TRANSPORT
Risico’s managen is mensenwerk
Ondernemen is kansen zien en grijpen, maar ook risico’s lopen. Risicomanagement behoort daarom tot de vaste agenda van bestuurders en commissarissen. Omdat ook in de scheepvaartsector veranderingen elkaar steeds sneller opvolgen en vanwege de toenemende complexiteit van risico’s - gedreven door technologische ontwikkelingen, globalisatie, toename in regelgeving en de roep om meer transparantie - is het begrijpen en controleren van de bedrijfsrisico’s een cruciale uitdaging geworden. In een recent onderzoek van de Economist Intelligence Unit (EIU) gaf 50% van de deelnemers aan dat de meeste druk om de Governance, Risk en Compliance (GRC)-functie te verbeteren van het management komt. Enerzijds vanuit de behoefte aan zekerheid dat de dingen binnen de organisatie goed gaan, maar
anderzijds ook om vast te stellen dat de organisatie de goede dingen doet. Vaak gaat veel tijd en aandacht uit naar processen en activiteiten gericht op risico’s die er minder toe doen; de belangrijkste risico’s krijgen hierdoor geen of te weinig aandacht. Een goed functionerende GRC-functie zorgt voor een niet-bureaucratische
organisatie die ondersteunend is aan de bedrijfsdoelstellingen en die de kosten van control/compliance/ assurance tot een minimum beperkt. Ondernemerschap, creativiteit en eigen verantwoordelijkheid nemen worden hier juist meer gestimuleerd.
2 | Risico’s managen is mensenwerk
Van dingen goed doen naar de goede dingen doen 1 Wat zijn de trends in de markt? 2 Welke hiervan zijn relevant voor mijn onderneming? 3 Welke kansen ontstaan hieruit voor mijn onderneming? 4 Waar bevinden zich welke risico’s, vanuit verschillende invalshoeken: uit strategisch, operationeel, financieel en compliance oogpunt, uit geografisch oogpunt en vanuit de value chain? 5 Welke controles heb ik nodig om deze risico’s zo goed mogelijk te beheersen? 6 Welke managementinformatie is nodig om de risico’s te monitoren? 7 Is deze informatie voldoende betrouwbaar?
© 2014 KPMG Accountants N.V.
3 | Risico’s managen is mensenwerk
Een goed functionerende Interne Audit-functie is hierbij belangrijker dan ooit. Bedrijven die hier in het verleden onvoldoende in hebben geïnvesteerd zijn druk bezig met een inhaalslag.
De Scheepvaartsector is niet de enige sector die naar mogelijkheden zoekt om risico’s optimaal te managen. Een recent internationaal onderzoek van KPMG onder 1.800 Audit Committee-leden leverde de volgende inzichten op:
De Interne Audit-functie is er niet meer op gericht om achteraf vast te stellen dat bepaalde zaken niet goed hebben gewerkt, als een soort politieagent die een controle komt uitvoeren, maar is in de afgelopen jaren steeds meer de navigator van het management geworden. Een Interne Audit-functie toont haar echte waarde als zij onafhankelijk signaleert of de gekozen richting nog steeds gevolgd wordt en wat de mogelijke risico’s en kansen zijn.
• Slechts 37% vindt het eigen risk management-programma robuust en volwassen, 45% gaf zelf aan dat er aanzienlijke verbeteringen nodig waren. • Slechts een van de vier deelnemers vond dat het eigen risk management-proces voldoende ver naar de toekomst gericht was. • De kwaliteit van de interne informatievoorziening over risico’s blijkt een blijvend aandachtspunt te zijn.
Wat zeggen KPMG praktijken wereldwijd over risk?
ement is Risicomanag naar de en ch dynamis atisch en ni richt, et st toekomst ge ri en ge cht op het verled
kun je deringen De uitzon n, maar je kunt pelle niet voors p voorbereiden lo e w r e je
Risico en pres tatie zijn twee kanten van dezelfde medai lle
Zich BEWUST van de veranderende wereld om hen heen
Het gaat er niet om risico’s te verm ijden, maar om ze beheerst te nemen
ALERT op de invloed van externe trends op hun business
Compliance is geen garantie voor prestatie
Detai li altijd nformatie is nie nodig op ho , maar inz t ofdlijn ic en we ht l
SUCCESVOLLE ORGANISATIES ZIJN: Risicomanag ement is ge en doel op zich ; het remt ni et, maar maakt juist dingen mogelijk
t uit ht ontstaa Veerkrac ing ss a p aan constante te blijven t n va om rele
© 2014 KPMG Accountants N.V.
SNEL in het nemen van beslissingen om kansen aan te grijpen en risico’s te mitigeren
’s, risico n van eren op e g a n Ma reag ts van wereld in plaa elpt ons de h , ’s o n e risic te vorm
FLEXIBEL in de uitwerking van beslissingen
Wij m oeten af on para vragen of s contin u mete rs de onze risk weer werkel ijk spieg elen heid
Begrijpen onderlinge samenhang van risico’s is net zo belangrijk als begrijpen individuele risico’s.
Risicoman agement gaat over aanvallen , niet over verde digen
Risico’s managen is mensenwerk | 4
Wat zijn de meest relevante risico’s? De bevraagde commissarissen noemden vijf soorten risico’s die als grootste uitdaging worden gezien: 1. Onzekerheid en volatiliteit (economisch, politiek, sociaal) 2. Regelgeving en impact van overheidsbeleid 3. Operationele risico’s / controleomgeving 4. Compliance met wet- en regelgeving 5. Technologie (waaronder gegevensbescherming, bescherming intellectueel eigendom en het tempo van de technologische vooruitgang) De genoemde risico’s raken vrijwel alle aspecten van de bedrijfsvoering. Maar zonder een volwassen interne risk-
functie is het de vraag of de impact van deze risico’s wel voldoende in de dagelijkse gang van zaken wordt meegenomen, niet alleen om als rem te werken maar juist ook om nieuwe kansen te benutten. Veelal zijn dit ook niet de risico’s waar de externe accountant extra aandacht voor heeft tijdens de controle van de jaarrekening die zich toch primair richt op het financiële proces. Alleen met een holistische kijk op risico’s, financiële en niet-financiële controlemechanismen, business controls en bestaande controlewerkstromen kan een onderneming een gefundeerde keuze maken voor de vereiste functies, mensen en processen voor een Internal Audit-afdeling.
Risico’s scheepvaartsector 29 Marktfactoren 1
IT en systemen
8 Ontwikkeling olieprijs 7 Krediet 7 Milieu- en veiligheidsaspecten 6 Politiek 4 Piraterij 2
Wet- en regelgeving
2
Medewerkers
14 Financiering 2
Overige risico’s
Bron: jaarverslagen van de 20 grootste scheepvaartondernemingen over 2012
Hoe volwassen is de Interne Audit-functie in de Shipping-sector? KPMG heeft de jaarverslagen en de publieke informatie van de grootste internationale Shipping-ondernemingen onderzocht om een antwoord op deze vraag te vinden. De helft van deze bedrijven geeft aan een Interne Auditfunctie te hebben. Dat lijkt een groter aandeel dan wij in de praktijk bij niet-beursgenoteerde ondernemingen zien. Wie kijkt hier echt naar de risico’s? Wij hebben de risico’s die
© 2014 KPMG Accountants N.V.
in de jaarverslagen worden genoemd vergeleken met de risico’s die uit ons onderzoek onder commissarissen naar voren kwamen. Hierbij valt op dat bedrijven in de Shippingsector de risico’s omtrent IT en informatiebeveiliging vaak niet onderkennen. Dat is verrassend, gezien de complexiteit van IT-systemen die deze bedrijven gebruiken en de mate van gevoelige informatie die wordt opgeslagen.
Risico’s managen is mensenwerk | 5
Hoe effectief is uw Interne Audit-functie? De structuur en het takenpakket van de Interne Audit-functie variëren sterk en slechts enkele ondernemingen heroverwegen regelmatig of de ingezette middelen voldoende zijn. Sommige Interne Audit-functies hebben een heel beperkte rol met focus op financiële controles ondersteunend aan de jaarrekeningcontrole. In zulke gevallen is een heroverweging van de rol van de Interne Audit-functie wenselijk. Het meest efficiënt is de Interne Audit-functie als zij zich richt op de meest relevante ondernemingsrisico’s, zoals operationele risico’s en de hieraan gerelateerde controles. De typische accuratesse en de bestaande controlemechanismen van de
Interne Audit-functie kunnen het management toegevoegde waarde bieden. De Interne Audit-functie moet daarnaast in contact staan met andere functies in de organisatie en veilig stellen dat hiaten in de controle ontdekt en ingevuld worden. Shipping-ondernemingen die nieuwe strategieën willen doorvoeren, operational excellence nastreven en toekomstige businesskansen willen opvolgen, kunnen veel toegevoegde waarde van een volwaardige Interne Audit-functie ervaren. Vooruitstrevende Interne Audit-teams zullen hun focus verbreden en deze integreren met de risicoagenda; zij zullen een proactieve, strategische partner worden.
Telt de mening van IA in uw organisatie? Een self check: Is IA vertegenwoordigd in het Bestuur?
Is er voldoende ondersteuning voor IA?
Op welke plek staat IA binnen uw GRC framework?
Heeft IA een krap budget?
Positionering
Is er een passend personeelsbeleid voor IA? Heeft IA toegang tot experts in kerngebieden binnen de organisatie?
Begrijpen IA-mensen de business?
Heeft IA zowel senior als ervaren resources?
Wordt IA getraind en ontwikkeld?
Is IA een springplank voor talenten?
Mensen
Wanneer heeft IA voor het laatst haar diensten geëvalueerd?
Gebruikt IA technologie?
Worden zorgen in voldoende mate omgezet in acties?
Wat is de ‘state of control’ in uw organisatie?
Worden IA-bevindingen actief opgevolgd?
Proces
© 2014 KPMG Accountants N.V.
Is IA afgestemd op nieuwe businessrisico’s?
Hoe ziet IA plan er voor de komende 2-3 jaar uit?
Contact KPMG Laan van Langerhuize 1 Amstelveen Postbus 74500 1070 DB Amsterdam Herman van Meel T: +31(0)20 656 7222 E:
[email protected] Aad Terlouw T: +31(0)10 453 4470 E:
[email protected] Bart van Loon T: +31(0)20 656 7796 E:
[email protected]
De in dit document vervatte informatie is van algemene aard en is niet toegespitst op de specifieke omstandigheden van een bepaalde persoon of entiteit. Wij streven ernaar juiste en tijdige informatie te verstrekken. Wij kunnen echter geen garantie geven dat dergelijke informatie op de datum waarop zij wordt ontvangen nog juist is of in de toekomst blijft. Daarom adviseren wij u op grond van deze informatie geen beslissingen te nemen behoudens op grond van advies van deskundigen na een grondig onderzoek van de desbetreffende situatie. © 2014 KPMG Accountants N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263683, is een dochtermaatschappij van KPMG Europe LLP en lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG, het logo en ‘cutting through complexity’ zijn geregistreerde merken van KPMG International.
