#7
inzicht EEN INITIATIEF VAN ERNST & YOUNG IN SAMENWERKING MET DE TIJD EN L’ECHO l 30 JANUARI 2009
DE WAARDE VAN CONTROLE Interview met Michel Brabants, Inge Boets en Birgit Sweert
2-3 EEN INGEBAKKEN RISICOCULTUUR Tips voor risicoanalyse
4
DE KERN VAN SUCCESVOL ZAKENDOEN Effectief risicomanagement
5
Risicomanagement bij de overheid
6
CONTROLE OVER UW HANDTEKENING Contractrisico’s beheren
ILLUSTRATIE: IEF CLAESSEN
DE REGELS VOOR GOED BESTUUR
7
ALLES ONDER CONTROLE? RISICOMANAGEMENT CREËERT TOEGEVOEGDE WAARDE
Vragen over deze problematiek ? Wilt u dit dossier ook online raadplegen ? www.tijd.be/risico
Risicomanagement, interne controle en interne audit staan vandaag, onder meer door de kredietcrisis, meer dan ooit in de schijnwerpers. De aandacht gaat vooral naar een geïntegreerde aanpak, die dubbele inspanning en verwarring zoveel mogelijk vermijdt. Recent onderzoek leert dat bedrijven die hun risicoaanpak aligneren met hun bedrijfsdoelstellingen, meer waarde creëren dan hun concurrenten. Hoe krijgt u alle neuzen in één richting? Steun op een degelijk raamwerk. In deze bijlage belichten de specialisten van Ernst & Young het hoe en waarom van risicomanagement, interne controle en interne audit, en dit vanuit een praktisch kader, steunend op hun rijke ervaring.
2
RISICOMANAGEMENT CREËERT TOEGEVOEGDE WAARDE
E
EDITORIAAL
Michel Brabants, Partner Business Risk Services
Door de turbulente ontwikke-
‘BEDRIJVEN MET EEN STERK ENTERPRISE RISK MANAGE-
lingen in het bedrijfsleven wordt er steeds meer nadruk gelegd op
MENT ZIJN BETER IN STAAT
risicomanagement en interne
OM HUN FINANCIËLE VER-
controle. Ook het topmanage-
PLICHTINGEN NA TE KOMEN.’
ment en de leden van de ondernemingsraad hebben hoge verwachtingen en willen bovenal
weten hoe het risicomanagement en de controlemechanismen bijdragen tot het realiseren van de bedrijfsdoelen. Een van de belangrijkste uitdagingen zijn de toegenomen verwachtingen voor een effectieve afdekking van risk, in het bijzonder door auditcomités en topmanagement. Drijfveer is de grotere vraag naar goed bestuur en
BIJLAGE i.s.m. ERNST & YOUNG
'In control' zijn leidt tot waardecreatie RISICOMANAGEMENT, INTERNE CONTROLE EN AUDIT Risicomanagement is een hot topic. De kredietcrisis toonde aan dat risico's reëel zijn, en de aandacht voor de beheersing van risico’s is sterk toegenomen. Toch hoeft risicomanagement niet louter negatief te zijn. Risicobeheersing draagt ook bij tot de realisatie van de bedrijfdoelstellingen. Die visie wint met rasse schreden veld. Drie specialisten van Ernst & Young werpen vanuit hun praktijk een licht op deze boeiende materie.
transparantie door de stakeholders. Ook het op peil houden van de inves-
l DOOR DAVID HENDRICKX
teringen in risk en de alineëring van risk management en interne controles verdienen blijvende aandacht. Andere heikele punten in het streven naar de perfecte risicobeheersing zijn het creëren van waarde door verbetering van de implementatie van processen en controlemechanismen, het delen van best practices en het implementeren van grote change initiatieven. In vele organisaties blijven risicomanagement en interne controle namelijk gefragmenteerd. Verschillende functies managen dan verschillende onderdelen van het algemeen bedrijfsrisico. Zo wordt er dubbel werk gedaan, ontstaat er verwarring en worden sommige risico's over het hoofd gezien. Bedrijven die niet op een gefocuste manier in risk en in een controleframework investeren, hinken achterop. Standard & Poors gaat waarschijnlijk vanaf 2009 het risicomanagement van bedrijven beoordelen om investeerders meer transparantie te bieden. Ze gaan uit van de veronderstelling dat bedrijven met een sterk enterprise risk management beter in staat zijn hun financiële verplichtingen na te komen. En ze hebben gelijk. De beste bedrijven zijn intussen volop bezig de blinde vlekken in hun risicobeleid te identificeren en denken over manieren om hun risicobeleid over de bedrijfsgrenzen heen te aligneren. Alleen door het verband tussen de belangrijkste risico's en de belangrijkste bedrijfsdoelstellingen te identificeren kan een bedrijf zich focussen op de risico's met de hoogste potentiële impact, met als resultaat een betere performantie. Bent u er klaar voor? Michel Brabants
COLOFON Een initiatief van: Ernst & Young ‘Business Risk Services’
Een realisatie van: Mediafin Publishing
• Michel Brabants, Partner • Inge Boets, Global Leader • Birgit Sweert, Director • Marinus De Pooter, Director • Kenneth Verheyden, Senior Manager • Lieven Penninck, Senior Manager • Sofie Bullynck, Senior Manager
Coördinatie: Veronique Soetaert Redactie: David Hendrickx Lay-out: Björn De Greef Fotograaf: Jerry De Brie Uitgever: Dieter Haerens Info?
[email protected]
Verantwoordelijke uitgever: Jo Sanders www.ey.com/be • Tel. 02 774 91 11 • Tel. 03 270 12 65
W
at is het verschil tussen interne audit, interne controle en risi-
comanagement ? Boets: Risico's zijn toekomstige gebeurtenissen die de realisatie van de ondernemingsdoelstellingen kunnen bedreigen. Interne controle is een manier om risico's te beheersen, die ingebouwd wordt in de processen van de organisatie. En audit is nagaan of de controlemaatregelen effectief aanwezig zijn en of ze wel correct functioneren. Brabants: In een zagerij bestaat bijvoorbeeld het risico dat een operator zich lelijk verwondt aan een zaagmachine. Een vorm van interne controle kan dan zijn dat de zaagmachine slechts bediend kan worden door twee knoppen tegelijk in te drukken, één met elke hand. Op zo'n manier wordt een interne controlemaatregel ingebakken in de dagelijkse bedrijfsvoering. Als de raad van bestuur dan iemand de opdracht geeft om na te gaan of die machine inderdaad alleen maar functioneert door met twee handen op twee knoppen te drukken, dan is dat een interne audit. Hoe kun je risico managen? Brabants: Dat gebeurt in drie fases: eerst moet je je risico's analyseren, vervolgens moeten ze beheerst worden, en ten slotte moet het risicomanagement gemonitord en waar mogelijk verbeterd worden. Ondernemingsrisico's begrijpen kan met behulp van een risicoanalyse in drie stappen: eerst de identificatie van de risico's, vervolgens de evaluatie en ten slotte de prioretisatie. De tweede stap in een risicoanalyse is de im-
FOTO: JERRY DE BRIE
‘AFSTEMMING VAN ALLES WAT ER IN EEN BEDRIJF GEBEURT ROND RISICO EN CONTROLE , IS CRUCIAAL.’ BIRGIT SWEERT
pact inschatten van mogelijke risico's enerzijds en van de waarschijnlijkheid dat die bepaalde risico's zich voordoen anderzijds. Aan de hand van die evaluatie kun je die risico's identificeren die prioritair moeten zijn voor de onderneming. Boets: Een systematische aanpak voor zo'n risicoanalyse bestaat uit interviews met stakeholders, informatie verzamelen, workshops geven, vragenlijsten invullen. Na gesprekken met 10 à 15 mensen komen we meestal tot een lijst van pakweg 100 tot 150 risico's. De volgende stap is dan prioriteiten stellen.
Hoe ga je te werk? Hoe meet je de waarschijnlijkheid dat risico's zich voordoen en van hun impact? Brabants: Wat een laag, gemiddeld of hoog risico betekent, hangt af van de bedrijfsdoelstellingen, de cultuur, de sector, de risicoappetijt enz. Elke onderneming kan zelf een maatstaf bepalen. Neem opnieuw een houtzagerij met een zaagmachine als voorbeeld. De vragen zijn dan: valt de productie gemiddeld één keer per jaar, per maand of per dag stil door een defect van de zaagmachine? Komt de financiële impact van zo'n gebeurtenis gemiddeld in de buurt van een omzetverlies van 0,01 of 0,1 of 1 procent? Het voordeel van zo’n maatstaf om risico’s in te schatten ? Mensen gaan dezelfde taal spreken en hun visie op risico op elkaar afstemmen: als de ploegbaas weet dat volgens een ingenieur het uitvallen van een zaagmachine bijvoorbeeld een hoog risico geeft, gaat hij zelf zijn visie op het zaagproces misschien herzien. Zodra je de risico's begrijpt, is de volgende fase de beheersing van die risico's. Hoe gebeurt dat? Sweert: Eerst ga je na met welke interne controles de bestaande risico's nu beheerst worden. Dan evalueer je of die interne controles voldoen. Zijn er stringentere of net minder strikte maatregelen nodig? Om risico's te beheersen zijn er veel technieken. Dat gaat over het inbouwen van controles in processen, of het eenvoudigweg accepteren van bepaalde risico's,. En de bewaking van sommige risico’s kun je ook uitbesteden. Welke concrete maatregelen een onderneming neemt, is erg
BIJLAGE i.s.m. ERNST & YOUNG
RISICOMANAGEMENT CREËERT TOEGEVOEGDE WAARDE
3
FOTO: JERRY DE BRIE
afhankelijk van het risicoprofiel van die onderneming. Een bank bijvoorbeeld zal andere controles inbouwen dan een houtzagerij. De derde en laatste fase is de risicomonitoring. Hoe gaat men daarbij te werk? Boets: Daar gaat het over de periodieke controle van de risico's én van de systemen en controlemechanismen die die risico's moeten beheersen. Dat is het terrein van de audit, een verantwoordelijkheid van de raad van bestuur die meestal gedelegeerd wordt aan een auditcomité. Wie houdt zich in de praktijk bezig met risicomanagement? Brabants: Risico is een integraal onderdeel van elke bedrijfsactiviteit. Iedereen is er
FOTO: JERRY DE BRIE
‘RISICO IS EEN INTEGRAAL ONDERDEEL VAN ELKE BEDRIJFSACTIVITEIT.’ MICHEL BRABANTS
min of meer rechtstreeks mee bezig, iedereen draagt dus een stukje verantwoordelijkheid. Die verantwoordelijkheden kunnen we onderverdelen in vier 'lines of defense' of verdedigingslinies. De eerste verdedigingslinie ligt op het operationele niveau. Het zijn de mensen op de werkvloer die de dagelijkse bedrijfsrisico's moeten identificeren en daadwerkelijk beheersen. De tweede verdedigingslinie vinden we bij de ondersteunende functies zoals personeelsbeleid, het financiële departement en IT. Die departementen zorgen bijvoorbeeld voor de consistentie in het omgaan met risico, voor de effectieve rapportering, voor de opleidingen over risico's enz. De derde verdedigingslinie bestaat dan uit alle functies die op een overkoepelende manier met risico begaan zijn: functies als compliance, health and safety en interne audit: zij monitoren alles wat er rond risk gebeurt in de organisatie. Bij de vierde en laatste verdedigingslinie ligt de eindverantwoordelijkheid. Dat is de taak van het executive team, de raad van bestuur, de audit- en andere comités die zich met risicoverwante materies bezighouden. Is het niet erg moeilijk om die vier verdedigingslinies op één lijn te brengen? Sweert: Dat klopt. Een praktisch voorbeeld: onlangs sprak ik met een financiële manager die rond bepaalde topics verschillende rapporten kreeg van wel vijf verschillende functies. Dan kun je je voorstellen hoeveel dubbel werk daarbij komt kijken en hoeveel verwarring er gecreëerd wordt. Afstemming van alles wat er in een bedrijf rond risico en
controle gebeurt is cruciaal, maar verre van eenvoudig. Boets: Een integrale aanpak wordt best bereikt met behulp van een geïntegreerd raamwerk, en met de stappen die we hierboven beschreven. Zo’n systeem noemen we ERM: enterprise risk management. We zien in de praktijk dat de bedrijven waarbij het risicomanagement geïntegreerd is, de meeste kans op slagen hebben.
competentie in huis, en vaak krijgen ze zo de smaak te pakken. Moet risicomanagement periodiek bijgestuurd worden? Boets: Risicomanagement mag inderdaad niet statisch zijn. Mogelijke risico's moeten periodiek geüpdatet worden. Er is zoveel verandering dat sommigen zeggen: er valt niets te voorspel-
Wat zijn de actuele trends qua risicomanagement? Brabants: We zien duidelijk dat het management steeds meer 'in control' wil zijn. Er is dus een grotere belangstelling voor risicomanagement. Voorts merken we een grotere vraag naar beheersing van specifieke risico's, zoals contractrisico's en de risico's die voortvloeien uit het werken met projecten en programma's. Ten slotte zien we ook dat de overheid aan een forse inhaalbeweging bezig is op het vlak van risicomanagement. Risicobeheersing is een complexe materie. Is het niet té complex voor kmo’s? Sweert: Neen. De basisprincipes gelden voor elke onderneming. Maar de manier waarop je er invulling aan geeft, verschilt grondig. Voor een kleine kmo of een groeionderneming is het wellicht niet kostenefficiënt om te investeren in een groot team met een voltijdse audit- en risicomanager. Het lijkt vaak ook erg complexe materie voor directeurs van kmo’s. Maar die ondernemingen kunnen bijvoorbeeld starten met een oefening die meer inzicht geeft in de risico's die ze lopen bij één proces. Op die manier halen ze enige
FOTO: JERRY DE BRIE
‘BEDRIJVEN DIE HET RISICOMANAGEMENT INTEGREERDEN, HEBBEN DE MEESTE KANS OP SLAGEN.’ INGE BOETS
len, je kunt toch alleen achteraf reageren. Maar als je op een betere manier aan risicoanalyse doet, ben je veel beter voorbereid op alle mogelijke scenario's. Daar kun je een groot competitief voordeel uit halen.
4
RISICOMANAGEMENT CREËERT TOEGEVOEGDE WAARDE
BIJLAGE i.s.m. ERNST & YOUNG
Naar een ingebakken risicocultuur 5 TIPS VOOR EEN PERFORMANTE RISICOANALYSE Een aangepast raamwerk, een overzichtelijk risicorapport en een correcte prioriteitstelling kunnen leiden tot een efficiënte, in de onderneming ingebakken risicocultuur. We geven vijf tips die u daarbij helpen.
1 LEG DE CONTEXT VAST EN ONTWIKKEL EEN EENVOUDIG EN RELEVANT RAAMWERK
pl ia nc e
Management, bestuurders en auditcomité zijn vragende partij voor een doeltreffende risi-
l
Nieuw
m
EIS EEN DUIDELIJK OVERZICHT VAN DE RISICO'S
BESCHERM WAT HET MEESTE WAARDE HEEFT
na
ee
Up from 08 Down from 08
Co
2
Fi
De kredietcrisis
De belangrijkste risico's zijn die risico's die de waarde van de onderneming bedreigen. Daarom moet een risicoanalyse zich in de eerste plaats richten op die domeinen die zowel de toekomstige groei als de kernactiviteiten bedreigen. Het zwaartepunt moet liggen op het identificeren van de belangrijkste risico's die het behalen van de doelstellingen van de onderneming in de weg staan. Toch wordt dit dikwijls over het hoofd gezien tijdens het traditionele risicoanalyseproces. De focus ligt vaak op risico's en controles van operationele processen.
4 VERMIJD ‘ENTERPRISE LIST MANAGEMENT’ Vaak richten ondernemingen zich te veel op risico’s identificeren en oplijsten en te weinig op actie ondernemen. 'Enterprise List Management' is het eerste struikelblok bij het implementeren van enterprise risk management. Onvolledige criteria om de risico's in te schatten hebben vaak als gevolg dat er te weinig op concrete acties gefocust wordt. De meeste ondernemingen gebruiken slechts twee criteria om de risico's in te schatten: impact en waarschijnlijkheid. Hieraan moet een derde dimensie worden toegevoegd: de graad van controle die het management tegenover het risico heeft geplaatst. Deze combinatie bepaalt uiteindelijk welke actie nodig is om het risico onder controle te houden.
Regelgeving en compliance
De economische recessie
Besparingen
Marktintrede van niet-traditionele spelers Radicale milieuwetgeving
e
• inventarisatie van de huidige beheersing per risicocategorie en concrete voorstellen voor de verbetering daarvan.
3
i nc
gi
• prioriteitstelling van die risico's aan de hand van risicocriteria voor waarschijnlijkheid, impact en management control;
De top 10 risico's voor internationale bedrijven in 2009
te
• overzicht van de belangrijkste risicocategorieën gekoppeld aan de organisatiedoelstellingen;
Naar jaarlijkse gewoonte publiceerde Ernst & Young begin deze maand haar Business Risk Report. Aan de hand van uitgebreide interviews met meer dan 100 specialisten uit 22 sectoren, werd er onder meer een top 10 opgesteld van de meest bedreigende risico's voor internationale bedrijven die aan de top staan in hun sector. Naast die algemene top tien, staan er in het rapport ook lijstjes met een top tien voor maar liefst 11 specifieke sectoren. Het rapport kan u downloaden op de website van Ernst & Young: www.ey.com/be
ra
AANBEVOLEN ONDERDELEN VAN HET RISICORAPPORT:
HET ERNST & YOUNG 2009 BUSINESS RISK REPORT
Management van talent
St
Een basiscomponent van een raamwerk voor enterprise risk management (ERM) is de context waarbinnen een organisatie functioneert. Alvorens een raamwerk te implementeren is het van belang om die context te begrijpen en vast te leggen. Zonder consensus hierover bestaat de kans dat management en stakeholders de fundamenten van ERM in twijfel trekken of hun rol niet voor 100 procent opnemen. Voor u met een risicoanalyse start, moet er een raamwerk ontwikkeld worden dat bij de organisatie past. Soms wordt met verschillende raamwerken gewerkt, die allemaal betrekking hebben op een bepaald deeldomein: bijvoorbeeld compliance, interne controle of risk management. Maar u kunt die ook combineren tot één raamwerk op maat van de organisatie. Bedoeling is om in een duidelijke, consistente en voor iedereen klare taal risico's te beschrijven en te bespreken.
cobeheersing, dikwijls zonder succes. Ze willen een duidelijk overzicht van de belangrijkste risico's van de onderneming en van de acties die het management neemt om de risico's onder controle te houden. Een eensluidend samenvattend risicorapport is de belangrijkste troef van een performant enterprise risk management. Idealiter gaat het om één rapport, dat duidelijk de status bevat van de risicobeheersing van de belangrijkste ondernemingsrisico's.
Allianties, fusies en overnames
Reputatiemanagement
Meestal wordt de output van een risicoanalyse grafisch voorgesteld. Die grafische voorstelling moet duidelijk de prioriteitsstelling naar voren brengen. Risico's die hoog worden ingeschat en waarvan de verbetergraad het hoogst is, worden de prioriteit van het management. Interne audit moet zich richten op de domeinen met het hoogste inherent risico. Domeinen met laag inherent risico kunnen dan bijvoorbeeld worden opgevolgd door middel van control self-assessment.
Verouderen van het businessmodel
O
pe
t ra
s
processen van de onderneming. Het mag niet opgezet worden als een alleenstaand proces. Zodra ze ingebakken zijn in de onderneming, worden het risicobewustzijn en de risicobeheersing ook een deel van de bedrijfscultuur. Idealiter wordt gewerkt met een boordtabel waarin men risico's integreert die worden opgevolgd via verschillende kanalen, zoals control self-assessment, interne audit of risk management. Op die manier behoudt men ten allen tijde een overzicht van de stand van zaken van de belangrijkste risico's doorheen de organisatie.
5 BOUW HET PROCES VAN DE RISICOANALYSE IN DE ORGANISATIE IN ERM-initiatieven stoppen vaak bij een uitgebreide risicoanalyse, zonder concrete opvolging. Om dit te vermijden moet de risicoanalyse ingebakken worden in de strategische, operationele, budgettaire en audit-
ie
Marinus De Pooter, Director Business Risk Services Sofie Bullynck Senior Manager Business Risk Services
5
RISICOMANAGEMENT CREËERT TOEGEVOEGDE WAARDE
BIJLAGE i.s.m. ERNST & YOUNG
EFFECTIEF RISICOMANAGEMENT
de kern van succesvol zakendoen Om de winst te maximaliseren en de continuïteit te garanderen moet het bestuur van een onderneming een diversiteit aan risico's managen. Risicomanagement is een essentieel onderdeel van hun taak. Een chauffeur die zijn wagen niet kent, kan niet zeggen dat hij ‘in control’ is. Net zo goed kan een bestuurder van een organisatie niet zeggen dat hij daadwerkelijk bestuurt, als hij geen controle heeft over die organisatie.
der tijd, soms beperkt worden onderhouden door bezuinigingen, door het vertrek van medewerkers, reorganisaties enz, raakt het overzicht gemakkelijk kwijt. Hierdoor kunnen er zelfs elkaar tegensprekende huisregels ontstaan. Daarom moet het beheer goed worden geregeld. Dat voorkomt ook dat er zodanig veel regels ontstaan dat de ‘regeldruk’ te hoog wordt. Bovendien worden veel zaken op het terrein van ‘control’ door het management en de medewerkers gedaan, zonder dat ze zich ervan bewust zijn dat ze met interne beheersing bezig zijn. Doorgaans geldt: hoe groter, ouder en complexer een organisatie is, des te formeler de interne beheersing geregeld is. Bij grotere organisaties - vooral diegene die onder extern toezicht staan - is het van belang dat het management kan aantonen 'in control' te zijn. Dat impliceert dat een aantal zaken schriftelijk moeten worden vastgelegd. De mate waarin dat moet gebeuren hangt uiteraard af van de voorschriften en omstandigheden.
RISICOBEREIDHEID
FOTO: iSTOCK
R
isico's zijn potentiële gebeurtenissen die de realisatie van uw doelstellingen kunnen bedreigen. Die risico's moeten in kaart gebracht en geëvalueerd worden. Ook moet het bestuur beoordelen of de risico's op een aanvaardbaar niveau liggen. Is dat niet het geval? Dan moet het bestuur aanvullende maatregelen nemen. Ten slotte moet ook de goede werking van die beheersmaatregelen tijdig en regelmatig gecontroleerd worden. Een voorbeeld uit de praktijk maakt duidelijk wat risicomanagement inhoudt. U geeft op een congres met uw laptop een demo van een nieuwe applicatie, waarvoor u internettoegang nodig heeft. Er kan van alles misgaan: het draadloze signaal is te zwak, de bandbreedte is onvoldoende of de toegang is alleen mogelijk via een kredietkaart. Vervolgens gaat u na welke voorzorgen u moet nemen om zonder zorgen de presentatie te kunnen geven. Een vaste verbinding bijvoorbeeld, een tweede laptop als back-up, of technische assistentie binnen handbereik. Vanzelfsprekend komt u op tijd om de verbinding te kunnen
‘ALS HET MANAGEMENT KAN AANTONEN DAT HET 'IN CONTROL' IS, RAAKT HET OOK MAKKELIJKER AAN GELD VAN KAPITAALVERSCHAFFERS.’
testen. Uiteraard denkt u ook aan een plan B. Als de internetverbinding niet lukt, kunt u bijvoorbeeld in elk geval en paar screenshots tonen.
VALUE Traditioneel bekeek risicomanagement de onzekere toekomst vanuit de negatieve kant: er kunnen vervelende zaken gebeuren, die zoveel mogelijk vermeden moeten worden. Risicomanagement en performancemanagement werden mede daardoor tot voor kort als gescheiden werelden beschouwd. Maar organisaties kunnen aanzienlijk profijt hebben van een meer geïntegreerde benadering.
Daarom spreekt men beter van value management: zo goed mogelijk waarde creëren en behouden in organisaties. In organisaties bestaat ook vaak een verscheidenheid aan systemen, die zijn opgezet voor het managen van de afzonderlijke risicocategorieën. Om dat negativisme en die versplintering te vermijden, ziet u enterprise risk management (ERM) best als een bedrijfsoverspannend en geïntegreerd proces. Zo'n geïntegreerde benadering loont. Goede interne beheersing leidt er toe dat er overzicht ontstaat over de belangrijkste risicocategorieën, zodat die beter gemanaged kunnen worden met de juiste prioriteitstelling. Als het bestuur dit goed voor elkaar heeft, kan het ook gemakkelijker de geldverschaffers ervan overtuigen dat hun kapitaal in goede handen is. Dit resulteert in een lagere risicopremie, ofwel lagere rentelasten.
DE PRAKTIJK Interne beheersing komt eigenlijk neer op goede huisregels en de bewaking van hun functioneren. Maar doordat deze regels zijn ingevoerd in de loop
Ook risicobereidheid verschilt van bedrijf tot bedrijf. Het gaat over het aangeven van de aanvaardbaar geachte kans dat een ongewenste gebeurtenis zich voordoet, en de omvang van het gevolg ervan. Denk daarbij aan vragen als: 'Hoeveel geld willen we maximaal kwijt zijn, als een nieuwe productontwikkeling niet succesvol blijkt?' of 'Hoelang staan we toe dat een buitenlandse vestiging verlieslatend is in de opbouwfase?' Informatie over risicobereidheid wordt best ingewonnen door interviews met het management. Zij kunnen op basis van wat er in het verleden misging het best inschatten welke situaties onaanvaardbaar zijn, en ze weten vaak ook de onmiddellijke pijnpunten liggen. Maar het bestuur moet het verantwoordelijkheidsgebied voor elk van de betrokken functies duidelijk afbakenen.
SUCCESFACTOREN Eén van de succesfactoren voor een risicobeleid is het specifiek, toegankelijk en inzichtelijk maken en houden van de huisregels. Antwoorden op vragen als: 'Wie mag welke regels wanneer uitvaardigen?', 'Zijn onze regels onderling consistent?' of ‘Hebben we niet te veel regels?' beantwoordt men best aan de hand van een adequaat raamwerk.
Een tweede succesfactor is de steun van het topmanagement. Daarnaast moeten de risicocategorieën duidelijk toegewezen worden aan verantwoordelijken. Dit vermijdt niet alleen overlappingen, maar vooral lacunes in de risicoafdekking. Ten slotte blijkt het zeer effectief te zijn om risico's op te nemen in de sleutelindicatoren in de managementrapportage. Ga eens na wat de top 10 is die komt uit de organisatiebrede risicoanalyse van uw organisatie en kijk vervolgens wat daarover wordt gerapporteerd in de huidige managementrapportage. U loopt het risico verbaasd te staan.
‘IN CONTROL' IN ZEVEN STAPPEN 1.Bepaal de doelstellingen, gericht op het creëren van waarde voor de stakeholders en bepaal welke mate van afwijking voor hen toelaatbaar is. 2.Ga na wat de realisatie van die doelstellingen kan hinderen (risico's) of helpen (opportuniteiten) (zie ook het artikel over risicoanalyse). 3.Inventariseer de beheersmaatregelen die zijn bedoeld om de doelstellingen zo goed mogelijk te bereiken. 4.Bepaal of de huidige beheersmaatregelen voldoende zijn om ervoor te zorgen dat de afwijkingen van de beoogde resultaten aanvaardbaar zijn. 5.Leg de huisregels duidelijk vast, zodat de betrokkenen weten wat van hen wordt verwacht. Voer geregeld verbeteringen door. 6.Toets of de huisregels worden opgevolgd. Dit kan door toezicht van het dagelijks management, business reviews, audits, inspecties enz. 7.Evalueer in welke mate de doelstellingen worden gehaald en welke verbeteringen in de interne beheersing wenselijk zijn. Marinus De Pooter, Director Business Risk Services Sofie Bullynck Senior Manager Business Risk Services
6
RISICOMANAGEMENT CREËERT TOEGEVOEGDE WAARDE
BIJLAGE i.s.m. ERNST & YOUNG
De regels voor transparantie en goed bestuur INTERNE CONTROLE EN INTERNE AUDIT IN DE OVERHEID
IN DE PRAKTIJK
Door de principes van deugdelijk bestuur is de autonomie van het management bij de overheid de afgelopen jaren flink toegenomen. Tegelijkertijd groeide het besef dat interne controle en interne audit ook in de publieke sector onontbeerlijk zijn als instrument voor een beter beheer. Als dit op een correcte manier gebeurt, kan het leiden tot een meer doelgerichte en transparante werking van de overheidsdiensten.
FOTO: iSTOCK
O
f het nu gaat om het gemeentelijke niveau (gemeentedecreet), de Vlaamse (kaderdecreet Bestuurlijk Beleid) of de federale overheid (KB's van 17 augustus 2007), op zowat elk bestuurlijk niveau is audit en controle een hot topic. Bij het opzetten van een intern controlesysteem (ICS) bij de overheid moet men rekening houden met een paar cruciale punten. Zo is het definiëren van de rollen belangrijk: Wie is waarvoor verantwoordelijk? Wat doet een cel interne controle (indien aanwezig)? Waarvoor is de interne auditfunctie verantwoordelijk? Wat zijn de taken van de leidinggevende, het directiecomité, iedere ambtenaar of minster …? Het gaat bij het ICS uiteraard in eerste instantie om de verantwoordelijkheid van het management, die dan in cascade
geldt voor alle medewerkers van de entiteit. Maar de voorbeeldfunctie van het management blijft fundamenteel. Naast de analyse van de controleomgeving worden de voornaamste processen individueel geanalyseerd op basis van een prioriteitenlijst. Het belang van de processen binnen de entiteit, het aantal betrokkenen, het budget en de fraudegevoeligheid zijn allemaal criteria die gebruikt kunnen worden om die prioriteiten te bepalen. De analyse van de processen zelf gebeurt best in zeven stappen:
1. Inzicht in de processen krijgen op basis van procesbeschrijvingen of interviews. 2. Een risico-inventaris opmaken, uitgaande van de doelstellingen van elk proces en de afweging van het niet-bereiken van de doelstelling in kwestie.
3. Analyse en beoordeling van de risico's om te komen tot de optimalisatie van het ICS. 4. Een kloofanalyse die de ontbrekende controles analyseert. 5. Een risico- en controlematrix opstellen met risico’s, bestaande controles en ontbrekende controles. 6. Een implementatieplan en prioriteitenplan met remediëringspunten opstellen voor ontbrekende controles. 7. Over het geheel moet gerapporteerd worden en er moet een continue, cyclische opvolging en update gebeuren. Uiteraard is een goed geolied controle- en auditmechanisme bij de overheid opzetten een gespecialiseerd project. Maar gelukkig zijn er, zoals de casus in de kader hiernaast aantoont, partijen die daarbij kunnen helpen.
INTERNE CONTROLE BIJ DE STAD GENT Volgens het gemeentedecreet moet elke stad of gemeente instaan voor de interne controle van haar activiteiten. Sommigen beschouwen deze bepaling als een zoveelste puntje op de al ellenlange to-dolijst van steden en gemeenten. Maar bij de stad Gent maakten ze van deze nood een deugd. Ze grepen de bepaling aan als een opportuniteit om zo bij te dragen tot de realisatie van hun doelstellingen. Het stadsbestuur van Gent wenste te beschikken over een performant en integraal intern controlesysteem dat uiteraard moest voldoen aan de eisen van het gemeentedecreet. Bovendien wilde Stad Gent ook dat het controlesysteem geïmplementeerd zou worden in ‘DE GROOTSTE UITDAGING de organisatie op zich en in de verschillende delen er- VAN HET HELE PROJECT van, en dat het zou bijdragen tot het realiseren van WAS HET VERKRIJGEN de doelstellingen van de VAN DE BUY-IN VAN ALLE organisatie. Om dit project mede te ondersteunen deed Stad BETROKKEN PARTIJEN’ Gent een beroep op Ernst & Young. PAUL TEERLINCK, Ernst & Young stelde onSTADSSECRETARIS der meer een nota op STAD GENT waarin de theoretische toepassing van interne controle werd vertaald naar de specifieke omgeving van Stad Gent en waarbij de rol van de tussenkomende actoren werd beschreven, zoals het voorstel voor de oprichting van een cel Interne Controle en het uitbouwen van de bestaande dienst Interne Audit. Daarnaast hielp Ernst & Young bij de analyse van verschillende processen om de risico’s en controlemaatregelen in kaart te brengen en zo tot nieuwe (of aan te passen) procedurebeschrijvingen te komen. Naast het in kaart brengen en waar mogelijk optimaliseren van processen, heeft het project geleid tot een meer doelgerichte en transparante werking van de stad en haar administratie. Deze aanpak geldt overigens niet alleen voor steden en gemeenten, maar net zo goed voor de andere overheden in België. 'Voor we overgingen tot een systematische benadering van interne controle en audit, hadden we al een aantal processen', getuigt Paul Teerlinck, stadssecretaris van de stad Gent. 'We hadden een integriteitscode, een nieuwe organisatiestructuur met gedeelde verantwoordelijkheden en deden ook aan competentiemanagement. Maar we hadden geen geïntegreerd systeem.’ 'Ernst & Young heeft ons geholpen om een risicomatrix op te stellen met een paar honderd processen, waaraan we telkens een prioriteit toekenden', aldus Teerlinck. ‘Het project heeft toch wel enige omvang: we begonnen eraan in oktober vorig jaar en mikken op 2012 als einddatum.’ Volgens de stadssecretaris verliep de samenwerking met Ernst & Young prima: 'Ze hielpen ons om een Cel Interne Controle samen te stellen, en een paar consultants maakten daar een tijdlang deel van uit, zodat we konden profiteren van hun expertise. De grootste uitdaging van het hele project was het verkrijgen van de buy-in van alle betrokken partijen. Ernst & Young heeft ons geholpen met onder andere de oprichting van een forum waar alle betrokkenen hun meningen kwijt konden. De culturele omslag was niet makkelijk, maar is nu wel bereikt. Nu zijn we zelf aan zet. De volgende stap is de oprichting van een permanente dienst, zowel voor wat betreft de opvolging van de implementatie van het ICS, als daarnaast én volledig onafhankelijk een operationele dienst Interne Audit . We zitten volledig op schema, en ik heb alle vertrouwen in een goede afloop.’ Lieven Penninck Senior Manager Business Risk Services
RISICOMANAGEMENT CREËERT TOEGEVOEGDE WAARDE
BIJLAGE i.s.m. ERNST & YOUNG
7
Controle over de impact van uw handtekening CONTRACTRISICO'S BEHEREN Op basis van de Global Internal Audit Survey die Ernst & Young dit jaar uitvoerde bij 348 internationale bedrijven, blijkt dat 88 procent van de ondervraagden het belang van contracten als belangrijk of erg belangrijk definieert. Desondanks vindt slechts 18 procent van de respondenten dat hun contracten volledig onder controle zijn. 41 procent meent dat de contractrisico's ietwat onder controle zijn, en de overblijvende 41 procent ziet het als een verbeteringsopportuniteit of weet het niet. Reden genoeg om dit significante risico nader te belichten.
CONTRACTEN WINNEN GAAT ONDERNEMINGEN MEESTAL GOED AF. MAAR ALS HET CONTRACT AFGESLOTEN IS, BLIJVEN EEN AANTAL VRAGEN VAAK ONBEANTWOORD.
O
ndernemingen worden ondersteund en soms zelfs bepaald door contracten. Afspraken met klanten, aankopen bij leveranciers, overeenkomsten met distributeurs, licenties, shared services en outsourcing hebben een grote invloed op de dagelijkse activiteiten en de rapportage. De globalisering en steeds verdere uitbesteding van niet-kernactiviteiten dragen bij aan een toenemend belang van contracten. Als u contractrisico’s in kaart brengt en beheerst, staat de contractlevenscyclus centraal. In deze levenscyclus onderscheiden we het afsluiten van contracten, het onderhouden van contacten met de contractpartijen en het administreren van de contracten. Contracten afsluiten gaat ondernemingen in veel gevallen goed af. Door slim in te kopen kan men vaak besparingen realiseren. Maar na het afsluiten van een contract blijft een aantal vragen vaak onbeantwoord: Wie is het aanspreekpunt voor de contractpartijen? Wie bewaakt de uitvoering en naleving? Hoe waarborgt de organisatie kennis met betrekking tot een vaak complex contract? Op welke wijze worden contracten geadministreerd? De laatste twee fasen van de contractlevenscyclus, het onderhouden en administreren, blijven in de dagelijkse praktijk onderbelicht. Het niet beheersen van contractrisico's kan voor een onderneming verregaande gevolgen hebben: gemiste opbrengsten, ten onrechte in rekening gebrachte kosten, misbruik van intellectueel eigendom en onjuiste leveringen.
bij het aangaan van contracten. Door de globalisering zien we steeds meer patenten, copyrights en trademarks, er zijn de licenties betreffende de Intellectuele Eigendom (IP), de groeiende focus van aankoopafdelingen op besparingen, het outsourcen van processen, en niet te vergeten het grote aantal franchises, joint ventures en andere contractuele samenwerkingsverbanden. Verder zijn er een resem verplichtingen van goed bestuur en de toenemende complexiteit van de regelgeving, die van het management een adequate controle eist van vooral financiële en reporting-functies, contractuele relaties inbegrepen.
SLEUTELVRAGEN OVER CONTRACTRISICO Hoeveel en welke contracten heeft uw bedrijf? Welke kosten of baten vertegenwoordigen die contracten? Op welke manier gaat u na of alle contractverplichtingen vervuld zijn? Krijgt u regelmatig rapportage over de status van de contracten? Wat is de bron van deze informatie? Kijkt u deze informatie regelmatig na? Heeft u de complexiteit en de risico's van uw contracten in categorieën ingedeeld? Is het proces van het nakijken van de rapportage op deze categorieën gebaseerd? Herziet u uw contracten regelmatig? Zijn procesverbeteringen gebaseerd op aanbevelingen van uw auditcomité? Hoe gaat u om met niet-gerespecteerde contractuele termen? Kunt u niet antwoorden op deze vragen? Dan loopt u onnodige risico's.
VOORBEELDRISICO'S RISICOFACTOREN Verschillende factoren vergroten de blootstelling aan risico
In welke sector u ook actief bent en welke types contracten u ook in portefeuille mag hebben,
FOTO: iSTOCK
u loopt altijd risico's. Het kan leerzaam zijn een blik te werpen op specifieke risico's in bepaalde sectoren. We sommen een aantal gekende voorbeelden op. Een licentie- of patenthouder loopt risico’s dat de licentienemers niet of onvoldoende betalen voor de genomen licentie, niet voldoen aan de kwaliteitseisen of niet vermelden dat het patent eigendom is van de patenthouder. Bij het oprichten van joint ventures of uitbestedingscontracten zijn de belangrijkste risico's overof onderbetaling of het niet naleven van de contractvereisten zoals tijdig produceren en leveren, kwaliteitseisen, productsamenstelling enz. Bedrijven actief in erg competitieve sectoren waar de marges minimaal zijn, sluiten dan weer
vaak contracten af met hun leveranciers waarin de prijs bepaald wordt op basis van de marktevolutie of op basis van complexe berekeningsmethodes. Dit kan ruimte laten voor interpretatie met conflicten of incorrecte aanrekening tot gevolg. Misschien is geen van deze voorbeelden rechtstreeks voor u van toepassing. Maar met wat verbeelding is het niet moeilijk om in te beelden wat er mis kan gaan met de contracten in uw portefeuille. En daar kunt u zich maar beter van bewust zijn. Kenneth Verheyden Senior Manager Business Risk Services
ADVERTENTIE
U bent voorbereid op de wereld van vandaag ... maar bent u dat ook op deze van morgen?
Wilt u weten hoe u uw bedrijfsrisico’s het best beheerst en controleert? Surf dan zeker naar www.ey.com/be