Risicomanagement, kan het concreter?

Risicomanagement, kan het concreter?

Scriptie MSRE Patrick Glas Mei-2011

“Shall I explain understanding for you? When you understand something, know that you understand it. When you don't understand something, know that you don't understand it. That's understanding.” (Confucius) 1

1

Hinton, D (1998), The analects of Confucius, Counterpoint Washington DC, 1998, p15

ii

VOORWOORD Voor u ligt het resultaat van mijn onderzoek naar risicomanagement binnen vastgoedorganisaties. Naar aanleiding

van

recente

fraudezaken

en

de

financiële

crisis

is

risicomanagement

binnen

vastgoedorganisaties een ‘hot item’. Hoewel er diverse modellen bestaan waarmee risicomanagement organisatiebreed (ook wel Enterprise Risk Management (ERM) genaamd) geïmplementeerd kan worden, blijven veel organisaties worstelen met de vraag hoe zij dit concreet kunnen aanpakken. Met behulp van deze scriptie wil ik een bijdrage leveren aan een oplossing voor deze problematiek. Deze doelstelling lijkt nobel, maar is zeker ook enigszins naïef te noemen. Wereldwijd hebben veel professionals hun tijd en energie gestoken in onderzoeken naar ERM. Er zijn derhalve al talrijke publicaties uitgegeven ten aanzien van dit onderwerp. Echter, tot mijn verbazing kwam ik erachter dat geen van deze onderzoeken het onderwerp ERM heeft bekeken vanuit Organizational Development theorieën. Terwijl juist het vakgebied Organizational Development zich richt op het organisatievraagstuk waar de schoen lijkt te wringen ten aanzien van het organisatiebreed inzetten van risicomanagement. Ik ben daarom van mening dat mijn onderzoek weldegelijk een bijdrage levert aan het verder concretiseren van de wijze waarop ERM geïmplementeerd kan worden in een vastgoedorganisatie. Deze bijdrage heb ik uiteraard niet helemaal alleen tot stand kunnen brengen. Veel mensen hebben tijd vrij gemaakt om met mij de dialoog aan te gaan over dit boeiende onderwerp. Zonder anderen te kort te willen doen, wil ik hierbij vooral Janneke de Wagt (de Alliantie), Cyriel Mintjens (Corio) en Nico de Groot (Ahold) bedanken voor hun medewerking, vertrouwen en kritisch meedenken. Daarnaast mag de rol van mijn begeleider Ton van Welie niet onderbelicht blijven. Naast zijn drukke baan als CEO van Ortec Finance was hij altijd bereikbaar om mee te denken en mijn stukken kritisch door te lezen. Ten slotte wil ik ook het ‘thuisfront’ bedanken voor het feit dat ik deze opleiding heb mogen volgen. Met twee hele jonge kinderen is het niet vanzelfsprekend dat je vrouw je de ruimte geeft om een dergelijke uitdaging aan te gaan. Kim, bedankt! Patrick Glas Mei 2011

i

ii

SAMENVATTING Risicomanagement is een onderwerp dat volop in de schijnwerpers staat bij vastgoedorganisaties. Niettemin worstelen het management en risicomanagementprofessionals van deze organisaties hoe zij risicomanagement organisatiebreed, ook wel Enterprise Risk Management (ERM) genaamd kunnen implementeren. Deze constatering heeft geresulteerd in de volgende centrale vraag: “Hoe ziet een raamwerk er uit dat vastgoedorganisaties meer handvatten geeft om ERM te implementeren in de organisatie?” Omdat het begrip ‘organiseren’ een belangrijk aspect in de vraagstelling is, zijn Organizational Development theorieën gebruikt om het implementeren van ERM te analyseren. Hierbij is gebruik gemaakt van negen aandachtsgebieden die ontleend zijn aan de denkbeelden van Morgan en Nieuwenhuis, te weten: strategie, structuur, cultuur, middelen, mensen, resultaten, ketens, communicatie en integratie. Vanuit deze negen aandachtsgebieden is gekeken naar bestaande ERM literatuur en twee belangrijke ERM modellen: het COSO ERM model en ISO 31000. Uit deze analyse zijn vervolgens vijf implementatie elementen gedestilleerd die vastgoedorganisaties in acht moeten nemen bij het implementeren van ERM in hun organisatie. Deze vijf implementatie elementen zijn: 1. ERM moet worden geplot op het organogram: ERM moet op alle niveaus worden uitgevoerd en de taken, rollen en verantwoordelijkheden ten aanzien van ERM moeten helder worden belegd. 2. ERM besteedt expliciet aandacht aan het managen van de cultuur van een organisatie. De cultuur moet goed aansluiten bij de missie en visie van de organisatie. 3. Een risicomanagementcyclus die gericht is op het bottom-up verzamelen en aggregeren van risico’s in een organisatie. Hier gaat een top-down proces aan vooraf waarin de strategie, missie/visie, doelstellingen en risicoacceptatiegraad worden gecommuniceerd. 4. ERM moet worden geïntegreerd in alle processen van een organisatie. Dit vertaalt zich in het expliciet opnemen van risicomanagement in de besturing (kaders, rapportages) en ondersteuning (mensen, middelen) van de processen. 5. Binnen een organisatie moet de werking (effectiviteit) van ERM worden geëvalueerd en blijvend worden verbeterd. Dit proces kan zowel continu als op gezette tijden plaatsvinden. Met name het vierde implementatie element kan vastgoedspecifiek worden gemaakt. Vastgoed is een heterogeen, kapitaalintensief product dat niet liquide is en waar veel regelgeving en actoren invloed op uitoefenen. Bij het integreren van risicomanagement in de processen van vastgoedorganisaties moet rekening worden gehouden met deze karakteristieken. De vijf implementatie elementen zijn vervolgens geplaatst in de structuur van het COSO ERM model. Er is met name voor deze structuur gekozen omdat

iii

het overzichtelijk is en de verbanden tussen de elementen goed weergeeft. Grafisch ziet het nieuwe ERM raamwerk er als volgt uit: Het nieuwe ERM raamwerk

5 Evalueren en verbeteren

2

3

4

Managen van de cultuur

Risicomanagement Cyclus

1

Integreren in bedrijfsvoering

De implementatie elementen en het nieuwe raamwerk zijn vervolgens op twee manieren getest. Allereerst heeft een praktijkonderzoek plaatsgevonden bij drie verschillende vastgoedorganisaties: Ahold Europe Real Estate & Construction (voorheen Ahold Vastgoed), Corio en de Alliantie. Binnen deze organisaties is bekeken of (en op welke wijze) er invulling wordt gegeven aan de verschillende implementatie elementen en de relatie tussen deze elementen. Deze exercitie heeft geen aanpassingen aan het raamwerk tot gevolg gehad. Vervolgens is er een tweede validatie uitgevoerd met behulp van een ronde tafel bijeenkomst. Aan deze sessie hebben vastgoedexperts, risicofunctionarissen, adviseurs en financiële experts deelgenomen. Hoewel er tijdens deze sessie een aantal belangrijke nuanceringen zijn aangebracht, werd het raamwerk door de deelnemers aan de ronde tafel bijeenkomst gevalideerd. Ten aanzien van het implementeren van het nieuwe ERM raamwerk zijn ten slotte drie aandachtspunten benadrukt. Om te beginnen is draagvlak binnen de directie van cruciaal belang voor de effectiviteit van ERM in een organisatie. Ten tweede is het implementeren van ERM in de bedrijfsvoering geen sinecure. Per proces moet nauwkeurig gekeken worden naar kaders, ondersteunende middelen, benodigde kennis van het personeel en de gewenste rapportages. Ten slotte blijkt de communicatie tussen de verschillende niveaus in een organisatie die tot stand komt binnen de risicomanagementcyclus veel toegevoegde waarde te kunnen hebben. Hierbij lijkt met name de dialoog (over specifieke risico’s, de risicoacceptatiegraad en de wijze waarop men om wil gaan met risico’s) van eminent belang

iv

INHOUDSOPGAVE VOORWOORD .............................................................................................................................................................i Samenvatting .............................................................................................................................................................. iii Inhoudsopgave ..............................................................................................................................................................1 1. Inleiding.....................................................................................................................................................................3 1.1 Achtergrond en doelstelling..................................................................................................................................3 1.2 Centrale vraag.......................................................................................................................................................3 1.3 Deelvragen............................................................................................................................................................4 1.4 Onderzoeksopzet ..................................................................................................................................................5 2. Implementatiecriteria voor een raamwerk.............................................................................................................7 2.1 Ontwerpvariabelen van een organisatie................................................................................................................7 2.2 Barrières voor implementatietrajecten................................................................................................................11 2.3 Resume: negen implementatiecriteria.................................................................................................................12 3. Enterprise Risk Management................................................................................................................................13 3.1 Risico, Risicomanagement en ERM ...................................................................................................................13 3.2 Literatuur inzake ERM .......................................................................................................................................14 3.3 ERM modellen ...................................................................................................................................................20 3.4 COSO ERM model.............................................................................................................................................21 3.5 ISO 31000...........................................................................................................................................................31 3.6 Resume ...............................................................................................................................................................38 4. Vastgoedorganisaties en ERM...............................................................................................................................39 4.1 Kenmerken van vastgoed....................................................................................................................................39 4.2 Vastgoedspecifieke implementatie elementen....................................................................................................40 4.3 Hulpmiddelen voor risicomanagement...............................................................................................................44 4.4 Resume ...............................................................................................................................................................47 5. Contouren van het nieuwe ERM raamwerk ........................................................................................................48 5.1 Structuur van het raamwerk................................................................................................................................48 5.2 Positionering implementatie elementen in het raamwerk ..................................................................................49 5.3 Verbanden in het raamwerk...................................................................................................................................i 5.3 Verbanden in het raamwerk................................................................................................................................51 6. Praktijktoets............................................................................................................................................................53 6.1 Onderzoeksmethode ...........................................................................................................................................53 6.2 De vijf implementatie elementen in de praktijk..................................................................................................54 7. Analyse ....................................................................................................................................................................64 7.1 Praktische relevantie van de implementatie elementen .....................................................................................64 7.2 Praktische relevantie van het nieuwe ERM raamwerk .......................................................................................66 7.3 Resume ...............................................................................................................................................................68 8. Validatie ..................................................................................................................................................................69 8.1 Aanpak ronde tafel bijeenkomst ........................................................................................................................69 8.2 Resultaten Ronde tafel bijeenkomst ..................................................................................................................70 8.3 Resume ...............................................................................................................................................................72 9. Conclusies................................................................................................................................................................73 9.1 Implementatie elementen....................................................................................................................................73 1

9.2 Een raamwerk voor het implementeren van ERM..............................................................................................73 9.3 Aandachtspunten en randvoorwaarden...............................................................................................................74 10. Reflectie .................................................................................................................................................................76 11 Bibliografie.............................................................................................................................................................78 Bijlage 1: Lijst met geinterviewden ..........................................................................................................................80 Bijlage 2: Het 7-S Model en het INK model .............................................................................................................81 Bijlage 3: Risico matrix..............................................................................................................................................83 Bijlage 4: Casestudies.................................................................................................................................................84 Bijlage 5: Voorbeeld heatmap ...................................................................................................................................86 Bijlage 6: Controles op het investeringsproces ........................................................................................................87

2

1. INLEIDING In dit hoofdstuk worden de contouren van deze scriptie uiteengezet. Het behandelt de aanleiding en doelstellingen van het onderzoek, de centrale vraag waar de scriptie zich op zal richten, de deelvragen die gebruikt worden in het onderzoek en de opzet c.q. opbouw van de scriptie.

1.1 ACHTERGROND EN DOELSTELLING De recente vastgoedschandalen en de crisis in het vastgoed hebben de schijnwerpers binnen de vastgoedwereld eens te meer gericht op risicomanagement. Van oudsher werd risicomanagement binnen organisaties vanuit een zogenaamde ‘silo aanpak’ benaderd. Disciplines en afdelingen binnen een organisatie hadden ieder hun eigen risicomanagementmethoden en -aanpak. Sinds het begin van dit millennium wordt de aandacht echter steeds meer gevestigd op geïntegreerde risicomanagementmethoden. Deze methoden worden ook wel Enterprise Risk Management (ERM) genoemd en richten zich op de vraag hoe risicomanagement organisatiebreed kan worden geïmplementeerd. In de loop der jaren zijn er een aantal modellen/raamwerken voor ERM gepubliceerd. Deze modellen richten zich op het begrip ERM en op welke wijze een organisatie hier mee om kan gaan. Echter, deze modellen ogen complex, niet concreet en lijken niet volledig. Ondanks het bestaan van deze modellen blijven veel (vastgoed)organisaties worstelen met de vraag hoe zij Enterprise Risk Management kunnen implementeren in de organisatie. Dit heeft bijvoorbeeld geresulteerd in kennisgroepjes waarin organisaties hun ervaringen met Enterprise Risk Management uitwisselen. Zowel marktpartijen als Ahold, TomTom en Corio, als semi overheidinstellingen zoals woningcorporaties, zoeken elkaar op om kennis te delen en antwoorden te vinden op vragen rondom ERM. Hierbij ligt de nadruk op de vraag hoe ERM geïmplementeerd (lees georganiseerd) kan worden in de organisatie. In deze scriptie wil ik aantonen op welke wijze ERM geïmplementeerd kan worden in vastgoedorganisaties. Het doel is om een raamwerk te creëren dat vastgoedorganisaties concrete handvatten geeft voor het implementeren van ERM in de organisatie. Bestaande ERM modellen zoals het COSO ERM model en ISO 31000 zullen hierbij als basis en inspiratiebron dienen.

1.2 CENTRALE VRAAG Het onderzoek zal worden uitgevoerd met behulp van een centrale vraag, welke ondersteund wordt door zes deelvragen. De centrale vraag die ten grondslag ligt aan dit onderzoek is: Hoe ziet een raamwerk er uit dat vastgoedorganisaties meer handvatten geeft om ERM te implementeren in de organisatie?

3

Deze centrale vraag bevat begrippen die enige toelichting vereisen. Een belangrijk begrip in de centrale vraagstelling is ‘implementeren’. Het (online) woordenboek Van Dale 2 verstaat onder implementeren ‘iets in werking stellen’ of iets ‘invoeren’. Implementeren is een begrip dat, net als een munt, twee kanten kent. Enerzijds gaat het om het proces van invoeren. Dit wordt ook wel de ‘zachte’ kant van implementeren genoemd. Anderzijds richt implementeren zich op de vraag hoe iets georganiseerd moet worden in een organisatie. Dit wordt ook wel de ‘harde’ kant van implementeren genoemd. Dit onderzoek zal zich nadrukkelijk focussen op dit laatste aspect. In de centrale vraag kan het begrip implementeren dan ook worden uitgewisseld met het begrip ‘organiseren’. Het (online) woordenboek van Van Dale1 vertaalt het begrip raamwerk als ‘een kader, opzet of een structuur’. Binnen de context van deze scriptie betekent dit dat er een kader wordt opgesteld voor ERM dat vastgoedorganisaties kunnen gebruiken voor het implementeren van ERM in de organisatie. Het raamwerk fungeert als een kapstok waaraan zaken worden opgehangen en toont het verband tussen verschillende processen en organisatie elementen. Een derde begrip uit de centrale vraagstelling is Enterprise Risk Management, dat vrij vertaald ‘ondernemingsrisicomanagement’ betekent. Het doel van ERM is om risico’s organisatiebreed te inventariseren en beheren. Een nadere toelichting op de begrippen risico, risicomanagement en ERM wordt gegeven in hoofdstuk drie. Het eindproduct van dit onderzoek is primair bedoeld voor vastgoedorganisaties. Kenmerkend voor deze organisaties is dat vastgoed een elementair onderdeel uitmaakt van het primaire proces. Hieronder worden onder andere beleggers, projectontwikkelaars, woningcorporaties en corporate real estate organisaties gerekend. Door de materie vanuit verschillende type vastgoedorganisaties te analyseren probeert dit onderzoek maximaal inzicht te verschaffen in de vastgoedspecifieke elementen die kunnen worden aangebracht in een ERM model.

1.3 DEELVRAGEN Ter ondersteuning van de centrale vraag zijn een zestal deelvragen opgesteld. Deze deelvragen geven structuur en richting aan het onderzoek. Zij worden gebruikt om stap voor stap toe te werken naar het creëren van een raamwerk dat vastgoedorganisaties meer handvatten geeft voor het implementeren van ERM. De zes deelvragen zijn: 1.

Welke criteria kunnen worden gebruikt om het implementeren van ERM te analyseren?

2.

Welke implementatie (organisatie) elementen zijn er te onderscheiden binnen bestaande ERM literatuur?

3.

Welke modellen worden gebruikt om ERM te implementeren?

2 www.vandale.nl

4

4.

Welke implementatie elementen zijn er te onderscheiden binnen het COSO ERM model en ISO 31000?

5.

Welke implementatie elementen kunnen vastgoedspecifiek worden gemaakt?

6.

Op welke wijze hebben vastgoedorganisaties de implementatie elementen geïmplementeerd in de organisatie?

1.4 ONDERZOEKSOPZET Om een vastgoedspecifiek raamwerk voor het implementeren van ERM te kunnen creëren is een kwalitatief, bedrijfskundig onderzoek uitgevoerd. In drie fasen zijn implementatie elementen uit bestaande ERM literatuur en ERM modellen geïdentificeerd, geconcretiseerd, vastgoed specifiek gemaakt en aangebracht in een nieuw raamwerk. Deze drie fasen bestaan uit een literatuurstudie, praktijkonderzoek (case studie) en ronde tafel bijeenkomst (expert panel). De opzet van het onderzoek is grafisch uitgebeeld in figuur 1. Figuur 1: De opzet van het onderzoek H1

Inleiding

H2

Implementeren van een raamwerk

H3

Enterprise Risk Management

H4

Vastgoedorganisaties en risicomanagement

H5

Nieuw ERM raamwerk

H6

Praktijktoets

H7

Analyse

H8

Validatie

H9

Conclusies

Literatuuronderzoek

Praktijkonderzoek

Expert panel

H10 Reflectie

Het literatuuronderzoek bestrijkt hoofdstukken twee tot en met vijf. Hoofdstuk twee identificeert (aan de hand van twee Organizational Development theorieën) criteria die gebruikt kunnen worden om het implementeren van ERM te kunnen analyseren. Deze criteria worden in het onderzoek als ‘een bril’ gebruikt om naar het implementeren van ERM te kijken. In hoofdstuk drie wordt het begrip Enterprise Risk Management nader toegelicht. Wat zijn de voordelen van ERM? Welke ERM raamwerken bestaan er en welke implementatie elementen bevatten twee belangrijke ERM modellen? Hoofdstuk vier borduurt hier op voort en richt zich op vastgoedspecifieke elementen ten aanzien van het implementeren van ERM.

5

Welke unieke karakteristieken van de vastgoedmarkt moeten in ogenschouw worden genomen? En welke middelen bestaan er om risicomanagement ten aanzien van vastgoed te ondersteunen? Hoofdstuk vijf is het slotstuk van het literatuuronderzoek. In dit hoofdstuk worden de bevindingen uit de hoofdstukken twee tot en met vier samengevoegd en uitgewerkt in een nieuw ERM raamwerk voor vastgoedorganisaties. De tweede fase van het onderzoek betreft een praktijkonderzoek. Met behulp van een case studie is bij drie verschillende vastgoedorganisaties (een belegger, een woningcorporatie en een corporate real estate organisatie) bekeken hoe zij ERM hebben geconcretiseerd in de praktijk. In hoofdstuk zes wordt het nieuwe ERM raamwerk met behulp van deze case studie getoetst aan de praktijk. Welke implementatie elementen uit het nieuwe ERM raamwerk worden teruggevonden in deze drie vastgoedorganisaties en op welke wijze zijn deze (concreet) uitgewerkt? Na het praktijkonderzoek worden de resultaten in hoofdstuk zeven nader geanalyseerd. De verschillen tussen het nieuwe model dat is opgezet vanuit een theoretisch kader en de bevindingen uit het praktijkonderzoek worden op een rij gezet en besproken. Hieruit worden voorlopige conclusies getrokken, die in hoofdstuk acht worden gevalideerd met behulp van een expert panel (ook wel ronde tafel bijeenkomst genaamd). Voor deze laatste fase van het onderzoek zijn zowel medewerkers van de onderzochte organisaties benaderd, als experts op het gebied van risicomanagement of vastgoed die nog niet bij het onderzoek betrokken zijn geweest. Deze laatste groep brengt naast hun expertise ook een gewenste, frisse blik mee naar de sessie. Nadat in de voorgaande hoofdstukken alle deelvragen zijn beantwoord, presenteert hoofdstuk negen het definitieve ERM model voor vastgoedorganisaties. In die zin vormt dit hoofdstuk het slotstuk van de scriptie waarin de centrale onderzoeksvraag wordt beantwoord. Het onderzoek wordt ten slotte afgesloten met een nabrander; in hoofdstuk tien vindt reflectie plaats op het onderzoek en worden suggesties voor vervolgonderzoek gedaan.

6

2. IMPLEMENTATIECRITERIA VOOR EEN RAAMWERK Binnen dit onderzoek neemt het begrip ‘implementeren’ een belangrijke plaats in. In hoofdstuk één is reeds kort aangegeven wat er in de context van dit onderzoek onder implementeren wordt verstaan. Het is nu de vraag op welke wijze het implementeren van een concept als ERM onderzocht kan worden. Daarom richt hoofdstuk twee zich op de deelvraag: “Welke criteria kunnen worden gebruikt om het implementeren van ERM te analyseren?” Voor het bepalen van deze criteria lijken theorieën op het gebied van Organizational Development uitkomst te kunnen bieden. Organizational Development (OD) is een vakgebied dat zich richt op het organisatieproces in de breedste zin van het woord, met als doelstelling om de efficiency en levensvatbaarheid van organisaties te vergroten. Aangezien deze scriptie zich toelegt op de vraag hoe ERM in vastgoedorganisaties geïmplementeerd (lees georganiseerd) kan worden, vormen OD theorieën een zeer geschikt hulpmiddel. Met behulp van OD theorieën zullen criteria worden opgesteld waarmee de implementatie van een ERM raamwerk kan worden geanalyseerd. De criteria uit de OD theorieën worden als het ware als een bril gebruikt om naar het implementatievraagstuk van een ERM raamwerk te kijken. In de volgende paragraaf zal aandacht worden besteed aan twee belangrijke publicaties op het gebied van Organizational Development. Dit zijn ‘The art of management’ van Nieuwenhuis en ‘Imaginization, the art of creative management’ van Morgan. De publicatie van Nieuwenhuis is interessant omdat deze een aantal belangrijke theorieën binnen Organizational Development samenvoegt. De theorie van Morgan is een goede aanvulling op de publicatie van Nieuwenhuis, omdat deze juist gebaseerd is op praktijkervaring.

2.1 ONTWERPVARIABELEN VAN EEN ORGANISATIE Volgens Nieuwenhuis (2003, p8) zijn er zeven ontwerpvariabelen, ook wel aandachtsgebieden of bouwstenen genaamd, waar het management aandacht aan moet besteden bij het besturen van een organisatie. Deze ontleent hij aan bekende modellen zoals het 7 S model van McKinsey en het INK model (zie bijlage 2 voor een korte toelichting op deze modellen). De ontwerpvariabelen zijn de belangrijkste fundamenten voor het management en vormen elk een invalshoek bij het managen van een organisatie. Hiermee vormen zij een uitermate geschikte tool om het organiseren van Enterprise Risk Management te analyseren. De zeven ontwerpvariabelen zijn: strategie, resultaten, ketens, mensen, middelen, cultuur en structuur. In het vervolg van deze paragraaf worden deze nader toegelicht. Net als McKinsey wijst Nieuwenhuis er op dat alle ontwerpvariabelen ‘in samenhang’ bekeken moeten worden. Er dient een evenwicht te zijn tussen de variabelen. Wanneer een van de ontwerpvariabelen onderontwikkeld is ten opzichte van de andere ontwerpvariabelen kunnen er problemen ontstaan. Zo leidt een gebrek aan structuur veelal tot chaos, en een gebrek aan het aandachtsgebied cultuur vaak tot weerstand. Daarnaast heeft een aanpassing van slechts één aandachtsgebied (bijvoorbeeld de structuur)

7

zelden het gewenste resultaat tot gevolg. Indien het management daadwerkelijk zaken wil veranderen, dan zullen ook de andere ontwerpvariabelen moeten worden aangepast. DE ONTWERPVARIABELE ‘STRATEGIE’ Dit aandachtsgebied gaat over de doelstellingen van een organisatie en de wijze waarop deze moeten worden gerealiseerd. Aangezien de strategie alle andere bouwstenen direct raakt, staat deze bouwsteen volgens Nieuwenhuis als het ware ‘boven’ de andere bouwstenen. Hiermee lijkt Nieuwenhuis de indruk te wekken dat er een eenzijdig verband bestaat tussen de strategie en de andere aandachtsgebieden. Er zijn auteurs die een andere gedachte zijn toegedaan. Zo is er bijvoorbeeld veel onderzoek gedaan naar de relatie tussen de strategie en structuur van een organisatie. Hall en Saias (1980, p161) zijn binnen dit onderzoeksgebied van mening dat de relatie tussen de variabelen strategie en structuur zeer complex is en dat de structuur van een organisatie ook de strategie beïnvloedt. De mening van auteurs als Hall en Saias vormt geen belemmering voor de keuze van Nieuwenhuis om de strategie als startpunt te kiezen voor het ‘inrichten’ van de organisatie. Echter, organisaties dienen wel in ogenschouw te nemen dat de relatie tussen strategie en andere aandachtsgebieden bilateraal is: “Over the long term however, we believe that a mismatch between strategy and structure will lead to inefficiency in all cases, that is to say a less than optimal input/output ratio. This is precisely the reason why strategists must pay close attention to structure when elaborating strategic plans (Hall en Saias, 1980, p162)” Volgens Nieuwenhuis (2003, p18) staat het begrip strategie ook in nauw verband met de missie, visie, identiteit en de doelstellingen van een organisatie: “Missie en visie beschrijven de identiteit van een organisatie, de bestaansreden en een globaal toekomstbeeld. Een strategie concretiseert dit toekomstbeeld in termen van doelstellingen die in de gewenste situatie bereikt moeten zijn.” De strategie beschrijft hoe een organisatie waarde toevoegt in haar omgeving en welke handelingen men intern moet uitvoeren om deze waarde te kunnen realiseren. Wat wil een organisatie bereiken en op welke wijze gaat men dit bereiken? De organisatie neemt als het ware een ‘outside-in’ en een ‘inside-out’ perspectief. De ontwikkeling en implementatie van een strategie zijn geen eenmalige activiteiten. Ze zijn onderdeel van de besturende processen van een organisatie (Nieuwenhuis, 2003, p19). Deze besturing vindt plaats op verschillende niveaus binnen de organisatie, welke middels kaders en rapportages met elkaar in verband worden gesteld. Hierdoor vindt bestuurlijke communicatie top-down en bottom-up plaats. De bestuurlijke processen worden nader toegelicht onder de bouwsteen ‘structuur’. DE ONTWERPVARIABELE ‘RESULTATEN’ De ontwerpvariabele ‘resultaten’ richt zich op de vraag wat de inspanningen van de organisatie hebben opgeleverd (Nieuwenhuis, 2003, p10). Dit aandachtsgebied heeft Nieuwenhuis vooral ontleend aan het INK model. Het INK model is een van de modellen waar resultaten een belangrijk onderdeel zijn van het 8

model. Hierbij legt het INK model de nadruk op de resultaten van vier belangrijke stakeholders: medewerkers, leveranciers, klanten en de maatschappij. Door expliciet stil te staan bij de vraag wat de inspanningen hebben opgeleverd, kunnen waar nodig acties worden ondernomen om de resultaten verder te verbeteren. DE ONTWERPVARIABELE ‘MENSEN’ Het begrip “managing” is afgeleid uit de woorden ‘man’ en ‘aging’ en betekent feitelijk het volwassen maken van medewerkers (Nieuwenhuis, 2006, p64). Naast klassieke aandachtspunten als ziekteverzuim, een hoge productiviteit en een laag verloop van het personeel, gaat personeelsmanagement steeds meer de nadruk leggen op de ontwikkeling van de medewerkers. Het opdoen en vergroten van kennis en vaardigheden wordt in veel organisaties systematisch aangepakt. Op zich is dit niet verwonderlijk, aangezien het personeel misschien wel de belangrijkste resource is van veel organisaties. Nieuwenhuis kiest hiervoor de term ‘competentiemanagement’, waarbij hij competentie beschrijft als een combinatie van kennis, vaardigheden en eigenschappen (Nieuwenhuis, 2006, p66). Doel is om de competenties van medewerkers te laten aansluiten op de strategie en doelstellingen van de organisatie. Hierbij gaat het zowel om de vraag hoe kennis en vaardigheden door een organisatie kunnen worden geborgd, als om de vraag hoe medewerkers zichzelf (verder) kunnen ontwikkelen. DE ONTWERPVARIABELE ‘MIDDELEN’ Deze bouwsteen is gericht op andere resources dan mensen, zoals machines, ICT, financiën en facilitair management. Deze middelen voeren zelfstandig stappen uit binnen een proces of worden door actoren gebruikt om activiteiten uit te voeren (Nieuwenhuis, 2003, p48). Middelen zijn geen input in de zin dat zij verbruikt of omgezet worden in het proces (zoals bijvoorbeeld grondstoffen). DE ONTWERPVARIABELE ‘STRUCTUUR’ De structuur vormt het hart van de besturing van een organisatie (Nieuwenhuis, 20003, p68). De structuur bepaalt de vorm en de werkwijze van een organisatie en bestaat uit twee elementen: een organisatiestructuur en een processtructuur. Nieuwenhuis benadrukt dat beide structuren nodig zijn in een organisatie. De organisatiestructuur is opgebouwd uit een organieke structuur, een functionele structuur en een personele structuur. De organieke structuur is het organisatieschema (ook wel organogram) genaamd. Hierin vindt men onder andere divisies, afdelingen en entiteiten terug. In de functionele structuur worden alle functies binnen een organisatie beschreven. De personele structuur ten slotte verbindt de organisatiestructuur en de functionele structuur met elkaar, door de personele bezetting van functies binnen organisatie-eenheden te beschrijven. De organisatiestructuur is primair gericht op het beleggen van taken, rollen en verantwoordelijkheden. De processtructuur kent een heel ander karakter. Deze structuur wordt gevormd door ketens van activiteiten die gericht zijn op het leveren van bepaalde resultaten. Elk proces is volgens Nieuwenhuis opgebouwd uit vijf elementen: resultaten, activiteiten, mensen, middelen en kaders (zie figuur 2). 9

Resultaten,

mensen

en

middelen

zijn Figuur 2: Een proces binnen een organisatie

bouwstenen die reeds zijn toegelicht. Hierbij

Besturing

valt op dat resultaten in het procesmodel van

Plannen Kaders

Nieuwenhuis niet alleen output, maar ook input

Rappor‐ tage

zijn voor een proces. Achterliggende gedachte hierbij is dat de resultaten uit een voorliggend proces input kunnen zijn voor een volgend proces.

Onder

een

activiteit

Resultaten

Activiteit

Activiteit

Activiteit

Resultaten

verstaat

Nieuwenhuis (2003, p47) een enkelvoudige processtap, wat een handeling of bewerking

Mensen

kan zijn. Deze activiteiten zijn allen gericht op het boeken van het gewenste resultaat. Een

Middelen

Ondersteuning

Bron: Nieuwenhuis (2003, p47)

kader ten slotte, wordt gevormd door alle randvoorwaarden (zoals weten regelgeving) en de plannen c.q. het beleid dat het management oplegt aan een proces. (Nieuwenhuis, 2003, p48). Hierbij moet men bijvoorbeeld denken aan kwaliteitsnormen waaraan een product of dienst moet voldoen of het budget dat beschikbaar is voor het uitvoeren van een proces. Nieuwenhuis (2003, p84) onderscheidt drie hoofdprocessen die in elke organisatie voorkomen: besturende processen, primaire processen en ondersteunende processen. Besturende processen geven richting aan een organisatie. Activiteiten die hier bij horen

Figuur 3: Besturende processen binnen een organisatie

zijn plannen, controleren, evalueren en bijsturen. Deze activiteiten komen op strategisch,

tactisch

en

operationeel

niveau voor binnen een organisatie. Kaders en rapportages vormen hierbij de spreekwoordelijke ‘Haarlemmer smeerolie’ tussen de verschillende niveaus (zie figuur 3 ). Primaire processen zijn gericht

op

het

produceren

van

zaken/goederen of op het verlenen van diensten. Aan deze processen ontleent een organisatie veelal haar bestaansrecht. Bron: Nieuwenhuis (2003, p19)

Ondersteunende processen ten slotte,

bieden ondersteuning aan de besturende, ondersteunende en vooral aan de primaire processen. DE ONTWERPVARIABELE ‘CULTUUR’ De bouwsteen ‘cultuur’ gaat, net als de bouwsteen ‘structuur’ over de vraag hoe mensen met elkaar omgaan. Echter, daar waar structuur ingaat op de ‘harde’ kant van de omgang, gaat cultuur in op de ‘zachte’ kant van de omgang. Nieuwenhuis definieert cultuur als “de gemeenschappelijke waarden en 10

normen van een organisatie en het daaruit voortvloeiende gedrag” (Nieuwenhuis, 2006, p7). De cultuur van een organisatie blijft vaak impliciet, maar kan zichtbaar worden in zaken als voorschriften, symbolen, verhalen en sleutelfiguren. DE ONTWERPVARIABELE ‘KETENS’ Volgens Nieuwenhuis (2003, p13) vervagen de organisatiegrenzen in de netwerkmaatschappij waarin wij momenteel verkeren. Partners worden hierdoor een steeds belangrijker onderdeel van het bestuursspectrum. Elke organisatie zal zichzelf af moeten vragen welke waarde de organisatie toevoegt, wat de plaats in de keten is, welke zaken men zelf doet en welke zaken uitbesteed worden aan andere partijen. Hoewel deze vraagstukken een sterk strategisch karakter kennen, worden zij op alle niveaus binnen een organisatie terug gevonden.

2.2 BARRIÈRES VOOR IMPLEMENTATIETRAJECTEN De bouwstenen van Nieuwenhuis zijn voor het management van een organisatie concrete aandachtsgebieden voor het besturen en inrichten van een organisatie. Morgan heeft uitvoerig onderzoek gedaan naar de wijze waarop deze inrichting van de organisatie invloed heeft op het implementeren van nieuwe concepten. Uit zijn onderzoek blijkt dat er binnen een organisatie barrières aanwezig kunnen zijn die het aannemen van een andere manier van werken of de implementatie van een nieuw concept blokkeren. Morgan (1993, p. 156) heeft een aantal metaforen bedacht om deze barrières zichtbaar te maken. Dit zijn onder andere: ‘de golf’ en ‘deerhunting’. BARRIÈRE ‘DE GOLF’: EEN GEBREK AAN COMMUNICATIE ‘De golf’ is een fenomeen dat duidt op een gebrek aan communicatie tussen het topmanagement en het middenmanagement en tussen het middenmanagement en de operatie. Volgens Morgan is dit vaak te wijten aan topmanagement dat door de rest van de organisatie als autoritair wordt gezien. Doordat het topmanagement voor bepaalde kwesties de dialoog niet wenst aan te gaan, of signalen uit de organisatie expliciet naast zich neerlegt, worden belangrijke ontwikkelingen in en rondom de organisatie onvoldoende belicht. Communicatie tussen verschillende niveaus binnen de organisatie komt onvoldoende tot stand waardoor er ‘eilanden’ ontstaan. Deze non-communicatie blokkeert een succesvolle implementatie van concepten of een nieuwe manier van werken. BARRIÈRE ‘DEERHUNTING’: EEN CONCEPT WORDT NIET DAADWERKELIJK GEÏMPLEMENTEERD Met behulp van een tweede metafoor ‘deerhunting’ probeert Morgan (1993, p167) duidelijk te maken dat organisaties vaak niet in staat zijn om de essentie van een concept of model te implementeren: “Deerhunters set out for the forest, shoot a deer, and carry it back home. Right? Well, not exactly. They carry back the body, but the essence of the living deer remains in the forest.”

11

Nadat het implementatieproject is afgerond wordt de aandacht weer verlegd naar de dagelijkse gang van zaken en verschuift het nieuwe concept langzaam naar de achtergrond. Het nieuwe concept hangt dan nog slechts als een trofee aan de muur. Dit betekent dat initiatieven als ‘Total Quality Management’ en ‘Empowerment’, maar zeker ook Enterprise Risk Management, daadwerkelijk moeten worden geïmplementeerd (beter gezegd geïntegreerd) in de bedrijfsvoering van een organisatie om effectief te zijn. Hiermee benadrukt Morgan feitelijk het belang om risicomanagement in de besturende, primaire en ondersteunende processen van een organisatie op te nemen.

2.3 RESUME: NEGEN IMPLEMENTATIECRITERIA Op basis van de theorieën van Nieuwenhuis en Morgan kunnen negen criteria worden afgeleid voor het analyseren van het implementeren van ERM in een organisatie. De eerste zeven criteria zijn ontleend aan de ontwerpvariabelen (bouwstenen) van Nieuwenhuis, de laatste twee uit de metaforen van Morgan. De criteria zijn (in willekeurige volgorde): 1. Cultuur: De gemeenschappelijke waarden en normen van een organisatie en het daaruit voortvloeiende gedrag. 2. Structuur: De vorm en de werkwijze van een organisatie, welke bestaat uit een organisatiestructuur en een processtructuur. 3. Strategie: Op welke wijze moeten de doelstellingen van een organisatie worden gerealiseerd? 4. Middelen: Welke middelen gebruiken mensen ter ondersteuning voor het bereiken van de gestelde doelen? 5. Mensen: Over welke competenties moeten mensen beschikken om de strategie te kunnen uitvoeren en de gestelde doelen te bereiken? 6. Ketens: Welke waarde voegt de organisatie toe, wat is de plaats in de keten en welke zaken worden uitbesteed aan andere partijen? 7. Resultaten: Dit criterium richt zich op de vraag wat de inspanningen van de organisatie hebben opgeleverd. 8. Communicatie: Non-communicatie tussen verschillende niveaus in een organisatie blokkeert een succesvolle implementatie van concepten of een nieuwe manier van werken. 9. Integratie: Om daadwerkelijk effectief te zijn moeten nieuwe concepten daadwerkelijk worden geïntegreerd in de bedrijfsvoering van een organisatie. Deze negen criteria zullen in het vervolg van het onderzoek gebruikt worden om naar het implementeren van ERM in (vastgoed)organisaties te kijken.

12

3. ENTERPRISE RISK MANAGEMENT In dit hoofdstuk staat het onderwerp Enterprise Risk Management (ERM) centraal. In dit kader zal eerst worden uitgelegd wat binnen de context van dit onderzoek wordt verstaan onder een risico, risicomanagement en ERM. Vervolgens zal antwoord worden gegeven op de volgende deelvragen: •

Welke implementatie (organisatie) elementen zijn er te onderscheiden binnen bestaande ERM literatuur? (Zie paragraaf 3.2)

•

Welke modellen worden gebruikt om ERM te implementeren? (zie paragraaf 3.3)

•

Welke implementatie elementen zijn er te onderscheiden binnen het COSO ERM model en ISO 31000? (zie paragrafen 3.4 en 3.5)

3.1 RISICO, RISICOMANAGEMENT EN ERM Over risico, risicomanagement en ERM is reeds veel geschreven. Van deze termen zijn derhalve veel definities gepubliceerd. In het kader van deze scriptie zullen de definities worden gehanteerd zoals deze zijn opgesteld door de invloedrijke commissie ‘Committee of Sponsoring Organizations of the Treadway Commission’. De naam van deze commissie wordt veelal afgekort tot ‘COSO’. Zij wijzen erop dat er gebeurtenissen kunnen plaatsvinden die een positief of negatief effect met zich meebrengen. Gebeurtenissen met een negatief effect worden risico’s genoemd en gebeurtenissen met een positief effect bestempelt COSO als kansen (COSO managementsamenvatting, 2004, p7). Risicomanagement betekent logischerwijs, het managen van risico’s. Oftewel hoe bereidt een organisatie zich voor op gebeurtenissen die een negatief effect kunnen hebben op de doelstellingen van de organisatie. Hierbij dient opgemerkt te worden dat een organisatie geen invloed uit kan oefenen op deze gebeurtenissen (ook wel onzekerheden genaamd). Een voorbeeld van een dergelijke onzekerheid is de rentestand. De term Enterprise Risk Management ten slotte, kan in het Nederlands worden vertaald als ‘organisatie risicomanagement’, oftewel organisatiebreed risicomanagement. COSO definieert ERM als: “Ondernemingsrisicomanagement (ERM) is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om risico’s te beheren zodat deze binnen de risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen (COSO, 2004, p4). ERM is een antwoord op traditioneel risicomanagement, dat veelal werd uitgevoerd door middel van een zogenaamde ‘silo-aanpak’. Vanuit verschillende disciplines en afdelingen binnen een organisatie werden risicomanagementactiviteiten ontplooid, maar de samenhang tussen al deze initiatieven was vaak onvoldoende. ERM pleit voor een geïntegreerde, continue en organisatiebrede aanpak van risicomanagement. Samengevat: de kern van ERM bestaat uit een organisatiebreed en gestructureerd 13

proces van het identificeren, analyseren, beheersen en monitoren van mogelijke gebeurtenissen die van invloed kunnen zijn op het behalen van de doelstellingen van een organisatie (PWC en RUG, 2006, p14). De potentiële toegevoegde waarde van ERM lijkt bijzonder groot. COSO gaat zelfs zo ver door te pretenderen dat ERM een redelijke zekerheid biedt ten aanzien van het behalen van de ondernemingsdoelstellingen (COSO, 2004, p4). Emanuels en De Munnik (2006, p294) nuanceren dit enigszins door te stellen dat de beschikking over ERM niet betekent dat de organisatie haar doelstellingen daadwerkelijk realiseert, maar dat hiermee wel transparant wordt gemaakt welke risico’s samenhangen met de gestelde doelen en welke beheersmaatregelen worden getroffen. Volgens PriceWaterhouseCoopers en de Rijksuniversiteit Groningen (2006, p15) zijn organisaties die ERM goed hebben geïmplementeerd beter in staat om de opbrengsten te verhogen, kansen te benutten en operationele verliezen en verrassingen te voorkomen c.q. te verminderen.

3.2 LITERATUUR INZAKE ERM In de literatuur ten aanzien van het implementeren van ERM wordt veelal een onderscheid gemaakt tussen enerzijds het risicomanagementproces en anderzijds de randvoorwaarden die nodig zijn binnen een organisatie voor de implementatie van ERM. Daarnaast wordt in diverse publicaties benadrukt dat de kwaliteit van het ERM proces moet worden geëvalueerd en verbeterd. In een poging om een koppeling te maken tussen ERM en de negen criteria die zijn opgesteld in hoofdstuk twee, zal bij het behandelen van de literatuur waar mogelijk worden aangegeven op welk criterium het onderwerp betrekking heeft.

3.2.1 HET RISICOMANAGEMENTPROCES Het risicomanagementproces speelt zich af binnen alle geledingen van een organisatie en is gericht op het identificeren, inschatten en beheersen van risico’s. Het proces start feitelijk al bij het vormen van de missie en visie van een organisatie (Paape, 2010). Uit deze missie en visie worden doelstellingen op het hoogste Figuur 4: Input voor het risicomanagementproces

(strategische) niveau geconcretiseerd en bedenkt het management een strategie om deze doelstellingen te realiseren (Emanuels en De Munnik, 2006, p296). Deze zaken zijn een belangrijk kader voor het identificeren en inschatten van de risico’s die een organisatie loopt. Het sterke verband tussen de identiteit, de strategie en de doelstellingen van een organisatie lijkt in het kader van ERM uitgebreid te kunnen

worden

met

het

begrip

‘risico-

acceptatiegraad’ (ook wel risk appetite genaamd). Dit begrip geeft de mate aan waarin een organisatie

14

bereid is risico te nemen. Al deze elementen beïnvloeden elkaar en dienen in samenhang te worden bezien (zie figuur 4). De missie, visie, risicoacceptatiegraad, de gekozen strategie en gestelde doelen vormen belangrijke input voor de uitvoering van het risicomanagementproces. Zij vormen de top van wat Paape (2010) de ‘risicomanagement piramide’ noemt. (zie figuur 5) De kern van het risicomanagementproces bestaat volgens Paape (2010) uit het identificeren, beoordelen en behandelen (acteren) van risico’s, alsmede het controleren van de gestelde beheersmaatregelen en het monitoren van de werking van het risicomanagementproces. 1. Identificeren. Het inventariseren van risico’s

Figuur 5: De risicomanagement piramide

kan het beste worden gedaan door terug te redeneren vanuit bedreigingen . Een SWOT analyse kan hierbij een handig hulpmiddel zijn, net als het uitnodigen van experts voor inventarisatiesessies. 2. Beoordelen. Het inschatten van risico’s wordt normaliter gedaan door de kans en de impact van een risico in te schatten. Volgens Emanuels en De Munnik (2005, p32) zijn er vele technieken die hiervoor gebruikt kunnen worden. Deze kunnen worden onderscheiden in intuïtieve en rationele benaderingen. Intuïtieve

benaderingen

zijn

over

het

algemeen kwalitatief en ongestructureerd van aard. Een voorbeeld van deze methode zijn

workshops

waarin

veel

mensen

participeren met verschillende achtergronden

Bron: Paape (2010)

en expertises. Het voordeel van deze methode is dat er in relatief korte tijd een inventarisatie en inschatting kan worden gemaakt waarbij het draagvlak groot is. Nadeel volgens Emanuels en De Munnik, is de lage betrouwbaarheid, wat betekent dat eenzelfde sessie waarschijnlijk tot andere resultaten zal leiden. Rationele technieken daarentegen zijn gestructureerd en veelal kwantitatief van aard. Bekende voorbeelden van rationele technieken zijn simulatie- en scenarioanalysetechnieken. 3. Acteren. Op basis van de geïnventariseerde en ingeschatte risico’s maakt het management van een organisatie keuzes betreffende de aard en omvang van mitigerende maatregelen. Emanuels en De Munnik (2006, p297) benadrukken dat een dergelijke keuze altijd gepaard gaat met een kosten-baten afweging. In de literatuur inzake risicomanagement worden over het algemeen vier maatregelen

15

geïdentificeerd (Gehner, 2003, p7). Risico’s kunnen worden gemitigeerd, overgedragen, geaccepteerd of vermeden. 4. Controleren. De beheersmaatregelen die het management heeft aangebracht op de risico’s zullen moeten worden gecontroleerd en de events en risico’s die zich hebben voorgedaan zullen moeten worden geïdentificeerd (Paape, 2010). De events en risico’s die zijn opgetreden kunnen immers zelfs impact hebben op de doelstellingen van een organisatie. Daarnaast moet een organisatie lering trekken uit de uitvoering van het ERM proces. 5. Monitoren. Bewaking en bijsturing vormen het sluitstuk van het ERM proces. Het risicomanagementproces is volgens Paape (2010) gefundeerd op zaken als de cultuur van een organisatie, de aangebrachte structuren binnen een organisatie, de aanwezige informatie- en communicatiesystemen en HR mechanismen. Deze aspecten hebben een directe invloed op het risicomanagementproces. Ook in andere literatuur inzake ERM komen deze aspecten terug als randvoorwaarden (zie paragraaf 3.2.2.) In de risicomanagementpiramide worden veel van de geïdentificeerde criteria uit hoofdstuk twee aangestipt. De piramide gaat in op de criteria ‘strategie’ en ‘structuur’ en is gefundeerd op criteria als ‘communicatie’, ‘cultuur’, ‘resultaten’, ‘mensen’ en ‘middelen’. Om ERM daadwerkelijk effectief te laten zijn, moet het risicomanagementproces daadwerkelijk worden geïmplementeerd in een organisatie. Bowling en Rieger (2005, p33) vergelijken de implementatie van ERM daarom met het gebruik van het concept Total Quality Management: “Just as a superb motorcar is built with quality at each step of the way, true ERM provides greater value when it builds in risk management as an intrinsic component for all business processes. Auto manufacturers realized in the 1980s that it was not cost-efficient to inspect auto quality only at the end of the assembly line and then recall, repair and reinspect.” Deze stelling sluit goed aan bij de denkbeelden van Morgan, die vertaald zijn in het criterium ‘integreren’ (zie paragraaf 2.2).

3.2.2 RANDVOORWAARDEN Om het risicomanagementproces te kunnen stimuleren en faciliteren, dienen er een aantal randvoorwaarden te zijn aangebracht binnen een organisatie (Paape, 2010). Dit zijn onder andere het risicobewustzijn (cultuur) binnen een organisatie, het verzorgen van de benodigde kennis en vaardigheden ten aanzien van risicomanagement (competenties), hulpmiddelen (techniek) en de taken, rollen en verantwoordelijkheden (structuur) ten aanzien van risicomanagement. Deze randvoorwaarden kunnen één op één worden gekoppeld aan de criteria die zijn opgesteld in hoofdstuk twee (te weten; cultuur, mensen, middelen en structuur). 16

CULTUUR Emanuals en De Munnik (2006, p298) menen dat een risicobewustzijncultuur een van de randvoorwaarden is voor het implementeren van ERM. Er is een cultuur nodig waarin niet alleen gedacht wordt vanuit kansen, maar ook vanuit risico’s en waarin medewerkers worden uitgedaagd om deze risico’s te beheersen. Dit risicobewustzijn moet met name worden gecreëerd bij het lijnmanagement (PWC en RUG, 2006, p16). Indien dit niet het geval is zal het lijnmanagement de risicomanagementactiviteiten als belastend ervaren en niet zien als een onderdeel van het ondernemingsproces. PriceWaterhousCoopers en de Rijksuniversiteit Groningen (2006, p16) geven met een aantal voorbeelden aan op welke wijze een organisatie het risicobewustzijn kan vergroten. Dit zijn onder andere: •

Zorg voor natuurlijke betrokkenheid en voorbeeldgedrag van het topmanagement.

•

Maak het lijnmanagement expliciet eigenaar van risico’s en spreek hen hier op aan.

•

Maak ERM standaard onderdeel van reguliere managementactiviteiten, bijvoorbeeld door een risicoparagraaf op te nemen in managementrapportages en risicomanagement een standaard onderdeel te zijn van de agenda van een vergadering.

Een tweede element van een effectieve risicomanagement cultuur betreft het communiceren en toepassen van de risicoacceptatiegraad (Ballou, 2005, p5). Het bepalen en verwoorden van de risicoacceptatiegraad is echter geen sinecure, aangezien het begrip erg subjectief is. Immers, ieder mens kijkt verschillend aan tegen de begrippen risico en acceptabel. De een vindt bijvoorbeeld een risico van €25.000 al fors, terwijl een ander zich pas zorgen begint te maken bij een risico van €500.000. Communicatie en discussie over dit begrip is daarom van groot belang (Paape, 2009, p35). Bij het beschrijven van de risicoacceptatiegraad kan het management gebruik maken van kwalitatieve en kwantitatieve begrippen (COSO, 2009, p6). Zo kan het management aangeven in welke markten, landen en strategieën men niet geïnteresseerd is (kwalitatief) en/of aangeven dat het rendement op investeringen boven een bepaald minimum percentage moeten vallen (kwantitatief). Ten slotte is het ook zaak om de risicoacceptatiegraad af te stemmen op de doelstellingen en strategie van een organisatie (COSO, 2009, p6). Wanneer het management agressieve doelstellingen ambieert, dan zal dit logischerwijs een hoge risicoacceptatiegraad vereisen. COMPETENTIES Risicomanagement vraagt specifieke kennis en vaardigheden van medewerkers. Het aantrekken van een risk manager die over deze kwaliteiten beschikt is niet voldoende, aangezien ERM vanuit elk echelon van de organisatie input en betrokkenheid vereist (Emanuels en De Munnik, 2006, p298). Aanvullende training en opleiding lijken absoluut noodzakelijk. Uit onderzoek blijkt dat managers in met name grotere organisaties worden getraind in risicomanagement (PWC en RUG, 2006, p38). Echter, dit gebeurt meestal eenmalig, bij de introductie van risicomanagement in de organisatie. TECHNIEK Een andere randvoorwaarde om ERM te kunnen implementeren in een organisatie is het gebruik van hulpmiddelen (Emanuels en De Munnik, 2006, p298). Deze hulpmiddelen worden enerzijds specifiek 17

gebruikt voor het inventariseren en inschatten van risico’s en anderzijds voor het faciliteren van het ERM proces. De hulpmiddelen om risico’s te kunnen inschatten en beoordelen bestaan uit kwalitatieve (intuïtieve) en kwantitatieve (rationele) middelen. Kwalitatieve hulpmiddelen baseren zich op het gevoel van een medewerker en zijn veelal ongestructureerd. Een voorbeeld van een kwalitatief hulpmiddel om risico’s te identificeren is een brainstormsessie (Merna en Al-Thani, 2008, p69). Een workshop is een kwalitatief middel waarin risico’s zowel geïnventariseerd als geanalyseerd kunnen worden. Deze methoden worden vaak gebruikt wanneer er in korte tijd een inschatting moet worden gedaan en de resultaten voldoende draagvlak moeten hebben (Emanuels en De Munnik, 2005, p32). Kwantitatieve hulpmiddelen daarentegen zijn gestructureerd van aard en worden veelal onderbouwd door statistiek of rekenmodellen. Voorbeelden van dergelijke hulpmiddelen zijn Monte Carlo simulatie en Decision Tree analyses (Merna en Al-Thani, 2008, p76). De betrouwbaarheid van dergelijke middelen is normaliter hoger dan die van kwalitatieve methoden. Echter, zij zijn wel bewerkelijker. In figuur 6 zijn de meest gebruikte technieken in Nederland voor het inventariseren van risico’s opgenomen. Hierbij plaatsen de onderzoekers van PriceWaterhouseCoopers en de Rijksuniversiteit Groningen de kanttekening dat het gebruik van workshops in hun ogen te gering is (Paape, 2009, p53). Een goede dialoog over risico’s en hoe hier mee om te gaan is volgens hen namelijk van eminent belang. Eenzelfde constatering wordt geplaatst bij het gebruik van scenarioplanning, dat met een gemiddeld gebruik van 31% onder het niveau komt van hetgeen de Figuur 6: Meest gebruikte technieken

onderzoekers hadden verwacht.

Techniek

Hoe vaak gebruikt?

bestaan er ook technieken om het ERM proces te ondersteunen.

Interviews

42%

Voorbeelden hiervan zijn specifieke software om de beheersing

Documentenstudie

39%

van risico’s te monitoren en zogenaamde risk maps. Een risk map

Vragenlijsten/checklists

37%

is een twee dimensionale matrix waarop de kans en de impact

Scenarioanalyse

31%

tegenover elkaar worden geplaatst (Merna en Al-Thani, 2008,

Incidentenregister

25%

p73). In deze risk map kan het topmanagement van een

Sensitiviteitsanalyse

19%

organisatie de risicoacceptatiegraad van de organisatie aangeven,

Workshops

17%

door bepaalde combinaties van kans en impact als onwenselijk te

Simulaties

10%

bestempelen.

Value at risk

9%

Economic capital

6%

Stresstest

5%

Naast hulpmiddelen om risico’s in te schatten en te analyseren

Vervolgens

kunnen

de

geïdentificeerde

en

geanalyseerde risico’s op de risk map worden geplot. Hierdoor verkrijgt een organisatie in één oogopslag een totaaloverzicht van alle

risico’s

die

boven

de

acceptatiegraad

vallen.

De

risicomanagementsoftware die in Nederland worden toegepast,

18

Bron: Paape et.al (2009, p53)

variëren van enigszins eenvoudige Excel-sheets of MS Access databases tot uitgebreide en verfijnde systemen die in verband staan met andere systemen (zoals bijvoorbeeld het financiële systeem of een ERP pakket) binnen de organisatie (PWC en RUG, 2006, p27). STRUCTUUR Veel auteurs benadrukken de cruciale rol van de Directie (Raad van Bestuur) ten aanzien van ERM. Het belang van ERM moet worden uitgedragen door de top van de organisatie (Emanuels en De Munnik, 2006, p298). Hoewel de risicomanagementportefeuille in veel organisaties is belegd bij de CFO zijn Emanuels en De Munnik (2006, p298) van mening dat de werking en verantwoordelijkheid van ERM zou moeten worden belegd bij de CEO. Dit doet recht aan het integrale karakter van ERM. Naast het uitdragen van het belang van risicomanagement voor de organisatie, is de Directie ook verantwoordelijk voor het managen van de strategische risico’s (Droogsma, 2009, p263). Deze strategische risico’s worden vervolgens doorvertaald naar tactische en operationele risico’s welke moeten worden beheerst door het senior management. Staffuncties zoals controllers of risicomanagement functionarissen kunnen het senior management hierbij ondersteunen. De uitvoering en de verantwoordelijkheid van ERM moet zodoende deels worden belegd bij lijnfuncties en deels bij staffuncties (Emanuels en De Munnik, 2006, p298). Lijnfuncties zouden verantwoordelijk moeten zijn voor strategievorming en het inventariseren, inschatten en beheersen van risico’s. Staffunctionarissen daarentegen hebben louter een ondersteunende rol en zouden bijvoorbeeld beheersingsmaatregelen kunnen testen. Sommige organisaties kiezen er voor om een Chief Risk Officer (CRO) aan te stellen. Deze CRO heeft veelal een positie in de top van de organisatie waar hij/zij de belangen van risicomanagement behartigt. In zijn rol heeft de CRO een coördinerende en faciliterende rol. Uit onderzoek van Paape et al. blijkt dat organisaties die een CRO hebben aangesteld verder zijn in de ontwikkeling van risicomanagement in hun organisatie (Paape, 2009, p48).

3.2.3 EVALUATIE EN VERBETERING VAN ERM ERM is gericht op het inventariseren, beoordelen en beheersen van risico’s. Echter, het is noodzakelijk dat ERM zelf ook beheerst wordt. Dit wordt ook wel een ‘meta-beheersdoelstelling’ genoemd. De beheersing van ERM is van belang om aan te tonen dat een organisatie ‘in control’ is (Emanuels en De Munnik, 2006, p297). Deze evaluatie is onderdeel van het risicomanagementproces. In de laatste processtap van het risicomanagementproces ‘monitoren’ (zie paragraaf 3.2.1) wordt bekeken welke risico’s daadwerkelijk tot uiting zijn gekomen, hoe de organisatie hier op heeft gereageerd en welke impact de risico’s hebben gehad. Deze processtap heeft hiermee een sterke link met het criterium ‘resultaten’. Er is in dit kader spraken van bewaking en bijsturing van het ERM proces in de breedste zin van het woord. Het doel van deze evaluatie is om het functioneren van ERM in een organisatie te blijven verbeteren.

19

3.2.4 RESUME CRITERIA IN ERM LITERATUUR Van de negen criteria die zijn geïdentificeerd in hoofdstuk twee zijn er acht expliciet terug te vinden in ERM literatuur. In onderstaande tabel zijn de implementatie elementen uit de ERM literatuur samengevat en gekoppeld aan de criteria uit hoofdstuk twee.

Implementatie elementen ERM literatuur

Criteria

Het Risicomanagementproces, welke gestuurd wordt door Strategie, Structuur (proces), Integratie de strategie van de organisatie en gefundeerd is op enkele randvoorwaarden (zie volgende element). Randvoorwaarden, welke de fundering vormen voor het Cultuur, Middelen, Mensen, uitvoeren van risicomanagement in een organisatie.

Communicatie, Structuur (organogram)

Evalueren en verbeteren, wat een proces is dat continu Resultaten en/of op gezette tijden plaats vindt.

Het criterium ‘ketens’ wordt niet expliciet teruggevonden in ERM literatuur. Een mogelijke verklaring hiervoor zou kunnen zijn dat de vraag welke positie een organisatie inneemt in de keten een sterk strategisch karakter kent. Het criterium ‘ketens’ zou derhalve kunnen worden geïntegreerd in het criterium ‘strategie’.

3.3 ERM MODELLEN Er zijn diverse modellen en theorieën die organisaties kunnen gebruiken voor het implementeren van ERM. Deze modellen kunnen worden verdeeld in twee groepen. Enerzijds zijn er modellen die specifiek gericht zijn op ERM. Voorbeelden van dit soort modellen zijn het COSO ERM model en ISO31000. Daarnaast zijn er modellen die ontwikkeld zijn vanuit een ander perspectief maar ook gebruikt kunnen worden voor ERM. Voorbeelden van dit soort modellen zijn Cobit, 6 Sigma en het INK model.

Voor het implementeren van ERM wordt in Nederland het COSO ERM model veruit het meeste toegepast. Kwaliteitsmodellen als het INK model, 6Sigma en Cobit volgen op gepaste afstand (Paape e.a., 2009, p. 63). Aangezien het COSO ERM model het meest wordt toegepast, zal dit model in het restant van dit hoofdstuk worden besproken en geanalyseerd. Dit geldt ook voor ISO31000. Het ISO model wordt nog niet zoveel toegepast omdat deze pas recent is gepubliceerd. Niettemin krijgt dit model bijzonder veel aandacht in recente publicaties inzake ERM. Bij het analyseren van de twee modellen zal de aandacht uitgaan naar de organisatie elementen die zijn aangebracht in deze modellen. Voor deze analyse is primair

20

gebruik gemaakt van de criteria uit hoofdstuk twee. Daarnaast wordt tevens verband gelegd met de implementatie elementen die zijn aangetroffen in ERM literatuur (zie paragraaf 3.2).

3.4 COSO ERM MODEL Het COSO ERM model (ook wel ERMF genaamd) is opgesteld onder supervisie van ‘The Committee of Sponsoring Organizations of the Treadway Commission. Deze commissie werd in de jaren 80 opgericht en dankt zijn naam aan het feit dat de commissie werd gesponsord door vijf Amerikaanse organisaties en onder leiding stond van James Treadway. De focus van COSO, zoals de commissie veelal genoemd wordt, was in eerste instantie gericht op interne controle. In 1992 werd het invloedrijke rapport ‘Internal Control, Integrated framework’ gepubliceerd, waarin een raamwerk voor Internal Control centraal stond. Twaalf jaar later heeft COSO een nieuw model gepubliceerd, dat voortborduurt op dit succesvolle Internal Control model uit 1992. In het COSO ERM raamwerk, is de nadruk meer komen te liggen bij risicomanagement. Er zijn een aantal belangrijke wijzigingen toegepast op met model van Internal Control. Zo is op de dimensie ‘doelen’ het element ‘strategisch’ toegevoegd. Hiermee wordt benadrukt dat ERM zich moet richten op de doelstellingen van de organisatie (Bowling en Rieger, 2005, p30). Ook op de dimensie ‘componenten’ zijn wijzigingen aangebracht waardoor de focus meer op risicomanagement is komen te liggen. Dit komt onder meer tot uiting in het nieuw toegevoegde component ‘identificatie van gebeurtenissen’. De centrale gedachte achter het COSO ERM raamwerk is dat risico’s niet individueel moeten worden beoordeeld, maar dat juist de samenhang tussen risico’s geanalyseerd en gemanaged moet worden (Ernst & Young, 2003).

Figuur 7: COSO modellen ‘Internal Control’ en ‘Enterprise Risk Management’

In figuur 7 zijn het COSO Internal Control

De

drie

Risicobeoordeling

paragrafen 3.4.1 tot en met

3.4.3

Beheersingsactiviteiten

behandeld

publicatie uit 2004 (“Het Raamwerk”

Reactie op risico

Monitoring

Bewaking

1992: Internal Control

2004: Enterprise Risk Management

Informatie en Communicatie

en Bron: COSO

21

Risicobeoordeling

Beheersingsactiviteiten

“Applicatie Technieken”) worden gecombineerd.

Doelstellingen Identificatie gebeurtenissen

Informatie en Communicatie

worden. Hierbij zullen beide onderdelen van de

Interne omgeving

Subsidiary Business Unit Division Entity

ERM model zullen in

Functions

Controle omgeving

Business Units

dimensies van het COSO

St ra te gi c O pe ra tio na l Co m pl ia nc e Ra pp or ta ge

gegeven.

weer-

F re inan po ci rti al ng

model

COSO Co m pl ia nc e

ERM

het

pe ra tio ns

en

O

model

3.4.1 DIMENSIE 1: DOEL CATEGORIEEN Zoals de door COSO gehanteerde definitie van ERM al schetst (zie paragraaf 3.1), is het uiteindelijke doel van het COSO ERM model om organisaties ‘een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen’. Deze ondernemingsdoelstellingen worden door COSO verdeeld in vier categorieën (COSO, 2004, p21): •

Strategisch: de belangrijkste doelstellingen van de organisatie, die er op gericht zijn om de missie van de organisatie te verwezenlijken.

•

Operationeel: de doelstelling om de operatie van een organisatie op een efficiënte en effectieve wijze uit te voeren.

•

Rapportage: de doelstelling van de organisatie om te beschikken over juiste en volledige rapportages.

•

Toezicht: de doelstelling van de organisatie om te voldoen aan weten regelgeving.

Door gebruik te maken van deze vier categorieën kan er een duidelijke focus worden aangebracht op specifieke aspecten van ERM. Elke categorie is gericht op een specifieke behoefte van de onderneming en kan onder de verantwoordelijkheid vallen van verschillende directieleden. Hierbij dient de kanttekening geplaatst te worden dat de categorieën elkaar ook kunnen overlappen. Een risico kan immers in meer dan één categorie vallen.

3.4.2 DIMENSIE 2: RISICO COMPONENTEN Volgens COSO bestaat ondernemingsrisicomanagement uit acht componenten die met elkaar verbonden zijn en kunnen worden opgehangen aan het managementproces (COSO managementsamenvatting, 2004, p8). Deze componenten zijn:

Figuur 8:Componenten van het COSO model

1. Interne omgeving

Interne omgeving

2. Formuleren van doelstellingen 3. Identificeren van risico’s

Bewaking

Doelstellingen

4. Risicobeoordeling 5. Reactie op risico’s Communicatie

6. Beheersingsactiviteiten

Identificeren risico's

Beheersen

7. Informatie en communicatie 8. Bewaking. De samenhang tussen de acht componenten is

Reactie op risico's

Beoordelen risico's

grafisch weergegeven in figuur 8. Hierbij dient in ogenschouw genomen te worden dat de componenten weliswaar in een logische

Bron: INK (2009, p12)

volgorde zijn weergegeven, maar dat alle componenten elkaar onderling beïnvloeden. Een toelichting op de componenten volgt hieronder. 22

AD 1: INTERNE OMGEVING In tegenstelling tot het Internal Control model van COSO, plaatst het COSO ERM model de interne omgeving aan de top van de componenten. Hier is voor gekozen omdat de interne omgeving de basis vormt voor alle andere componenten (Moeller, 2007, p.54). Het is als het ware de kapstok waaraan alles wordt opgehangen. De interne omgeving slaat op ‘de toon’ van een organisatie. Het betreft de cultuur van een organisatie en de houding ten aanzien van risicomanagement. Aspecten die hierbij naar voren komen zijn onder andere de risicoacceptatiegraad (risk appetite), het risicobeheer, integriteit en normen en waarden (COSO framework, 2004, p27). Dit alles komt samen in het begrip risicomanagement filosofie, dat COSO omschrijft als: “the set of shared beliefs and attitudes characterizing how the entity considers risk in everything it does, from strategy development and implementation, to its day-to-day activities. Its risk management philosophy reflects the entities values, influencing its culture and operating style, and affects how enterprise risk management components are applied, including how risks are identified, the kind of risks accepted, and how they are managed.” (COSO framework, 2004, p27) COSO benadrukt dat het topmanagement een belangrijke rol speelt bij het vormen van de interne omgeving. Bijna alle handelingen van het topmanagement hebben hun weerslag op de interne omgeving. Dit zijn niet alleen formele handelingen die expliciet zijn gericht op het managen van de interne omgeving (zoals het opstellen van een Code of Conduct, beleidstukken of formele communicatie), maar ook de besluitvorming en de dagelijkse uitvoering van de managementtaken (COSO framework, 2004, p28). AD 2: FORMULEREN VAN DOELSTELLINGEN Voordat risicomanagement verder uitgewerkt kan worden, moeten er eerst doelstellingen worden geformuleerd. Deze doelstellingen moeten aansluiten op de missie en visie van een organisatie. De eerste doelstellingscategorie die geformuleerd wordt zijn strategische doelen. Vervolgens worden vanuit dit kader operationele, rapportage en toezicht doelstellingen afgeleid. Het is belangrijk dat deze doelstellingen op elk niveau binnen de organisatie worden uitgewerkt. Van entiteit- tot procesniveau (COSO framework, 2004, p35). Hierbij dient opgemerkt te worden dat een doelstelling in meerdere categorieën kan vallen. Zo kunnen managementrapportages van een productieproces zowel bijdragen aan het behalen van operationele doelstellingen als voor het bereiken van doelstellingen op het gebied van rapportage. Ondernemingsrisicomanagement moet er uiteindelijk voor zorgen dat het management over een proces beschikt waarin doelstellingen worden vastgelegd en dat deze doelstellingen zijn afgestemd op de missie en de risicoacceptatiegraad van de organisatie (COSO managementsamenvatting, 2004, p9).

23

AD 3: IDENTIFICEREN VAN GEBEURTENISSEN In de derde component identificeert een organisatie gebeurtenissen die het behalen van de gestelde doelstellingen kunnen beïnvloeden. Het gaat zowel om gebeurtenissen die een negatief effect (risico’s) kunnen hebben als om gebeurtenissen die een positief effect (kansen) hebben op het bereiken van de gestelde doelen. Deze gebeurtenissen kunnen uit de interne organisatie komen en uit de externe omgeving (COSO framework, 2004, p41). Er zijn verschillende methoden en technieken om potentiële gebeurtenissen te identificeren (zie paragraaf 3.2.2). Voorbeelden van deze technieken zijn: het faciliteren van workshops en het houden van interviews. In de praktijk kunnen organisaties het gebruik van deze technieken combineren. Bij het identificeren van gebeurtenissen moet een organisatie in ogenschouw nemen dat gebeurtenissen in relatie kunnen staan met elkaar. (COSO framework, 2004, p43). AD 4: RISICOBEOORDELING Nadat de gebeurtenissen zijn geïdentificeerd, worden deze vervolgens beoordeeld. Hierbij gaat het om twee criteria: waarschijnlijkheid en impact. De waarschijnlijkheid betreft de kans dat de gebeurtenis zich voordoet. De impact doelt op het effect dat een gebeurtenis heeft op het behalen van de doelstellingen. Gezamenlijk bepalen deze criteria het belang van een gebeurtenis (COSO framework, 2004, p50). Er bestaan kwantitatieve en kwalitatieve technieken om risico’s te beoordelen (zie paragraaf 3.2.2). De techniek die een organisatie uiteindelijk wenst te gebruiken moet goed worden afgestemd op het risico (COSO framework, 2004, p54). AD 5: REACTIE OP RISICO’S Nu de risico’s beoordeeld zijn kan een organisatie een reactie op de betreffende risico’s bepalen. Deze vallen in vier categorieën: vermijden, accepteren, reduceren of delen. Bij het vermijden van een risico worden de acties gestaakt die het risico tot gevolg hebben. Er wordt bijvoorbeeld niet toegetreden tot een bepaalde markt of een product wordt niet in productie genomen. Dit staat lijnrecht tegenover het accepteren van een risico. In dit geval neemt de organisatie geen maatregelen tegen het risico. Het reduceren van een risico betekent dat de kans en/of de impact van het risico beperkt wordt. Mitigerende maatregelen om dit te bewerkstelligen zijn van velerlei aard. Delen ten slotte, houdt in dat een deel van het risico wordt overgedragen aan een andere partij. Het kopen van verzekeringspolissen is hier een klassiek voorbeeld van (COSO framework, 2004, p55). Bij het bepalen van de reactie op een risico moet het management volgens COSO kijken naar: a) de effecten die potentiële maatregelen hebben op de impact en/of kans op een risico en b) naar de kosten versus de opbrengsten van een maatregel. De risicoacceptatiegraad is hierbij de meetlat waar beslissingen tegen moeten worden afgezet. COSO wijst er tevens op dat een organisatiebreed perspectief (portfolio view) van eminent belang is bij het inschatten van risico’s en het bepalen van eventuele reacties (COSO framework, p59). 24

AD 6: BEHEERSINGSACTIVITEITEN Het management van een organisatie moet ervoor zorgen dat er richtlijnen, processen en procedures worden opgesteld en geïmplementeerd, die ervoor zorgen dat de reacties op de risico’s effectief worden uitgevoerd (COSO managementsamenvatting, 2004, p9). Bekende beheersingsactiviteiten (ook wel controle activiteiten genaamd) zijn functiescheiding, de Bill of Authority (mandaatregeling), het hanteren van Key Performance Indicators en het uitvoeren van fysieke controles (bijvoorbeeld voorraadinventarisatie). COSO wijst nadrukkelijk op het belang van controles op informatiesystemen (COSO framework, 2004, p64). In de huidige bedrijfsvoering steunen organisaties sterk op informatiesystemen. Onbetrouwbaarheid op dit aspect kan derhalve grote gevolgen hebben voor de continuïteit van een organisatie. AD 7: INFORMATIE EN COMMUNICATIE COSO wijst er op dat relevante informatie in een dusdanige vorm en tijdsbestek moet worden aangeboden dat medewerkers in staat zijn hun taken en verantwoordelijkheden uit te voeren (COSO managementsamenvatting, 2004, p9). Deze informatiestroom beweegt zich alle kanten op: top-down, bottum-up en horizontaal. Informatiesystemen vervullen hierbij een cruciale rol. Deze moeten niet alleen in staat zijn om interne gegevens om te zetten in benodigde informatie, maar ook om externe gegevens vast te leggen en te bewerken. Denk hierbij bijvoorbeeld aan het vastleggen van marktgegevens op basis waarvan interessante analyses kunnen worden gemaakt (COSO framework, 2004, p68). Het kunnen beschikken over de juiste informatie op het juiste moment en op de juiste plaats is essentieel voor het uitvoeren van ERM. AD 8: BEWAKING Ook het functioneren van ERM zelf dient volgens COSO te worden bewaakt. Dit gebeurt zowel continu als door afzonderlijke evaluaties (COSO framework, 2004, p75). Het continu monitoren van het ERM proces is een activiteit die zou moeten worden verankerd in de dagelijkse bedrijfsvoering van een organisatie (COSO framework, 2004, p75). Deze activiteit sluit nauw aan bij andere managementtaken. Denk hierbij bijvoorbeeld aan het managen van operationele processen met behulp van Key Performance Indicatoren. De voortgang op deze doelstellingen wordt continu gevolgd. Indien er negatieve afwijkingen worden geconstateerd ten opzichte van de gestelde doelen zal het management direct bijsturen om het behalen van de gestelde doelen alsnog te kunnen realiseren. Daarnaast moet het ERM proces volgens COSO ook afzonderlijk worden geëvalueerd. Het is belangrijk dat de effectiviteit van het ERM proces van tijd tot tijd met een frisse blik tegen het licht wordt gehouden (COSO framework, 2004, p77). De beoordelaar moet hierbij niet alleen kennis hebben over de bedrijfsprocessen en -activiteiten, maar ook van de ERM componenten (COSO framework, 2004, p78).

25

3.4.3 DIMENSIE 3: NIVEAUS BINNEN DE ORGANISATIE De derde dimensie van de ERM kubus betreft de niveaus binnen een organisatie waarop ERM wordt uitgevoerd. COSO heeft deze categorie toegevoegd om te benadrukken dat ERM op alle niveaus binnen een organisatie moet worden uitgevoerd (COSO framework, 2004, p19). Uiteindelijk worden de risico’s op procesniveau geïdentificeerd binnen afdelingen om geaggregeerd (portfolio gedachte) te worden naar de hoogste geledingen van een organisatie.

3.4.4 ROLLEN EN VERANTWOORDELIJKHEDEN COSO besteedt in haar publicatie expliciet aandacht aan de rollen en verantwoordelijkheden ten aanzien van ERM (COSO framework, 2004, p83). Hoewel de stelling wordt geponeerd dat iedereen in een organisatie een verantwoordelijkheid draagt ten aanzien van ERM, worden een aantal rollen nader toegelicht: •

De CEO wordt gezien als de eindverantwoordelijke voor ERM en moet eigenaarschap tonen.

•

De Raad van Commissarissen speelt een belangrijke rol ten aanzien van ERM door haar rol van toezichthouder. De CEO moet uiteindelijk aan de Raad van Commissarissen verantwoording afleggen over de effectiviteit van het ERM programma.

•

De CFO is onder andere verantwoordelijk voor het opstellen van budgetten en het monitoren van de voortgang op de gestelde doelen. Hierdoor zijn de CFO en zijn staf (inclusief controllers) belangrijke spelers ten aanzien van ERM.

•

Door het bepalen van de strategie, het stellen van doelstellingen en de risicoacceptatiegraad en het bepalen van de normen en waarden binnen een organisatie heeft de Raad van Bestuur een belangrijke rol ten aanzien van ERM. Op dit niveau in de organisatie heeft men ook het ‘totaalbeeld’ van alle risico’s die binnen afzonderlijke entiteiten zijn geïdentificeerd.

•

De verantwoordelijkheid ten aanzien van afzonderlijke risico’s ligt bij het (lijn)management. Zij moeten de risico’s identificeren en beheersen. Eventueel kan de uitvoering van de beheersmaatregelen worden toegewezen aan een andere medewerker.

•

Staffuncties zoals HRM en juridische zaken hebben een belangrijke, ondersteunende rol ten aanzien van ERM.

•

Sommige organisaties kiezen er voor om een aparte staffunctie te creëren voor het ondersteunen van ERM. Deze functionaris wordt veelal Risk Officer genoemd en werkt samen met andere managers om ERM effectief te implementeren en monitoren in de organisatie.

•

Interne auditors spelen volgens COSO een belangrijke rol bij het evalueren van de effectiviteit van ERM.

26

3.4.5 IMPLEMENTATIE ELEMENTEN BINNEN HET COSO ERM MODEL Vanuit de criteria uit Organizational Development theorieën en bestaande ERM literatuur zal een antwoord worden gezocht op de vierde deelvraag van deze scriptie: “Welke implementatie elementen zijn er te onderscheiden binnen het COSO ERM model?” ELEMENT 1: ERM MOET WORDEN GEPLOT OP HET ORGANOGRAM Het COSO ERM model is een driedimensionaal model. Aangezien deze scriptie is gericht op het begrip ‘organiseren’, zal het COSO ERM model vanuit de dimensie ‘niveaus binnen de organisatie’ worden bekeken. Wanneer het COSO ERM model vanuit dit perspectief wordt bekeken, is het resultaat als het ware een tweedimensionaal model, waarin het organogram van de organisatie centraal staat. Dit perspectief zorgt ervoor dat het COSO ERM model eenvoudiger te begrijpen en analyseren is. Het COSO ERM model impliceert vanuit dit perspectief dat op elk niveau in de organisatie het risicomanagementproces wordt uitgevoerd - met behulp van de acht componenten – op de vier deelgebieden strategisch, operationeel, rapportage en toezicht. Binnen het theorie van Nieuwenhuis vormt de bouwsteen structuur het hart van de besturing van een organisatie. De structuur bepaalt de vorm en de werkwijze van een organisatie en bestaat uit twee elementen: een organisatiestructuur en een processtructuur. De organisatiestructuur wordt door het COSO ERM model aangebracht in de dimensie ‘niveaus binnen een organisatie’ (zie paragraaf 3.4.3). De uitwerking van de organisatiestructuur is echter zeer summier. COSO ERM wijst in deze dimensie met name op het feit dat ERM op alle niveaus binnen een organisatie uitgevoerd moet worden. De noodzakelijke aanvulling op deze constatering geeft COSO in de toelichting op het model. In hoofdstuk tien van de publicatie ‘Enterprise Risk Management – Integrated framework (2004) gaat men namelijk expliciet in op de rollen en verantwoordelijkheden van ERM (zie paragraaf 3.4.4). De kern van de boodschap is dat risicomanagement een verantwoordelijkheid is van het lijnmanagement. Hierbij kunnen diverse stafafdelingen voor de gewenste ondersteuning zorgen. De aanbevelingen van COSO op dit gebied ogen vrij compleet en volledig.

→ Element 1: ERM moet op alle niveaus binnen een organisatie worden uitgewerkt. Daarnaast dienen de taken, rollen en verantwoordelijkheden ten aanzien van ERM helder te worden belegd. Uitgangspunt is dat de verantwoordelijkheid ten aanzien van risico’s bij de lijn ligt, waarbij het topmanagement de eindverantwoordelijkheid draagt. Staffuncties, zoals risicomanagement en interne controle, kunnen louter ondersteunende en controlerende functies bekleden ten aanzien van risicomanagement.

27

ELEMENT 2: ERM BESTEEDT AANDACHT AAN DE CULTUUR VAN EEN ORGANISATIE De

processtructuur

van

Figuur 9: Het managen van de cultuur in procesvorm

Nieuwenhuis is in het COSO ERM model minder transparant en vooral minder concreet -

• Wet- & Regelgeving • Identiteit organisatie

Plannen Kaders

Rapportage

• Enquêtes • Onderzoek extern bureau • Evaluaties

uitgewerkt. De processen binnen het model zijn te vinden op de dimensie

‘componenten’,

zijn

vooral bestuurlijk van aard en

Huidige cultuur

Activiteit

Activiteit

Gewenste cultuur

Activiteit

kunnen verdeeld worden in twee hoofdprocessen.

Het

eerste

hoofdproces is gericht op de bovenste

component

van

het

• HR functionarissen • Internal Control • Management

Mensen

Middelen

• Code of Conduct • Tone at the top • Discussie bijeenkomsten • E-mail

model: de interne omgeving van een organisatie. Dit is volgens

Bron: Basis figuur ontleend aan Nieuwenhuis (2003)

COSO de kapstok waaraan het ERM proces moet worden opgehangen. De interne omgeving heeft een ‘één-op-één’ relatie met het criterium ‘cultuur’ en betreft de houding van de organisatie ten aanzien van risicomanagement. Aspecten die hierbij naar voren komen zijn de risicoacceptatiegraad van een organisatie, integriteit en normen en waarden. Vanuit de denkbeelden van Nieuwenhuis is het managen van de interne omgeving een proces ‘an sich’. De huidige cultuur (input) wordt met behulp van plannen, kaders en de criteria ‘middelen’ en ‘mensen’ bewerkt tot de cultuur zich op het gewenste niveau bevindt (output). In figuur 9 zijn enkele voorbeelden opgenomen van deze criteria. Het moge duidelijk zijn dat dit geen limitatieve lijst betreft. Een voorbeeld van een activiteit die gericht is op het ontwikkelen van de gewenste cultuur is het houden van een workshop.

→ Element 2: ERM besteedt expliciet aandacht aan het managen van de cultuur van een organisatie.

ELEMENT 3: EEN RISICOMANAGEMENTCYCLUS DIE TOP-DOWN EN BOTTOM-UP GAAT Het tweede hoofdproces dat COSO beschrijft is gericht op de overige zeven componenten. Dit proces is veelomvattend en wordt (vanuit het oogpunt van implementatie) op een te hoog abstractieniveau beschreven. Het doel van COSO binnen dit deel van het model is om alle relevante risico’s bottum-up te verzamelen. Vanuit elke business unit en afdeling worden risico’s niet alleen beheerst, maar worden risico’s die boven de risicoacceptatiegraad vallen ook ‘naar boven’ gecommuniceerd, waar ze geaggregeerd worden. Vervolgens kan het topmanagement eventueel besluiten nemen over de geïdentificeerde risico’s. De risico’s kunnen bijvoorbeeld gemitigeerd of overgedragen worden. Veelal 28

hangt hier een prijskaartje aan.

Figuur 10: Het risicomanagementproces

Aanvullend kunnen deze risico’s ook van invloed zijn op de doelstellingen en strategie van een organisatie. blijkt

dat

Immers, de

wanneer

gekozen

doel-

Plan

Do

Raad van Bestuur Act

Check Plan

stellingen en strategie dermate grote

risico’s

met

Divisie

zich Act

meebrengen, dan kan de directie ervoor kiezen om de gestelde

Do

Check Plan

Risico’s

Business Unit

koers aan te passen. Voordat business

units

en

Act

afdelingen

de

impact

kunnen

Check

Risico’s

risico’s kunnen identificeren en hiervan

Do

Bron: Figuur is gebaseerd op figuren drie en vier

inschatten, moeten zij wel weten welke missie, visie, doelstellingen en strategie de organisatie nastreeft. Door top-down te communiceren over doelstellingen, strategie en risicoacceptatiegraad verkrijgen lagere echelons in een organisatie het juiste kader voor het uitvoeren van ERM. Samengevat: er wordt in een organisatie ‘van boven naar beneden’ gecommuniceerd (missie, visie strategie, doelstellingen, risicoacceptatiegraad) en van beneden naar boven (de risico’s die boven de risicoacceptatiegraad vallen). De risicomanagementcyclus dat het COSO model hier voor ogen heeft, vertoont veel gelijkenis met de Piramide van Paape (zie paragraaf 3.2.1) en met de denkbeelden van Nieuwenhuis inzake het uitvoeren van bestuurlijke processen. Wanneer de risicomanagementcyclus van het COSO ERM model met behulp van de denkbeelden van Nieuwenhuis wordt uitgewerkt, krijgen organisaties meer concrete handvatten aangereikt voor het implementeren van ERM. De cyclus start met de component ‘het formuleren van doelstellingen’. Nieuwenhuis licht dit aspect toe in de bouwsteen ‘strategie’. In figuur 4 is reeds de samenhang beschreven tussen de begrippen missie, visie, doelstellingen, strategie en risicoacceptatiegraad. Nadat deze begrippen in de top van de organisatie zijn uitgewerkt, moet dit top-down worden gecommuniceerd in de organisatie. Nieuwenhuis heeft het criterium ‘communicatie’ tussen verschillende niveaus binnen een organisatie duidelijk gemaakt met behulp van Deming cirkels (zie figuur 3). De communicatiekanalen die het topmanagement kan gebruiken zijn velerlei. Van nieuwsbrieven tot workshops en van presentaties tot één-op-één overlegsessies. Vervolgens worden periodiek de risico’s in lagere echelons van de organisatie geïdentificeerd, beoordeeld en beheerd door middel van controlemaatregelen. De methoden om risico’s te identificeren en te beoordelen zijn talrijk. Bijvoorbeeld met behulp van interviews, workshops of expert meetings. Risico’s die boven de risicoacceptatiegraad vallen worden bottum-up gecommuniceerd naar het topmanagement. Op deze manier ontstaat een nieuw procesmodel dat de risicomanagementcyclus die COSO voor ogen heeft nauwkeurig beschrijft (zie figuur 10). Hierbij dient opgemerkt te worden dat de gepresenteerde organisatiestructuur (Raad van Bestuur,

29

Divisie en Business Unit) slechts een voorbeeld is. Een kleinere organisatie kan bijvoorbeeld slechts uit twee niveaus bestaan: de directie en een aantal afdelingen. De figuur laat tevens zien dat de ‘Golf’ barrière van Morgan, dat is uitgewerkt in het criterium ‘communicatie’, een uitermate belangrijk thema is voor de risicomanagementcyclus. Zonder goede communicatie tussen verschillende niveaus kan de risicomanagementcyclus niet worden uitgevoerd.

→ Element 3: De risicomanagementcyclus is een proces dat start met het opstellen van de missie, visie, doelstellingen, strategie en het bepalen van de risicoacceptatiegraad door het topmanagement. Deze zaken worden vervolgens top-down door de organisatie gecommuniceerd. Daarna start een bottum-up proces waarin risico’s in lagere echelons in een organisatie worden geïdentificeerd, geanalyseerd en beheerd. Risico’s boven de gestelde risicoacceptatiegraad worden ‘naar boven’ gecommuniceerd naar het topmanagement. Hier kunnen de geïdentificeerde risico’s weer worden gebruikt voor beleidvoering, zodat de cirkel rond is. In de risicomanagementcyclus is communicatie een cruciaal element.

30

3.5 ISO 31000 In 2005 hebben Australië en Japan een voorstel gedaan om een algemene ISO richtlijn te ontwikkelen voor risicomanagement. Aan de ontwikkeling van deze wereldwijde standaard hebben experts uit 28 landen gedurende vier jaar gewerkt. Uiteindelijk werd de ISO-norm (ISO 31000 genaamd), samen met de ISO guide 73 Vocabulary, in november 2009 gepubliceerd. ISO 31000 bevat principes en algemene richtlijnen voor het implementeren van risicomanagement. Het is bedoeld voor alle typen organisaties, ongeacht de grootte van een organisatie of sector waarin zij opereren (ISO 31000, 2009, p1). Kenmerkend voor ISO 31000 is dat de norm op stimulerende wijze een impuls probeert te geven aan integraal risicomanagement (Van Marle en Haisma, 2009, p14). Het is geen harde blauwdruk voor een risicomanagementsysteem, maar eerder een richtlijn of handvat voor het integreren van risicomanagement. Hierbij definieert ISO een risico als: ‘Het effect van onzekerheid op doelstellingen’ (ISO Guide 73, 2009). Deze onzekerheid kan zowel een positief als negatief effect hebben op de gestelde doelen. Met andere woorden, ISO pleit ervoor om niet alleen naar de negatieve kant van risico’s (kans op een schadelijke gebeurtenis) te kijken, maar ook naar de positieve kant (kansen) van risico’s. ISO 31000 is opgebouwd uit drie onderdelen: (1) Principes voor risicomanagement, (2) een raamwerk voor risicomanagement en (3) het risicomanagementproces.

3.5.1 PRINCIPES VOOR RISICOMANAGEMENT Volgens ISO 31000 dient risicomanagement in een organisatie aan elf principes te voldoen om effectief te zijn (ISO 31000, 2009, p1). Risicomanagement: a. Voegt waarde toe. Risicomanagement draagt zichtbaar bij aan het behalen van de gestelde doelen van de organisatie. b. Is geïntegreerd in de processen van de organisatie. Risicomanagement is geen losstaande activiteit, maar is geïntegreerd in de processen en activiteiten van de organisatie. c. Maakt deel uit van de besluitvorming. Risicomanagement helpt degene die besluiten moeten nemen door hen tijdig te voorzien van de juiste informatie. d. Onzekerheid wordt expliciet benoemd. Risicomanagement gaat expliciet in op onzekerheid en op de eigenschappen en bron van die onzekerheid. e. Systematisch, gestructureerd en tijdig. Een systematische, tijdige en gestructureerde aanpak van risicomanagement draagt bij aan efficiëntie en het bereiken van consistente, betrouwbare resultaten. f.

Gebaseerd op de best beschikbare informatie. De input van risicomanagement komt vanuit diverse bronnen, zoals historische gegevens, ervaring, observering en experts.

g. Op maat gesneden. Risicomanagement is afgestemd op het risicoprofiel en de interne en externe context van de organisatie.

31

h. Houdt rekening met menselijke en persoonlijke factoren. Risicomanagement houdt rekening met de capaciteiten, percepties en intenties van mensen binnen en rondom de organisatie die het bereiken van de gestelde doelen kunnen beïnvloeden. i.

Transparant en sluit niemand uit. Het betrekken van stakeholders en beslissingsbevoegden vanuit alle geledingen van de organisatie zorgt ervoor dat risicomanagement relevant en up-to-date blijft.

j.

Dynamisch, iteratief en reagerend op veranderingen. De interne en externe context van een organisatie is continu in beweging. Daarom houdt risicomanagement veranderingen continu in de gaten en reageert hierop waar nodig.

k. Ondersteunt continue verbetering en de uitbouw van de organisatie. Organisaties moeten risicomanagement samen met andere aspecten van de organisatie continu verbeteren.

3.5.2 RAAMWERK VOOR RISICOMANAGEMENT Ook ISO 31000 benadrukt dat risicomanagement daadwerkelijk op alle niveaus binnen een organisatie geïmplementeerd moet worden. Dit moet volgens de norm bewerkstelligd worden met behulp van een raamwerk. Met dit raamwerk (zie figuur 11) wil ISO geen strikt managementsysteem voorschrijven, echter het dient organisaties te ondersteunen bij het integreren van risicomanagement in het algemene managementsysteem (ISO 31000, 2009, p3). Figuur 11: ISO raamwerk voor risicomanagement

De eerste stap voor het ontwikkelen van een raamwerk voor risicomanagement is het verkrijgen van mandaat en draagvlak van het topmanagement. Het is belangrijk dat de top van de organisatie het risicomanagementbeleid uitdraagt, het belang en de toegevoegde

waarde

van

risicomanagement

communiceert naar alle belanghebbenden, de rollen en verantwoordelijkheden

ten

aanzien

van

risico-

management in de organisatie belegd en ervoor zorgt dat er voldoende resources beschikbaar zijn voor risicomanagement. Het vervolg van het raamwerk kent het karakter van een zogenaamde Deming cyclus, dat vertaald is in het ontwerpen, implementeren, reviewen en verbeteren van het raamwerk. Het ontwerpen van het raamwerk houdt in dat de organisatie een aantal zaken expliciet benoemt en

Bron: ISO 31000 (2009, p3)

meeneemt in haar overwegingen ten aanzien van risicomanagement. Deze zaken zijn: a. Het creëren van een goed begrip van de interne en externe context van de organisatie. Hierbij kan men denken aan het gebruik van bestaande informatiesystemen, de Planning & Control cyclus, de normen 32

en waarden van de organisatie en economische ontwikkelingen en trends in de markt (Van Marle en Haisma, 2009, p17). b. Het vaststellen van het risicomanagementbeleid. In dit beleid staat onder andere aangegeven waarom de organisatie risicomanagement wil toepassen, wat men met risicomanagement wil bereiken en hoe het risicomanagement zich verhoudt tot de gestelde doelen van de organisatie. c. De integratie van risicomanagementbeleid in het organisatieproces. ISO benadrukt dat risicomanagement geen separaat proces moet zijn, maar moet worden ondergebracht in alle andere (operationele) processen van de organisatie. Er dient een organisatiebreed implementatie plan te worden opgesteld dat vaststelt op welke wijze risicomanagement geïmplementeerd gaat worden in alle processen en plannen van de organisatie. d. Vaststellen en effectueren van taken, rollen en verantwoordelijkheden ten aanzien van risicomanagement. e. Toewijzen van middelen (hulpbronnen). De organisatie dient te zorgen voor de allocatie van de juiste middelen voor risicomanagement. Denk hierbij aan kennis en vaardigheden van het personeel, methoden en technieken voor risicomanagement en informatie- en kennissystemen. f.

Het vaststellen van communicatiemechanismen en rapportagemiddelen. Deze middelen en mechanismen moeten zowel de interne organisatie als de externe omgeving tijdig, juist en volledig informeren inzake het risicomanagement van de organisatie.

Voor het implementeren van het raamwerk dient de organisatie een plan op te stellen (en uit te voeren!) waarin de implementatiestrategie voor risicomanagement centraal staat. Het risicomanagementbeleid en het risicomanagementproces dienen te worden ingebed in alle processen en plannen van de organisatie. Uiteraard moet er voldoende tijd, geld en mensen worden vrijgemaakt om het raamwerk te implementeren (Van Marle en Haisma, 2009, p17). Het monitoren en reviewen van het raamwerk betekent dat de organisatie concrete acties onderneemt om de effectiviteit van risicomanagement in de organisatie te meten en beoordelen. Denk hierbij aan het gebruik van ‘performance indicators’ en het beoordelen van de voortgang van de implementatie van risicomanagement. Het monitoren en reviewen zorgt ervoor dat risicomanagement een levendig geheel blijft en aansluit bij de doelstellingen van de organisatie en de interne en externe omgeving (Van Marle en Haisma, 2009, p17). Als slotstuk van de Deming cyclus predikt ISO het continu verbeteren van het raamwerk. Een organisatie zou, op basis van de uitkomsten van het monitoren en reviewen van het raamwerk, concrete acties moeten ondernemen om het raamwerk, het beleid en het risicomanagementplan steeds verder te verbeteren.

33

3.5.3 RISICOMANAGEMENTPROCES Het risicomanagementproces zou volgens ISO een integraal onderdeel moeten zijn van de managementactiviteiten en de cultuur van een organisatie. Dit proces bestaat uit een zevental activiteiten (zie figuur 12) en vertoont veel gelijkenis met het risicomanagementproces van het COSO ERM model. 1. Communicatie

en

consultatie:

Waar

nodig

vindt

er

tijdens

elke

activiteit

in

het

risicomanagementproces communicatie plaats met interne en externe stakeholders. Deze communicatie is belangrijk aangezien stakeholders risico’s beoordelen vanuit hun eigen referentiekader. De perceptie van stakeholders ten aanzien van risico’s moet worden geïdentificeerd, vastgelegd en worden meegenomen in het besluitvormingsproces. 2. Vaststellen context: In het kader van risicomanagement zal een organisatie begrip moeten creëren voor de externe omgeving en de interne organisatie. Deze activiteit is ook opgenomen in het opzetten van het raamwerk (zie paragraaf 3.5.2), alleen wordt de activiteit in het risicomanagementproces in veel groter detail uitgewerkt. Het begrijpen van de externe omgeving is belangrijk om te garanderen dat de doelen en beweegredenen van externe stakeholders worden meegenomen in het risicomanagementproces. Daarnaast moet het risicomanagementproces om effectief te zijn ook worden afgestemd op de interne organisatie. Denk hierbij aan de cultuur van de organisatie, de systemen, interne stakeholders en (governance)structuren. Naast een analyse van de interne en externe omgeving, zal er ook een context moeten

Figuur 12: ISO risicomanagementproces

worden gecreëerd voor het risicomanagement zelf. Dit betreft onder andere het uitvoeren van activiteiten als het vastleggen van taken, rollen

Vaststellen context

en verantwoordelijkheden ten aanzien van risicomanagement;

het

vaststellen

van

te

het analyseren en evalueren van risico’s. 3. Risico identificatie: Een organisatie dient risicobronnen en gebeurtenissen die een impact kunnen hebben op de doelstellingen van de

Risico identificatie

Risico analyse

Risico evaluatie

organisatie te identificeren. Hiervoor dient de organisatie

te

beschikken

over

relevante

Risico beheersing

informatie dat up-to-date is, moeten alle mensen worden ingeschakeld die over relevante kennis en vaardigheden beschikken en zullen middelen Bron: ISO 31000 (2009)

en technieken moeten worden ingezet.

34

Monitoren en beoordelen

risicocriteria die gebruikt kunnen worden voor

Communicatie en consultatie

gebruiken methoden; en het opstellen van

4. Risico analyse: Het is zaak dat een organisatie vervolgens inzicht krijgt in de geïdentificeerde risico’s. Wat is de kans dat het risico zich openbaart? En wat is de eventuele impact van het risico? 5. Risico evaluatie: In deze processtap worden de geanalyseerde risico’s vergeleken met de opgestelde risico criteria van de organisatie. Op basis van deze evaluatie wordt bekeken welke risico’s behandeld moeten worden en in welke volgorde. 6. Risico beheersing: Deze activiteit betreft het selecteren en implementeren van één of meer beheersmaatregelen. Risico beheersing is een cyclisch proces: na het implementeren van een maatregel wordt gekeken of deze het gewenste resultaat heeft gebracht. Indien dit niet het geval is, wordt er een andere maatregel toegepast, waarna het spel weer van voor af aan begint. 7. Monitoren en beoordelen: Alle processtappen in het risicomanagementproces moeten op gezette tijden worden gemonitord en beoordeeld. Deze activiteit moet ervoor zorgen dat een organisatie leert van haar fouten en zodoende het risicomanagementproces blijft verbeteren. De processtappen ‘monitoren en beoordelen’ en ‘communicatie en consultatie’ zorgen voor een link naar het raamwerk dat in paragraaf 3.5.2 centraal staat (Van Marle en Haisma, 2009, p18).

3.5.4 IMPLEMENTATIE ELEMENTEN IN ISO 31000 Vanuit de criteria uit Organizational Development theorieën en bestaande literatuur inzake ERM zal een antwoord worden gezocht op de vierde deelvraag van deze scriptie: “Welke implementatie elementen zijn er te onderscheiden binnen het ISO 31000 model?” De drie implementatie elementen die zijn aangetroffen in het COSO ERM model zijn ook in meer of mindere mate terug te vinden in ISO 31000: Element 1.

Net als het COSO ERM model stelt ISO 31000 bij het ontwerpen van het raamwerk dat een organisatie expliciet aandacht moet besteden aan de taken, rollen en verantwoordelijkheden ten aanzien van ERM en dat risicomanagement op alle niveaus binnen de organisatie moet worden opgepakt.

Element 2.

Ten aanzien van processen inzake ERM wijst COSO op het belang van de interne organisatie (de cultuur, normen, waarden enzovoort). In het kader van ERM zou deze interne organisatie actief moeten worden gemanaged. ISO 31000 neemt hier een iets andere insteek door te stellen dat het risicomanagement moet worden afgestemd op de cultuur van de organisatie.

Element 3.

De ‘risicomanagementcyclus’ die COSO onderkent met behulp van haar componenten vertoont grote gelijkenis met het risicomanagementproces van ISO 31000. Beide bevatten acties als het identificeren, analyseren en beheersen van risico’s en benadrukken het belang van communicatie. Niettemin zijn er belangrijke accentverschillen. Daar waar COSO benadrukt dat de risico’s bottom-up verzameld en geaggregeerd moeten worden, legt ISO de

35

nadruk op het feit dat het risicomanagementproces geïntegreerd moet worden in alle andere processen. ISO 31000 bevat ook twee belangrijke implementatie elementen die nog onvoldoende aandacht hebben gekregen binnen het COSO ERM model. Deze zullen in het van dit hoofdstuk worden uitgewerkt in een vierde en vijfde implementatie element. ELEMENT 4: ERM MOET WORDEN GEINTEGREERD IN DE BEDRIJFSVOERING Een van de leidende principes van ISO 31000 is dat risicomanagement geïntegreerd moet worden in de processen van de organisatie. Het is echter teleurstellend dat ISO niet uitgebreid ingaat op de vraag hoe dit vorm kan worden gegeven (Leitch, 2010, p891). Verspreid over de publicatie staan een aantal aandachtspunten voor het implementeren van ERM waarvan de samenhang helaas niet nader wordt toegelicht. Wanneer het implementeren van ERM wordt geanalyseerd met behulp van de criteria ‘structuur’ en ‘integreren’ uit hoofdstuk twee, ontstaat een interessant perspectief. Zoals gezegd bestaat het criterium structuur uit een organisatiestructuur en een processtructuur. De processtructuur bestaat vervolgens uit bestuurlijke processen, primaire processen en ondersteunende processen. Bestuurlijke processen zijn reeds verwerkt in de risicomanagementcyclus (element 3). Primaire en ondersteunende processen zijn nog niet verwerkt in een element. Het criterium ‘integreren’ wijst op het belang van het integreren van een concept als ERM in de gehele bedrijfsvoering van een organisatie. Zonder deze integratie hangt ERM als een ‘trofee aan de muur’ en is de toegevoegde waarde van het concept miniem. ERM dient zodoende ook een onderdeel te worden van de primaire en ondersteunende processen. Primaire processen zijn voor vastgoedorganisaties sterk afhankelijk van het type vastgoedorganisatie. Zo zal bijvoorbeeld een projectontwikkelaar vastgoed ontwikkelen, zal een belegger vastgoed aankopen, verkopen en exploiteren en zal een woningcorporatie vooral huizen verhuren. Bij het uitvoeren van de primaire processen lopen de organisaties risico. Een project van een ontwikkelaar kan bijvoorbeeld door tal van oorzaken onrendabel worden. Ditzelfde geldt voor ondersteunende processen. Het aannemen van goed gekwalificeerd personeel is een voorbeeld van een ondersteunend proces dat in elke organisatie voldoende aandacht verdient. Het is van eminent belang dat de risico’s in primaire en ondersteunende processen worden geïdentificeerd, beoordeeld en beheerd. Deze processen vormen niet alleen een belangrijke bron voor risico’s die boven de risicoacceptatiegraad vallen en via de risicomanagementcyclus naar de top van de organisatie worden gecommuniceerd. Op primaire en ondersteunende processen zijn ook veel risico’s van toepassing die qua kans en impact onder de risicoacceptatiegraad vallen. Dit neemt niet weg dat deze risico’s (gezamenlijk) weldegelijk grote gevolgen kunnen hebben voor een organisatie en hierdoor gemanaged moeten worden. Processen worden ondersteund door de bouwstenen ‘mensen’ en ‘middelen’ en worden bestuurd met behulp van een kader en rapportages (zie figuur 2). Nieuwenhuis (2003, p47) wijst erop dat al deze zaken ingevuld moeten worden om een proces effectief te kunnen besturen en beheersen. Per primair en ondersteunend proces (of groep van processen) moet een organisatie nadenken op welke wijze 36

risicomanagement geïntegreerd kan worden door gebruik te maken van mensen, middelen, kaders en rapportages. Resulterend kan gesteld worden dat er vanuit ISO 31000 een vierde element kan worden toegevoegd aan het implementeren van ERM in een organisatie:

→ Element 4: ERM moet worden geïntegreerd in de bestuurlijke, primaire en ondersteunende processen van een organisatie. Dit vertaalt zich in het expliciet opnemen van risicomanagement in de besturing (kaders, rapportages) en ondersteuning (mensen, middelen) van de processen.

ELEMENT 5: ERM MOET WORDEN GEEVALUEERD EN VERBETERD Het criterium ‘resultaten’ wijst erop dat de effectiviteit van de inspanningen van een organisatie op bepaalde aandachtsgebieden gemeten moet worden. Deze gedachte is ontleend aan het INK model dat de resultaten meet op zaken als medewerkertevredenheid, klanttevredenheid en de waardering door de maatschappij met als doel om deze informatie te gebruiken om een organisatie steeds verder te ontwikkelen. In het COSO ERM model wordt in de laatste component ‘bewaking’ aandacht besteed aan het feit dat de werking van ERM moet worden geëvalueerd en verbeterd. Echter, de aandacht voor het continu blijven verbeteren van ERM in een organisatie oogt in dit model summier. Zeker in vergelijking tot ISO 31000. Net als COSO heeft ISO in het risicomanagementproces plaats ingeruimd voor het monitoren en beoordelen van de werking van risicomanagement in de organisatie. Naar de mening van ISO moeten alle processtappen continu en op gezette tijden worden geëvalueerd. Daarnaast wordt de aandacht nog uitgebreider gericht op het evalueren en verbeteren van ERM in het raamwerk van ISO 31000. Naar analogie van de Deming cyclus is voor het managen van het raamwerk expliciet de stap ingenomen, dat het raamwerk (en hiermee de werking van risicomanagement in de organisatie) continu moet worden verbeterd.

→ Element 5: De werking (c.q. de resultaten) van ERM in een organisatie moet worden geëvalueerd. Aansluitend moet een organisatie blijven werken aan het verbeteren van ERM.

37

3.6 RESUME Met behulp van de negen criteria die zijn opgesteld in hoofdstuk twee zijn vijf implementatie elementen geïdentificeerd (en geconcretiseerd) uit het COSO ERM model en ISO 31000. Deze implementatie elementen zijn hieronder samengevat en gekoppeld aan de criteria waarmee zij geïdentificeerd zijn. Ten slotte is in de derde kolom een referentie opgenomen naar de implementatie elementen die gevonden zijn in de ERM literatuur (zie paragraaf 3.2.4). Criteria

Elementen

hoofdstuk twee

ERM literatuur

Structuur

Randvoorwaarde

Cultuur

Randvoorwaarde

Een risicomanagementcyclus is gericht op het bottom-up verzamelen

Strategie, Structuur,

en aggregeren van risico’s in een organisatie. Hier gaat een top-down

Communicatie

Risicomanagementproces

Implementatie elementen COSO en ISO model

ERM moet worden geplot op het organogram: ERM moet op alle niveaus

worden

uitgevoerd

en

de

taken,

rollen

en

verantwoordelijkheden t.a.v. ERM moeten helder worden belegd. ERM besteedt expliciet aandacht aan het managen van de cultuur van een organisatie. De cultuur moet goed aansluiten bij de missie en visie van de organisatie.

proces aan vooraf waarin de strategie, missie/visie, doelstellingen en risicoacceptatiegraad worden gecommuniceerd. ERM moet worden geïntegreerd in alle processen van een organisatie. Dit vertaalt zich in het expliciet opnemen van

Structuur, Mensen, Middelen, Integratie

Risicomanagementproces

risicomanagement in de besturing (kaders, rapportages) en ondersteuning (mensen, middelen) van de processen. Binnen een organisatie moet de werking (effectiviteit) van ERM worden geëvalueerd en blijvend worden verbeterd. Dit proces kan

Resultaten

Evalueren en verbeteren

zowel continu plaatsvinden als op gezette tijden.

Alle implementatie elementen die zijn geïdentificeerd in de COSO en ISO modellen worden ook aangetroffen in de literatuur inzake ERM. De elementen 1 en 2 worden door onder andere Emanuels en De Munnik (2006) bestempeld als randvoorwaarden. Element 3, de risicomanagementcyclus, is onderdeel van de risicopiramide van Paape (2010). Bowling en Rieger (2005, p33) vergelijken ERM met de implementatie van TQM, waarmee zij wijzen op het belang om een dergelijk concept daadwerkelijk te integreren in de bedrijfsvoering. Deze gedachten zijn ook verwoord in het vierde implementatie element. Het vijfde implementatie element ten slotte, wordt door Emanuels en De Munnik (2006, p297) ook wel een meta-beheersdoelstelling genaamd. 38

4. VASTGOEDORGANISATIES EN ERM Het COSO ERM model en ISO 31000 zijn beide generieke modellen. Dit betekent dat zij gebruikt kunnen worden door een veelvoud van organisaties met verschillende achtergronden. Voor vastgoedorganisaties is het echter interessant hoe zij risicomanagement optimaal kunnen afstemmen op hun organisatie. Daarom zal dit hoofdstuk zich richten op de deelvraag welke implementatie elementen vastgoedspecifiek kunnen worden gemaakt?

4.1 KENMERKEN VAN VASTGOED Een synoniem voor vastgoed is onroerend goed, dat in het Burgerlijk Wetboek gedefinieerd is als: "de grond, de nog niet gewonnen delfstoffen, de met de grond verenigde beplantingen, alsmede de gebouwen en werken die duurzaam met de grond zijn verenigd, hetzij rechtstreeks, hetzij door vereniging met andere gebouwen of werken.” 3 Vastgoed heeft een aantal kenmerken die van invloed kunnen zijn op het managen van risico’s. Van Gool et al (2007, p21) geven een aantal voorbeelden: •

De vastgoedwereld wordt gekenmerkt door ongelijke en onvolledige informatie.

•

Onroerend goed is niet alleen een belegging voor de eigenaar, maar het is ook een productiemiddel. Hierdoor opereert een eigenaar niet alleen op de vermogensmarkt, maar ook op andere markten zoals bijvoorbeeld de verhuurmarkt van winkels of huizen.

•

Vastgoed is een heterogeen product: de aard van een gebouw, locatie, gebruikers, onderhoudstaat enzovoort zijn uniek.

•

Vastgoed kent relatief hoge eenheidsprijzen. Voor een goede risicospreiding is al snel een portefeuille nodig met een aanzienlijk vermogen.

•

De productietijd van onroerend goed is lang.

•

Er is veel wetgeving van toepassing op onroerend goed: ruimtelijke ordening, huurwetgeving, fiscale regelgeving, wet Melding Ongebruikelijke Transacties (MOT), recht inzake contractvorming, enzovoort.

•

Projectontwikkeling is een discipline waarin de samenwerking tussen partijen, het proces en het resultaat uniek zijn (Gehner, 2003, pXII).

•

De vastgoedmarkt is een verzameling van verschillende markten, zoals de ruimtemarkt, kapitaalmarkt, ontwikkelmarkt en de activamarkt (Vlek, 2009, p18).

•

Vastgoed is kapitaalintensief waardoor er een belangrijke rol is weggelegd voor Treasury.

Hoewel iedere branche zijn unieke eigenschappen kent, heeft vastgoed dus een aantal specifieke kenmerken die van invloed kunnen zijn op het risicomanagement binnen vastgoedorganisaties.

3 Nederlandse B.W., boek 3, art 3 lid 1

39

Samengevat: vastgoed is een heterogeen, kapitaalintensief product dat niet liquide is en waar veel regelgeving en actoren invloed op uitoefenen.

4.2 VASTGOEDSPECIFIEKE IMPLEMENTATIE ELEMENTEN Om een antwoord te kunnen vinden op de vijfde deelvraag (welke implementatie elementen kunnen vastgoedspecifiek worden gemaakt) moeten de kenmerken van het vastgoed worden gekoppeld aan de vijf implementatie elementen die zijn opgesteld in hoofdstuk drie. Per implementatie element moet bekeken worden of vastgoed een specifieke invloed heeft op het element. Indien dit het geval is, dan zal deze invloed nader worden verklaard en geconcretiseerd. ELEMENT 1: ERM MOET WORDEN GEPLOT OP HET ORGANOGRAM Dit element heeft een generiek karakter. Elke organisatie zal ERM op alle niveaus binnen de organisatie moeten uitwerken en de taken, rollen en verantwoordelijkheden ten aanzien van ERM moeten helder worden belegd. Vastgoedorganisaties hebben geen unieke organisatiestructuur die implicaties heeft voor dit element. ELEMENT 2: ERM BESTEEDT AANDACHT AAN DE CULTUUR VAN EEN ORGANISATIE Na alle vastgoedschandalen is het item ‘cultuur’ in veel vastgoedorganisaties een belangrijk thema. Hoewel vastgoed enige specifieke kenmerken kent (zie paragraaf 4.1) hebben deze kenmerken geen specifieke impact op het proces dat element twee voor ogen heeft. Iedere organisatie zal voor zichzelf moeten bepalen of de cultuur van de organisatie voldoende aansluit op de missie en visie van de organisatie. Indien bijsturing is gewenst (of vereist) dan kan een organisatie de cultuur bewerken met behulp van plannen, kaders, mensen en middelen (zie figuur 9). ELEMENT 3: EEN RISICOMANAGEMENTCYCLUS DIE TOP-DOWN EN BOTTOM-UP GAAT Dit element beschrijft een generieke cyclus. Vanuit de directie van de organisatie worden de missie, visie, strategie, doelstellingen en risicoacceptatiegraad naar lagere echelons in de organisatie gecommuniceerd. Op basis van deze input worden in deze lagere echelons de risico’s die boven de gestelde risicoacceptatiegraad vallen, geïdentificeerd, geanalyseerd en ‘naar boven’ gecommuniceerd. Hoewel deze cyclus voor vastgoedorganisaties niet anders zal zijn dan voor andere organisaties, is het wel de vraag welke impact vastgoed heeft op het bepalen van de doelstellingen, strategie en risicoacceptatiegraad. Het heterogene, illiquide karakter van vastgoed zorgt ervoor dat het lastig is om de strategische kaders SMART te maken. Zo kan de directie van een belegger aanduiden in welke markten en gebieden de beleggingen moet worden gedaan, echter het bepalen en uitvoeren van de juiste beleggingsmix is geen sinecure. Derhalve kan gesteld worden dat hoewel de risicomanagementcyclus voor vastgoedorganisaties niet anders is dan voor andere organisaties, de specifieke kenmerken van vastgoed een uitdaging vormen voor het SMART formuleren van kaders die worden opgelegd aan lagere echelons in een vastgoedorganisatie.

40

ELEMENT 4: ERM MOET WORDEN GEINTEGREERD IN DE BEDRIJFSVOERING Volgens Nieuwenhuis bestaat de bedrijfsvoering uit processen die worden ondersteund door de bouwstenen ‘mensen’ en ‘middelen’ en worden bestuurd met behulp van een kader en rapportages (zie figuur 2). Nieuwenhuis (2003, p47) wijst erop dat al deze zaken ingevuld moeten worden om een proces effectief te kunnen besturen en beheersen. Het is dus de vraag welke implicaties de vastgoedmarkt heeft op de processen (en dus op ‘mensen’, ‘middelen’, kaders en rapportages) van vastgoedorganisaties. Hoewel deze implicatie per proces zal verschillen, en door vastgoedorganisaties dus per proces moet worden bepaald, zal in dit hoofdstuk een globale inschatting worden gemaakt van de impact. Ter concretisering en voorbeeld zullen de vastgoedkenmerken per item worden toegelicht voor een investeringsproces. De besturing van processen wordt grotendeels verzorgd door het kader dat wordt opgelegd aan het betreffende proces. Een kader geeft richting en sturing aan een proces. Zoals gezegd hebben kaders een direct verband met de risicomanagementcyclus waarin

zaken als de missie, visie, strategie, de

risicoacceptatiegraad en de doelstellingen van de organisatie top-down worden gecommuniceerd (zie paragraaf 3.5.4). Voor een investeringsproces worden deze zaken bijvoorbeeld vertaald in een kader dat aangeeft in welke markten een organisatie (niet) actief wil zijn, partijen waar men geen zaken mee wenst te doen, de benodigde functiescheiding, een Bill of Authority en een rendementseis waaraan een investering moet voldoen. Een ander element van kaders wordt gevormd door weten regelgeving. Vastgoed kent onder meer specifieke fiscale en juridische wetgeving, welke een belangrijke impact hebben op de processen. Bij een investeringsproces moet een organisatie bijvoorbeeld rekening houden met regels inzake overdrachtsbelasting of levering in de BTW-sfeer, fiscale en/of juridische levering en de wet Melding Ongebruikelijke Transacties (MOT). Ten slotte heeft ook het product ‘vastgoed’ en de markt waarop deze tot stand komt (c.q. wordt verhandeld) een belangrijke implicatie voor de processen van vastgoedorganisaties. Vastgoed is een heterogeen product, dat locatie gebonden is en veelal een hoge waarde per eenheid kent die ook nog eens enigszins subjectief is. Voor een investeringsproces kan dit bijvoorbeeld vertaald worden in de eis dat een potentiële investering altijd getaxeerd wordt door een onafhankelijke partij, dat er due diligence wordt uitgevoerd en dat er een bepaalde spreiding in de vastgoedportfolio wordt vereist. Een tweede onderdeel van de besturing van processen wordt gevormd door rapportages. Op diverse momenten in een proces stellen medewerkers (of systemen) rapportages op die verslag doen over activiteiten of ontwikkelingen. De rapportages hebben een sterke link met het kader dat is toegelegd op het proces. Deze relatie vertoont veel gelijkenis met de onderdelen ‘Plan’ en ‘Check’ van de bekende Deming cyclus. Daar waar het kader richtinggevend is (plan), zorgen rapportages voor de feedback c.q. controle (check) op de uitvoering van de activiteiten binnen de gestelde kaders. Aangezien het kader een sterk vastgoedspecifiek karakter kent voor vastgoedbedrijven, zou dit ook moeten gelden voor de rapportages. Zo zal voor een investeringsproces bijvoorbeeld moeten worden gerapporteerd aan de directie met welke partij een Asset Manager zaken wil doen (betrouwbare partij?), wat de resultaten zijn van het due diligence onderzoek, welke waarde een onafhankelijke taxateur toekent aan het vastgoed en welke invloed de 41

aankoop heeft op de samenstelling van de vastgoedportfolio. Daarnaast lijkt het wenselijk om expliciet een paragraaf op te nemen over de risico’s die verbonden zijn met de aankoop. Deze risico’s kunnen bijvoorbeeld worden uitgewerkt in drie scenario’s (worst case, best case en ‘meest waarschijnlijk’). De ondersteuning van processen wordt onder andere verzorgd door de bouwsteen ‘mensen’. Zoals gezegd is vastgoed een heterogeen, kapitaalintensief en locatiegebonden product waarop specifieke weten regelgeving van toepassing is. Daarnaast zijn er meestal veel belanghebbenden (denk aan eigenaren, omwonenden, gemeente, milieuorganisaties enzovoort) en is informatie in de vastgoedwereld vaak onvolledig en ongelijk verdeeld. Deze kenmerken zorgen ervoor dat de factor ‘human capital’ in vastgoedorganisaties van groot belang is. Een vastgoedorganisatie moet de kennis en kunde in huis hebben (en inzetten!) op allerlei vlakken. Bij een investeringsproces bijvoorbeeld moeten diverse disciplines worden betrokken: fiscalisten, juristen, investeringscontrollers, portfolio managers, asset managers en property management specialisten. Wanneer de kwaliteit van een van deze disciplines te wensen over laat of deze onvoldoende wordt betrokken in het investeringsproces, kan dit grote gevolgen hebben voor de resultaten van het investeringsproces. Verder is het zaak dat het personeel goed op de hoogte is van het kader dat is opgelegd aan het betreffende proces en op welke wijze risicomanagement hierin moet worden uitgevoerd. Samengevat, de bouwsteen ‘mensen’ wijst enerzijds op het belang van het hebben van de juiste kennis en kunde om de processen te ondersteunen en anderzijds op het opleiden van mensen op het gebied van risicomanagement. De bouwsteen ‘middelen’ biedt ook ondersteuning aan processen. Onder middelen worden resources verstaan als machines, ICT, financiën en facilitair management. Deze middelen voeren zelfstandig stappen uit binnen een proces of worden door actoren gebruikt om activiteiten uit te voeren (Nieuwenhuis, 2003, p48). Voor het managen van risico’s zijn er diverse hulpmiddelen ontwikkeld waarmee risico’s kunnen worden geïdentificeerd, ingeschat, vastgelegd en gevolgd. Enerzijds bestaan deze uit generieke hulpmiddelen die door iedere organisatie kunnen worden ingezet en anderzijds zijn er hulpmiddelen ontwikkeld die specifiek bestemd zijn voor de vastgoedprocessen. Voor het implementeren van ERM vormt deze bouwsteen een belangrijk element om risicomanagement vastgoedspecifiek te maken. In het kader van dit onderzoek zou het te ver gaan om een volledige lijst van alle hulpmiddelen op te nemen. Niettemin worden er in paragraaf 4.3 een aantal hulpmiddelen genoemd die uitermate geschikt zijn voor de ondersteuning van vastgoedprocessen. Risicomanagement zou in alle processen van een vastgoedorganisatie moeten worden geïntegreerd. In het kader van deze scriptie zou het te ver gaan om aan te geven op welke wijze dit in alle vastgoedprocessen kan worden geïntegreerd. Niettemin is in deze paragraaf aangegeven op welke wijze risicomanagement geïntegreerd kan worden in het investeringsproces. In het kader hieronder is dit voorbeeld nogmaals uitgewerkt.

42

Voorbeeld: Integratie risicomanagement in het primaire proces ‘investeren in vastgoed’ De kaders die aan het investeringsproces worden opgelegd geven sturing aan de Asset Managers. Het is erg belangrijk dat de medewerkers die de investeringen voorbereiden en uitvoeren op de hoogte zijn van zaken als de strategie, de risicoacceptatiegraad en de rendementeisen van de organisatie. Hiermee wordt direct een link gelegd met de risicomanagementcyclus die is uitgewerkt in het derde implementatie element. Vanuit de top van de organisatie worden de missie, visie, strategie, doelen en risicoacceptatiegraad ‘naar beneden’ gecommuniceerd. Deze zaken vormen een belangrijk bestanddeel van de kaders van de processen. Voor de sturing op het investeringsproces is het vervolgens noodzakelijk dat de Asset Managers in het investeringsvoorstel (waarop besluitvorming plaatsvindt door het management of de directie) expliciet aandacht besteden aan de risico’s die gekoppeld zijn aan de investering en hoe de investering zich verhoudt tot het kader dat is opgelegd.

Besturing • Missie & Visie • Strategie & doelen • Risico acceptatiegraad • Ren dementeisen • Controlemaatregelen • Wet- en regelgeving

Input

Plan nen Kaders

Activiteit

• Kennis Asset Management • Kennis risicomanagement

Rapportage

Activiteit

Men sen

• Bijdrage aan doelen/strategie • Expliciet aandacht voor risico’s • Res ultaten controles • Inves tering versus risico acceptatiegraad

Activiteit

Midd elen

Ou tput

Tools om: • Risico’s te identificeren • Risico’s in te schatten • Con troles uit te voeren

Ondersteuning Om dit te kunnen uitvoeren moeten de Asset Managers beschikken over de gewenste vaardigheden en kennis. Hierbij zal een Asset Manager niet alleen kennis moeten hebben van vastgoed, maar ook van risicomanagement. Indien de Asset Manager hier nog onvoldoende over beschikt moeten ondersteunende afdelingen zoals HR en de afdeling die belast is met risicomanagement (bijvoorbeeld Internal Control) faciliteiten aanbieden om het kennisniveau te verhogen. Ten slotte zal de Asset Manager ook moeten beschikken over middelen om risico’s te identificeren en in te schatten. Denk hierbij bijvoorbeeld aan rekenmodellen waarin de Asset Manager een ‘best case’, waarschijnlijk en een ‘worst case’ scenario kan berekenen. Om controle te houden over processen, worden er in de praktijk vaak controles geïntegreerd in de processen. Het uitvoeren van controles op het investeringsproces wordt normaliter niet door de Asset Manager uitgevoerd, maar door een staffunctionaris (bijvoorbeeld een controller). Ten aanzien van een investeringsproces kan men denken aan controles inzake functiescheiding (investering wordt goedgekeurd door diverse functionarissen), de investering wordt uitgerekend met behulp van standaard en geteste rekenmodellen en alle relevante expertises (zoals marketing, juridische zaken en fiscale zaken) zijn geconsulteerd. In bijlage 6 zijn ter voorbeeld mogelijke controles ten aanzien van het investeringsproces uitgewerkt. 43

ELEMENT 5: ERM MOET WORDEN GEEVALUEERD EN VERBETERD Dit element wijst op het belang van het meten en verbeteren van de effectiviteit van ERM in een organisatie. Er zijn geen specifieke vastgoedmethoden of –middelen voor het evalueren van de effectiviteit van risicomanagement in een organisatie. Logischerwijs heeft dit element derhalve een generiek karakter dat voor elke organisatie geldt. De wijze waarop de effectiviteit gemeten wordt zal voor een vastgoedorganisatie niet beduidend anders zijn dan voor organisaties die gericht zijn op een andere branche.

4.3 HULPMIDDELEN VOOR RISICOMANAGEMENT In de loop der tijd zijn er vele hulpmiddelen ontwikkeld die geschikt zijn voor het ondersteunen van risicomanagement in vastgoedprocessen. Binnen de context van dit onderzoek zou het te ver gaan om een uitgebreide inventarisatie te maken van deze hulpmiddelen. Niettemin zullen er in deze paragraaf ter voorbeeld en concretisering vier middelen, die op diverse vastgoedprocessen kunnen worden toegepast, summier worden besproken. Dit zijn scenarioanalyse, de risicomatrix, portfolio analyse en de optietheorie. SCENARIOANALYSE Wanneer iemand honderd jaar geleden had moeten voorstellen hoe de wereld er nu uit zou zien, is de kans groot dat de huidige werkelijkheid zijn of haar voorstellingsvermogen te boven zou gaan. De wereld is sinds toen enorm veranderd en zal in de toekomst blijven veranderen. Op welke wijze zaken om ons heen veranderen en in welk tempo is (uiteraard) onzeker, maar voor organisaties van enorm belang. Scenarioplanning is een middel waarmee organisaties om kunnen gaan met deze onzekerheid. Bij scenarioplanning gaat het niet om het voorspellen van de toekomst, maar om het creëren van voorstellingen of toekomstbeelden (Rietdijk en Van Winden, 2003, p11). Hierdoor zijn organisaties beter voorbereid op toekomstige ontwikkelingen. Scenarioanalyse kan onder andere gebruikt worden ter ondersteuning van de keuze van een strategie of voor het testen van de gekozen strategie tegen mogelijke toekomstige ontwikkelingen. Shell wordt als een van de grondleggers gezien van deze methode. Dit bedrijf maakt sinds de jaren 60 gebruik van scenarioplanning. Onder leiding van Pierre Wack maakte Shell begin jaren 70 een aantal scenario’s voor de ontwikkeling van de olieprijs en –productie. Een van deze scenario’s was gebaseerd op het (tot dan toe voor onmogelijk gehouden) uitgangspunt dat een aantal olieproducerende landen hun productie zouden beperken. In combinatie met de weinig elastische vraagcurve naar olie werd dit als een ‘crisis scenario’ bestempeld door Shell (Van der Heijden, 1995, p23). Toen de oliecrisis daadwerkelijk optrad in 1973 was Shell als enige oliemaatschappij in staat om adequaat te reageren. Dit heeft de organisatie geen windeieren gelegd. Bij de uitvoering van scenarioplanning is het zaak om een aantal kernonzekerheden centraal te stellen. In de praktijk worden deze onzekerheden veelal tot twee variabelen beperkt, welke bepaald worden met

44

behulp van de zogenaamde ‘diepvriesvraag’: Stel dat je een aantal jaren

Figuur 13: voorbeeld scenarioplanning

ingevroren bent geweest en dan twee

besteedbaar inkomen neemt toe

vragen mag stellen over het heden, wat zou je dan vragen? (Rietdijk en Van 1

Winden, 2003, p11). Zo zou een directeur van een supermarktketen zich kunnen

2

hoger prijsbewustzijn

lager prijsbewustzijn

afvragen (1) hoe het besteedbaar inkomen van mensen zich heeft ontwikkeld en (2)

3

4

hoe het prijsbewustzijn van de consument zich heeft ontwikkeld. Vervolgens zet besteedbaar inkomen neemt af

men deze twee belangrijke onzekerheden tegen elkaar af in een matrix (zie figuur

13). Op deze wijze ontstaan vier kwadranten die ieder een scenario voorstellen (Van Sandijk, 2009, p33). Indien organisaties voor elk scenario beleid ontwikkelen zijn zij beter voorbereid op toekomstige ontwikkelingen. Strategische risico’s worden hiermee gemitigeerd. RISICOMATRIX Projectontwikkeling is een discipline waarin de samenwerking tussen partijen, het proces en het resultaat uniek zijn (Gehner, 2003, pXII). Deze eigenschap stelt belangrijke eisen aan de hulpmiddelen die ingezet kunnen worden voor het identificeren van risico’s ten aanzien van een ontwikkelingsproject. Een risicomatrix is een hulpmiddel waarmee risico’s gestructureerd in kaart kunnen worden gebracht en recht doet aan het unieke karakter van een ontwikkelingsproject (Gehner, 2003, p55). De risicomatrix bestaat uit twee onderdelen. Het gaat om het benoemen van gebeurtenissen op basis van invloedsactoren en –factoren en het bepalen van het effect van deze gebeurtenissen op de investeringsvariabelen. Allereerst worden de risico’s ten aanzien van een project gedefinieerd met behulp van een bronmatrix. In een bronmatrix onderzoekt men de relaties tussen twee invalshoeken. Op een verticale as worden de activiteiten binnen het project opgenomen en op de horizontale as de (f)actoren die betrokken zijn bij het project. Een bronmatrix geeft zodoende aan welke (f)actoren invloed hebben op welke activiteiten. Indien deze invloed aanwezig is, moet de projectmanager inventariseren welke risico’s deze invloed tot gevolg heeft. Het tweede onderdeel van de risicomatrix wordt vormgegeven door een zogenaamde ‘effectmatrix’ waarmee risico’s kunnen worden gekwalificeerd. Net als de bronmatrix bestaat de effectmatrix uit twee assen. Op de verticale as worden de geïdentificeerde risico’s uit de bronmatrix opgenomen en de horizontale as bestaat uit de investeringsvariabelen die kunnen veranderen door deze risico’s. In bijlage 3 is een voorbeeld van een bronmatrix en effectmatrix opgenomen.

45

PORTFOLIO ANALYSE Harry Markowitz heeft met zijn publicatie uit 1953 aan de wieg gestaan van de moderne portefeuilleleer. De kern van de boodschap van Markowitz is dat synergie tussen beleggingen ervoor zorgt dat een portefeuille beter presteert dan individuele beleggingen (Van Gool, 2007, p46). Deze synergie is vooral gericht op het risico dat type beleggingen met zich meebrengen. Risico wordt in deze context veelal weergegeven met behulp van de fluctuaties (standaarddeviatie) in het rendement van een belegging. Markowitz heeft aangetoond dat er naast deze fluctuaties ook moet worden gekeken naar de cyclus of ‘timing’ van een belegging. Zo bestaan er cyclische en anti-cyclische beleggingen. Wanneer de ene belegging stijgt, kan een andere belegging dalen. In een combinatie, ook wel portefeuille genaamd, kunnen de risico’s van beleggingen elkaar hierdoor compenseren. De daling van de ene belegging wordt (deels) gecompenseerd door de stijging van de andere belegging indien beide beleggingen niet perfect gecorreleerd zijn. Elke samenstelling van een portfolio heeft een eigen resultaatverwachting en risicoprofiel. De risicovoorkeur van de investeerder bepaalt vervolgens de samenstelling van de portefeuille. De denkbeelden van Markowitz zijn inmiddels vertaald in vele andere theorieën en modellen. Een voorbeeld hiervan is Asset Liability Management dat zich richt op de meest geschikte beleggingssamenstelling binnen de balans van een organisatie (Van Gool, 2007, p50). Veel beleggers hebben naast bezit immers ook verplichtingen. De kenmerken van deze verplichtingen kunnen een belangrijke impact hebben op de samenstelling van de beleggingsportefeuille. Zo zal een pensioenfonds rekening moeten houden met de pensioenen die zij periodiek moet uitkeren. OPTIETHEORIE De reële optietheorie is een afgeleide van de financiële optietheorie. Een financiële optie is een recht om iets te kopen (call optie) of te verkopen (put optie) tegen een vooraf afgesproken prijs gedurende een periode (Amerikaanse optie) of aan het einde van een periode (Europese optie). Voor dit recht betaalt de verkrijger een premie. Indien de waarde van de optie zich niet ontwikkeld zoals de eigenaar wenst, zal deze de optie niet verzilveren en wordt het verlies beperkt tot de betaalde premie. Er zijn een aantal belangrijke verschillen tussen reële opties en financiële opties (Vlek, 2009, p148). Ten eerste creëren financiële opties geen waarde, maar verdelen zij deze slechts. Op de transactiekosten na is het resultaat van de schrijver van de optie net zo groot als die van de koper van de optie, alleen dan vice versa (voor de ene partij een winst, voor de andere partij een verlies). Met reële opties kan daadwerkelijk waarde gecreëerd worden. Ten tweede hebben de schrijvers en kopers van financiële opties geen invloed op de achterliggende waarde. Ten aanzien van reële opties kunnen partijen vaak wel invloed uitoefenen. Ten slotte zijn er veel meer soorten of typen reële opties. Zo is er de optie om uit te stellen (het recht om een project of investering uit te stellen), de optie tot uitbreiding of inkrimpen (omvang van het project kan worden aangepast), de optie tot functiewisseling (het aanpassen van de functie van het vastgoed,

46

bijvoorbeeld van retail naar wonen) en de optie tot stoppen (het project mag worden stopgezet en verkocht tegen een restwaarde). Reële opties kunnen vastgoedorganisaties flexibiliteit geven en zodoende een antwoord bieden op belangrijke risico’s. Voor ontwikkelaars en investeerders kan het uiterst waardevol zijn om het recht te hebben een ontwikkeling te versnellen/vertragen, het type vastgoed aan te passen dat ontwikkeld wordt of het verkrijgen van het eigendom van grondposities te flexibiliseren. Bijvoorbeeld, in de huidige crisis binnen het vastgoed zitten veel partijen met grondposities in de maag die nog niet ontwikkeld kunnen worden. Indien het recht op deze grondposities met een optie zou zijn verkregen, zou het verlies voor deze partijen beperkt zijn tot de betaalde premie voor de optie.

4.4 RESUME De vastgoedmarkt heeft een aantal zeer specifieke kenmerken, welke van invloed zijn op de implementatie van ERM in een organisatie. Deze kenmerken lijken met name consequenties te hebben voor het vierde implementatie element: Het integreren van ERM in de bedrijfsvoering. Er is veel weten regelgeving van toepassing op vastgoed en er zijn normaliter veel actoren bij betrokken. De bronnen voor risico’s ten aanzien van vastgoed zijn zodoende talrijk en divers. Dit kader zorgt ervoor dat het managen van vastgoed een kennisintensieve activiteit is. De medewerkers van vastgoedorganisaties zullen zowel kennis moeten hebben van vastgoedprocessen (generiek en specifiek) als kennis moeten hebben/opdoen van risicomanagement. Daarnaast bestaan er vele hulpmiddelen die geschikt zijn om risico’s van vastgoedprocessen te inventariseren en in te schatten. Voorbeelden hiervan zijn de risicomatrix voor projectontwikkeling, de portefeuilleanalyse voor vastgoedbeleggingen en de reële optietheorie voor acquisitie en projectontwikkeling.

47

5. CONTOUREN VAN HET NIEUWE ERM RAAMWERK Nu de vijf implementatie elementen voor ERM zijn gedefinieerd en waar mogelijk vastgoedspecifiek zijn gemaakt, is het tijd om de contouren van het nieuwe ERM raamwerk te schetsen. Dit vindt plaats aan de hand van twee stappen. Ten eerste moet de structuur van het nieuwe raamwerk worden bepaald. Vervolgens worden de vijf implementatie elementen gepositioneerd in de structuur van het nieuwe raamwerk. Belangrijk uitgangspunt voor beide stappen is dat het raamwerk ervoor moet zorgen dat de verhoudingen en verbanden tussen de implementatie elementen duidelijk worden.

5.1 STRUCTUUR VAN HET RAAMWERK Zowel ISO 31000 als COSO ERM hebben een raamwerk ontwikkeld dat als basis kan dienen voor de implementatie van ERM. Het raamwerk van ISO 31000 wordt geflankeerd door een aantal principes en een risicomanagementproces (zie paragraaf 3.5). Met haar raamwerk wil ISO geen strikt managementsysteem voorschrijven, echter het dient organisaties te ondersteunen bij het integreren van risicomanagement in het algemene managementsysteem (ISO, 2009). De structuur van het raamwerk laat ISO vrij. Niettemin wijst ISO er wel op dat een organisatie bij het ontwikkelen van het raamwerk aandacht moet besteden aan zaken als: het creëren van een goed begrip van de interne en externe context van de organisatie, een risicomanagementbeleid, de integratie van risicomanagement in de processen van de organisatie, het vaststellen van taken, rollen en verantwoordelijkheden, het gebruik van hulpmiddelen en de te gebruiken communicatiemechanismen en rapportagemiddelen. Voor het implementeren van het raamwerk dient de organisatie een plan op te stellen waarin de implementatiestrategie voor risicomanagement centraal staat. COSO daarentegen presenteert een strikte structuur voor haar raamwerk. Deze bestaat volgens COSO uit drie dimensies: de doelstellingscategorieën van een organisatie, acht risicocomponenten (waarin het risicomanagementproces is uitgewerkt alsmede aandacht wordt gevraagd voor de cultuur van een Figuur 14: Structuur nieuwe ERM raamwerk

organisatie en het monitoren van de effectiviteit van ERM) en de organisatieniveaus waar ERM moet worden uitgewerkt. Net als ISO besteedt COSO in

1

haar publicatie ook aandacht aan belangrijke items die niet specifiek in het raamwerk zijn opgenomen, 2

3

zoals bijvoorbeeld het vaststellen van de taken, rollen

en

verantwoordelijkheden

voor

risicomanagement. Aangezien de doelstelling van dit onderzoek is om een raamwerk te creëren dat vastgoedorganisaties meer handvatten geeft voor het implementeren van ERM, zal de structuur van het COSO ERM model als basis en inspiratie dienen voor het nieuwe raamwerk (zie figuur 14). Het COSO model oogt minder 48

flexibel dan het ISO model, maar biedt daarentegen meer houvast en structuur. Daarnaast kan de grafische afbeelding van het COSO ERM model (een kubus) de verhoudingen tussen de implementatie elementen helder weergeven.

5.2 POSITIONERING IMPLEMENTATIE ELEMENTEN IN HET RAAMWERK Nu de structuur van het raamwerk is bepaald, is het zaak om de implementatie elementen te positioneren binnen het raamwerk. Deze positionering zal plaatsvinden vanuit een analyse van de indeling van het COSO ERM model. De eerste dimensie van het COSO ERM model bestaat uit de doelstellingscategorieën van de organisatie. Deze worden door COSO onderverdeeld in vier doelstellingscategorieën. Binnen dit onderzoek is diverse keren benadrukt dat niet alleen doelstellingen de basis vormen voor het risicomanagement in een organisatie. Ook de missie, visie, strategie en risicoacceptatiegraad vormen onmisbare elementen voor het uitvoeren van risicomanagement (zie paragraaf 3.2.1.). Daarom zullen de vier doelstellingscategorieën van het COSO ERM model worden vervangen door de missie en visie, de strategie, de doelstellingen en de risicoacceptatiegraad van een organisatie. Aangezien binnen deze dimensie van het COSO ERM model geen implementatie elementen zijn geïdentificeerd, zal geen van de vijf implementatie elementen op deze dimensie van het nieuwe model worden aangebracht. De tweede dimensie van het COSO ERM model is gericht op de niveaus binnen een organisatie. COSO wijst erop dat ERM op alle niveaus binnen een organisatie moet worden uitgewerkt en benadrukt dat taken, rollen en verantwoordelijkheden ten aanzien van risicomanagement helder moeten worden belegd in een organisatie. Deze gedachten zijn binnen dit onderzoek vertaald in het eerste implementatie element, dat kortweg stelt dat ERM moet worden geplot op het organogram. Door deze ‘één-op-één relatie’ tussen het COSO ERM model en het eerste implementatie element is het logisch om dit implementatie element op dezelfde dimensie te plaatsen als het COSO model. Acht componenten voor risicomanagement vormen de derde dimensie van het COSO ERM model. Hoewel deze acht componenten volgens COSO aan elkaar verbonden zijn en elkaar beïnvloeden, zijn hieruit drie implementatie elementen geïdentificeerd in het kader van deze scriptie: 1. De eerste component ‘interne omgeving’ is uitgewerkt tot het tweede implementatie element ‘managen van de cultuur’. Op basis van de gedachten van Nieuwenhuis is geconcludeerd dat het managen van de cultuur van een organisatie een apart proces zou moeten zijn. 2. De volgende zes componenten (formuleren van doelstellingen, identificeren van gebeurtenissen, risicobeoordeling, reactie op risico’s, beheersingsactiviteiten en communicatie) zijn input geweest voor de totstandkoming van het derde implementatie element ‘een risicomanagementcyclus’ waarin top-down en bottum-up gecommuniceerd wordt. 3. De laatste component ‘bewaking’ is vertaald in het vijfde implementatie element ‘evalueren en verbeteren’. 49

Gezien het feit dat de implementatie elementen ‘het managen van de cultuur’ en ‘de risicomanagementcyclus’ grote overeenkomst hebben met de eerste zeven componenten, is het logisch om de implementatie elementen dezelfde positionering te geven in het nieuwe ERM raamwerk. Dit geldt niet voor het vijfde implementatie element ‘evalueren en verbeteren’. Hoewel COSO aangeeft dat de componenten met elkaar in verbinding staan en elkaar beïnvloeden, is het ‘ruimtekundig’ niet correct om de component ‘bewaking’ als onderste component in de kubus op te nemen. Wanneer men door de COSO kubus heen kijkt ziet men strikt genomen dat bewaking volgens de kubus alleen van toepassing is op de vier risico categorieën (dimensie 1) en de niveaus binnen de organisatie (dimensie 2). Dit is niet terecht. Het is immers ook zaak om de overige zeven componenten te bewaken. Hoewel COSO weldegelijk aangeeft dat het bewaken van ERM op de hele kubus van toepassing is, blijkt de positionering van de component ‘bewaking’ ruimtekundig dus niet juist gekozen. Daarom zal het vijfde implementatie element ‘evalueren en verbeteren’ niet in de kubus worden geplaatst, maar er boven. Wat resteert, is het vierde implementatie element ‘het integreren van ERM in de bedrijfsvoering’. In tegenstelling tot ISO 31000 geeft COSO onvoldoende aandacht aan het feit dat risicomanagement geïntegreerd moet worden in alle processen van de organisatie. Feitelijk ontbreekt dit element in de COSO kubus. Wanneer dit element moet worden gepositioneerd in het nieuwe ERM model, zal deze door zijn proceskarakter logischerwijs in de dimensie van de componenten moeten vallen. Hierdoor bestaat de derde dimensie van het nieuwe ERM model uit drie implementatie elementen: het managen van de cultuur van een organisatie, de risicomanagementcyclus en het integreren van ERM in de bedrijfsvoering. Wat resulteert, is een nieuw, concept ERM model dat hieronder grafisch is opgenomen. Figuur 15: Het nieuwe (concept) ERM raamwerk


2

3

4



1


50

5.3 VERBANDEN IN HET RAAMWERK Nu de implementatie elementen zijn aangebracht in een conceptueel raamwerk moeten de verbanden tussen de elementen en de dimensies van het raamwerk worden verduidelijkt. Het doel van een raamwerk is immers om een samenhangend geheel te vormen en niet te bestaan uit losse, onsamenhangende elementen. In het nieuwe ERM raamwerk vormen de missie en visie, strategie, doelstellingen en de risicoacceptatiegraad van een organisatie de bovenste zijde van de kubus en hiermee de basis voor het managen van risico’s. Deze beleidskeuzes zijn een belangrijk onderdeel van de kaders voor het managen van de cultuur van de organisatie (element 2) en het integreren van risicomanagement in de bedrijfsvoering (element 4). Daarnaast zijn zij het startpunt van de risicomanagementcyclus (element 3) waarin de missie en visie, strategie, doelstellingen en risicoacceptatiegraad top-down worden gecommuniceerd om vervolgens belangrijke risico’s vanuit lagere echelons in de organisatie bottum-up te verzamelen en te aggregeren. Ten slotte hebben deze beleidskeuzes ook invloed op de organisatiestructuur (element 1). Zo zal bijvoorbeeld een organisatie die snel wil kunnen inspelen op de wensen van een klant er waarschijnlijk voor kiezen om uitvoerend personeel, dat in direct contact staat met klanten, veel bevoegdheden toe te delen. De rechterzijde van de kubus wordt gevormd door het eerste implementatie element dat gericht is op de structuur van een organisatie. De relatie die dit implementatie element heeft met de bovenste zijde van de kubus is zojuist beschreven. Echter, de organisatiestructuur heeft ook een relatie met de overige vier implementatie elementen: het managen van de cultuur, de risicomanagementcyclus, het integreren van risicomanagement in de bedrijfsvoering en het evalueren en verbeteren van ERM. Het is namelijk de vraag hoe deze zaken worden uitgevoerd? Bij wie ligt de uitvoering, de verantwoordelijkheid en de ondersteuning voor deze processen? De taken, rollen en verantwoordelijkheden voor de uitvoering van deze implementatie elementen dienen helder te zijn belegd in een organisatie. De voorste zijde van de kubus bestaat uit drie implementatie elementen. De relatie die deze elementen hebben met de boven- en zijkant van de kubus zijn reeds beschreven. Niettemin staan de drie implementatie elementen onderling ook in verband met elkaar. Zo is de cultuur van een organisatie een belangrijk kader voor de risicomanagementcyclus en de integratie van risicomanagement in de bedrijfsvoering. De risicomanagement cyclus vereist bijvoorbeeld een ‘open’ cultuur waarin men elkaar vertrouwt en waarin men de dialoog met elkaar aangaat (zie paragraaf 2.2). En een organisatiecultuur waarin men lacherig of cynisch reageert op nieuwe concepten en veranderingen is geen goede voedingsbodem voor de implementatie van risicomanagement in de processen van een organisatie. Ook tussen de risicomanagementcyclus en het integreren van risicomanagement in de bedrijfsvoering zit een link, welke twee kanten op werkt. Allereerst zullen de risico’s die geïdentificeerd worden in de processen van de organisatie (nadat risicomanagement geïntegreerd is in de bedrijfsvoering) een belangrijke bron zijn voor de risicomanagementcyclus, waarin risico’s die boven de acceptatiegraad vallen door lagere echelons 51

van de organisatie naar boven worden gecommuniceerd. Andersom zullen belangrijke risico’s uit de risicomanagementcyclus mogelijk een aanpassing vragen van een proces of de ondersteuning hiervan. Zo kan bijvoorbeeld in een workshop binnen de risicomanagementcyclus naar voren komen dat er belangrijke wetgeving aankomt waar de organisatie nog onvoldoende op is voorbereid. Dit kan een aanpassing van processen vergen, vereisen dat medewerkers opleiding krijgen inzake de nieuwe regelgeving en een aanpassing van de controles op het proces. Het vijfde implementatie element ten slotte, het evalueren en verbeteren van ERM, is boven de figuur geplaatst zodat het van toepassing is op alle andere elementen en dimensies van de kubus. Dit betekent dat een organisatie alle vier overige implementatie elementen en de missie, visie, strategie, doelstellingen en acceptatiegraad periodiek (en het liefst continu) evalueert en waar mogelijk verbetert. Hierbij moeten alle elementen van de kubus in samenhang worden bezien. Niet alleen zal een organisatie de resultaten moeten weten van een implementatie element ‘an sich’, het is ook van belang dat er gekeken wordt of de verhouding en afstemming tussen de elementen optimaal is.

52

6. PRAKTIJKTOETS In de hoofdstukken twee tot en met vijf is een literatuuronderzoek uitgevoerd, dat geresulteerd heeft in een nieuw, concept ERM raamwerk. De vijf implementatie elementen die de basis vormen van het nieuwe raamwerk zullen in dit hoofdstuk worden getoetst aan de praktijk. Enerzijds vindt hiermee een eerste validatie plaats van het nieuwe model, anderzijds worden de implementatie elementen hierdoor verder geconcretiseerd en van voorbeelden voorzien. Er wordt zo een antwoord geformuleerd op de zesde deelvraag: Op welke wijze hebben vastgoedorganisaties de implementatie elementen geïmplementeerd in de organisatie?

6.1 ONDERZOEKSMETHODE Het onderzoek heeft plaatsgevonden bij drie vastgoedorganisaties: de Alliantie, Corio en Ahold Real Estate & Construction (voorheen bekend als Ahold Vastgoed). Om een goed beeld te krijgen van de wijze waarop vastgoedorganisaties omgaan met ERM is er gekozen voor een kwalitatief, uitgebreid onderzoek bij een selectief aantal organisaties. Door het praktijkonderzoek uit te voeren bij drie verschillende vastgoedorganisaties zal naar verwachting ook een optimaal inzicht worden gekregen in de vastgoedspecifieke elementen van het nieuwe concept ERM raamwerk. In bijlage 4 is een beschrijving opgenomen van deze organisaties. Binnen de Alliantie en Corio zijn vier interviews (per organisatie) gehouden met risicomanagementfunctionarissen (zie bijlage 1). Daarnaast hebben deze organisaties diverse beleidstukken en presentaties aangeleverd die waardevolle informatie bevatten. Voorbeelden hiervan zijn presentaties 4 die de risicomanagmentfunctionarissen van beide organisaties hebben gegeven aan het topmanagement over de opzet, werking en resultaten van risicomanagement binnen hun organisatie. Ten slotte bieden ook de jaarverslagen van deze twee vastgoedorganisaties een rijke bron van informatie. Binnen deze externe verslaggeving lichten beide organisaties uitgebreid toe op welke wijze zij ‘handen en voeten’ gegeven aan risicomanagement. Ook binnen Ahold zijn diverse presentaties, beleidstukken en jaarverslagen bestudeerd en zijn er acht interviews gehouden met diverse functionarissen (zie bijlage 1). Aanvullend is hier geparticipeerd in een traject dat onderdeel is van de risicomanagementcyclus (derde implementatie element). Vanuit de stafafdeling ‘Risk & Compliance’ zijn interviews gehouden met de MT-leden van Ahold Real Estate & Construction en zijn er twee workshops georganiseerd voor het MT. Doel van deze exercitie was om risico’s te identificeren en analyseren en om de risico’s die boven de risicoacceptatiegrens van Ahold vallen te communiceren naar de top van de organisatie. In het kader van dit onderzoek is zowel deelgenomen aan het afnemen van de interviews als aan het faciliteren van de workshops.

4 Wagt, J, de (2010) Risicomanagement bij de Alliantie Amsteram Mintjens, C (2009) Corio Risk Management

53

6.2 DE VIJF IMPLEMENTATIE ELEMENTEN IN DE PRAKTIJK In het vervolg van dit hoofdstuk wordt per implementatie element bekeken of dit element aangetroffen wordt binnen Corio, de Alliantie en Ahold Real Estate & Construction (Ahold RE&C) en op welke wijze deze organisaties het element concreet hebben ingevuld in de praktijk. Ahold RE&C is in deze een vreemde eend in de bijt. Het is namelijk de vraag welk perspectief men neemt ten aanzien van deze organisatie. Bekijkt men Ahold RE&C als zelfstandige organisatie, of als onderdeel van het Ahold concern? Binnen dit onderzoek is uitgegaan van het laatste perspectief. Hier is met name voor gekozen aangezien het beleid en de uitvoering van risicomanagement binnen Ahold RE&C grotendeels bepaald wordt door Ahold.

6.2.1 ERM MOET WORDEN GEPLOT OP HET ORGANOGRAM Het eerste implementatie element bestaat uit twee onderdelen. Enerzijds is het zaak om de taken, rollen en verantwoordelijkheden ten aanzien van risicomanagement helder te beleggen. Anderzijds moet risicomanagement worden uitgevoerd in alle onderdelen en geledingen van een organisatie. Ten aanzien van het toewijzen van taken, rollen en verantwoordelijkheden voor risicomanagement is het uitgangspunt van alle drie de organisaties gelijk: het lijnmanagement is verantwoordelijk voor het managen van de risico’s van een organisatie. De ondersteuning wordt gedaan door stafafdelingen als Interne Controle en Risicomanagement. De Alliantie omschrijft de taak- en rolverdeling ten aanzien van risicomanagement in haar jaarverslag 2009 als volgt: “Het management van de Alliantie is primair verantwoordelijk voor opzet, bestaan en werking van de interne beheersmaatregelen en de hierin verankerde interne controlemaatregelen. De adequate werking van het interne risicobeheersing- en controlesysteem wordt bewaakt door de controllers van

de

verschillende

bedrijfsonderdelen.

De

concerncontroller

bewaakt

–

onder

de

eindverantwoordelijkheid van de financieel directeur van de Alliantie en op basis van een functionele relatie met de verschillende binnen de organisatie werkzame controllers – de adequate werking van het geconsolideerde interne risicobeheersing- en controlesysteem van de Alliantie in de verschillende bedrijfsonderdelen. Daarnaast toetst de interne accountant van de Alliantie, naast de externe auditor, opzet, bestaan en werking van het interne risicobeheersing- en controlesysteem van de Alliantie.” Retail-belegger Corio heeft bij de inrichting van haar organisatie gekozen voor een sterk decentraal model. Om maximaal in te kunnen spelen op lokale karakteristieken van de vastgoedmarkt hebben de landelijke business units een relatief grote mate van autonomie. De taken, rollen en verantwoordelijkheden voor risicomanagement zijn hierop aangesloten. Het lokale management is expliciet verantwoordelijk gesteld voor het risicomanagement binnen haar organisatie. Hoewel Corio vanuit haar holding elke unit een aantal basiscontroles oplegt ten aanzien van primaire, kritische processen is het aan het management van de business units om extra controles in te bouwen waar zij dit nodig achten.

54

Alle drie de organisaties kennen risicomanagement een belangrijke plaats toe in haar organogram. Binnen Ahold en de Alliantie rapporteert de hoogste risicomanagementfunctionaris direct aan de Chief Financial Officer (CFO). De Risk Manager van Corio rapporteert direct aan de Chief Executive Officer (CEO). De drie organogrammen van de onderzochte organisaties, alsmede een aanduiding van de positie van de hoogste risicofunctionaris, is opgenomen in bijlage 4. Zowel Corio, de Alliantie als Ahold zijn druk bezig om risicomanagement verder uit te bouwen in de organisatie. Risicomanagement is in feite binnen alle afdelingen en processen van de organisaties aangebracht, echter, er valt binnen de organisaties wel een verschil in volwassenheid (en dus in kwaliteit) waar te nemen. Zo is Ahold Real Estate & Construction binnen Ahold een van de eerste units geweest waar de risicomanagementcyclus intensief is uitgevoerd in 2010. Er zijn nog bedrijfsonderdelen binnen Ahold waar dit moet worden uitgevoerd. Ook binnen de Alliantie valt er een verschil waar te nemen tussen de uitvoering van risicomanagement in verschillende kantoren en processen. Deze woningcorporatie is door een fusietraject een soort lappendeken van verschillende organisaties die geïntegreerd moeten worden. Dit geldt ook voor het element risicomanagement. Er zijn al veel goede ontwikkelingen in gang gezet, maar deze zijn nog niet consistent over alle organisatieonderdelen uitgerold. Corio kent, zoals gezegd, het management een uiterst belangrijke rol toe ten aanzien van risicomanagement. Om het management te stimuleren deze rol ook te vervullen wordt in de Letter of Representation (LOR), die het management jaarlijks verplicht moet ondertekenen, expliciet opgenomen dat het management haar verantwoordelijkheid ten aanzien van risicomanagement heeft vervuld. De wijze waarop zij deze rol invullen kent enige vrijheidsgraden, waardoor er verschillen zijn waar te nemen waarop business units omgaan met risicomanagement.

6.2.2 HET MANAGEN VAN DE CULTUUR Normen en waarden zijn voor elke organisatie belangrijk en zeker ook voor vastgoedorganisaties. De Alliantie, Corio en Ahold RE&C hebben alle drie een klokkenluidersregeling en een ‘Code of Conduct’ in het leven geroepen om kaders aan te brengen inzake normen en waarden. In een Code of Conduct gaan organisaties in op onderwerpen als hoe om te gaan met het krijgen en geven van geschenken, functieverstrengeling (mag een bestuurder van Ahold RE&C bijvoorbeeld commissaris worden bij Corio?) en wanneer mogen medewerkers aandelen van de organisatie verkopen wanneer iemand deze bezit. Ondanks het feit dat sommige organisaties ervoor kiezen om het personeel te verplichten aan te geven dat zij op de hoogte zijn van de Code of Conduct en hier naar handelen, zijn zowel de klokkenluidersregeling als de Code of Conduct vrij passieve instrumenten. Deze beleidstukken zijn veelal beschikbaar op een intranet waar medewerkers deze indien gewenst kunnen raadplegen. Vanuit de ERM literatuur wordt derhalve ook gepleit voor een actievere houding ten aanzien van het managen van de cultuur. COSO bijvoorbeeld, benadrukt dat het topmanagement een belangrijke rol speelt bij het vormen van de interne omgeving. De ‘tone at the top’ is volgens deze commissie van groot belang voor de normen, waarden en integriteit van een organisatie. 55

De Alliantie probeert de integriteit binnen de organisatie actief te managen met behulp van een Soft Control Scan van KPMG. In 2009 is de Risk Controller van de Alliantie gestart met een pilot bij het Shared Service Center (SSC) van deze woningcorporatie. De aanpak kent twee elementen. Allereerst startte het onderzoek met een presentatie en een discussie. De CEO en Risk Manager van de Alliantie gaven een presentatie inzake het begrip integriteit. Na deze presentatie volgde een discussie (waaraan medewerkers van het SSC en het management deelnamen) over dilemma’s die men dagelijks ervaart tijdens het werk. Het tweede deel van het onderzoek betrof een vragenlijst waarvan de uitkomsten werden vergeleken met 7.000 andere organisaties. Deze vragen richtten zicht op de perceptie van de medewerkers: Hoe kijken medewerkers naar het voorbeeldgedrag van hun leidinggevenden? Waar verkrijgt men informatie over de normen en waarden binnen de Alliantie? Enzovoort. Wat resulteerde is een benchmark waarin de prestaties van de Alliantie werden gemeten op zeven onderdelen: helderheid, voorbeeldgedrag, uitvoerbaarheid, betrokkenheid, transparantie, bespreekbaarheid en sanctioneerbaarheid. In figuur 16 is deze benchmark grafisch weergegeven. De Alliantie wil deze pilot voortzetten en deze sessies de komende jaren ook bij andere bedrijfsonderdelen houden. Figuur 16: Resultaten cultuur benchmark de Alliantie

Bron: Jaarverslag de Alliantie (2009)

Corio richt zich op vergelijkbare initiatieven als de Alliantie. Deze retail-belegger organiseert ook discussiebijeenkomsten (ook wel dilemmasessies genaamd). Interessant aandachtspunt hierbij is het verschil in cultuur tussen de verschillende landen waarin Corio actief is. De normen, waarden en bedrijfsvoering is in Nederland bijvoorbeeld anders dan in Italië. Corio probeert tijdens de discussiebijeenkomsten duidelijk te maken dat er ruimte is voor culturele verschillen, maar dat er weldegelijk ‘minimum’ normen en waarden zijn binnen de organisatie. Ook binnen Ahold RE&C onderneemt men actie om de normen en waarden kenbaar te maken. Een voorbeeld hiervan is een E-training die is ontwikkeld voor de acquisiteurs van Ahold RE&C. Acquisiteurs zijn medewerkers die binnen een bepaalde regio proposities proberen te verwerven voor Ahold. Zij hebben contact met een veelheid van actoren, zoals gemeenten, eigenaren, verhuurders en ontwikkelaars. 56

Aangezien Ahold het uitermate belangrijk vindt dat de proposities op integere wijze worden verkregen is er een E-training ontwikkeld die ingaat op de normen en waarden van Ahold en wat dit betekent voor het dagelijks handelen van de acquisiteurs. Deze training is in 2009 door alle acquisiteurs afgerond. De insteek is dat deze elke twee jaar wordt aangeboden, wat betekent dat deze in 2011 opnieuw wordt gefaciliteerd.

6.2.3 DE RISICOMANAGEMENTCYCLUS De risicomanagementcyclus is een proces waarin kaders vanuit de top van de organisatie naar lagere echelons worden gecommuniceerd alwaar een risico-inventarisatie en – analyse plaatsvindt op basis van deze kaders. Vervolgens worden de belangrijkste risico’s als het ware ‘terug gegeven’ aan de top van de organisatie. Hoewel het zeer interessant is om te onderzoeken hoe vastgoedorganisaties deze kaders schetsen en invullen, focust dit onderzoek nadrukkelijk op het proces dat de risicomanagementcyclus voor ogen heeft. Het is dus de vraag of (en op welke wijze) Corio, de Alliantie en Ahold kaders communiceren en op welke wijze risico’s in de organisatie worden geïdentificeerd, naar ‘boven’ worden gecommuniceerd en worden geaggregeerd. Van de drie onderzochte organisaties lijkt met name Ahold de risicomanagementcyclus vrij volledig uitgewerkt en geïmplementeerd te hebben in de organisatie. Binnen het totstandkomen van deze cyclus heeft de stafafdeling ‘Risk & Compliance’ een belangrijke, ondersteunende rol. Niettemin blijft de cyclus onder de verantwoordelijkheid vallen van het lijnmanagement. De missie, visie, strategie, doelstellingen en de risicoacceptatiegraad worden door de Board van Ahold Europa bepaald en gecommuniceerd naar B.V.’s als Ahold RE&C met behulp van een jaarlijkse strategie bijeenkomst en via direct overleg met de CFO en CEO van Ahold RE&C. Elke twee weken hebben leden van de Ahold EU Board overleg met de CFO en CEO van elke B.V. (waaronder dus ook RE&C). In dit overleg worden allerlei zaken besproken. Dit gaat van specifieke dossiers of issues tot aan het beleid en strategie van de organisatie. Ten aanzien van het communiceren

Figuur 17: Voorbeeld matrix Likelihood E

D

C

B

A

van de risicoacceptatiegraad maakt Ahold

A

Almost certain

jegens

Ahold

RE&C

gebruik van een tweesporenbeleid. Om te beginnen gelden voor Ahold

B

Likely

C

Possible

RE&C dezelfde risicoacceptatiegrenzen als voor andere B.V.’s (zoals bijvoorbeeld Albert Heijn of

D

Etos). Deze risicoacceptatiegraad

Unlikely

wordt geconcretiseerd met behulp E

Rare

van een matrix. In deze matrix Insginificant

Minor

Moderate

Major

Extreme

worden kans en impact tegen Impact

elkaar uitgezet. De impact kan

door de directie van een organisatie financieel gekwantificeerd worden (door bijvoorbeeld te stellen dat de 57

klasse moderate van € 1 miljoen tot € 2,5 miljoen bedraagt, enzovoort). Ahold geeft aan voor welke combinaties geldt dat deze boven de risico acceptatiegrens vallen. In figuur 17 is een algemeen voorbeeld opgenomen van een dergelijke matrix. Het rode gebied beschrijft de kans en impact die boven de acceptatiegrens vallen. Naast algemene risicoacceptatiegrenzen heeft Ahold ook specifieke kaders opgelegd aan Ahold RE&C die een impact hebben op de strategie en risicoacceptatiegraad. Zo neemt Ahold nadrukkelijk de stelling in dat de projectontwikkelingactiviteiten van Ahold RE&C zich niet te veel mogen richten op woningbouw. Wanneer Ahold RE&C onder eigen regie een winkel ontwikkelt, moeten er in de regel van locale overheden appartementen worden gebouwd boven de winkel. Dit hoeft voor Ahold geen probleem te zijn, echter de balans mag niet doorslaan. Aangezien Ahold een retailorganisatie is, wil het slechts zeer beperkt risico’s accepteren op het gebied van woningbouw. Ditzelfde geldt voor het aankopen van panden of grond dat nog geen retail bestemming heeft. Ahold is uiterst terughoudend om deze posities in te nemen. Op basis van deze kaders worden in elke B.V. risicoworkshops georganiseerd om belangrijke risico’s te identificeren en analyseren. Deze sessies worden gecoördineerd door medewerkers van de stafafdeling Risk & Compliance. Voorwaarde voor het kunnen uitvoeren van een risicomanagementcyclus is een cultuur waarin ‘open gecommuniceerd’ wordt. Binnen de workshops is er altijd iemand van de afdeling Risk & Compliance aanwezig die ervoor probeert te zorgen dat er vertrouwen is tijdens de workshops en dat iedereen zich comfortabel voelt om zijn zegje te doen. Voorafgaand aan de workshops identificeren deze medewerkers samen met alle managementteamleden (dit zijn de afdelingshoofden) de belangrijkste risico’s van de afdelingen. De processen in de organisatie vormen hierbij een leidraad. Alle risico’s van alle afdelingen worden vervolgens in één grote spreadsheet verzameld en gemaild naar alle managementteamleden. Zij moeten vervolgens individueel inschatten wat de kans en impact is van de risico’s. In de workshop, waar alle managementteamleden aan deelnemen, wordt ten slotte gediscussieerd over de belangrijkste risico’s en de risico’s waarvan de inschattingen sterk uiteenlopen tussen managementteamleden. Wat resulteert is een top X (meestal zijn het er niet meer dan tien) risico’s, die geplot worden op de risicomatrix. Elk van deze risico’s wordt uitgewerkt in een zogenaamde ‘heatmap’. In dit document wordt het risico uitvoerig beschreven, wordt aangegeven welke maatregelen er nu al zijn getroffen en welke mitigerende maatregelen men nog zal gaan nemen. Alle maatregelen worden gekoppeld aan een actiehouder. Een voorbeeld van een heatmap is opgenomen in bijlage 5. De ingevulde risicomatrix en de heatmaps worden door Ahold RE&C naar de afdeling ‘Risk & Compliance’ en de Board van Ahold gecommuniceerd. De top X risico’s worden vervolgens onderdeel van de managementteam (MT) agenda. Elk risico wordt toegewezen aan een MT lid dat periodiek verslag uitbrengt over de voortgang van het beheersen van het betreffende risico. Ook binnen het overleg dat leden van de Ahold Board elke twee weken hebben met de CFO en CEO van Ahold RE&C krijgen de top X risico’s een plaats op de agenda. Minimaal twee keer per jaar staat men stil bij de voortgang op (en huidige status van) de risico’s van RE&C. Door deze actie is de cyclus weer ‘rond’. De Board kan de geïdentificeerde risico’s meenemen in het ontwikkelen van de 58

strategie, doelstellingen en risicoacceptatiegraad, welke vervolgens weer ‘naar beneden’ worden gecommuniceerd. De geaggregeerde, belangrijkste risico’s publiceert Ahold in haar jaarverslag. Dit doen Corio en de Alliantie ook. Zij vergaren deze risico’s op een minder uitgebreide manier. Beide hebben een kleiner gremium bij elkaar geroepen (waaronder leden van de risico afdeling en de CFO) waarin zij een inventarisatie en analyse maken van de belangrijkste risico’s. In dit kader heeft Corio ervoor het publiceren van de jaarrekening 2010 voor gekozen om een risico-inventarisatie en – analyse te houden in de Raad van Bestuur. De risico’s die Corio uiteindelijk heeft gepubliceerd zijn afgeleid uit de missie, visie en strategie van de organisatie. Deze retail-belegger maakt in haar jaarrekening zeer helder welke missie, visie en strategie men nastreeft en welke risico’s deze tot gevolg hebben. Voor investeerders geeft dit een helder beeld van het risicoprofiel van deze organisatie. Ten slotte dient vermeld te worden dat ook de Alliantie een pilot heeft gehouden met risicomanagementworkshops in een van de regionale MT’s. De resultaten waren dermate positief dat deze woningcorporatie overweegt om dit initiatief verder uit te rollen over de organisatie.

6.2.4 INTEGRATIE ERM IN DE BEDRIJFSVOERING De basis van het controle raamwerk dat de Alliantie, Ahold RE&C en Corio hebben aangebracht is gericht op controles binnen de processen. De processen zijn beschreven en geanalyseerd op basis waarvan er controles zijn ingevoerd op kritische punten binnen de processen. De denkbeelden van Nieuwenhuis wijzen erop dat processen worden bestuurd met behulp van kaders en rapportages en worden ondersteund met behulp van middelen en mensen (zie paragraaf 2.1). Het is dan ook de vraag op welke wijze de drie vastgoedorganisaties sturing en ondersteuning geven aan hun processen. Aangezien het ondoenlijk is binnen de context van deze scriptie om dit voor alle processen gedetailleerd uiteen te zetten, zal er gefocust worden op de grote lijnen die de Alliantie, Corio en Ahold RE&C hanteren voor hun processen. BESTURING VAN PROCESSEN De mate waarin kaders SMART worden opgelegd lijkt binnen vastgoedorganisaties enigszins per proces te verschillen. De kaders die Ahold RE&C oplegt aan haar vastgoedmanagementprocessen zijn bijvoorbeeld relatief strak en SMART. Er moet zoveel mogelijk gebruik worden gemaakt van standaard contracten, contractpartijen moeten worden onderzocht en er zijn een aantal Key Performance Indicators (KPI’s) aangebracht, zoals bijvoorbeeld een doelstelling op het verlagen van de leegstand en het waar mogelijk verlagen van de contractuele huur naar de markthuur. Voor het Asset Management proces zijn deze kaders veel minder strak en SMART. Harde, jaarlijkse doelstellingen inzake aan- en verkoopvolumes en verkoopresultaten worden niet opgelegd aan de Asset Managers. Op zich is dit niet problematisch, aangezien Ahold RE&C een sterk faciliterend karakter kent. Het is Ahold immers primair te doen om de retailactiviteiten waardoor het aan- en verkopen van vastgoed van secundair belang is. Om de kaders die worden opgelegd aan afdelingen en processen beter op elkaar te laten aansluiten is Ahold een project gestart om het OGSM model uit te rollen in de organisatie. OGSM staat voor Objectives, Goals, Strategies 59

en Measures en is een model dat organisaties kunnen gebruiken om de strategie en doelstellingen voor alle geledingen binnen een organisatie beter op elkaar te laten aansluiten. Daarnaast helpt het organisaties om gestelde strategie en doelstellingen te vertalen naar concrete acties voor de medewerkers. Een ander element waarmee de drie onderzochte vastgoedorganisaties sturing geven aan hun processen zijn controles (ook wel ‘key controls’ genaamd) die zijn geïmplementeerd in de processen. Zo heeft Corio bijvoorbeeld een aantal basiscontroles die zij vanuit de holding oplegt aan de landelijke business units. Zowel de Alliantie, Ahold als Corio gebruiken software om deze controles vast te leggen. De Alliantie en Ahold gebruiken het pakket BWise en Corio het Risk Register van AON. Het is belangrijk om als organisatie te beseffen dat dergelijke tools geen invloed hebben op de kwaliteit van de controles. Zij zijn louter een middel om de controles in vast te leggen en de status van de controles zichtbaar te maken. Het bepalen van de inhoud of het karakter van een controle kan niet worden ondersteund door dergelijke pakketten. Binnen (management)rapportages wordt het onderwerp risicomanagement maar mondjesmaat aangesneden binnen de onderzochte organisaties. Het proces waarin het uitgebreidst over risico’s wordt gerapporteerd lijkt het investeringsproces te zijn. Zowel Ahold, Corio als de Alliantie neemt een risicoparagraaf of risicofactoren op in een investeringsvoorstel of geeft aan deze in de toekomst te willen opnemen. De rapportages die zijn geplaatst op de vastgoedprocessen zijn momenteel nog sterk gericht op KPI’s. Niettemin valt er wel een ontwikkeling waar te nemen waarin er meer aandacht komt voor risico’s in rapportages. Zo hebben zowel de Alliantie als Ahold RE&C onlangs ingesteld dat er voor alle ontwikkelingsprojecten faseverslagen moeten worden opgesteld waarin de voortgang van een project wordt besproken en waarin nadrukkelijk wordt stilgestaan bij de risico’s van het project en op welke wijze de projectleider deze denkt te beheersen. Een tweede voorbeeld betreft het investeringsproces binnen Corio dat kritisch tegen het licht is gehouden door diverse disciplines. Elke discipline is gevraagd de belangrijkste risico’s voor een investering vanuit het oogpunt van haar vakgebied te identificeren. Deze risico’s zijn verwerkt in een standaard template dat gebruikt wordt voor investeringsbeslissingen. ONDERSTEUNING VAN PROCESSEN Alle processen worden volgens Nieuwenhuis ondersteund door middelen en mensen. Ten aanzien van risicomanagement kan worden gesteld dat de ondersteuning van het personeel bestaat uit twee elementen. Enerzijds gaat het om de vastgoedexpertise van de medewerkers en anderzijds is ook de kennis en kunde van risicomanagement van belang. De vastgoedexpertise lijkt binnen de Alliantie, Corio en Ahold RE&C ruimschoots aanwezig. Wanneer het personeel wordt aangenomen wordt er uitgebreid gekeken naar de vastgoedopleiding en –ervaring die een potentiële werknemer bezit. Daarnaast wordt er opleidingsbudget vrijgemaakt om de kennis van het personeel waar nodig te verbeteren. De aandacht voor kennis en kunde op het gebied van risicomanagement is tot op heden veel minder groot. Binnen geen van de drie onderzochte vastgoedorganisaties bestaan cursussen of opleidingsmateriaal voor risicomanagement.

60

Ook het gebruik van middelen om de processen te ondersteunen geeft een sterk wisselend beeld. Binnen de onderzochte organisaties wordt veel aandacht besteed aan het vastgoedpakket waarin de primaire processen worden vastgelegd. De Alliantie maakt gebruik van het softwarepakket SGTobias en is bezig om de rapportagemogelijkheden vanuit dit pakket te vergroten. Ahold RE&C en Corio zijn druk bezig met de implementatie van een nieuw softwarepakket, genaamd Manhattan. Deze pakketten moeten ervoor zorgen dat de drie vastgoedorganisaties hun primaire processen efficiënt en op een juiste manier kunnen uitvoeren en dat hierover een uitgebreide set aan rapportages wordt opgeleverd. Het gebruik van specifieke risicomanagementmiddelen, waarvan een aantal voorbeelden zijn gegeven in paragraaf 4.3, staat minder hoog op de spreekwoordelijke agenda van de drie vastgoedorganisaties. De belangrijkste reden hiervoor lijkt het uitgangspunt te zijn dat de drie onderzochte vastgoedorganisaties hanteren: risicomanagement is in de eerste plaats een verantwoordelijkheid van de lijn. Tijdens het onderzoek zijn de volgende hulpmiddelen geïdentificeerd: De Alliantie gebruikt onder andere Reasult (tool voor projectontwikkeling), scenarioplanning, put/call opties voor grondposities en een zelf ontwikkeld rekenmodel voor de grondposities. Corio zet onder andere Reasult, portfolioanalyse (ALM studies) en scenarioanalyse (op totale portfolio, op landen en op individuele assets) in. Ahold RE&C ten slotte, gebruikt portefeuilleanalyse en Panorama. Dit laatste is software waarmee de operationele uitvoering van de verbouwing van winkels kan worden ondersteund. Verder gebruiken alle drie de vastgoedorganisaties een zelf ontwikkeld model voor investeringsbeslissingen. De technologie die hiervoor gebruikt wordt is Excel.

6.2.5 EVALUATIE EN VERBETERING VAN ERM Het evalueren en verbeteren van ERM kan via twee methoden: continu en periodiek. Theoretisch gezien is het continu evalueren en verbeteren van ERM het meest gewenst. Men meet in deze situatie continu de prestaties die geleverd worden, kan direct handelen indien gewenst en kijkt voortdurend naar verbeteringen. Een dergelijke situatie blijkt in de praktijk moeilijk te realiseren. Hulpmiddelen die hierbij de nodige ondersteuning kunnen bieden lijken niet of nauwelijks voorhanden. Hoewel er systemen zijn als BWise, waarin de uitvoering van de controles volledig en continu inzichtelijk kan worden gemaakt, voldoen deze slechts deels aan de criteria van het continu evalueren en verbeteren van ERM. Zij laten wel zien wat de status is van de geïdentificeerde controles, maar zij bieden geen inzicht in eventuele verbeteringen. Met andere woorden, zij kunnen deels antwoord geven op de vraag: Doen wij de dingen goed? Maar een antwoord op de veel interessantere vraag ‘doen wij de juiste dingen?’, kunnen dergelijke systemen niet geven. Daarom hebben Corio, Ahold RE&C en de Alliantie een aantal periodieke evaluatiemomenten aangebracht in hun bedrijfsvoering. PWC beoordeelt sinds het boekjaar 2007 jaarlijks de kwaliteit van het risicomanagementprogramma van de Alliantie. De benchmark die deze adviesorganisatie uitvoert is gebaseerd op een vragenlijst die wordt ingevuld door een aantal functionarissen van de Alliantie. In haar jaarverslag 2009 zegt de Alliantie over deze

benchmark:

“Per

beleidsterrein

worden 61

in

de

benchmark

de

specifieke

risicomanagementcomponenten in kaart Figuur 18: Benchmark risicomanagement de Alliantie Benchmark

gebracht.

De Alliantie

Het

gaat

hierbij

om de

identificatie, analyse, respons op en de

Totaalscore

71%

87%

beheersing van de risico’s. Bij risico-

Interne organisatie, Strategie & Doelen

71%

81%

identificatie en – analyse wordt vooral

Risico identificatie & analyse

69%

83%

Projectontwikkeling

60%

76%

Vastgoedbeheer

71%

82%

bedrijfsdoelstellingen. Risicorespons en

Financieel Beheer

74%

90%

beheersing is vooral gericht op het

Risico respons & beheersing

73%

94%

Projectontwikkeling

66%

94%

Vastgoedbeheer

71%

92%

Financieel Beheer

86%

100

de Alliantie te vergelijken met het

Informatievoorziening & monitoring

66%

84%

gemiddelde van de sector krijgt de

beoordeeld op welke wijze de Alliantie de organisatorische risico’s benoemt en kwantificeert

in

relatie

tot

de

beperken van de gevolgen van de risico’s.” Het rapport dat volgt uit de benchmark geeft het verbeterpotentieel op hoofdlijnen weer. Door de score van

woningcorporatie een goede spiegel 0-50%

Onvoldoende

50-80%

Aandachtsgebied

80100%

Op orde

voorgehouden. In figuur 18 is de benchmark van de Alliantie over 2009

Bron: Jaarverslag de Alliantie (2009)

opgenomen.

Daarnaast werkt de Alliantie ook aan een eigen tool waarmee de kwaliteit van risicomanagement gemeten kan worden. Deze ‘Risk Control Score’ bestaat uit een overzicht waarop het management en/of medewerkers van de afdeling Planning & Control op een aantal criteria kunnen aangeven of de Alliantie hier een voldoende scoort. Er zijn achttien criteria die zijn geaggregeerd tot zes hoofdthema’s: controleomgeving, financieel, compliance, klant/markt, ICT en operationeel. Per criterium kan een medewerker de score onvoldoende, matig, voldoende of goed geven. Door deze assessment periodiek te houden krijgt de Alliantie niet alleen inzicht in de ontwikkeling van de kwaliteit van risicomanagement in de organisatie, maar geeft het de organisatie ook een middel om discussie te voeren inzake risicomanagement. Wanneer medewerkers namelijk een totaal verschillende score hebben ingevuld op een criterium is dit een goede voedingsbodem voor een discussie en het ontwikkelen van verbeterpunten. Ahold heeft een platform in het leven geroepen dat twee maal per jaar bijeenkomt om de prestaties en verbeterpunten op het gebied van corporate governance, risicomanagement en interne controle te bespreken. De deelnemers aan dit platform hebben verschillende expertises en functies, maar zijn allemaal in de top van het organogram van Ahold terug te vinden: dit zijn onder andere de Chief Financial Officer, Senior Vice President (SVP) Legal Counsel, SVP Accounting, Reporting & Controls en de SVP Internal Audit. Het platform wordt aangestuurd door de Chief Corporate Governance Counsel, die zitting heeft in de Raad van Bestuur van Ahold. 62

Aangezien het locale (lijn)management binnen Corio expliciet verantwoordelijk wordt gehouden voor het managen van risico’s, worden ook evaluaties en verbeteringen op dit niveau ingezet. De resultaten van de interne controle die de risk manager uitvoert op de key controls die zijn aangebracht op de processen, worden besproken met het locale MT. Dit geeft de business units direct de mogelijkheid om bij te sturen en waar nodig geacht verbeteringen aan te brengen in de processen en controles. Ten slotte zijn Ahold, Corio en de Alliantie actief in ‘denkgroepjes’ die zich richten op risicomanagement. Corio en Ahold zitten samen met onder andere TomTom en Aegon in een denkgroep en de Alliantie participeert in een groep met andere Amsterdamse woningcorporaties. In deze denkgroepjes worden ervaringen op het gebied van risicomanagement gedeeld en worden de laatste ontwikkelingen in de literatuur en theorie doorgenomen. Met behulp van deze participatie proberen de drie vastgoedorganisaties risicomanagement binnen hun organisatie continu te verbeteren.

63

7. ANALYSE Nu het theoretisch kader (hoofdstukken twee tot en met vijf) en het praktijkonderzoek (hoofdstuk zes) uiteen zijn gezet, kan het nieuwe, theoretische ERM raamwerk uit hoofdstuk vijf worden onderworpen aan een analyse op praktische relevantie. Het doel van deze scriptie is immers om een ERM raamwerk op te stellen dat vastgoedorganisaties meer handvatten geeft om risicomanagement te implementeren in de organisatie. Het model moet hiervoor concreet en praktisch zijn. Deze analyse zal plaatsvinden aan de hand van twee stappen. Allereerst zal de praktische relevantie van de vijf implementatie elementen geanalyseerd worden. Vervolgens zal ook het gehele, nieuwe raamwerk worden geanalyseerd op praktische toepasbaarheid. Hier zal met name aandacht worden besteed aan de veronderstelde verbanden binnen het raamwerk.

7.1 PRAKTISCHE RELEVANTIE VAN DE IMPLEMENTATIE ELEMENTEN In deze paragraaf worden de vijf implementatie elementen nader geanalyseerd met behulp van de bevindingen uit het praktijkonderzoek. Per implementatie element zal deze analyse worden afgesloten met een voorlopige conclusie. ELEMENT 1: ERM MOET WORDEN GEPLOT OP HET ORGANOGRAM Zowel Ahold, De Alliantie als Corio heeft de taken, rollen en verantwoordelijkheden helder belegd in de organisatie. Hoewel er nuanceverschillen bestaan op welke wijze deze organisaties hier invulling aan geven, pleiten zij in de basis voor hetzelfde uitgangspunt: de lijn is verantwoordelijk voor risicomanagement. Tevens hebben de drie vastgoedorganisaties naar eigen zeggen binnen alle disciplines en processen aandacht besteed aan risicomanagement. Wel is geconcludeerd dat de kwaliteit of ‘volwassenheid’ waarmee risicomanagement is geïntegreerd per proces of afdeling verschilt. ELEMENT 2: HET MANAGEN VAN DE CULTUUR De drie onderzochte vastgoedorganisaties beschikken over een Code of Conduct en een klokkenluidersregeling. Deze middelen zijn echter vrij ‘passief’. Hoewel ook binnen Corio en Ahold RE&C de aandacht voor actievere middelen groeit, is met name de Alliantie bezig om de cultuur van de organisatie steeds actiever te gaan bewerken. Discussiebijeenkomsten vormen hierbij een favoriet hulpmiddel. Niettemin lijkt er voor vastgoedorganisaties op dit gebied nog veel te verbeteren. Enige originaliteit (discussiemiddagen worden op den duur waarschijnlijk ook minder uitdagend en effectief) en het inbedden van de gewenste cultuur in de bedrijfsvoering zijn hierbij onmisbaar. Op welke wijze vastgoedorganisaties het managen van de cultuur kunnen verbeteren is een van de thema’s die in aanmerking komt voor vervolgonderzoek (zie hoofdstuk tien).

64

ELEMENT 3: DE RISICOMANAGEMENTCYCLUS De uitvoering van de risicomanagementcyclus binnen vastgoedorganisaties lijkt voor verbetering vatbaar. Het verzamelen van de risico’s in de organisatie vindt bijvoorbeeld niet altijd van onderaf plaats. Binnen Ahold wordt de risicomanagementcyclus vrij uitvoerig uitgevoerd en zijn de reacties hierover uiterst positief. Dit geeft aan dat de risicomanagementcyclus niet alleen in theorie waarde kan toevoegen binnen een organisatie. Een belangrijk voordeel van deze cyclus is dat het risicomanagement expliciet op de agenda van het lijnmanagement zet. Wel dient men te beseffen dat de toegevoegde waarde van de risicomanagementcyclus valt of staat met de committment van het topmanagement. Tevens blijkt het in de praktijk moeilijk om risico’s te aggregeren of in volledige samenhang te bezien, waar het model van COSO wel voor pleit. ELEMENT 4: INTEGRATIE ERM IN DE BEDRIJFSVOERING Binnen de drie vastgoedorganisaties zijn controles geïmplementeerd in de processen van de organisatie. Het is opvallend dat de aandacht voor hulpmiddelen en opleiding voor risicomanagement, alsmede het aanbrengen van risicomanagement in rapportages, veel minder aandacht krijgt. Stafafdelingen die zich bezig houden met risicomanagement en interne controle bemoeien zich weinig tot niet met deze zaken omdat zij het uitgangspunt hanteren dat de lijn verantwoordelijk is voor risicomanagement. Deze houding lijkt te passief. De stafafdelingen zouden de lijn op dit gebied meer kunnen uitdagen en adviseren om risicomanagement in de organisatie naar een hoger niveau te tillen. Nu lijkt het erop dat zij de stap die COSO heeft gemaakt van het oude model uit 1992 naar het nieuwe model van 2004 (zie paragraaf 3.4), nog niet hebben gevolgd: vastgoedorganisaties richten zich nog te veel op Interne Controle en houden zich nog te weinig bezig met risicomanagement dat meer ‘naar buiten’ kijkt. Voorbeelden van risicomanagement dat meer ‘naar buiten’ kijkt zijn scenarioplanning en het hanteren van een risicomatrix. Hiermee wordt niet bedoeld dat het belang van Interne Controle kan worden gebagatelliseerd. Interne Controle blijft altijd van belang. De activiteiten voor risicomanagement dat meer extern gericht is, moet gezien worden als een belangrijke, noodzakelijke aanvulling op de Interne Controle. Het feit dat de integratie van risicomanagement binnen de bedrijfsvoering van vastgoedorganisaties nog sterk voor verbetering vatbaar is, wordt overigens onderschreven door een onderzoek van Van Nimwegen dat is uitgevoerd bij dertig woningcorporaties. Het onderzoek stelt dat de gewenste cultuuromslag bij de meeste corporaties nog niet heeft plaatsgevonden (Van Driel, 2011, p40) ELEMENT 5: EVALUATIE EN VERBETERING VAN ERM Zowel de Alliantie, Corio als Ahold besteden expliciet aandacht aan het evalueren en verbeteren van ERM in de organisatie. Het evalueren vindt hierbij ook nog eens plaats op belangrijke posities in de organisatie. Zo voltrekt dit proces zich binnen Ahold in de top van de organisatie en onderneemt Corio deze activiteit binnen de MT’s van de business units. Benchmarks zijn een zeer geschikt middel om de prestaties te meten. Met name de Alliantie maakt gebruik van deze hulpmiddelen. Zij hebben wel het voordeel dat zij gemakkelijk(er) te vergelijken zijn met collega woningcorporaties. Ten slotte 65

zijn de drie

vastgoedorganisaties actief op zoek naar verbetermogelijkheden, getuige hun participatie in denkgroepjes over risicomanagement.

7.2 PRAKTISCHE RELEVANTIE VAN HET NIEUWE ERM RAAMWERK Nu de implementatie elementen individueel zijn geanalyseerd, is het ook zaak om de verbanden tussen de elementen in het model te analyseren. Vanuit elke dimensie van het nieuwe ERM raamwerk zullen deze verbanden worden geanalyseerd. Om structuur aan te brengen in de analyse is hieronder figuur 13 nogmaals opgenomen en zijn de dimensies genummerd. DIMENSIE 1: DE MISSIE, VISIE, STRATEGIE, DOELSTELLINGEN EN RISICOACCEPTATIEGRAAD De missie, visie, strategie, doelstellingen en risicoacceptatiegraad (dimensie 1) blijken ook in de praktijk een link te hebben met de inrichting van het organogram en de wijze waarop ERM hier op wordt geplot (dimensie 2). Een goed voorbeeld hiervan is Corio. Aangezien deze retail-belegger meent dat de vastgoedmarkt sterk bepaald wordt door lokale

1

factoren heeft zij de strategie omarmt om de landelijke

business

units

veel

vrijheid

en

2

verantwoordelijkheid te geven. De inrichting van een 3

sterk decentrale organisatie is hiermee een direct gevolg van de visie en strategie van Corio. Geheel in lijn

met

deze

verantwoordelijkheid

strategie ten

wordt

ook

aanzien

de van

risicomanagement decentraal belegd. Het verband tussen de missie, visie, strategie, doelstellingen en risicoacceptatiegraad (dimensie 1) en dimensie 3, waarop het managen van de cultuur, de risicomanagementcyclus en het implementeren van risicomanagement in de bedrijfsvoering is aangebracht, wordt in de praktijk het minst aangetroffen voor het element ‘managen van de cultuur’. Veel van de discussiebijeenkomsten richten zich op het algemene aandachtspunt ‘integriteit’. Niettemin vallen er weldegelijk initiatieven waar te nemen die een betere aansluiting kennen met de visie, strategie en risicoacceptatiegraad van een organisatie. Zo heeft Ahold RE&C een e-learning module ontwikkeld voor haar acquisiteurs waarin kaders worden geschetst die nauw aansluiten bij de visie, strategie en risicoacceptatiegraad van Ahold. De relatie tussen dimensie 1 en de risicomanagementcyclus valt in de praktijk goed waar te nemen. De missie, visie, strategie, doelstellingen en risicoacceptatiegraad van Ahold vormen voor Ahold RE&C een belangrijk kader voor het inventariseren van belangrijke risico’s. Speciale aandacht gaat hierbij uit naar het criterium risicoacceptatiegraad, dat Ahold heeft geconcretiseerd met behulp van een risicomatrix. Ten slotte valt ook de relatie tussen dimensie 1 en het implementeren van risicomanagement in de 66

bedrijfsvoering binnen de vastgoedorganisaties waar te nemen. Zo kiest Corio er bijvoorbeeld, op basis van hun strategie, bewust voor om de decentrale business units slechts een aantal basiscontroles op te leggen en heeft Ahold vanuit haar risicoacceptatiegraad de projectontwikkelingsactiviteiten het kader opgelegd dat deze niet te veel woningen mogen ontwikkelen. DIMENSIE 2: ERM MOET WORDEN GEPLOT OP HET ORGANOGRAM De relatie tussen het organogram (dimensie 2) en de zijde van het model waarop de cultuur, de risicomanagementcyclus en de implementatie in de bedrijfsvoering is opgenomen (dimensie 3), is in de praktijk nog niet overal even goed uitgewerkt. Zo is het managen van de cultuur in veel organisaties nog een activiteit die zich in de pilot fase bevindt. Binnen enkele afdelingen zijn reeds discussieworkshops gehouden, echter deze zijn nog niet binnen alle organisatieonderdelen gefacilititeerd. De onderzochte vastgoedorganisaties zijn zich wel aan het oriënteren om dergelijke initiatieven verder uit te rollen over hun organisatie. Ditzelfde geldt voor de risicomanagementcyclus. In paragraaf 7.1 is reeds geconstateerd dat deze nog niet door alle vastgoedorganisaties uitgebreid is aangebracht in de organisatie. Ten slotte lijkt ook de kwaliteit of mate van volwassenheid van de implementatie van risicomanagement in de bedrijfsvoering in veel vastgoedorganisaties per proces of afdeling te verschillen. DIMENSIE 3: CULTUUR, RISICOMANAGEMENTCYCLUS EN DE IMPLEMENTATIE IN DE BEDRIJFSVOERING De relatie tussen dimensie 3 en de dimensies 1 en 2 zijn reeds hierboven beschreven. Echter, ook binnen de derde dimensie is het interessant om de verbanden tussen de verschillende elementen te analyseren. Het verband tussen het actief managen van de cultuur en de risicomanagementcyclus komt in de praktijk nog maar mondjesmaat terug. Het enige cultuur element dat binnen de uitvoering van de risicomanagementcyclus binnen Ahold valt waar te nemen is de rol die medewerkers van de stafafdeling Risk & Compliance op zich nemen. Zij faciliteren en leiden de discussies in de workshops. Hierbij besteden zij speciale aandacht aan de sfeer binnen de workshop. Een van de belangrijkste taken van deze begeleiders is het zorgen voor een sfeer waarin iedereen zich comfortabel genoeg voelt om zijn of haar mening te geven. Het verband tussen de risicomanagementcyclus en het implementeren van risicomanagement in de bedrijfsvoering valt binnen Ahold duidelijker waar te nemen. De input voor het inventariseren van risico’s binnen de risicomanagementcyclus vindt plaats aan de hand van de processen van de organisatie, alwaar men geprobeerd heeft om risicomanagement in de processen te integreren. HET EVALUEREN EN VERBETEREN VAN ERM Het vijfde implementatie element dat zich richt op het evalueren en verbeteren van ERM, is boven het model geplaatst zodat het niet onderdeel is van een van de dimensies. Vanuit dit kader is het interessant om te bezien of vastgoedorganisaties in de praktijk de inhoud van de drie dimensies evalueren en actief proberen te verbeteren.

67

Binnen het onderzoek is geen aandacht besteed aan de vraag of de vastgoedorganisaties hun missie, visie, strategie, doelstellingen en risicoacceptatiegraad (dimensie 1) evalueren. Niettemin lijkt het niet meer dan logisch dat de directie van vastgoedorganisaties zich dagelijks bezig houdt met het monitoren en evalueren van deze criteria. Al lijkt er, op basis van het praktijkonderzoek, tot op heden wel weinig ervaring te bestaan met het concretiseren en evalueren van de risicoacceptatiegraad van organisaties. Zo geeft bijvoorbeeld de Alliantie in haar jaarrekening van 2009 aan dat de risicoacceptatiegraad nog vorm gegeven moet worden binnen de organisatie. De wijze waarop de taken, rollen en verantwoordelijkheden voor risicomanagement

moeten

worden

geplot

op

het

organogram

(dimensie

2)

wordt

binnen

vastgoedorganisaties periodiek geëvalueerd. Een goed voorbeeld hiervan is Corio waar de Risk Manager sinds kort niet meer rapporteert aan de CFO, maar aan de CEO. Ten aanzien van het evalueren van de derde dimensie kan op basis van het praktijkonderzoek gesteld worden dat de meeste aandacht uitgaat naar het evalueren van de risicomanagementcyclus en de implementatie van risicomanagement in de bedrijfsvoering. Het evalueren van de cultuur van de organisatie vindt binnen vastgoedorganisaties veel minder plaats. Alleen de Alliantie meet haar prestaties op dit gebied met behulp van een benchmark die verzorgd wordt door KPMG.

7.3 RESUME Van het nieuwe ERM raamwerk dat is opgesteld in hoofdstuk vijf worden voldoende kenmerken teruggevonden in de praktijk om te kunnen concluderen dat zowel de verbanden in het model als de individuele implementatie elementen valide lijken. Wel toont een analyse van de praktijk met behulp van het raamwerk aan dat er voor vastgoedorganisaties nog voldoende verbetermogelijkheden zijn op het gebied van risicomanagement. Deze lijken zich met name te bevinden op de derde dimensie van het raamwerk, waarin de elementen ‘het managen van de cultuur’, de risicomanagementcyclus en’ het integreren

van

risicomanagement

in

de

bedrijfsvoering’

zijn

aangebracht.

Zo

managen

vastgoedorganisaties hun cultuur nog vrij passief (en nog niet in alle afdelingen van de organisatie), wordt de risicomanagementcyclus niet altijd volledig uitgevoerd en lijken vastgoedorganisaties zich ten aanzien van het integreren van risicomanagement in de bedrijfsvoering nog te veel te focussen op Interne Controle in plaats van het inzetten van risicomanagement dat meer ‘naar buiten’ kijkt.

68

8. VALIDATIE Het nieuwe ERM raamwerk dat is opgesteld in hoofdstuk vijf is in hoofdstuk zes getoetst aan de praktijk. De resultaten van deze toetsing hebben geen aanpassing van het raamwerk teweeg gebracht. Desondanks is het goed om het raamwerk bloot te stellen aan een tweede validatie. Deze validatie is uitgevoerd met behulp van een ronde tafel bijeenkomst, ook wel expert meeting genaamd.

8.1 AANPAK RONDE TAFEL BIJEENKOMST De samenstelling van de deelnemers aan de ronde tafel bijeenkomst is zorgvuldig tot stand gekomen. Allereerst is er gekozen om zowel mensen uit te nodigen die reeds betrokken zijn geweest bij het onderzoek als mensen die voor het eerst in aanraking komen met het onderzoek. Deze laatste categorie deelnemers neemt een gewenste, frisse blik mee naar de discussie. Een tweede criterium waar naar is gekeken betreft de achtergrond van de participanten. Om de discussie meer kans van slagen te geven mag deze niet te eenzijdig zijn. De participanten waren derhalve vastgoedprofessionals, risicomanagementfunctionarissen, adviseurs en financieel specialisten. In onderstaande tabel zijn alle deelnemers (inclusief hun achtergrond) opgenomen. Naam

Organisatie

Functie

Cyriel Mintjens

Corio

Corporate Risk Manager

Stefan van Schaik

Wooncompagnie

Concerncontroller

Nico de Groot

Ahold

Director Risk & Compliance

Janneke de Wagt

de Alliantie

Adviseur Control

Ellen Gehner

AT Osbourne

Consultant

John Verhoeven

Ahold RE&C

Manager Operate

Ton van Welie

Ortec Finance

Chief Executive Officer (CEO)

Michiel de Vries

Ernst & Young

Senior Manager Consultancy

Alle deelnemers hebben drie weken voor de ronde tafel bijeenkomst het concept rapport toegezonden gekregen en bleken zich goed te hebben voorbereid op de sessie. In de bijeenkomst is allereerst een presentatie gehouden over het onderzoek naar risicomanagement binnen vastgoedorganisaties. Hierbij is aandacht besteed aan de aanleiding voor het onderzoek, het doel van het onderzoek, de wijze waarop het onderzoek is uitgevoerd (en waarom is gekozen voor deze aanpak) en de resultaten van het onderzoek. Gedurende de presentatie vond reeds discussie plaats over de vijf implementatie elementen en op welke wijze deze geëffectueerd kunnen worden in de praktijk. Aanvullend is gediscussieerd over een vijftal stellingen die rechtstreeks verband houden met de resultaten van het onderzoek. Deze stellingen zijn:

69

1. Binnen de directie dient één persoon aangewezen te worden die verantwoordelijk is voor het managen van de cultuur van de organisatie (in het kader van risicomanagement). 2. Het is niet nodig om afzonderlijke risico’s binnen een organisatie te aggregeren. 3. Tools (zoals scenarioplanning, de risico matrix, etc.) worden nog onvoldoende ingezet binnen vastgoedorganisaties. 4. Risicomanagement functionarissen houden zich nog te veel bezig met Interne Controle en richten zich nog te weinig op Risicomanagement. 5. Het theoretische begrip ‘risicoacceptatiegraad’ is in de praktijk moeilijk te concretiseren.

8.2 RESULTATEN RONDE TAFEL BIJEENKOMST De discussie die heeft plaatsgevonden binnen de ronde tafel bijeenkomst heeft zich louter gericht op de resultaten van het onderzoek. De aanpak van het onderzoek is door de deelnemers als valide beoordeeld. Ten aanzien van de resultaten zijn enige kanttekeningen c.q. aanvullingen geponeerd. In het vervolg van deze paragraaf zullen de belangrijkste aanvullingen per implementatie element worden uiteengezet. De ronde tafel bijeenkomst heeft mijn perspectief op het begrip risicomanagement en het concept ERM raamwerk uit hoofdstuk vijf niet wezenlijk veranderd. Wel heeft de bijeenkomst een belangrijke nuancering aangebracht ten aanzien van afzonderlijke elementen. Zo heeft de discussie mij bijvoorbeeld doen beseffen dat de geschetste invulling van het tweede implementatie element (het managen van de cultuur van een organisatie) te nauw is ingestoken. Deze nuanceringen wordt in het vervolg van deze paragraaf nader toegelicht. ELEMENT 1: ERM MOET WORDEN GEPLOT OP HET ORGANOGRAM Wanneer de taken, rollen en verantwoordelijkheden ten aanzien van ERM worden geplot op het organogram, dan zou dit problemen kunnen oproepen voor de processen in een organisatie. Processen kunnen immers afdelingsoverstijgend zijn en ‘dwars door’ het organogram lopen. Er ontstaat als het ware een ‘matrixorganisatie’. Feitelijk wordt hier gewezen op het verband tussen element 1 (het plotten van ERM op het organogram) en element 4 (het integreren van ERM in de bedrijfsvoering). Hoewel het raamwerk dus al rekening houdt met dit issue, is de geschetste problematiek hiermee nog niet helemaal getackeld. Binnen Ahold probeert men dit probleem te omzeilen door zich te richten op acties die moeten worden genomen ten aanzien van risicomanagement op procesniveau. Elke actie wordt vervolgens gekoppeld aan een actiehouder (en hiermee dus geplot op het organogram). Deze oplossing lijkt zeker potentie te hebben (gezien de positieve ervaringen van Ahold). Niettemin is aanvullend onderzoek op dit punt geen overbodige luxe. ELEMENT 2: HET MANAGEN VAN DE CULTUUR Ten aanzien van het managen van de cultuur heeft een groot deel van de discussie zich gericht op de cultuur en machtsverhoudingen binnen de directie. Dit heeft mijn perspectief op dit element van het model 70

flink veranderd. Daar waar het onderzoek tot op heden de nadruk heeft gelegd op het belang van het managen van de cultuur binnen lagere echelons van een organisatie, blijkt de cultuur in de top van de organisatie minstens zo belangrijk te zijn. Het feit dat het belangrijk is om een goed ‘tegengewicht’ te hebben binnen de directie werd breed gedragen door de aanwezigen. Een dominante bestuurder wordt gezien als een risico. Dit vertaalt zich ook naar de relatie tussen de Raad van Bestuur en de Raad van Commissarissen. Het is een kerntaak van de Raad van Commissarissen om uiterst kritisch te blijven kijken naar de handelswijze van de Raad van Bestuur, en dus ook op de wijze waarop de Raad van Bestuur omgaat met risicomanagement. Uit onderzoek van Van Nimwegen blijkt dat bijvoorbeeld de Raad van Commissarissen van veel woningcorporaties nog onvoldoende kwaliteit bevat om deze taak uit te voeren (Van Driel, 2011, p40). Verder zijn de deelnemers van de ronde tafel bijeenkomst van mening dat het managen van de cultuur een verantwoordelijkheid is van de gehele directie. Alle directieleden zullen activiteiten moeten ondernemen om de cultuur in de organisatie op het gebied van risicomanagement te managen. Een tweede discussie was gericht op de vraag op welke wijze de directie de cultuur zou kunnen managen. De

instrumenten

die

momenteel

worden

ingezet

(bijvoorbeeld

een

Code

of

Conduct en

discussiebijeenkomsten) lijken niet afdoende te zijn. Hoewel deze initiatieven niet aan de kant geschoven moeten worden, zijn aanvullende activiteiten gewenst. Mogelijk kan een koppeling met de (jaarlijkse) beoordeling uit de HRM cyclus hier uitkomst bieden. Wanneer medewerkers mede beoordeeld worden op criteria die gericht zijn op de gewenste cultuur van de organisatie, kan dit een bijdrage leveren aan het managen van de cultuur. Niettemin is aanvullend onderzoek op dit gebied sterk gewenst. ELEMENT 3: DE RISICOMANAGEMENTCYCLUS Vastgoedorganisaties lijken de afzonderlijke risico’s slechts in beperkte mate te aggregeren. Een voorbeeld waar dit wel wordt toegepast is de portfoliobenadering op het gebied van projectontwikkeling. Indien projectontwikkelaars diverse projecten hebben lopen, worden deze als het ware ‘bij elkaar opgeteld’ en ook op totaal niveau bekeken. Wel wordt op brede schaal gekeken naar het verband tussen risico’s. ELEMENT 4: INTEGRATIE ERM IN DE BEDRIJFSVOERING De discussie ten aanzien van het integreren van ERM in de bedrijfsvoering heeft zich toegespitst op de vraag op welke wijze risicomanagementfunctionarissen dit kunnen verwezenlijken. Hoewel voorzichtig geconcludeerd wordt dat er binnen vastgoedorganisaties nog niet volledig gebruik wordt gemaakt van de potentie die tools (zoals bijvoorbeeld scenarioplanning) kunnen bieden, is het voor risicomanagementfunctionarissen de vraag hoe zij het gebruik van deze middelen kunnen stimuleren of afdwingen. Wanneer de verantwoordelijken de toegevoegde waarde van de middelen niet erkennen zal het gebruik van deze middelen hoogstwaarschijnlijk minimaal zijn. In de praktijk blijken organisaties ervoor te kiezen om het gebruik van bepaalde tools of procedures af te dwingen, om vervolgens de lijn op andere gebieden meer vrijheidsgraden toe te staan. Zo heeft bijvoorbeeld de directie van Corio gesteld dat een due diligence

71

onderzoek voor elke transactie vereist is. Hiermee wordt het belang van draagvlak voor risicomanagement binnen de top van de organisatie andermaal bevestigd. ELEMENT 5: EVALUATIE EN VERBETERING VAN ERM Het evalueren en verbeteren van ERM in vastgoedorganisaties is volgens de aanwezigen een element waar nog veel verbeteringen zijn te realiseren. Wat dit betreft kunnen vastgoedorganisaties nog wat leren van vliegmaatschappijen. Na een ongeluk proberen zij ten koste van alles de ‘black box’ te vinden en te leren van de gemaakte fouten. Een vastgoedorganisatie kan dergelijke initiatieven bijvoorbeeld vertalen naar zijn eigen organisatie door post investment reviews uit te voeren.

8.3 RESUME Binnen de ronde tafel bijeenkomst is de uitvoering van het onderzoek goedgekeurd. Ditzelfde geldt voor het raamwerk dat is opgesteld in hoofdstuk vijf. Hoewel hiermee een belangrijke validatie is uitgevoerd, zijn in de ronde tafel bijeenkomst een aantal interessante punten aan het licht gekomen voor de concretisering van de implementatie elementen in de praktijk. Zo werd ter discussie gesteld op welke wijze de verantwoordelijkheid ten aanzien van procesrisico’s kan worden toegewezen aan personen. Daarnaast blijkt ook dat vastgoedorganisaties nog worstelen met de vraag hoe de cultuur ten aanzien van risicomanagement binnen organisaties gemanaged kan worden. Beide punten komen in aanmerking voor vervolgonderzoek. Ten slotte is in de bijeenkomst andermaal geconcludeerd dat draagvlak binnen de top van de organisatie (en mogelijk zelfs binnen de Raad van Commissarissen) van eminent belang is voor het ERM.

72

9. CONCLUSIES Het doel van deze scriptie is om aan te tonen op welke wijze ERM geïmplementeerd kan worden in vastgoedorganisaties. Hierbij moet het eindresultaat een raamwerk zijn dat vastgoedorganisaties concrete handvatten geeft voor het implementeren van ERM in de organisatie. In hoofdstuk negen zullen de conclusies ten aanzien van het onderzoek worden getrokken en uiteindelijk het definitieve raamwerk worden gepresenteerd.

9.1 IMPLEMENTATIE ELEMENTEN Een raamwerk is normaliter opgebouwd uit verschillende elementen. In het kader van deze scriptie zijn met behulp van zes deelvragen vijf implementatie elementen geïdentificeerd die de basis vormen voor het raamwerk: 1. ERM moet worden geplot op het organogram: ERM moet op alle niveaus worden uitgevoerd en de taken, rollen en verantwoordelijkheden ten aanzien van ERM moeten helder worden belegd. 2. ERM besteedt expliciet aandacht aan het managen van de cultuur van een organisatie. De cultuur moet goed aansluiten bij de missie en visie van de organisatie. 3. Een risicomanagementcyclus is gericht op het bottom-up verzamelen en aggregeren van risico’s in een organisatie. Hier gaat een top-down proces aan vooraf waarin de strategie, missie/visie, doelstellingen en risicoacceptatiegraad worden gecommuniceerd. 4. ERM moet worden geïntegreerd in alle processen van een organisatie. Dit vertaalt zich in het expliciet opnemen van risicomanagement in de besturing (kaders, rapportages) en ondersteuning (mensen, middelen) van de processen. 5. Binnen een organisatie moet de werking (effectiviteit) van ERM worden geëvalueerd en blijvend worden verbeterd. Dit proces kan zowel continu plaatsvinden als op gezette tijden. Met behulp van de denkbeelden van Nieuwenhuis en Morgan en een analyse van de specifieke karakteristieken van vastgoed zijn deze elementen verder geconcretiseerd en waar mogelijk vastgoedspecifiek gemaakt. Vervolgens zijn de implementatie elementen door middel van een praktijkonderzoek gevalideerd. Dit proces heeft niet geleid tot aanpassingen van de elementen.

9.2 EEN RAAMWERK VOOR HET IMPLEMENTEREN VAN ERM De vijf implementatie elementen zijn gepositioneerd in de structuur van het COSO ERM model. Deze structuur is overzichtelijk en maakt de verhoudingen tussen de elementen goed zichtbaar. Het concept model, zoals dit is gepresenteerd in figuur 15, is vervolgens twee maal gevalideerd. Allereerst is het model getoetst met behulp van een case studie bij drie vastgoedorganisaties. De conclusie van dit praktijkonderzoek is dat er in de praktijk voldoende voorbeelden van de implementatie elementen en de veronderstelde verbanden tussen de elementen werd aangetroffen. Bij deze exercitie maakte het raamwerk ook duidelijk dat de onderzochte vastgoedorganisaties nog voldoende verbetermogelijkheden hebben. Dit 73

lijken zij zelf ook te beseffen getuige hun deelname aan kennisgroepjes waarin ervaringen op het gebied van ERM worden gedeeld. Het concept model heeft ook een tweede validatie, in de vorm van een ronde tafel bijeenkomst, doorstaan. Hoewel de deelnemers aan de ronde tafel bijeenkomst een aantal goede aanvullingen en nuanceringen hebben aangeboden, zijn zowel de implementatie elementen afzonderlijk als het geschetste raamwerk gevalideerd. Derhalve ziet het definitieve raamwerk voor het implementeren van ERM in vastgoedorganisaties er (net als het concept model) als volgt uit: Figuur 19: Het nieuwe ERM raamwerk


2

3

4



1


9.3 AANDACHTSPUNTEN EN RANDVOORWAARDEN Binnen het onderzoek naar het implementeren van ERM binnen vastgoedorganisaties zijn nog een aantal belangrijke aandachtspunten en randvoorwaarden aan het licht gekomen. DRAAGVLAK BINNEN DE DIRECTIE Uit het onderzoek blijkt onder meer dat draagvlak bij het topmanagement een belangrijke voorwaarde is voor een effectieve werking van ERM in een organisatie. Wanneer het topmanagement de toegevoegde waarde van ERM bagatelliseert, is het evident dat de implementatie elementen ‘het managen van de cultuur’ (element 2) en de risicomanagementcyclus (element 3) niet uit de verf komen. Echter, ook het vierde implementatie element dat stelt dat ERM geïntegreerd moet worden in de bedrijfsvoering boet fors aan effectiviteit in. In het praktijkonderzoek is vastgesteld dat vastgoedbedrijven nog niet volledig gebruik maken van alle tools die hen voorhanden zijn op het gebied van risicomanagement. Gedurende de ronde tafel bijeenkomst is uitgebreid bediscussieerd of staffunctionarissen het gebruik van dergelijke tools niet 74

meer zouden moeten afdwingen. De conclusie was dat dit in de praktijk niet meevalt en dat hierbij de inzet van het management sterk gewenst is. Zij kunnen het gebruik van tools en het hanteren van procedures wel afdwingen. Een voorbeeld hiervan is het feit dat het management van Corio heeft geëist dat voor alle vastgoedtransacties een due diligence onderzoek wordt uitgevoerd. Een aandachtspunt dat hierbij aansluit zijn de verhoudingen binnen de organisatie (en specifiek binnen de directie). Tegenstellingen en ‘common sense’ lijken waardevolle factoren te zijn die een organisatie voorzien van een gezonde kritische houding. Dit geldt ook voor de rol van de Raad van Commissarissen die, ook op het gebied van risicomanagement, de Raad van Bestuur spreekwoordelijk ‘het vuur aan de schenen’ moet leggen. VASTGOEDSPECIFIEKE ELEMENTEN BINNEN HET RAAMWERK Vastgoed heeft een aantal specifieke kenmerken die van invloed zijn op de vertaling van het raamwerk naar een implementatie in een vastgoedorganisatie. Samengevat: vastgoed is een heterogeen, kapitaalintensief product dat niet liquide is en waar veel regelgeving en actoren invloed op uitoefenen. Deze kenmerken lijken met name consequenties te hebben voor het vierde implementatie element: Het integreren van ERM in de bedrijfsvoering. Er is veel weten regelgeving van toepassing op vastgoed en er zijn normaliter veel actoren bij betrokken. De bronnen voor risico’s ten aanzien van vastgoed zijn zodoende talrijk en divers. Dit kader zorgt ervoor dat het managen van vastgoed een kennisintensieve activiteit is. De medewerkers van vastgoedorganisaties zullen zowel kennis moeten hebben van vastgoedprocessen (generiek en specifiek) als kennis moeten hebben/opdoen van risicomanagement. Aanvullend zal voor alle processen moeten worden bekeken welke kaders hieraan zouden moeten worden opgelegd, met welke tools het risicomanagement binnen deze processen ondersteund zou moeten worden en welke rapportages er zouden moeten worden opgeleverd. DE RISICOMANAGEMENTCYCLUS De risicomanagementcyclus zoals deze in het kader van deze scriptie is geschetst, lijkt nog niet in alle onderzochte vastgoedorganisaties volledig te zijn aangebracht. Dit is een gemiste kans, want uit dit onderzoek blijkt dat de potentie van deze cyclus erg groot kan zijn. Een van de grondgedachten achter het COSO ERM model is dat risico’s binnen de organisatie transparanter worden en in samenhang worden bezien en gemanaged. De risicomanagementcyclus is een zeer geschikte manier om dit te verwezenlijken. Het draagt bij aan: communicatie tussen verschillende niveaus in de organisatie, het feit dat de organisatie (c.q. het topmanagement) minder snel verrast wordt door een risico en het managen van de cultuur ten aanzien van risicomanagement binnen een organisatie. Hierbij lijkt met name de dialoog (over specifieke risico’s, de risicoacceptatiegraad en de wijze waarop men om wil gaan met risico’s) van eminent belang.

75

10. REFLECTIE SCOPE VAN HET ONDERZOEK Bij het bespreken van de onderzoeksopzet van deze scriptie heb ik veel kritische vragen gehad over de scope van het onderzoek. Veel betrokkenen hebben mij gewezen op het feit dat het onderzoek erg omvangrijk zou kunnen worden. Hoewel er binnen het onderzoek belangrijke afbakeningen zijn gemaakt, kan ik niet ontkennen dat ik gedeeltelijk in deze valkuil ben gestapt. Er is veel tijd en energie gestoken in de totstandkoming van deze scriptie. Hoewel ik het mijzelf dus niet makkelijk heb gemaakt, ben ik achteraf gezien toch blij dat ik het onderzoek in haar huidige vorm heb uitgevoerd. Het onderzoek leent zich naar mijn mening namelijk juist voor een integrale aanpak. Vastgoedorganisaties worstelen met de vraag hoe ERM geïmplementeerd kan worden in hun organisatie. Om een antwoord te kunnen geven op deze vraag moet het onderwerp in haar volle breedte worden geanalyseerd. UITVOERING VAN HET ONDERZOEK Voor de uitvoering van het onderzoek is gekozen voor een kwalitatief onderzoek, waarbij gebruik is gemaakt van Organizational Development theorieën en een praktijkonderzoek bij drie verschillende vastgoedorganisaties. De keuze voor een kwalitatief onderzoek heeft goed uitgepakt. Door discussies te voeren met een veelvoud van experts met verschillende achtergronden heb ik een steeds beter beeld gekregen van de materie en problematiek. Ook de Organizational Development theorieën hebben een belangrijke bijdrage geleverd aan het doel van deze scriptie. De denkbeelden van Morgan en Nieuwenhuis hebben de gewenste concretisering kunnen aanbrengen in de wijze waarop ERM geïmplementeerd kan worden in een vastgoedorganisatie. De toegevoegde waarde van een praktijkonderzoek bij drie verschillende vastgoedorganisaties is helaas niet zo groot gebleken als van tevoren ingeschat. Hoewel aan het licht is gekomen dat de drie vastgoedorganisaties ieder een eigen aanpak hebben met betrekking tot de implementatie van ERM, kan (nog) niet gesteld worden dat het type vastgoedorganisatie een belangrijke invloed heeft op de wijze waarop ERM geïmplementeerd wordt. RESULTATEN VAN HET ONDERZOEK De titel van deze scriptie is niet voor niets: “Risicomanagement, kan het concreter?”. Het belangrijkste doel van dit onderzoek was immers om een raamwerk op te leveren dat vastgoedorganisaties concrete handvatten geeft voor het implementeren van ERM. Bestaande modellen als COSO ERM en ISO 31000 zijn naar mijn mening niet volledig, niet vastgoedspecifiek, maar bovenal onvoldoende concreet. Eerlijkheidshalve dient gezegd te worden dat ook het raamwerk dat in dit onderzoek tot stand is gekomen, in de basis geen vastgoedspecifieke elementen bevat. Alleen de uitwerking van het raamwerk zal in vastgoedorganisaties aansluiting moeten zoeken bij de specifieke karakteristieken van de vastgoedmarkt. Dit geldt met name voor het vierde implementatie element dat stelt dat ERM daadwerkelijk geïntegreerd moet worden in de bedrijfsvoering. Waar deze scriptie volgens mij wel in geslaagd is, is het concretiseren van de verschillende elementen van het raamwerk. De theorieën van Morgan en Nieuwenhuis hebben hier, zoals gezegd, een belangrijke bijdrage aan geleverd. 76

VERVOLGONDERZOEK Met behulp van de denkbeelden van Nieuwenhuis zijn een aantal implementatie elementen geconcretiseerd. Hiermee zijn echter voor het management van vastgoedorganisaties nog niet alle vragen beantwoord. Zo heeft onder meer figuur 9 duidelijk gemaakt dat de cultuur van een organisatie actief gemanaged kan worden met behulp van sturing (kaders) en ondersteuning (mensen, middelen). Hoewel er in het kader van deze scriptie reeds enige suggesties zijn gegeven voor de invulling van deze sturing en ondersteuning, moge duidelijk zijn dat hier behoefte is aan een verdere invulling. De huidige acties die worden ondernomen ogen vrij passief (klokkenluidersregeling, code of conduct) of lijken slechts beperkt uitvoerbaar (discussiemiddagen worden op den duur ook minder interessant en effectief). Aanvullend onderzoek op de vraag op welke wijze het management de cultuur in organisaties op het gebied van risicomanagement kan beïnvloeden is volgens mij sterk gewenst. De koppeling tussen het eerste implementatie element (het plotten van ERM op het organogram) en het vierde implementatie element (het inbedden van ERM in de bedrijfsvoering) is tijdens de ronde tafel bijeenkomst

uitgebreid

onderwerp

van

discussie

geweest.

Wanneer

de

taken,

rollen

en

verantwoordelijkheden ten aanzien van ERM worden geplot op het organogram, zou dit problemen kunnen oproepen voor de processen in een organisatie. Processen kunnen immers afdelingsoverstijgend zijn en ‘dwars door’ het organogram lopen. Hoewel het raamwerk al rekening houdt met dit issue, is de geschetste problematiek hiermee nog niet helemaal getackeld. Ook deze problematiek komt naar mijn mening in aanmerking voor vervolgonderzoek.

77

11 BIBLIOGRAFIE Alliantie (2009). Jaarverslag Alliantie 2009. (http://www.de-alliantie.nl) Ballou, B en Heitger, D (2005). A building-block approach for implementing COSO’s Enterprise Risk Management Integrated Framework. Management Accounting Quarterly, vol.6, no2. Bowling, D.M. en Rieger, L.A. (2005). Making sense of COSO’s new framework for Enterprise Risk Management. in ‘Bank, Accounting and Finance’, Aspen publishers. Corio (2009). Jaarverslag Corio 2009. (http://www.corio-eu.com/tl_files/content_resources/pdf/publications/annual_report_2009.pdf) COSO (2004). Risico management van de onderneming, geïntegreerd raamwerk. Management samenvatting. Committee of Sponsoring Organizations of the Treadway Commission. (http://www.COSO.org/documents/COSO_ERM_ExecSummary_Dutch-rev-juni06.pdf)

COSO (2004). Enterprise Risk Management, Integrated framework: Framework. Committee of Sponsoring Organizations of the Treadway Commission. (www.COSO.org) COSO (2004). Enterprise Risk Management, Integrated framework: Application techniques. Committee of Sponsoring Organizations of the Treadway Commission. (www.coso.org) COSO (2009). Strenghtening Enterprise Risk Management for strategic advantage. Committee of Sponsoring Organizations of the Treadway Commission. (http://www.COSO.org/documents/COSO_09_board_position_final102309PRINTandWEBFINAL.pdf )

Driel, A. van (2011). Rapporteren over risico’s. Rapport van Van Nimwegen, d.d. 28 februari 2011 Droogsma, J (2009). Risicomanagementsystemen in de praktijk. Bestuurlijke Informatievoorziening, juli/augustus 2009, p262-272 Emanuels, J.A. en Munnik, W.G. de (2005). Enterprise Risk Management als risicobeheersingssysteem. In MCA, nr 6 – 2005, p30-34 Emanuels, J.A. en Munnik, W.G. de (2006). Enterprise Risk Management. Een risicobeheersingssysteem voor organisaties. Maandblad van Accountancy en Bedrijfseconomie juni 2006, p294-299. Ernst & Young (2003). Integrated risk management. An aspect of corporate governance. In Accountants, number 6 Governing your values. Gehner, E. (2003). Risicoanalyse bij projectontwikkeling. Amsterdam: uitgeverij SUN Gool, van P. et al. (2007). Onroerend goed als belegging. Wolters-Noordhoff, Groningen. Hall, D.J. en Saias, M.A. (1980). Strategy follows Structure! In: Strategic Management Journal, Vol 1, No 2, p149-163. Heijden, C. van der (1995). Toekomstdenken met scenario’s. Lessen uit 25 jaar praktische ervaring. In: ‘Toekomstscenario’s special’ p20-29. Hinton, D. (1998). The analects of Confucius, Counterpoint Washington DC INK (2009). Risicomanagement en het INK managementmodel. Zaltbommel: INK ISO (2009). ISO 31000, Risk management – Principles and guidelines. (www.iso.org) 78

ISO (2009). ISO Guide 73, Risk management vocabulary. (www.iso.org) IVBN (2008). Beheersing van frauderisico’s in de institutionele vastgoedsector. (www.ivbn.nl) Leitch, M. (2010). ISO 31000:2009 – The new international standard on risk management. In ‘Risk Analysis’ vol 30, no 6. P887-892. Marle, E. van en Haisma, G (2009). ISO 31000 stimuleert integraal risicomanagement. In TPC Public Control, SDU uitgevers, februari 2009, p14-19. (http://www.risicomanagement.nl) Merna, T. en Al-Thani, F,F. (2008). Corporate Risk Management. Chichester (Engeland): John Wiley & Sons Ltd. Mintjens, C (2009). Corio Risk Management. Interne presentatie Corio d.d. 16 juni 2009. Moeller, R.R. (2007). COSO Enterprise Risk Management. Understanding the new integrated ERM framework. New Jersey: John Wiley & Sons Inc. Morgan, G. (1993). Futureblock. Imaginization, the art of creative management. Newbury Park: SAGE publications. Nieuwenhuis, M.A. (2003). The art of management. Deel 1: Strategie en structuur. (ISBN 90-806665-1-3) (http://www.syntens.nl/_catalogs/users/Attachments/129/the%20art%20of%20management%20150%20paginas% 20inspiratie.pdf)

Nieuwenhuis, M.A. (2006). The Art of management. Deel 2: Cultuur en mensen. 2e druk. (ISBN 90806665-2-1). (www.123management.nl) Paape L e.a. (2009). Risicomanagement in tijden van crisis (en voor en na). In opdracht van: Koninklijke Nivra Amsterdam, Nyenrode Breukelen, PricewaterhouseCoopers Amsterdam en Rijksuniversiteit Groningen. (www.accountant.nl/Accountant/Nieuws/Risicomanagement+grotere+bedrijven+en+instellingen) Paape, L (2010). Internal Control & Risicomanagement. Nyenrode Business Universiteit Breukelen. (http://www.pathmos1762.nl/wp-content/uploads/2010/10/Risicomanagement.pdf')

Peters, T.J en Waterman, R.H. (1982). In search of Excellence. New York: HarperCollins PriceWaterHouseCoopers en Rijksuniversiteit Groningen (2006). Nederland. (www.vrisico.nl/pwc_RM_survey.pdf)

Risicomanagement. De Praktijk in

Rietdijk, M en Winden, M van (2003). Slag om de toekomst. Uitgeverij Balans, Amsterdam Sandijk, P van. (2009). Onzekerheid vraagt om scenarioplanning. Supply Chain Magazine nr 3-2009, p3234. Van Dale woordenboek online: www.vandale.nl Vlek, P.J. e.a. (2009). Investeren in vastgoed, grond en gebieden. Financiële theorie en praktijkvraagstukken. Management Producties, Vlaardingen. Wagt, J. de (2010). Risicomanagement bij de Alliantie Amsterdam. Interne presentatie van de Alliantie, d.d. 1 juli 2010.

79

BIJLAGE 1: LIJST MET GEINTERVIEWDEN Tijdens

het

onderzoek

zijn

er

interviews

afgenomen

met

een

aantal

vastgoed-

en/of

risicomanagementprofessionals. De resultaten van deze interviews zijn niet alleen input geweest voor het praktijkonderzoek uit hoofdstuk zes, maar hebben ook een belangrijke invloed gehad op de opzet en uitvoering van de scriptie. Hieronder zijn de namen van de geïnterviewden, hun functies en de organisaties waarin zij werkzaam zijn weergegeven. Naam

Bedrijf

Functie

Cyriel Mintjens

Corio

Corporate Risk Manager

Peter Ebbelinghaus

Ymere

Directeur Waarde- en Portfoliosturing

Nico de Groot

Ahold

Director Risk & Compliance

Bas Magielse

ING RE

Senior Risk Analist

Janneke de Wagt

De Alliantie

Adviseur kwaliteit en risico

Vincent Moolenaar

Ahold

Senior Vice President Internal Control

Patrick Zuurbier

De Alliantie

Corporate Risk Controller

Elly Stroo-Cloeck

Ahold

Head of Risk Management & IC

Leen Paape

Nijenrode Universiteit

Dean en Hoogleraar

Richard Nooij

Ahold EU RE&C

CFO

Michiel de Vries

Ernst & Young

Senior Manager

80

BIJLAGE 2: HET 7-S MODEL EN HET INK MODEL HET 7-S MODEL VAN MC KINSEY Het 7 S model is binnen McKinsey eind jaren ’70 van de vorige eeuw ontwikkelt door een aantal adviseurs, waaronder Richard Pascale, Tom Peters en Robert Waterman (Peters en Waterman, 1982, p9). Het model is opgesteld om de effectiviteit van een organisatie vast te stellen; oftewel het vermogen van een organisatie om de gewenste strategie uit te voeren. Het 7-S model is uitmate geschikt om organisatievraagstukken te analyseren. Peters en Waterman noemen dit simpelweg ‘organizing’. Om een goede organisatie neer te zetten moeten alle 7 S-sen op elkaar aansluiten en elkaar versterken. Het gaat hier om 7 Engelse termen die logischerwijs allemaal beginnen met een S: 1. Strategy: Wat zijn de doelstellingen van de organisatie en hoe wil men deze bereiken? 2. Structure: Hoe ziet de inrichting van de organisatie er uit en hoe verhouden organisatieonderdelen zich tot elkaar? Vaak wordt dit vorm gegeven middels een organogram. 3. Systems: Dit refereert aan alle werkwijzen, procedures en communicatiemiddelen die zich in een organisatie bevinden. Het gaat hier om zowel formele als informele zaken. 4. Staff: De mensen die in een organisatie opereren. Het gaat hierbij om de categorieën medewerkers (bijvoorbeeld marketeers of HR functionarissen), om de profielen voor de medewerkers en om beloningsstructuur, opleidingen en aannamebeleid. 5. Style: Welke managementstijl past het management toe? Hoe gaat het management om met haar medewerkers en op welke manier proberen zij de doelen te realiseren. 6. Skills: De kennis en vaardigheden die de organisatie onderscheid van haar concurrenten. 7. Shared values: De normen en waarden van een organisatie, de bedrijfscultuur. In het Engels wordt dit ook wel omschreven als ‘core beliefs’. HET INK MODEL Het INK model is begin jaren ’90 ontwikkeld op initiatief van een aantal CEO’s van grote Europese organisaties die zich afvroegen wat succesvol ondernemen is. Het INK model is een managementmodel dat een organisatie kan gebruiken als ontwikkelingsmodel, besturingsmodel en diagnosemodel (zelfevaluatie). Het INK model is een Nederlandse equivalent van het Europese EFQM model en bestaat uit negen aandachtsgebieden en een terugkoppeling (in de vorm van verbeteren en vernieuwen). In figuur 19 is het INK model grafisch weergegeven.

81

Figuur 20: Het INK model

Bron: www.ink.nl

Het doel van het INK model is om te werken aan de samenhang en groei van alle aandachtsgebieden. Deze aandachtsgebieden kunnen worden verdeeld in twee groepen: vijf organisatiegebieden en vier resultaatgebieden. Beide groepen worden verbonden door een zogenaamde feedback-loop (ook wel het tiende aandachtsgebied genaamd).

82

BIJLAGE 3: RISICO MATRIX Risico identificatie met behulp van een risico matrix bestaat uit twee stappen: (1) het benoemen van gebeurtenissen die een invloed hebben op een project op basis van invloedsfactoren en –actoren en (2) het kwantificeren van het effect van de gebeurtenissen op de investeringsvariabelen (Gehner, 2003, p55). De eerste stap wordt uitgevoerd met behulp van een zogenaamde bronmatrix, de tweede stap met behulp van een effect matrix. Van beiden is hieronder een summier voorbeeld gegeven.

Bronmatrix

G.S.

Juridisch adviseur

Belanghebbenden

Huurders

Kopers

Financier

Algemene kosten

Inflatie

Bouwindex

Huuropbrengsten

Planning

Financieringsrente

Gemeente

Aannemer

Architect

Eigenaar grond

Activiteiten Marktonderzoek Begroting opstellen Bodemonderzoek Financiering Vergunningprocedure Opstellen PvE Ontwerp Aanbesteding (voor)Verkoop Bouw casco Afbouw Oplevering

Projectteam

Actoren en factoren

Effectmatrix

83

Marketingkosten

Advieskosten

Bijkomende kstn

Bouwkosten

Risico's Grondprijsrisico Planwijzigingsrisico Marketingrisico Aanbestedingsrisico Meerwerkrisico Kwaliteitsrisico Faillissementsrisico Leegstandsrisico Vertraging verkoop Financieringsrisico Inflatierisico

Grondkosten

Investeringsvariabelen

BIJLAGE 4: CASESTUDIES AHOLD Ahold is een retail groep dat zich richt op markten in de Verenigde Staten en Europa. In Europa is Ahold actief in Nederland, Tsjechië, Slowakije en sinds kort ook in België. Bekende Nederlands formules zijn Albert Heijn, Etos, Gall & Gall en Albert.nl. Wereldwijd heeft Ahold meer dan 2.900 winkels en zijn er ruim 213.000 medewerkers in dienst van de retailer. Ahold Europe Real Estate & Construction is de corporate real estate afdeling van Ahold Europa. Met behulp van ruim 110 medewerkers richt Ahold Europe RE&C zich op taken als projectontwikkeling, asset management, onderhoud, vastgoedmanagement en

afbouw.

Hieronder

is

het

organogram

van

Ahold

Europa

opgenomen.

De

hoogste

risicomanagementfunctionaris is gepositioneerd in de afdeling ‘Finance’ (zie rode cirkel) en rapporteert aan de CFO van Ahold Europa.

EU Board

Communications

Finance

Legal NL

Public Affairs & Corporate Responsibility

Strategy & Exp.

IM

Business Dev.

HR

Sourcing

Franchise

Albert

Etos

Albert Heijn

Gall & Gall

RE&C

CORIO Corio is een retail-belegger dat zich richt op het investeren, (her)ontwikkelen en managen van winkelcentra in Europa. De missie die Corio hierbij hanteert is het creëren van winkelcentra die een sterk sociale functie hebben: ‘To create favorite shopping centers where people like to meet’. Momenteel ligt het werkgebied in Nederland, Spanje, Italië, Spanje, Frankrijk en Turkije. Corio is van mening dat de lokale markt een grote impact heeft op winkelcentra. Derhalve hebben de landelijke werkmaatschappijen een relatief hoge mate van autonomie. Het hoofdkantoor is gevestigd in Utrecht. In 2010 boekte deze belegger een netto huuropbrengst van ruim € 386 miljoen en ultimo 2010 bestond de balans uit een totaal van ruim € 7,5 miljard. In onderstaande figuur is het organogram van Corio opgenomen. De Risk Manager is

84

gepositioneerd in de stafafdeling ‘Risk Management’ (zie rode cirkel) en rapporteert direct aan de CEO van Corio.

DE ALLIANTIE De Alliantie is een ontwikkelende woningcorporatie met bijna 60.000 verhuureenheden in de noordvleugel van de Randstad. Vanuit vier werkmaatschappijen (Amsterdam, Eemvallei, Flevoland en de Gooi- en Vechtstreek) probeert de Alliantie te zorgen voor betaalbare en goede woonruimte in vitale wijken. De hoogste risicomanagementfunctionaris is onderdeel van de concernstaf (zie rode cirkel in onderstaand organogram) en rapporteert direct aan de CFO.

85

BIJLAGE 5: VOORBEELD HEATMAP Binnen Ahold wordt voor belangrijke risico’s een heatmap ingevuld. Onder belangrijke risico’s worden vooral de risico’s verstaan die boven de risicoacceptatiegraad vallen (kans x impact vallen in het rode gebied van de matrix). Hieronder is de template van een heatmap opgenomen. In een heatmap wordt een beschrijving gegeven van het risico, wordt aangegeven wie eigenaar is van het risico en geeft men aan welke mitigerende acties reeds zijn ondernomen c.q. zullen worden ondernomen.

86

BIJLAGE 6: CONTROLES OP HET INVESTERINGSPROCES In onderstaande tabel zijn een aantal controles opgesomd die vastgoedorganisaties kunnen opleggen aan haar investeringsproces. Deze zijn deels ontleent aan een publicatie van IVBN uit 2008 inzake frauderisico’s binnen de Nederlandse institutionele vastgoedsector (zie bibliografie). De tabel pretendeert geen limitatieve lijst te zijn. Daarnaast dienen organisaties te beseffen dat risicomanagement en de hieronder genoemde controles geen absolute zekerheid geven voor het bereiken van de gewenste resultaten. Wat risicomanagement en deze controles wel kunnen doen is de kans op verrassingen flink verkleinen. Cluster Risico Commercieel Aankoop past niet goed in portefeuille

Control Bepalen effect aankoop op portefeuille Aanbrengen van duidelijke kaders (in welke markt wil men actief zijn). Vastgoed wordt te duur Laten uitvoeren van gekocht externe taxatie(s) Bepalen gevoeligheid/invloed variabelen van business case Onvoldoende vraag in Inschatten vraag in de de markt markt Verzekeren van vraag

Wie Portfolio manager Directie

Makelaar

Waarmee Rekenmodellen Beleidstukken Presentaties Persoonlijke communicatie nvt

Controller

Scenarioanalyse Monte Carlo simulatie

Rekenmodel

Marketing afdeling Externe partij Acquisiteurs Makelaars

Marktonderzoek

Concurrentieanalyse Enquetes Contracten

Rekenfouten

Is het juiste model gebruikt?

Controller

Financiele criteria voor aankopen onvoldoende helder Huurders van slechte kwaliteit

Heldere definities en normen

Directie

Nagaan kwaliteit huurders

Asset manager Property Manager Externe partij

Fiscaal

Onvoorziene belastingen

Fiscale controle op geplande transactie

Fiscaal specialist

Juridisch

Vastgoed niet ingebracht in juiste juridische structuur/entiteit

Controle op juridische structuur/entiteit

Jurist

Afspraken niet tijdig, juist en volledig vastgelegd

Controle op inhoud concept contract

Jurist

87

Wat Scenarioanalyse Portefeuilleanalyse Missie en Visie Strategie Doelstellingen Risico acceptatie Taxatie

Voorverkooppercentage Voorverhuurpercentage Achtervang Gebruik vaste methodiek nvt en getest/beveiligd investeringsmodel Opleggen rendementseisen en risico acceptatiegraad Analyse huurcontracten, kredietwaardigheid huurders

Beleidstukken Presentaties Rapportages kredietbeoordelaar, internet, KvK, huurcontracten Doornemen rapportages, beleiden contractstukken

Afstemming fiscus Bepalen fiscale regime dat geldt voor de transactie Nagaan of nvt structuur/entiteit aansluit op wensen inzake flexibiliteit, aansprakelijkheid etc. Controle of contract juist, nvt volledig, SMART en tijdig is opgesteld

Cluster Technisch

Reputatie

Risico Bouwkundige staat gebouw niet in orde

Control Nagaan bouwkundige staat gebouw

Wie Onderhoudsmedewerker, Externe partij

Gevaarlijke stoffen in gebouw (asbest)

Controleren gebruikte materialen

Onderhoudsmedewerker, Externe partij

Ongewenste zaken in de grond (vervuiling, archeologische vondsten) Frauduleuze handelingen door medewerkers

Controleren bodemgesteldheid

Externe partij

Procescontole op Controller interne mandaatregeling

Functiescheiding (minimaal 2 handtekeningen)

Controller

Verhinderen niet Directie gewenste relatie tussen HRM medewerkers en externe partijen Zaken doen met 'foute Screenen tegenpartij Asset Manager partij' Externe partij Controlen verleden pand Asset Manager Overig

Bestemmingsplan laat Bepalen of plannen passen binnen het gewenste ontwikkelingen niet toe bestemmingsplan

Acquisiteur Asset Manager

Normen (geluid, stank, Nagaan normen die milieu, etc) verhinderen gelden voor de locatie gewenste ontwikkelingen Niet leren van fouten Nacalculatie

Externe partij

Controller

Onvoldoende Gebruik van notulen en Asset Manager standaard Controller transparantie in besluitvormingsproces beslisdocumenten

Personeel heeft onvoldoende kennis

Standaard dossier

Controller

Nagaan kennis/kunde van medewerkers

HRM

Samenwerkende partij Screenen is onvoldoende samenwerkingspartner kredietwaardig of heeft onvoldoende kennis/kunde in huis (bijvoorbeeld bij gezamenlijke investering in VOF)

Directie Controller Externe partij

88

Wat Bepalen of er sprake is van achterstallig onderhoud en of gebouw voldoet aan huidige wensen/eisen Bepalen of er schadelijke/ongewenste stoffen in het pand zijn verwerkt. Bodemonderzoek

Bepalen of de juiste handtekeningen onder de juiste documenten staan. Bepalen of de juiste handtekeningen onder de juiste documenten staan. Regelmatig laten rouleren van medewerkers over portefeuilles en relaties. Uitzoeken verleden en intenties van de tegenpartij Raadplegen kadaster Raadplegen bestemmingsplan en toetsen houding politiek t.a.v. plannen Bepalen van impact van normen op de mogelijkheden van de locatie Iedere investering wordt nagecalculeerd (past aankoop binnen het beschikbaar gestelde budget en voldoet aankoop later aan de verwachtingen) Controle of beslissing aankoop is vastgelegd in standaard documenten en notulen Controleren of er een standaard en volledig dossier gevuld is voor de aankoop Screenen personeel bij sollicitatie, aanbieden opleidingen/cursussen Controleren jaarrekeningen, opvragen kredietwaardigheidsrapporten, nagaan referentieprojecten

Waarmee Inspectierapport, fysieke waarneming

Inspectierapport, fysieke waarneming

Fysieke waarneming, kadastraal onderzoek

nvt

nvt

nvt

Internet KvK Eigen 'zwarte lijst' nvt nvt

nvt

Rekenmodel

nvt

nvt

nvt

Analyserapporten Jaarrekeningen Referenties

Risicomanagement, kan het concreter?

Recommend Documents