een minimaal verzekeringspakket lokaal onder te brengen. “Doen zij dat niet, dan kan dit bijvoorbeeld de mogelijkheden om de schades vergoed
te krijgen of premies fiscaal te verrekenen beperken”, zegt Verhulsdonck. Dit kan financieel zeer nadelig uitvallen voor Multinationals. De afhandeling van claims en de fiscale verrekening van premies valt soms nadelig uit doordat Multinationals de lokale regelgeving onbedoeld niet op de juiste manier volgen. Adequaat inspelen op lokale regelgeving is niet eenvoudig voor het internationale bedrijfsleven. Daarvoor zijn er wereldwijd te veel autoriteiten die regelgeving voor verzekeren ontwikkelen. Daarom biedt ACE Multinationals mogelijkheden voor een wereldwijd programma met lokale polissen. Daarbij biedt zij toegang tot ACEWorldsm. In dit portal is informatie opgenomen over verzekeringen wereldwijd. Verder geeft dit portal de Multinationals toegang tot de wereldwijd afgegeven lokale polissen en kunnen de Multinationals hierin ondermeer de service standards raadplegen en de voortgang van de afgifte van lokale polissen volgen. Meer dan honderd risk managers van Multinationals gebruiken inmiddels deze tool om hun verzekerde risico’s te bewaken. Verhulsdonck: “Met deze service geeft ACE een nieuwe betekenis aan het begrip klantgerichtheid. Met het openstellen van ACEWorldsm laat ACE zien actief bij te dragen aan het risk management van haar klanten. Kennis delen van de verzekeringsmarkt en daarmee alle stakeholders sterker maken. Dat noemen wij ‘verzekeren van vooruitgang’”. Voor meer informatie kijk op gps.acegroup.com.
Ron Verhulsdonck Country Manager Benelux van ACE Europe
DECEMBER 2010 · 15 TIP
NIEUWS
“Het is een zeer uitdagende taak” De internal auditor is de derde verdedigingslinie in wat ook wel wordt genoemd het stelsel van Governance, Risk & Compliance (GRC). De internal auditor stelt op onafhankelijke en objectieve wijze vast dat voldoende maatregelen zijn getroffen zodat de risico´s worden beheerst. Carlo Bavius is een voorstander van een professionele en daadkrachtige tweede en derde ‘line of defense’. Hij is hoofd Internal Audit bij Eneco. Dat betekent dat hij letterlijk overal in de organisatie komt en onderzoekt of de kwaliteit van interne beheersing adequaat is. “Dat is een zeer uitdagende taak”, zegt Bavius. “Managers zitten namelijk in een permanente spagaat. Ze moeten winst maken, en dat betekent dat tot op zekere hoogte risico´s genomen moeten worden. Maar voor het voortbestaan van de onderneming is het belangrijk de risico’s te beperken tot een acceptabel niveau. Ook kunnen kansen voor de ene afdeling juist een risico vormen voor het bedrijf in zijn geheel. Wij zijn één van de partijen in de organisatie die daarop toeziet. Internal Audit werkt niet als opponent van de business,ze is ook niet een teamlid in het veld,maar staat langs de zijlijn om te kijken of de regels worden nageleefd.Wij kijken of risico’s die managers nemen in overeenstemming zijn met de risicobereidheid die het bestuur heeft vastgesteld.” Wij zijn één van de bedrijven die de functie van een professionele afdeling Internal Audit zeer belangrijk vinden.Alle standaarden die voor voor Internal Auditafdelingen van toepassing kunnen zijn in Nederland, heeft het bedrijf op zichzelf van toepassing verklaard. Dit is een bewuste keuze
CARLO BAVIUS. Vertelt dat het, voor het voortbestaan van de onderneming, belangrijk is de risico’s te beperken tot een acceptabel niveau.
geweest in overleg met de raad van bestuur. De standaarden zijn vastgesteld door drie beroepsorganisaties: NIVRA, de organisatie van registeraccountants, het IIA, de internationale beroepsorganisatie van register Internal Auditors en NOREA,de organisatie van register IT-auditors.Ons bedrijf is de eerste die het stempel van goedkeuring heeft gekregen van alle drie de beroepsorganisaties tegelijkertijd. Een ontwikkeling die Bavius toejuigt. “Je moet als auditor niet bang zijn om zelf geaudit te worden.” Bavius en zijn team zijn permanent bezig om toezicht te houden op de gebieden binnen het bedrijf waar belangrijke risico’s gelopen worden.“We toetsen niet alleen de financiën,maar richten ons ook op bijvoorbeeld veiligheidssystemen, backoffice-processen en IT-systemen. Er zijn in de recente geschiedenis genoeg voorbeelden van bedrijven die achteraf gezien graag wat meer zekerheid hadden willen
hebben over bepaalde kritieke aspecten van hun bedrijfsvoering. Uiteraard ligt het lot van het bedrijf niet in onze handen, maar we kunnen er wel toe bijdragen dat verbeteringen worden getroffen op de juiste plaatsen.” Om te toetsen of alles inderdaad volgens de regels verloopt, heeft Bavius toegang tot letterlijk alle informatie in het bedrijf. Van die ruimte maakt hij optimaal gebruik.“We doen bij wijze van spreken de ene dag een onderzoek naar een project en de andere dag een onderzoek naar een van de corporate KPI’s. Hierbij maken we gebruik van input van wat we wel de ‘second line of defense’ noemen, grcfuncties als risicomanagement en compliance. De business (‘first line of defense’) moet samenwerken met de grc-functies om risico’s te identificeren en te mitigeren.Internal Audit,als de derde lijn,werkt vervolgens samen met de grc-functies om een optimale overdracht van kennis en kunde te
5 MAAK INFORMATIE TOEGANKELIJK
bewerkstelligen. Mede daartoe is het Eneco Control & Risk System (ECRS) ontwikkeld dat de basis is voor het in control-statement van het bestuur. Dit ECRS is het gemeenschappelijke raamwerk en de ‘taal’ voor alle lines of defense. Op dit moment wordt onderzocht welke voordelen te behalen vallen bij het integreren van een aantal grc-functies en deze functies nog nauwer te laten samenwerken met Internal Audit, uiteraard wel door de onafhankelijkheid van Internal Audit te waarborgen. De internal auditors kunnen hun werk dan ook alleen doen als ze de steun genieten van het hoogste niveau. Dat is hier de raad van bestuur, samen met de auditcommissie van de raad van commissarissen. “Daarom zijn wij de partij bij uitstek die erop toe kunnen zien dat, als eenmaal een risico is geconstateerd, dit ook wordt verholpen.” Bijna drie jaar na de oprichting van de afdeling Internal Audit ziet Bavius dat de geleverde inspanningen vruchten beginnen af te werpen. “De organisatie beweegt zich langzamerhand naar een hoger niveau van interne beheersing. De impact van een kritisch rapport is enorm, niet alleen omdat alle rapporten uiteindelijk bij het topmanagement terecht komen, maar ook omdat verbeteringen vaak niet eenvoudig zijn.Dat kost soms veel tijd en geld, maar levert uiteindelijk veel op.Men weet ondertussen wat je kunt verwachten van een internal auditor: kwaliteit,professionaliteit en een rechte rug. Uiteindelijk is de mooiste beloning voor een auditor het constateren dat eerder gerapporteerde risico’s zijn verholpen.” HENK VLAMING
[email protected]
TIPS Werk vanuit erkende standaarden voor Internal Audit. De standaarden die hiervoor gelden zijn vastgesteld door drie verschillende beroepsorganisaties: NIVRA, de organisatie van registeraccountants, het IIA, de internationale beroepsorganisatie van register Internal Auditors en NOREA, de organisatie van register IT-auditors. Kijk of risico’s die managers nemen in overeenstemming zijn met de risicobereidheid die het bestuur heeft vastgesteld. Zorg dat je toegang hebt tot alle informatie. We doen bij wijze van spreken de ene dag een onderzoek naar een project en de andere dag naar een van de corporate KPI’s. Verzeker je van een goede positie in de organisatie. Als afdeling Internal Audit vorm je de derde line of defence binnen een model voor risicobeheersing. Zorg dat je informatiekanalen goed zijn. Maak gebruik van input van de ‘second line of defense’, zoals risicomanagement en compliance. Wees verzekerd van de steun vanuit de hoogste top. Je werkt voor de raad van bestuur en de auditcommissie van de raad van commissarissen. Wees herkenbaar in de organisatie. Men moet zeker weten dat je professioneel en integer bent. Denk mee met het doel van je inzet. Het is de bedoeling dat je aanbevelingen leiden tot verbeteringen en dat is niet altijd gemakkelijk. Houd in de gaten dat je bijdragen zinvol zijn. Als de kwaliteit van de interne beheersing stijgt is dat goed voor de continuïteit van de organisatie.
Uw risico’s onder controle met BWise. BWise wordt dagelijks door honderden klanten wereldwijd ingezet voor risicomanagement en complianceprocessen.
VERENIGDE STATEN: INTEGRITEITSPROGRAMMA BIJ AUTOFABRIKANT VOOR 200.000 MEDEWERKERS
NEDERLAND: INTERNATIONALE RETAILER INTEGREERT INTERNE CONTROLE, RISICOMANAGEMENT EN INFORMATIEBEVEILIGING
VERENIGD KONINKRIJK: WERELDWIJD LEIDENDE FARMACEUT REGELT SOX COMPLIANCE VERENIGDE STATEN: BANK UIT HET HART VAN DE KREDIETCRISIS VERTROUWT NU OP BWISE VOOR RISK MANAGEMENT
BRAZILIË: LEVERANCIER VAN ELEKTRICITEIT BEHEERST RISICO’S EN INTERNE CONTROLEPROCESSEN
KOEWEIT: OLIEMAATSCHAPPIJ MONITORT CONTINU HAAR 50 BELANGRIJKSTE RISICO’S
FRANKRIJK: 2000 GEBRUIKERS VERZEKEREN GOEDE FINANCIËLE RAPPORTAGES VOOR TELECOMGIGANT
TAIWAN: VERZEKERAAR VERZEKERT RISICOMANAGEMENT EN COMPLIANCE
ZUID-AFRIKA: GROOTSTE GOUDMIJN BEHEERST HAAR ANTI-FRAUDE- EN COMPLIANCEPROCESSEN DOOR HEEL AFRIKA EN ZUID-AMERIKA
Take control Stay ahead BWise heeft een bijzondere methode ontwikkeld waardoor ondernemingen hun risico’s in kaart brengen en beheersen. Met haar software helpt BWise ondernemingen om eenvoudig en efficiënt te voldoen aan wet- en regelgevingen, óók als de wetgevingen veranderen. Sinds haar start in 1994, zorgt BWise er inmiddels in meer dan tachtig landen voor dat honderden grote en middelgrote ondernemingen hun risico’s onder controle hebben. Zij zijn nu in staat beter en effectiever om te gaan met hun verplichtingen en verantwoording. In Nederland zijn dat ondermeer
* Gartner’s Magic Quadrant for Enterprice Governance, Risk and Compliance Platforms, Q3 2010 ** The Forrester Wave™:GRC Platforms, Q3 2009
AEGON, TNT, Crucell, Robeco en DSM. Niet alleen klanten zijn vol lof over BWise en haar aanpak van risicomanagement. Recent hebben onafhankelijke Amerikaanse onderzoeksbureaus BWise benoemd tot leider in de markt voor Governance, Risicomanagement en Compliance (GRC) software. Graag toont BWise aan hoe ook uw organisatie een verbeterde grip op risico’s krijgt, een transparanter intern controle proces realiseert én aanzienlijk kosten reduceert bij het voldoen aan wet- en regelgeving. Dat doet BWise door middel van een vrijblijvend gesprek, waarin
u niet alleen inzicht in uw risico’s krijgt, maar ook een eigen exemplaar van het rapport van Gartner* en Forrester**. Zo bent u in één keer op de hoogte van de mogelijkheden van risicomanagementsoftware in het algemeen en in het bijzonder hoe u met BWise efficiënt kan blijven voldoen aan wetgeving zoals SOx, Solvency II, de code voor informatiebeveiliging en Code Tabaksblatt. Wilt u weten hoe u uw ‘business in control’ krijgt, dan vraagt u een gesprek aan via 073-6464915 of www.bwise.nl.
www.bwise.nl | www.bwise.com Nieuws, vraagstukken en achtergronden in GRC. www.bwise.com/blog BWise ontwikkelt, groeit en behoort tot de beste in de markt. Ook bij de beste werken? www.bwise.com/jobs