Otten, J Artikel ESAA, 2009
Risicomanagement: een geïntegreerde benadering
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
1
Otten, J Artikel ESAA, 2009
Risicomanagement Een geïntegreerde benadering
Auteur:
Jan Otten
10 juli 2009 Auditing & Consulting Services Arnhemsebovenweg 40 3971 MK Driebergen Telefoon: (0343) 524111 Telefax: (0343) 524139 Bank: F. van Lanschot 22.68.35.979
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Otten, J Artikel ESAA, 2009
INHOUDSOPGAVE 1. INLEIDING ................................................................................................................................... 1 2. WAT IS RISICOMANAGEMENT? ............................................................................................... 2 2.1. EEN SYSTEMATISCHE AANPAK ................................................................................................. 2 3. DE PLANNING- & CONTROLCYCLUS ...................................................................................... 4 3.1. DOELSTELLING ........................................................................................................................ 4 3.2. AANDEEL RISICOMANAGEMENT ................................................................................................ 5 4. EEN GEÏNTEGREERD RISICOMANAGEMENTSYSTEEM........................................................ 6 4.1. INSTRUMENTEN ....................................................................................................................... 6 4.2. IMPLEMENTATIE ...................................................................................................................... 7 4.3. TIJDSLIJN EN -BESTEDING ........................................................................................................ 8
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
3
Otten, J Artikel ESAA, 2009
1. INLEIDING Een manager aan het woord: 'De meeste processen binnen onze bedrijfseenheid lopen goed. De kwaliteit van onze producten en diensten is uitstekend. Maar tegen welke bedreigingen kunnen we aanlopen? Stel je voor dat een deel van onze omzet wegvalt. Of dat enkele sleutelfunctionarissen vertrekken. En wat gebeurt er als we de bezuinigingsrondes van de holding niet goed inschatten en dus budgettair in de problemen komen? Of als we niet juist inschatten hoe het Europese subsidiebeleid zich gaat ontwikkelen en dus subsidiegelden mislopen en imagoschade oplopen?' Als verantwoordelijke binnen uw organisatie of bedrijf komt u dagelijks, bewust of onbewust, met risicomanagement in aanraking. Want of het nu gaat om de Raad van Commissarissen, de Raad van Bestuur, het Business Unit Management of de andere verantwoordelijken: allemaal krijgen ze te maken met onzekerheden en kansen - de twee smaken waar het bij risicomanagement om draait. Bij elk smaak zult u zich afvragen: Wat is de kans dat dit gebeurt? Wat is dan de impact daarvan? Heb ik al maatregelen getroffen? Blijven er nog risico's over? Kan ik die risico's vermijden of verminderen? Wanneer moet ik dat dan doen? Als u en uw collega’s erin slagen deze 'risicosmaken' op min of meer systematische, structurele en pragmatische wijze te managen, dan is uw organisatie of bedrijf al redelijk goed 'in control'. Maar misschien vergeet u soms risicovolle gebieden of ziet u de samenhang met andere gebieden over het hoofd. Daarom is een organisatiebrede en geïntegreerde aanpak noodzakelijk. Bovendien schrijft de wet voor dat organisaties bepaalde risico's, bijvoorbeeld veiligheidsrisico's, regelmatig moeten inventariseren en evalueren, en waar nodig passende maatregelen treffen. Een extra reden om aandacht te besteden aan dit onderwerp. Maar hoe zorgt u nu voor die geïntegreerde aanpak? Waaraan moet zo’n systeem van risicomanagement aan voldoen? In een dergelijk systeem moeten identificatie/inventarisatie, analyse, beheersing (het nemen van maatregelen), monitoring van risico's en verantwoording afleggen centraal staan. Daarnaast is het belangrijk dat dit systeem zo veel mogelijk wordt geïntegreerd in de bestaande besturingsprocessen van uw organisatie, met name in het proces van planning en control. Pas dan kunt u écht zeggen dat uw organisatie 'in control' is, én dat u zicht heeft op de kansen die zich voordoen. In deze notitie vindt u om te beginnen meer informatie over het begrip risicomanagement. Vervolgens lichten we toe hoe het systeem eruitziet en waarom het zo belangrijk is. Ook doen we een voorstel hoe het systeem kan werken in de praktijk van uw organisatie door de onderdelen van risicomanagement te koppelen aan de stappen van de planning- & controlcyclus. Hierdoor wordt de continue werking van risicomanagement voor iedereen in uw organisatie duidelijk zichtbaar en gewaarborgd.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Otten, J Artikel ESAA, 2009
Wereldwijd veel belangstelling Wereldwijd zijn veel organisaties bezig met het vormgeven van risicomanagement. In 2004 voerde PricewaterhouseCoopers een internationale survey uit naar het onderwerp risicomanagement. Daaruit bleek dat 38 procent van de bedrijven en organisaties al beschikt over een effectief systeem van risicomanagement. Nog eens 46 procent geeft aan dat in de komende jaren te zullen realiseren. De reden voor deze belangstelling ligt in de boekhoudschandalen van enkele jaren geleden, zowel binnen als buiten Nederland. Die hebben de druk op organisaties vergroot om het managen van risico's serieus te nemen en een adequaat stelsel van beheersingsmaatregelen in te richten en te onderhouden. Veel landen hebben intussen regelgeving ontwikkeld op het gebied van corporate governance. Daardoor werden beursgenoteerde bedrijven verplicht hun lopende initiatieven op het terrein van risicomanagement te versnellen en in lijn te brengen met de eisen van de nieuwe regelgeving. Ook binnen niet-beursgenoteerde ondernemingen en binnen de publieke sector heeft risicomanagement steeds nadrukkelijker aandacht gekregen.
2. WAT IS RISICOMANAGEMENT? Om het begrip ‘risicomanagement' te kunnen uitleggen, geven we u eerst een definitie van het begrip 'risico'. In onze visie komt een risico voort uit een onzekerheid. Enerzijds kan een risico een positief effect hebben op het realiseren van de doelstellingen van de organisatie; we noemen dat een kans. Heeft het risico een negatief effect" dan spreken we over een bedreiging. 2.1. Een systematische aanpak Elke organisatie probeert bedreigingen te beheersen en kansen zo veel mogelijk te benutten. Daarvoor is echter wel een expliciete, reproduceerbare en consistente aanpak nodig. Bij veel organisaties ontbreekt zo'n aanpak echter. Risicomanagement kan hierbij uitkomst bieden. Hiermee kunnen organisaties hun risico's (kansen en bedreigingen) systematisch identificeren en analyseren, om vervolgens een adequate reactie te kunnen plannen en implementeren. Risicomanagement levert zo meer en betere mogelijkheden voor proactieve en goede besluitvorming. Daardoor draagt het bij aan een efficiënte en effectieve bedrijfsvoering. Deze aanpak, gericht op zowel bedreigingen als kansen, is breder dan alleen 'het sturen op succes- en faalfactoren'. In de kern gaat het erom dat organisaties zo beheerst mogelijk goed uitgekiende doelstellingen realiseren in een onzekere omgeving. Een belangrijk aspect van risicomanagement is de risicohouding van het management. Is het management vooral risicomijdend? Of ligt de prioriteit bij het profiteren van de kansen die zich mogelijk voordoen? Ook hieruit blijkt weer dat het voor de hand ligt risicomanagement zo veel mogelijk te integreren in het strategisch besluitvormingsproces en de planning- & controlcyclus van de organisatie. De risicocultuur en het risicobeleid moeten immers naadloos aansluiten op de
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Otten, J Artikel ESAA, 2009
kritieke succesfactoren (KSF) en de performance-indicatoren (PI). Met name de boven- en ondergrenzen van de PI geven een beeld van de 'risk appetite' en risk tolerance' van het management. Het onderstaande voorbeeld verduidelijkt dit. Een wetenschappelijk instituut heeft als missie om tot de beste drie instituten van de wereld te behoren. Het beschrijft zijn risicohouding als volgt: We beseffen dat we om de top te halen geen enkel risico mogen lopen wat betreft de kwaliteit van het wetenschappelijk personeel en de kwaliteit van de onderzoeken. Tegelijkertijd accepteren we dat de kosten aanzienlijk kunnen stijgen en de verhoudingen met enkele tot nu toe 'bevriende' instituten kunnen verslechteren.' Vervolgens kiest het instituut een strategie om de doelstellingen die horen bij de missie te realiseren. Ten slotte bepaalt het de kritieke succesfactoren (KSF'en), de key performance indicatoren (KPI'en) en de toleranties bij elke KPI. Daarbij zullen de KPI'en voor de kwaliteit van het personeel en het onderzoek relatief hoog liggen en zeer kleine marges hebben. De KPI'en van de overige KSF'en kennen veel grotere toleranties. Dit voorbeeld laat zien dat het logisch is risicomanagement te integreren in het strategisch planningsproces van de organisatie. Alleen zo sluit het risicobeleid goed aan op de KSF'en en de KPI'en. Maar er is een tweede reden om te kiezen voor integratie met het strategisch planningsproces. We willen het begrip risicomanagement namelijk niet beperken tot potentiële bedreigingen, maar ook de mogelijke kansen daarin betrekken. Bij het bepalen van doelen en strategieën laat het management zich immers vaak leiden door positieve ontwikkelingen en gebeurtenissen of kansen die het verwacht in de toekomst. Zo opgevat zijn strategisch management en risicomanagement twee zijden van dezelfde medaille. Dat komt ook naar voren in de volgende figuur.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Otten, J Artikel ESAA, 2009
Missie en visie
Strategische doelen
Risicohouding
Risicobeleid
Strategie
KSF’en/KPI’s
Risicotoleranties
Figuur 1. Integratie risicomanagement in Planning& Controlcyclus.
3. DE PLANNING- & CONTROLCYCLUS Organisaties voeren tal van activiteiten uit om hun doelen te bereiken. Het is belangrijk dat deze activiteiten georganiseerd en gestructureerd worden uitgevoerd. Door te kiezen voor een bepaalde organisatie-indeling en bijbehorende taken, verantwoordelijkheden en bevoegdheden, zorgen organisaties voor structuur. Daarnaast heeft men besturingsprocessen geïmplementeerd waarbij het management van de activiteiten in een cyclische structuur is gebracht: de planning- & controlcyclus (P&C-cyclus). 3.1. Doelstelling De belangrijkste doelstellingen van de P&C-cyclus zijn: •
de samenhang versterken in de strategie en het beleid van de organisatie, bedrijfseenheden, afdelingen en de ondersteunende functiegebieden;
•
de bestuurlijke dialoog en afstemming tussen voornoemde niveaus bevorderen.
De P&C-cyclus is 'een voortdurend proces van leren en verbeteren: doen we als organisatie, bedrijfseenheden, (staf)afdelingen de goede dingen en doen we de dingen goed'. De belangrijkste instrumenten binnen de cyclus zijn: •
Planning: o
Visie en missie;
o
Strategisch meerjarenplan en jaarplan van de organisatie;
o
Strategisch meerjarenplan en jaarplan van de bedrijfseenheden
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Otten, J Artikel ESAA, 2009
•
o
Operationeel jaarplan van de bedrijfseenheden;
o
Managementcontracten
o
Begrotingen en budgetplannen
o
Enz.
Verantwoording: o
Jaarverslag;
o
Kwartaalrapportages
o
Beoordelingsgesprekken
o
Etc.
3.2. Aandeel risicomanagement In hoeverre is risicomanagement nu al ingebed in uw huidige P&C-cyclus? Onze praktijkervaring wijst uit dat het aandeel risicomanagement in heel veel gevallen nog zeer bescheiden is. Soms zien we eerste stappen zoals het gebruik van bijvoorbeeld de SWOT-analyse. De SWOT-analyse van Ansoff is een stelselmatige analyse van de belangrijkste factoren waarmee de organisatie of het bedrijf wordt geconfronteerd. Deze factoren vallen uiteen in twee groepen: de interne sterke en zwakke punten van de organisatie en de externe kansen en bedreigingen. Met name de tweede groep kan worden gezien als een bescheiden begin van risicomanagement. In de regel bevatten de plannen geen resultaten van gedegen risicomanagement, zoals een risicoprofiel of een risicobeleid, en een risicoanalyse waarbij de risico's gekoppeld zijn aan de doelstellingen. Goed bestuur Net als de meeste andere zal ook uw organisatie of bedrijf de principes van goed bestuur (grotendeels) onderstrepen, zoals die door de Commissie Tabaksblat in de Code Corporate Governance zijn verwoord. Beursgenoteerde ondernemingen zijn het verplicht en veel andere organisaties kiezen 'vrijwillig' voor een zogenoemd 'Tabaksblat-compliant' bestuursbeleid. Een consequent vervolg hierop zou zijn dat uw organisatie ook de aanbevelingen van de Monitoring Commissie volgt. Deze commissie heeft onderzocht in hoeverre ondernemingen de Nederlandse Corporate Governance code (ook wel de Code Tabaksblat) naleven. In haar onderzoeksrapport geeft de commissie ook adviezen over risicomanagement. Zij stelt dat ondernemingen in hun verantwoording over het interne risicomanagementsysteem het volgende moeten opnemen: Het risicoprofiel van de organisatie. Daarbij moet de organisatie aandacht besteden aan haar risk appetite en de belangrijkste strategische, operationele, financiële en compliancerisico's, inclusief de kwalitatieve (minimale) impact en de response. Verder neemt zij een gevoeligheidsanalyse op in relatie tot de best practice in de sector. Een beschrijving van het risicomanagementsysteem. De organisatie besteedt in deze beschrijving aandacht aan de risico's die worden 'afgedekt' en het daarbij gebruikte referentiemodel. Ook © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Otten, J Artikel ESAA, 2009
beschrijft zij de inbedding in de organisatie (inclusief taken, verantwoordelijkheden en bevoegdheden in relatie tot het systeem), de evaluatie van het systeem en de resultaten daarvan en eventuele verbeteringen. Tot slot geeft zij een ‘in control’-verklaring.
4. EEN GEÏNTEGREERD RISICOMANAGEMENTSYSTEEM Risicomanagement heeft op dit moment nog geen duidelijke plaats in de P&C-cyclus van veel organisaties. Praktisch gezien kan dit systeem als volgt worden geïntegreerd. •
Planning o
Het strategisch meerjarenplan, met daarin opgenomen een risicoparagraaf met het risicoprofiel (risicohouding en risicobeleid) van de organisatie als geheel. Dit document is bedoeld als kaderstelling voor de bedrijfseenheden en de (staf)afdelingen;
o
Het meerjarenplan van de bedrijfseenheden met daarin opgenomen een risicoparagraaf met het risicoprofiel (risicohouding en -beleid) van de bedrijfseenheid;
o
Managementcontract en operationeel jaarplan met risicotoleranties. Hierbij kan een beschouwend en samengevat risicobeeld worden opgenomen in een zogenoemde risicoparagraaf.
o
Begroting met daarin opgenomen een bedrag voor het weerstandsvermogen in verband met de gesignaleerde risico's van de organisatie en de bedrijfseenheden.
•
Verantwoording o
Jaarverslag van de organisatie met daarin opgenomen een integrale ‘in control’verklaring.
o
Een ‘in control’-verklaring van de bedrijfseenheden
o
Kwartaaloverleg waarin ook de eventuele mutaties in het risicoprofiel en de bijbehorende response van de bedrijfseenheden worden besproken met de Raad van Bestuur.
4.1. Instrumenten Om risicomanagement vorm te geven, hebben we verschillende instrumenten ontwikkeld: de Risico Quick Scan (RQS), het Organisatiebrede Risico Assessment (ORA) en Control Risk Self Assessment (CRSA) voor bedrijfseenheden en (staf)afdelingen. Bij uw organisatie zou het instrumentarium er als volgt kunnen uitzien: •
RQS wordt ingezet om de risicovolwassenheid van uw organisatie te bepalen en de overige
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Otten, J Artikel ESAA, 2009
instrumenten aan te passen aan de specifieke kenmerken van uw organisatie of bedrijf op dit moment; •
ORA kan worden gebruikt om de organisatiebrede algemene en strategische risico’s van uw organisatie te inventariseren en te analyseren. Daarbij wordt gebruik gemaakt van de zogenaamde Delphi-techniek en een speciaal daarvoor geselecteerd forum van functionarissen die direct en indirect bij de organisatie of het bedrijf betrokken zijn. Denk daarbij aan medewerkers van uw organisatie, maar ook aan afnemers en leveranciers, vertegenwoordigers uit de politiek, enz. Deze experts wordt gevraagd potentiële gebeurtenissen te identificeren en te analyseren op kans van optreden en de mogelijke gevolgen voor uw organisatie. De resultaten worden naast de risicohouding van het management van de organisatie gelegd en opgenomen in een risicoparagraaf in het strategisch plan.
•
CRSA is bedoeld om de risico’s in de operationele werkprocessen van de bedrijfseenheden en (staf)afdelingen van uw organisatie te inventariseren en te analyseren. Op dit niveau wordt risicomanagement vormgegeven door zelfevaluatie. Dit is een systematische evaluatie van de kwaliteit van de interne beheersing met als doel deze te verbeteren, het management van de bedrijfseenheden en de (staf)afdelingen te versterken en redelijke zekerheid te verschaffen dat doelstellingen gerealiseerd worden. Centraal in deze aanpak staat dat de bedrijfseenheden en (staf)afdelingen zelf de kwaliteit van de interne beheersing beoordelen. Zij zijn immers de deskundigen en primair verantwoordelijk. Risicomanagement door zelfevaluatie kan op verschillende wijzen worden uitgevoerd. In het algemeen begint de zelfevaluatie met het identificeren van de organisatiedoelen, risico's en de beheersmaatregelen die aanwezig zijn om de risico's te verminderen of weg te nemen. Daarna worden de sterke en zwakke punten in het systeem van beheersing geïnventariseerd, op basis van vergelijking met de risico's en beheersmaatregelen. De zwakke punten worden vervolgens concreet uitgewerkt in actieplannen. Samen met het risicoprofiel krijgen zij een plek in het strategisch, respectievelijk operationeel plan van de bedrijfseenheid of (staf)afdeling. De financiële component van de risicoresponse vinden we tot slot terug in de begroting.
4.2. Implementatie Om risicomanagement daadwerkelijk te kunnen implementeren in uw organisatie zijn niet alleen instrumenten nodig. Ook is van belang in kaart te brengen wat de belangrijkste aspecten van risicomanagement zijn, welke taken, bevoegdheden en verantwoordelijkheden het met zich meebrengt en welke tijdlijn haalbaar is. In het eerste jaar helpen we u met het ontwikkelen van het instrumentarium voor risicomanagement, de implementatie van het systeem in uw organisatie en het faciliteren van de self assessments. Voor de organisatie is dit eerste jaar een ‘leerjaar’. Het accent ligt dan vooral op de planningskant. Er worden het eerste jaar nog geen ‘in control’-verklaringen van de organisatie-
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Otten, J Artikel ESAA, 2009
onderdelen gevraagd. Voor het tweede jaar gaan we ervan uit dat de coördinatie van het systeem van risicomanagement bij een van de stafafdelingen is belegd. Dit zou bijvoorbeeld de afdeling Planing & Control kunnen zijn. Het is voor de organisatie nog steeds een leerjaar, maar nu wordt ook de verantwoording opgenomen in het systeem en worden pro-forma ‘in control’-verklaringen van het verantwoordelijk management gevraagd. Tijdens het derde jaar ten slotte, is het systeem volledig operationeel en hebben ook de ‘in control’verklaringen een formele status. 4.3. Tijdslijn en -besteding Nadat de raad van Bestuur of de directie heeft ingestemd met de voorgestelde beleidslijn, stellen we voor op zo kort mogelijke termijn te starten met 2 of 3 pilots. Deze pilots hebben vooral ten doel om het instrumentarium te ontwikkelen dat aansluit op de behoeften en de specifieke kenmerken van uw organisatie. In de loop van het jaar evalueren we gezamenlijk deze pilots en kan naar verwachting risicomanagement organisatie-breed worden ingevoerd. De tijdinzet van de betrokkenen zal tot een minimum worden beperkt. In het plan van aanpak per organisatieonderdeel zal de tijdsbesteding zo precies mogelijk worden aangegeven. De tijdinzet voor de RQS zal voor betrokkenen zeer beperkt zijn; naar schatting 3 tot 4 uur per jaar. De ORA vraagt weinig tijd van de organisatie zelf. Het Delphi-onderzoek zal uiteraard moeten worden voorbereid en gefaciliteerd, maar er wordt vooral inzet gevraagd van (externe) panelleden. De verwachting is dat de zelfevaluatie van de CRSA maximaal 8 uur zal vragen van elk van de leden van het managementteam van een bedrijfseenheid of (staf)afdeling.
Meer informatie? Wanneer u meer informatie wenst kunt u contact opnemen met: Jan Otten ACS
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl