Naar een gefundeerde onderbouwing van het in control statement
Andere aanpak risicow geeft beter zicht op ris in control statement
Met Enterprise Risk Management kunnen de belangrijkste risico’s in organisaties in beeld worden gebracht. Vaak is de werkvorm een risicoworkshop onder leiding van een consultant waarbij de deelnemers zélf de toprisico’s benoemen. Deze aanpak heeft als nadeel
De auteur Rob Uiterlinden RC is principal consultant bij Atos Consulting / World Class Finance
dat belangrijke risico’s mogelijk over het hoofd worden gezien. Een meer systematische inrichting van risicoworkshops leidt tot een gefundeerdere onderbouwing van het ‘in control statement’.
I
n de traditionele risicoworkshop is het de bedoeling dat deelnemers in brainstormsessies zelf tot een overzicht van de toprisico’s in hun business komen. Daarbij wordt vaak stemsoftware of groupware ingezet als ondersteunende tool. Heeft de groep de lijst met toprisico’s eenmaal vastgesteld, dan is de volgende stap om na te gaan of er gebieden zijn waar de beheersing van risico’s mogelijk te wensen over laat. Op die gebieden worden dan acties gedefinieerd, waarvan de resultaten gedurende het jaar worden gemonitord. Vaak wordt op basis van de workshop van het afgelopen jaar de risicolijst geactualiseerd en worden eventueel nieuwe acties uitgezet. Dit proces van risico-identificatie en -beheersing is in veel ondernemingen een jaarlijks terugkerend ritueel.
Beoordeling van de methode Een jaarlijkse sessie waarbij wordt nagedacht over bedrijfsrisico’s is een nuttig managementinstrument. Alleen is het de vraag of de vorm van de workshop
30 | oktober 2006 | ControllersMagazine
wel tot het gewenste resultaat leidt. In deze opzet worden de risico’s door het gezelschap zélf naar voren worden gebracht. De kans dat zo een compleet en evenwichtig beeld ontstaat, is niet erg groot omdat: • het beeld sterk afhangt van de samenstelling van het gezelschap en de vraag of alle kennis van de risico’s die de business loopt aan tafel is verenigd; • het vrijwel onmogelijk is voor een individu om in een workshop een zo compleet mogelijk beeld van de risico’s vanuit zijn discipline in te brengen; • managers de neiging hebben vooral risico’s te benoemen waarmee zij de laatste jaren zijn gecon fronteerd; • de beschikbare tijd (vaak een dagdeel of een dag) te kort is om echt diep te gaan; • het gevaar bestaat dat dominantere managers in de workshop de overhand krijgen; • de meer operationele risico’s en procesrisico’s onderbelicht blijven. Met andere woorden: de kans bestaat dat de groep een aantal risico’s over het hoofd
orkshop ico’s ziet die uit oogpunt van de noodzaak tot beheersing absoluut de aandacht verdienen. Dit is een probleem gezien de veel formelere wijze van omgang met risico’s zoals die onder andere in de Corporate Governance Code Tabaksblat wordt aangehaald. Zo schrijft de Code voor: ‘II.1.4 In het jaarverslag verklaart het bestuur dat de interne risicobeheersingsen controlesystemen adequaat en effectief zijn en geeft het een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersingsen controlesysteem in het boekjaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissen is besproken. II.1.5 Het bestuur rapporteert in het jaarverslag over de gevoeligheid van de resultaten van de vennootschap ten aanzien van externe omstandigheden en variabelen.’ De Monitoring Commissie Corporate Governance Code (Commissie Frijns) heeft inmiddels een inter pretatie van bovengenoemde artikelen geproduceerd waarin nadere invulling is gegeven aan het gestelde. Daarbij ligt weliswaar de nadruk op fi nanciële verslag leggingrisico’s maar toch wordt ten aanzien van operationele, strategische en wet- en regelgeving risico’s aangegeven dat ‘indien van toepassing, belangrijke tekortkomingen die in het verslagjaar zijn geconstateerd worden gemeld, waarbij tevens aange-
brachte of geplande verbeteringen worden aangegeven.’ Organisaties die verplicht zijn een incontrol statement op te nemen in het jaarverslag, dienen een raamwerk te hebben op basis waarvan de belangrijke tekortkomingen kunnen worden vastgesteld. De huidige risicoworkshops van maximaal één dag voldoen niet, omdat zij te weinig waarborgen bieden voor evenwichtige en complete uitkomsten. Overigens geldt dit ook voor organisaties die zich min of meer vrijwillig willen confi rmeren aan de Code.
deel van deze uitgebreide vragenlijst vormt de strategie van de organisatie. Een strategisch plan is een belangrijke bron van infor matie bij de defi nitie van risico’s omdat uit dit plan blijkt op welke specifieke items de onder neming succesvol zal moeten zijn om de bedrijfsdoelen te realiseren. Risico’s zijn gekoppeld aan doelstellingen en zonder dat het doel goed omschreven is, kan niet worden bepaald welke gebeurtenissen >>
Het alternatief in vier stappen Om de onzekerheden die voortkomen uit de traditionele methode het hoofd te bieden, moet de aanpak op een aantal punten worden verbeterd: • alle potentiële risico’s moeten zoveel mogelijk van tevoren zijn bepaald; • de wijze waarop tot een uitspraak over het risico wordt gekomen, de noodzaak en de kwaliteit van beheersing moeten transparant zijn; • er moet voldoende tijd worden genomen om tot evenwichtige afwegingen te komen; • de uiteindelijke keuze van de toprisico’s moet goed onderbouwd zijn. Het is geen sinecure om van tevoren alle potentiële risico’s in beeld te brengen, zeker niet als dit vanuit een nul-positie moet worden gedaan. Een leidraad is de volgende vijf stappen te volgen. 1) Opstellen van een questionnaire Gebruik een questionnaire die aansluit bij uw branche en die de bedrijfsspecifieke issues goed afdekt. Een essentieel onder-
oktober 2006 | ControllersMagazine | 31
Primary activities
Corporate governance Finance Human Resource Management R&D Procurement
ce an pli m Co rting s po Re tion a er Op egic t ra St
Support activities
COSO
ICT Infrastructure Delivery Marketing Operations & Sales
Logistics
Service
Figuur 1 De combinatie van het COSO II-model en Michael Porter’s Value Chain Model
in control statement
Een workshop van een dag of een dagdeel is te weinig om tot een goed beeld te komen.
(de risico’s) de realisatie van het doel in weg kunnen staan. 2) Beschrijving best practices Naast de defi nitie van het risico moet ook omschreven zijn op welke wijze het risico kan worden beheerst. Uiteraard verschilt hier de oplossing per organisatie. Door het presenteren van ‘best practices’ kan de organisatie zich een redelijk beeld vormen aan wat voor wijze van risicobeheersing moet worden gedacht. Dit helpt om het oordeel over de kwaliteit van beheersing te kunnen onderbouwen. 3) Gerichte interviews Zoals opgemerkt is een workshop van een dag of een dagdeel te weinig om tot een goed beeld te komen. Beter is door middel van gerichte interviews met sleutelfunctionarissen de risico’s binnen hun aandachtsgebied door te nemen. Denk daarbij aan managers die verantwoordelijk zijn voor bijvoorbeeld sales & marketing, productie & logistiek, inkoop, research en developement, human resources, finance en dergelijke. Ook is een interview met de algemene leiding van de onderneming gewenst om de meer overkoepelende risico’s de revue te laten passeren. Tijdens de interviews worden risico’s voorgelegd waarbij de geinterviewde zowel een oordeel moet geven over de zwaarte van het risico alsook de mate waarin dit risico door de organisatie wordt beheerst. Om te kunnen bepalen of een risico in aanmerking komt voor beheersing, moet de organisatie vaststellen hoe ze een risico waardeert. Daarbij gaat het om een
32 | oktober 2006 | ControllersMagazine
brutobeoordeling van het risico. Bruto betekent: alle beheersingsmaatregelen worden buiten beschouwing gelaten. Het gaat om de identificatie van de kale risico’s (ook al zijn deze soms goed afgedekt met bijvoorbeeld verzekeringen). De ervaring leert dat veel geïnterviewden deze wijze van beoordelen lastig vinden. De interviewer zal met name in het begin van het gesprek de geïnterviewde moeten terugplaatsen in de denkbeeldige situatie dat er geen risicobeheersing bestaat en zijn vragen dan opnieuw moeten stellen. De risico’s wordt gescoord naar twee gezichtspunten: de kans dat een risico optreedt en de impact op de organisatie als het risico zich voordoet. Het is raadzaam om aan de keuzes criteria te hangen. Zo voorkomt u willekeur bij het scoren van de risico’s. De kans dat een risico zich kan voordoen, wordt uitgedrukt in het aantal malen per maand, jaar, decen nium of zelfs eeuw. Koppel deze frequentie aan de kwalificatie van de kans (hoog, midden, laag). Tip: geef geïnterviewden een aantal voorbeelden om ervoor te zorgen dat zij gefundeerder ‘scoren’. Hetzelfde geldt voor de impact. Ook hier moet aan de scores een richtlijn vastzitten. Meestal zal deze worden uitgedrukt in ‘euro’s schade’, al moet direct worden gezegd dat de schade niet in alle gevallen te becijferen is. De richtlijn hangt ook af van wat de onderneming zelf als risico wenst te accepteren (de risicovoorkeur of risk-appetite). Het is aan de leiding van de onderneming om het risk-appetite vast te stellen en te kwantificeren. Zo zal een onderneming bepalen dat de impact als achtereenvolgens desastreus, hoog, midden of laag wordt vastgesteld op basis van grenswaarden in euro’s die afgeleid zijn van het risk-appetite. Pas op voor diepgaande rekenexcercities om de score te onderbouwen. Het doel blijft het geven van handvatten. Er zullen overigens altijd risico’s zijn waar van de impact moeilijk te kwantificeren is (bijvoorbeeld imagoschade). In die gevallen is het beste om kwalitatief tot een onderbouwing van de score te komen. In alle gevallen zullen de interviewers de motivatie achter de score vastleggen om latere reflectie mogelijk te maken. 4) Plenaire sessies Daarnaast moet de analyse die door het interviewteam is opgesteld, gedeeld
Coso II
Value Chain
Aspect
Potentieel risico
Best practice
Kans
Impact
Risico
Mate van beheersing
Strategisch
Infrastructuur
Milieubeleid
Acties om de impact van bedrijfsactiviteiten op het milieu te beperken, zijn ontoereikend, ongecoördineerd en niet in lijn met de bedrijfsdoelstellingen
Milieubeleid definiëren. Beleid afstemmen op missie, visie en doelen. Beleid wordt regelmatig getoetst en bijgesteld indien nodig.
Hoog Midden Laag
Desastreus Hoog Midden Laag
Top Midden Laag
Zeer goed Goed Midden Laag Zeer laag
Figuur 2 Risico-identificatie op basis van COSO II en value Chain Model
worden met alle geïnter viewden in een plenaire sessie. In deze sessie neemt de groep een beperkte set van risico’s (de top 100) nogmaals door en discussieert de groep over het belang van de risico’s voor de organisatie en de mate waarin deze worden beheerst. Uiteindelijk wordt bepaald wat de toprisico’s zijn en kan een verdere rangorde worden vastgesteld. Omdat de verschillende spelers afzonderlijk zijn geïnterviewd, kan blijken dat de deelnemers het plenair niet met elkaar eens zijn. Veelal gaat het dan om grensoverstijgende of ondernemingsbrede risico’s. De discussie die ontstaat, is overigens nuttig om uiteindelijk een breed gedragen beeld op te bouwen. Ter voorbereiding van de plenaire sessie wordt aan de geïnterviewden een volledig inzicht verstrekt in de voorgelegde risico’s en bijbehorende scores. Uiteraard is het mogelijk nieuwe risico’s naar aanleiding van de sessie toe te voegen.
ook raadzaam de vier invalshoeken van COSO II te kiezen voor de opzet van de questionnaire: strategic, operations, reporting, compliance: • Strategic: welke strategische keuzen worden gemaakt en welke kansen en bedreigingen horen bij deze keuzen? • Operations: hoe kan de organisatie de effectiviteit en efficiency waarborgen? • Compliance: handelt de organisatie in overeenstemming met wetten en regelgeving? • Reporting: zijn rapportages betrouwbaar en voldoen deze aan interne en externe vereisten? Het onderscheid dat het COSO II-model maakt, is te grof om risico’s goed te kunnen indelen. Om tot een fijnmaziger aanpak te komen, gebruiken we het value chain model van Michael Porter, dat de functionele gebieden binnen organisaties goed weergeeft. In figuur 1 is de combinatie van COSO II en het Value Chain Model weergegeven.
Uitwerking Het COSO II-model is inmiddels een algemeen aanvaarde standaard voor Enterprise Risk Management. Het is dan
Daarna moeten binnen iedere combinatie van functioneel gebied en COSO II-invalshoek de risico’s verder worden ingedeeld
in categorieën, zodat een overzichtelijk geheel ontstaat. Deze categorieën duiden de belangrijkste aspecten van te managen risico’s aan en vormen de derde dimensie naast de COSO II-aspecten en de functionele indeling volgens de value chain. Dat kan handig zijn als het management bijvoorbeeld geïnteresseerd is in één specifiek item omdat dit een strategisch speerpunt blijkt te zijn (zoals innovatie). Het voert hier te ver een volledige uiteenzetting van alle categorieën te bespreken maar bij dergelijke indelingen moet gedacht worden aan begrippen als: • Afhankelijkheid • Continuïteit • Innovatie • Klantsatisfactie • Rendement • Reputatie • Veiligheid • Waarden Door alle vragen en resultaten vervolgens op te nemen in een database kan langs alle assen worden gerapporteerd. In figuur 2 zijn de verschillende attributen van een specifieke risicovraag weergegeven.
Rapportage
Chance High
13
45
12
Medium
3
19
29
4
Low
13
11
21
1
Low
Medium
High
Disastrous Impact
Figuur 3 Het aantal risico’s, de kans dat ze zich voordoen en hun impact op de organisatie
Nadat de interviews met de managers van de functionele gebieden zijn afgerond kan het interviewteam een eerste beeld geven van de uitkomsten van het selfassessment. Hiertoe worden de resultaten van de risicobeoordeling weergegeven in een Risk Map (zie figuur 3). Deze Risk Map maakt duidelijk hoe er in totaal is gescoord op kans en impact en hoe de risico’s zijn verdeeld over de diverse kans/ impact-combinaties. De combinaties hoog/desastreus en hoog/hoog geven het aantal risico’s weer dat voor beheersing in aanmerking komt. (Dit is overigens afhankelijk van de risicovoorkeur van >>
oktober 2006 | ControllersMagazine | 33
is in staat om actief de risico’s te managen die afhankelijk van de risicovoorkeur als te beheersen zijn aangemerkt. Het oordeel over de kwaliteit van de beheersing legt bloot waar de eerste verbeteracties op moeten worden gericht.
Strategic Corporate governance Finance & Control Primary activities
Human Resource Management Research & Development Procurement
Vervolgstappen
ICT
Support activities
Infrastructure Delivery
Marketing Operations
Logistics
Service
Sales
Figuur 4 Voorbeeld van risico-identificatie per activiteit of proces
in control statement
Enterprise Risk Management veronderstelt een proces dat begint met de visie en missie van de organisatie en dat eindigt met het daadwerkelijk toetsen van de risicobeperkende maatregelen op bestaan en werking.
de orga nisatie. Een risicovermijdende organisatie zal bijvoorbeeld ook de middenrisico’s willen afdekken met beheersingsmaatregelen). Dergelijke presentaties kunnen uiteraard voor het totaal van de orga nisatie, maar ook per COSO II-invalshoek, functioneel gebied, risicocategorie of combinaties daarvan worden gemaakt. Let wel: het betreft hier nog steeds een brutorisicobeoordeling waarin geen uitspraak is gedaan over de mate van beheersing die al in de organisatie bestaat. Het inzicht in de kwaliteit van de beheersing kan worden weergegeven door op basis van een gemiddelde score per functioneel gebied middels een kleurindicatie een totaaloordeel te geven. Uiteraard kan deze presentatie voor het totaal van de organisatie als voor specifieke combinaties worden gemaakt en geeft de ingevulde questionnaire uiteindelijk in detail antwoord op de vraag waarom de geïnter viewden oranje of rood hebben gescoord. Omdat de interviewer tevens de motivatie bij de scores heeft opgenomen is een volledige analyse van het hoe en waarom steeds mogelijk. Tijdens de plenaire workshop worden de aanpassingen direct verwerkt in de questionnaire zodat het gezamenlijke gedeelde beeld wordt vastgelegd. Het is dan nuttig om nog eens te analyseren hoe en waarom scores zijn veranderd, bijvoorbeeld door de grafische presentaties van voor en na de workshop met elkaar te vergelijken. Het eindresultaat vormt een goed startpunt voor het inrichten van het risicomanagementproces. De organisatie
34 | oktober 2006 | ControllersMagazine
Op basis van de uitkomst van het selfassessment kan de organisatie aan de slag met het formuleren van verbeterpunten om de beheersing op het gewenste niveau te brengen. Daarbij ligt het voor de hand die risico’s aan te pakken die het zwaarst wegen. Dus de risicocategorieën ‘hoog/ desastreus’ en waar van de kwaliteit van de beheersing ‘midden’ of lager is. Een verdere schifting kan nog worden gemaakt op basis van de in de plenaire sessie bepaalde rangorde. In de regel zijn voor een gemiddelde businessunit in totaal circa 50 risico’s te behappen. Uiteraard is daarvan de beheersingsgraad voor een groot gedeelte vermoedelijk wel op orde, zodat een 10 à 15 verbeterpunten zullen resteren. Vreemd is dit niet want risicomanagement heeft bij de meeste beslissingen altijd al een plaats gehad. Soms afgedwongen vanuit de AO/IC, ISO of andere kwaliteitsstandaarden. Nieuwe inzichten ten aanzien van het managen van risico’s (zoals COSO II) en regelgeving zoals Tabaksblat scherpen het risicobewustzijn nu verder aan. Toch is de hier beschreven werkwijze nog steeds niet wat men onder Enterprise Risk Management verstaat. Het is een eerste stap. Enterprise Risk Management veronderstelt een proces dat begint met de visie en missie van de organisatie en dat eindigt met het daadwerkelijk toetsen van de risicobeperkende maatregelen op bestaan en werking. Enterprise Risk Management gaat ook uit van een volledige opname van het proces in de managementcyclus, inclusief het met regelmaat rapporteren over de kwaliteit van risicobeheersing in de periodieke managementreviews. Daarnaast veronderstelt Enterprise Risk Management een bouwwerk dat volledig is gedocumenteerd en regelmatig wordt getest. Op basis hiervan kan de manager − door middel van een Letter of Representation − verklaren ‘in control’ te zijn. Dat is nog een paar stappen verder dan dat hier is getoond. Maar voor wie wil starten, is dit een goed begin. <<
