UNIVERSITEIT GENT
FACULTEIT ECONOMIE EN BEDRIJFSKUNDE
ACADEMIEJAAR 2013 – 2014
THE RISK MANAGEMENT ROLE OF THE BOARD.
Masterproef voorgedragen tot het bekomen van de graad Master of Science in de Toegepaste Economische Wetenschappen: Handelsingenieur
Stephan Cammaert onder leiding van Prof. Dr. Gerrit Sarens
UNIVERSITEIT GENT
FACULTEIT ECONOMIE EN BEDRIJFSKUNDE
ACADEMIEJAAR 2013 – 2014
THE RISK MANAGEMENT ROLE OF THE BOARD.
Masterproef voorgedragen tot het bekomen van de graad Master of Science in de Toegepaste Economische Wetenschappen: Handelsingenieur
Stephan Cammaert onder leiding van Prof. Dr. Gerrit Sarens
Confidentiality clause
PERMISSION The undersigned declares that the contents of this master thesis may be consulted and/or reproduced, providing that the source is acknowledged.
Stephan Cammaert
I
Acknowledgements The road to the finish line was long and tough, but looking back at the beginning of my master thesis, I must say that it has been an extremely interesting and educational experience. Just as life itself I endured some bumps and roadblocks during this journey, the late nights, the stressful moments, the occasional writer’s block but afterwards it was all worth the while. Therefore, I really want to thank all the people who supported and helped me. First of all, I want to thank my promoter Prof. Dr. Gerrit Sarens for all his help, guidance and patience. Furthermore, I want to thank all the board members who took their time to schedule an interview in their busy agendas. I also want to give a very special recognition to my girlfriend Anouck De Schrijver, Flore Costenoble and my sister Claire Cammaert who all took the time to thoroughly read this thesis. Last, but also extremely important, are the rest of my family who always believed in me and supported me.
II
Index table Confidentiality,clause,.....................................................................................................................,I! Acknowledgements,.......................................................................................................................,II! Index,table,.......................................................................................................................................,III! Used,abbreviations,.......................................................................................................................,VI! List,of,figures,.................................................................................................................................,VII! List,of,tables,...................................................................................................................................,VII! Abstract,...............................................................................................................................................,1! Abstract,in,Dutch,.............................................................................................................................,1! 1.! Introduction,..............................................................................................................................,2! 2.! The,role,of,the,board,of,directors,......................................................................................,3! 3.! Enterprise,risk,management,...............................................................................................,4! 3.1.! What,is,enterprise,risk,management?,...................................................................................,4! 3.2.! The,value,of,enterprise,risk,management,............................................................................,5! 3.3.! Implementing,enterprise,risk,management,........................................................................,7! 3.4.! Current,state,of,ERM,.....................................................................................................................,9!
4.! Enterprise,risk,management,framework,....................................................................,11! 5.! The,COSO,and,its,framework,............................................................................................,12! 5.1.! What,is,the,COSO,.........................................................................................................................,12! 5.2.! COSO:,ERMQintegrated,framework,........................................................................................,12! 5.2.1.! Dimension!1:!The!achievement!of!objectives!............................................................................!14! 5.2.2.! Dimension!2:!The!components!of!ERM!........................................................................................!14! 5.2.3.! Dimension!3:!The!different!entity!layers!where!ERM!is!set!upon!....................................!16!
6.! The,role,of,the,board,in,ERM,............................................................................................,17! 6.1.! COSO’s,view,on,the,role,of,the,board,...................................................................................,17! 6.2.! Studies,on,the,role,of,the,board,in,ERM,..............................................................................,18!
7.! Risk,reporting,to,the,board,...............................................................................................,20! 8.! Empirical,Study,.....................................................................................................................,23! 8.1.! Research,Question,......................................................................................................................,23!
III
8.2.! Goal,of,the,study,..........................................................................................................................,23! 8.3.! Target,Group,................................................................................................................................,23! 8.4.! Potential,organizations,............................................................................................................,24! 8.5.! Interview,selection,.....................................................................................................................,25! 8.6.! Interview,approach,....................................................................................................................,25! 8.6.1.! Questions!and!interview!methodology!........................................................................................!25! 8.6.2.! Arranging!and!conducting!interviews!..........................................................................................!26!
9.! Analysis,....................................................................................................................................,27! 9.1.! Analysis,Technique,....................................................................................................................,27! 9.2.! Within,Case,Analysis,..................................................................................................................,27! 9.2.1.! Company!A!...............................................................................................................................................!28! 9.2.2.! Company!B!...............................................................................................................................................!30! 9.2.3.! Company!C!................................................................................................................................................!32! 9.2.4.! Company!D!...............................................................................................................................................!34! 9.2.5.! Company!E!................................................................................................................................................!36! 9.2.6.! Company!F!................................................................................................................................................!38! 9.2.7.! Company!G!...............................................................................................................................................!40! 9.2.8.! Company!H!...............................................................................................................................................!42! 9.3.! Cross,Case,Analysis,....................................................................................................................,44! 9.3.1.! Start!of!active!risk!management!.....................................................................................................!44! 9.3.2.! The!ERM!systems!in!the!organisations!........................................................................................!45! 9.3.3.! The!RM!leader!and!risk!entities!in!the!organisations!............................................................!46! 9.3.4.! The!awareness!of!the!risks!and!the!risk!management!in!the!boards!.............................!46! 9.3.5.! The!role!of!the!boards!in!the!implementation!of!risk!management!................................!47! 9.3.6.! The!risk!management!role!of!the!boards!....................................................................................!47! 9.3.7.! The!risk!management!role!of!the!audit!committees!..............................................................!50! 9.3.8.! The!risk!reporting!to!the!board!.......................................................................................................!51! 9.3.9.! Possible!improvements!......................................................................................................................!51! 9.3.10.! The!board’s!visions!on!risk!management!and!the!evolution!of!RM!..............................!52!
10.! Conclusion,............................................................................................................................,54! 10.1.! General,Conclusions,................................................................................................................,54! 10.2.! Further,research,.......................................................................................................................,56!
11.! Bibliography,........................................................................................................................,57! 12.! Attachments,.........................................................................................................................,60! IV
12.1.! Attachment,1,..............................................................................................................................,60! 12.2.! Attachment,2,..............................................................................................................................,61! 12.3.! Attachment,3,..............................................................................................................................,62! 12.4.! Attachment,4,..............................................................................................................................,64! 12.5.! Attachment,5,..............................................................................................................................,66! 12.6.! Attachment,6,..............................................................................................................................,70! 12.7.! Attachment,7,..............................................................................................................................,72! 12.8.! Attachment,8,..............................................................................................................................,75! 12.9.! Attachment,9,..............................................................................................................................,81! 12.10.! Attachment,10,........................................................................................................................,85! 12.11.! Attachment,11,........................................................................................................................,90!
,
V
Used abbreviations AC
Audit Committee
CEO
Chief Executive Officer
CFO
Chief Financial Officer
CM
Chairman
COSO
Committee of Sponsoring Organizations of the Treadway Commission
CRO
Chief Risk Officer
ERM
Enterprise risk management
PWC
Price Waterhouse Coopers
RM
Risk Management
VI
List of figures
Figure 1: Evolution of ERM processes that are in place in organizations ................................. 9! Figure 2: Most used frameworks for ERM guidance .............................................................. 11! Figure 3: COSO's cubical framework ...................................................................................... 13! Figure 4: The percentage of board of directors who discuss top risk exposures...................... 19! Figure 5: Graph showing the evolution in risk reporting to the board ..................................... 20!
List of tables
Table 1: List of interviewed companies ................................................................................... 26! Table 2: Case/Topic Matrix ...................................................................................................... 27!
VII
Abstract Risk management has been a rising concept in this age where corporate governance has gotten very important for the stakeholders of a company. Due to multiple worldwide events, a lot of companies have changed their opinions on risks and have given much more attention to risk management. This exploratory study examines the role the board of directors have in risk management. By conducting in-depth interviews with 8 different Belgian boards I was able to create a view of their role. The first important finding was that boards take a very critical attitude when looking at the risks. Most boards gather at least once a year to thoroughly go through all the reports they receive about the risks their companies are exposed to. This is necessary in order to make strategic decisions regarding these risks and the management of them. Secondly, the essential supporting role the audit committee plays for the board, by examining the risks much more in depth, they are able to report to the board in a very structured and clear manner on all the risk exposures. Finally, there can also be concluded that the risk management role is not a real role per se; it’s rather intertwined between the strategic role and the monitoring role of the board.
Abstract in Dutch Risicobeheer is een concept dat de laatste jaren heel veel aandacht heeft gekregen aangezien de corporate governance van bedrijven zo belangrijk is geworden voor de stakeholders. Door meerdere negatieve gebeurtenissen wereldwijd zijn veel bedrijven hun kijk op risico’s beginnen veranderen; velen zijn dan ook meer aandacht beginnen besteden aan het beheer van risico’s. Deze studie onderzoekt welke rol de raden van bestuur hebben in dit risicobeheer. Doormiddel van diepte interviews met 8 verschillende raden van bestuur van Belgische bedrijven heb ik een beeld kunnen schetsen over deze rol. De eerste belangrijke vaststelling is dat de raad van bestuur een heel kritische houding aanneemt bij het bekijken van de risico’s van hun bedrijf. Ze bekijken minstens één maal per jaar grondig de rapporten die verkregen worden omtrent risico’s, om zo strategische beslissingen te nemen wat betreft de risico’s en het beheer ervan. Een tweede vaststelling is de noodzakelijke ondersteuningsrol van het audit committee voor de raad van bestuur. Door de risico’s heel expliciet te bestuderen, kunnen ze heel gestructureerde en duidelijke rapporten geven over de risico’s aan de raad van bestuur. Als laatste kan er geconcludeerd worden dat risicobeheer niet echt een rol op zich is, maar eerder verweven zit tussen de andere strategische rollen en de toezichtrol van de raad van bestuur. 1
1. Introduction I have been interested in the governing bodies of a company for quite some time, such as the board of directors and how it is active within a company. When Prof. Dr. Gerrit Sarens gave me the opportunity to write my thesis on this subject, I did not doubt for a second. Performing a more qualitative study also really appealed to me, especially since I would be able to play a very active role. Therefore, the possibility to interview interesting people with loads of experience in various sectors seemed like an excellent opportunity. At first, I did not know a lot about risk management in general, therefore it seemed like an excellent move to learn more about this subject. Risk management is a very broad concept. It is used by professionals in their business lives, but also by the average man on the street, e.g. to assess the traffic danger when crossing the street. In this master thesis I will be focussing on the risk management that is applied within companies, and especially at the role the board plays in it. The thesis starts by giving a short explanation about the specific roles of the board within a Belgian company. Thereafter, I will be explaining what the risk management of a company exactly entails. There I look at what value it has for a company, what the most important factors are for the implementation of a RM system and at some misconceptions about risk management. I then will look at the most used framework that guides companies with the implementation of a more active risk management. To complete the literature study, I will be discussing some studies and recommendations that have been made surrounding the involvement of the board in risk management. Although there is already a lot of literature about risk management available, there has never been a study performed on the risk management role of the board. This thesis does conduct such a study. Through performing a qualitative study, based on in-depth interviews with board members, I tried to create a view on the risk management role of the board for a couple of prominent Belgian companies. By analysing the information obtained from these interviews in a bi-directional way, I was able to make a couple of interesting conclusions.
2
2. The role of the board of directors In a unitary board model1, which is the most common board model influenced by the AngloSaxon way of corporate governance, the board of directors’ function is twofold. Firstly, the board plays a strategic role, which sets the tone on how the organisation should be run. Secondly, the board plays a monitoring role that guarantees efficient supervision and oversight of the organisation. In order to fulfil this guardian role properly, the board of directors consists of executive & non-executive directors, who work together and are able to show independent judgment and objectivity in their decision-making (Commisie Corporate Governance, 2009). The strategic role of the board mainly covers taking important decisions on strategic matters. The board for instance decides upon which values the company holds dear, which strategy to use, the risk appetite and the main business goals (Brown, Steen, & Foreman, 2009). Being the highest authority in a company, the board also decides on the structure of the executive management and names the CEO of the company. Another very important role carried out by the board is defining the dividend policy (Commisie Corporate Governance, 2009). Besides the strategic role of the board, it also has a very important monitoring role within the company. The directors judge the performance of the executive management and their achievements concerning the strategy of the company (Van den Berghe & Baelden, 2005). Furthermore, they describe the most important characteristics of the internal control and risk management systems of the company. These are made transparent and public through their declaration of Corporate Governance. When the executive management drafts a framework for internal control and risk management, it is also the task of the board of directors to reject, correct or agree with the proposal (Commisie Corporate Governance, 2009). A last important monitoring role that has got a lot of attention after the financial crisis of 2009, is taking the necessary precautions to guarantee the integrity and the publishing in a timely manner of the annual financial statements and non-financial information to the shareholders.
1
A unitary board model is a model, where both executive and non-executive directors make decisions as a unified group.
3
3. Enterprise risk management 3.1. What is enterprise risk management? Definition: “Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of the entity’s objectives” (COSO, 2004). This is a very broad definition given by the COSO2, defining ERM as an ongoing dynamic process, which is necessary to set a certain strategy for the enterprise. This strategy should be implemented throughout the whole enterprise, enabling management to effectively deal with risks, uncertainties and opportunities in order to maximize the value of the company (COSO, 2004). In order for the company to obtain its objectives, the company needs to protect itself in the correct way against risks. ERM is more than just monitoring annual reports because reports are only a posterior aid (Harrison & Raimo, 2011). It is about detecting risks in their early stages, preventing that those risks would ever occur. This way unwanted or catastrophic situations can be avoided. Risk management has definitely changed over the years. A few decades ago, risk management was mostly limited to eliminating a firm’s financial risk (Quinn, 2009). The company appointed a specific risk manager whose sole task was to buy insurance and hedge the company’s interest rates and foreign exchange exposures. In contrast to these early days of risk management, it is no longer the responsibility of one single person (Harvey, 2008). Different people share the responsibility of enterprise risk management, as there are the CEO, the board of directors, the audit committee, the chief risk officer, senior management and internal audit.
2
The COSO is an organisation that guides companies into have a good risk management. It publishes useful
papers and also created an ERM guidance framework. The COSO is further explained in chapter 2.4.1
4
Moreover, nowadays risk management covers more than just financial risks. It looks at the operational risk, reputational risks and also at strategic risks (Nocco & Stulz, 2006). Another notable change in risk management is how risk management is conducted. Risks used to be managed on a largely compartmentalized en decentralised basis, where individual risk categories were separately managed in “Risk Silos” (Liebenberg & Hoyt, 2011). Today, when entering a new ERM like era, companies are managing a wide array of risks in a more integrated and enterprise-wide approach, within a coordinated and strategic framework.
3.2. The value of enterprise risk management Throughout the past decade, it is clear that risk management has become an essential part of doing business in our global economy, but where does the actual value of ERM lie for a company? Several academic researchers have been looking into what kind of advantages ERM has for a firm. Brian Nocco and René Stulz (2006) for example, see a potential value gain on a company-wide level. On this company-wide level, ERM creates a value for the firm by enabling senior management to quantify and manage a risk return trade-off that faces the entire company (Nocco & Stulz, 2006). Through this approach, ERM aids the firm in accessing capital markets and other essential resources by implementing ERM in its strategy and business plan. Nocco & Stulz (2006) believe that ERM becomes a “lifestyle” for managers and employees throughout the whole company. Within this company culture, not only top management handles the decision-making concerning the risk return trade-off. Other employees and business managers also get involved in these decisions. The reason why these other individuals should also be incorporated in the decision-making process is obvious. Those who are closest to those risks generally are in the best position to know how the firm should be protecting it against those risks. This view was also addressed by an earlier study (Meulbroek, 2002), which states that firms that engage in ERM should be able to better understand the aggregate risk inherent in different business activities. By applying ERM the company is provided with a more objective basis for resource allocation, which could improve capital efficiency (Harvey, 2008). Another positive point about ERM is that the information about a company’s risk profile will improve and becomes more transparent towards outsiders. This will strengthen the confidence of investors in the management’s ability of carrying out the firm’s strategy (Fraser & Simkins, 5
2007). Because of the more transparent overview of the enterprise and the higher assurance for the investors, ERM is likely to reduce the expected cost of external capital, which creates significant value for the enterprise. Additionally, major rating agencies are now also taking the implementation of an ERM process into account when calculating an organization’s credit rating (The Conference Board, 2006). This will also lower the cost of capital when a better rating is obtained and directly improves the company’s value. For example, Standard & Poors has started taking ERM into account for financial companies since 2004 (mainly insurance companies). It lasted until 2007-2008 for Standard & Poors to start looking at ERM in non-financial companies as well (NCSU, 2012). Hoyt & Liebenberg (2003) also did a study in 2002 on Insurance companies. They drew the conclusion that there is a statistically significant positive relationship between firm value and the implementation of an ERM model. When quickly summarizing the different value gainers discovered in earlier studies, we can state that ERM helps reducing unwanted surprises and operational losses thanks to identifying potential events and responding in the correct way. ERM helps the firm to get access to certain capital markets thanks to more transparency together with a more optimal resource allocation. Due to the higher transparency, organizations are also able to get funds at lower capital costs. This transparency is not only created through the ERM itself, but also thanks to credit rating firms who are taking ERM into account in their calculations. Looking at all these different viewpoints of value for ERM, we can say that there is definitely value in ERM and that it is not just the newest hype in which a company should engage in order to be successful. Nevertheless, the fact that we can sum up decent value-adders for a company does not mean that every organization is currently implementing an ERM system. A lot of companies have not yet discovered the long-term value of ERM (Protiviti, 2006). Before implementing something new like ERM, companies want to see real facts and figures. Companies do not always reason by just summarizing all the advantages of ERM, they want to see the overall upside of ERM when having taken everything into account. That is probably the reason why the implementation of ERM is going so slow for non-financial companies
6
3.3. Implementing enterprise risk management Conceptually, ERM looks fairly straightforward, but in reality the implementation of an ERM system is not as easy as it seems on paper (Protiviti, 2006). For a company to implement an ERM system successfully, it is crucial for everyone within the company to understand how it works and how it adds value to the company (Nocco & Stulz, 2006). This is arguably the most difficult part: getting everybody in line to put effort into ERM. Also notable is that companies often see the implementation the wrong way; it is ERM that should adapt itself to the company and not the other way around (Dryer, 2012). This misconception is probably the reason why up until now there have not been nearly as much implementations of ERM around the globe as initially expected. As previously mentioned, ERM now is not the risk management as it was back in the 90’s. It should be done in a well-coordinated and strategic framework in order to benefit from it. Nowadays already several frameworks exist for implementing ERM in an enterprise. This matter will be discussed in chapter 2.3. Since the start of ERM around the beginning of 2000, there have been a couple of studies that conducted research on which factors are key for the implementation of ERM in an enterprise. Beasley, Clune & Hermanson (2005) wrote a paper on certain factors that are associated with the implementation of an ERM model in a company based on a study3 they performed. According to this paper, there is a positive association between the presence of a chief risk officer in a company and the possible deployment of an ERM model. This factor has also been studied earlier by Liebenberg & Hoyt4 (2003) who stated back in 2003 that there was no statistical significance between the use of ERM and the application of a CRO. Back in 2003, ERM was a fairly new concept. Since then, the previous mentioned factor has gotten much more important. Closely related to this is the attitude at the head of a company towards an ERM system. The view of the board of directors and senior management is very important for the implementation of an ERM model. What is the role of the board in the ERM process and does the board have a certain influence on the implementation of it? These two questions will be at the core of my research.
3
They performed a study on 123 audit executives from different organizations. Nothing was mentioned about the size or the sector of the organizations that were used for the study. 4 The study was performed on 33 U.S firms found through; Lexis-Nexis, Dow Jones, and PR Newswire.
7
According to the paper of Beasley, Clune & Hermanson (2005), there is also a positive association with the independence of the board of directors and the extent of ERM deployment. Other positive correlations with ERM deployment are; the size of the internal control budget, the specific auditor of the firm5 and the size and industry of the company. Another point that should be highlighted is that there are several misconceptions about ERM. This also helps to clarify why it has taken a while for ERM to be up and running. Fraser & Simkins (2007) did a study 6 on certain misconceptions/challenges about ERM and risk management. The four most striking conclusions of the research are listed as follows. Firstly, organizations that claim to have implemented ERM still keep continuing to manage major risks in a decentralized manner, individually of one another. This does not necessarily mean that the risks are not well managed, but often managers cannot assess the consequences of certain risks on the total risks exposure of the company. By applying a more holistic approach, a misallocation of resources between risks could be prevented. Secondly, a lot of companies see ERM as a separate, mainly independent departmental process, whereas it should be a major management initiative at the highest levels of an enterprise and a critical part of overall planning. Thirdly, when starting to implement ERM, many companies fail to identify the difference between small and big risks. They often think all risks are equally important, while in reality they are not. Due to this, the resources allocated to the problem could be disproportionate to the size of the problem. Fourthly, organizations also believe that ERM has no visible effect on the value of the firm (Fraser & Simkins, 2007). I mentioned before that the value is gained through obtaining a better credit rating, reducing the company’s cost of capital and other factors that directly increase the firm’s value. In line with the paper of Fraser & Simkins is the study of Protiviti (2010) on board risk oversight. More than 200 board members responded to a survey in which they were asked what the most pressing obstacles are that inhibit the risk oversight process. This study showed that independent board members claimed that the most important reason for not having a risk management system was that there were more pressing needs for the organization than implementing a fully functioning ERM process. Other reasons for not having a risk
5
Whether or not the auditor is one of the Big 4 (Deloitte, PwC, EY & KPMG) The misconceptions were made upon interviews they did with several executives and by attending conferences on ERM during a period of 5 years. 6
8
management system in place were not seeing value in pursuing an ERM process, the lack of understanding/acceptance of ERM by the board and the lack of clarity around or inability to agree on the entity’s risk philosophy. So as previously mentioned, ERM is clearly not a process you just leap into. The company needs to ponder on the right approach and everything needs to happen under the right conditions.
3.4. Current state of ERM Up until now there has been a lot of improvement with the implementation of ERM. A recent study published by Beasley, Branson & Hancock (2012) based on a survey performed on 618 executives7 showed that nowadays, almost one in four companies claims to have a complete ERM process in place. Nevertheless, it has to be said that there is a difference in size and sector of the companies when comparing the implementation of an ERM. The study showed that large companies, publicly traded companies and financial service companies are often more advanced in their risk oversight processes compared to others. These findings were also confirmed in a study done by Protiviti (Current state of enterprise risk management, 2010).
Figure 1: Evolution of ERM processes that are in place in organizations, Source: (Beasley, Branson, & Hancock, Current State of Enterprise Risk Oversight, 2012)
One in four companies does not seem much, but by looking at Figure 1, we can clearly see there was a big increase between 2009 and 2012 of ERM processes. This growth could be increasing at an even higher pace nowadays. Besides the fact that there has been a big increase, there are also a lot of organizations that still do not have any sort of ERM in place. According to the survey, nearly 40 % of the questioned organizations still do not have an ERM in place, which indicates that there is still a lot of room for improvement.
7
Most of these executives served in financial roles and represented a variety of industries and firm sizes
9
Another positive note is that more companies are designating an individual to serve as Chief Risk Officer and that there is also an increase in the use of internal risk committees (Protiviti, 2010). A negative point the researchers discovered throughout the yearly surveys was that many organizations’ approach towards risk oversight continues to be fairly ad hoc and informal. A lot of those companies also stated that they have little need for more strengthened ways to track and monitor key risk exposures (Beasley, Branson, & Hancock, 2012).
10
4. Enterprise risk management framework Implementing an ERM system in an organization is not something that is done quickly and without effort. As mentioned earlier, an ERM process should be done in a well-coordinated and strategic framework in order to get the most value out of it. Today, there are several ERM frameworks available on which a company can base its ERM: The COSO’s Enterprise Risk Management Integrated Framework, ISO 31000 Risk Management, BS 31100 Code of Practice for Risk Management, FERMA a Risk Management Standard, OCEG Red Book 2.0 and a few others (DeLoach, 2012). I will mainly focus on the COSO ERM integrated Framework, because it is the most used framework around the globe as shown in Figure 2 below.
Figure 2: Most used frameworks for ERM guidance (based on a survey with 460 respondents), source: (Beasley, Branson, & Hancock, COSO 2010 Report on ERM, 2010)
11
5. The COSO and its framework 5.1. What is the COSO The Committee of Sponsoring Organizations of the Treadway Commission (COSO) is a joint initiative of five large American accounting associations formed in 1985 to sponsor the National Commission on Fraudulent Financial Reporting 8 (SOX-Online, 2013). It is an organisation that wants to help companies in improving the level of their risk management, it does this by providing useful papers and through the ERM framework they have created (COSO, 2013). In 2001, the COSO initiated a project, together with PWC, to develop a framework that would be ready to use by managements to evaluate and improve their organization’s enterprise risk management. In 2004 COSO published their Enterprise Risk Management - Integrated Framework (COSO, 2004). COSO believes this framework expands on internal control, providing a more robust and extensive focus on the broader subject of enterprise risk management.
5.2. COSO: ERM-integrated framework According to the COSO, ERM’s key purpose is to make sure every entity in a company provides value for its stakeholders. This value is maximized both by setting a certain management strategy and by allocating the right resources in the most efficient and effective way as possible to achieve the pre-set objectives. (COSO, 2004) The key competences of ERM for an enterprise are defined by the COSO as follows: 1. Aligning risk appetite and strategy by setting related objectives. 2. Enhancing risk response decisions by being able to select between different risk responses (Risk-avoidance, -reduction, -sharing & -acceptance).
8
Is an independent private-sector initiate that studies potential triggers for fraudulent financial reporting and
also gives recommendations to various organisations.
12
3. Reducing operational surprises and losses thanks to identifying potential events and responding in the correct way. 4. Identifying and managing multiple and cross-enterprise risks due to ERM, which facilitates effective response to the interrelated impacts. 5. Seizing opportunities since these are also amongst potential events. 6. Improving the deployment of capital, in order to allocate the demanded resources in the most effective way. COSO believes that there is a direct relationship between the objectives that an enterprise wants to achieve and the enterprise risk management components that are needed to obtain those objectives. That is why COSO sees its framework as a three-dimensional matrix as illustrated in Figure 3, with as first dimension, the objectives the enterprise wants to achieve, as second dimension, the different components that are needed to obtain these objectives and as third dimension the different entities of an organization where the components have to be used to achieve the defined objectives.
Figure 3: COSO's cubical framework, source: (COSO, 2004)
Following, I will explain these three dimensions more in depth.
13
5.2.1. Dimension 1: The achievement of objectives The ERM framework of the COSO is focused on achieving a company’s objectives that are aligned with its vision. These objectives are set in four different categories: •
Strategic: these are the high-level goals set by the top management of the organization and are transferred to all company levels.
•
Operations: concerns the effective and efficient use of all of the company’s resources that have to be allocated.
•
Reporting: refers to the reliability of reporting of all risks and other potential events.
•
Compliance: all the set objectives and components have to comply with the laws and the regulations.
The reporting and compliance objectives are within an entity’s control and with ERM these objectives should be achievable. The strategic and operational objectives are not as controllable as the aforementioned, because they are often influenced by external events. ERM can thus offer reasonable assurance for obtaining these objectives. Therefore, the oversight organs of the organization should be made aware from time to time if everything is going according to plan (COSO, 2004).
5.2.2. Dimension 2: The components of ERM According to the COSO, enterprise risk management consists of eight interrelated key components to achieve the objectives set by management: ! Internal environment: this component tries to set the tone of how risks are viewed by the entire organization and how the people of the organization experience this risk culture. It gives guidance to the entity’s people because it creates a certain context in which risks should be evaluated. This contains the risk appetite, the values and the environment in which the enterprise operates. ! Objective setting: before potential events can be identified, we need to set out the objectives that could be affected by those events. ERM makes sure that these objectives 14
are set in line with the enterprise’s vision and the level of risk the management is willing to take according to the risk appetite and risk tolerance. ! Event Identification: internal and external events both have a certain impact on the organization’s objectives. Those objectives can be looked at in two different ways. They can either have a positive impact on an organization and are then seen as an opportunity that should be seized or they can have a negative impact and are interpreted as a risk. This identification is necessary to make sure that each event can be managed in its appropriate way. ! Risk Assessment: allows the organization to assess which risks will have an impact on the organization’s objectives. The risks are analysed in two ways, taking into account their likelihood of occurring and their potential impact on the organization. This way, the organization can determine how they should respond to a certain risk. ! Risk Response: there are different ways of responding to risks namely avoiding, accepting, reducing or sharing risks. In each of these, management will take into account the risk tolerance and risk appetite of the enterprise when formulating a proper risk response. !
Control Activities: the control activities are the policies and procedures that give management the proper feedback on the performed responses. This way management makes sure that the risk responses have been carried out in the most effective way possible. ! Information & Communication: in a risk aware organization, every person needs to have access to the relevant information concerning risks and opportunities so they can adequately perform their responsibilities. This information is identified and captured on all levels of the firm and communicated towards the employees in a clear way. ! Monitoring: is done to analyse the effectiveness of the process in order to see if ERM is performing as expected. The performance can be measured by setting certain standards on specific key components of the company. 15
5.2.3. Dimension 3: The different entity layers where ERM is set upon The eight components cannot be looked at individually, as previously mentioned these are all interrelated. ERM happens on all the layers of an organization, not just by creating new policies with a straight top-down character. These components are thus used on all the entity’s levels, going from a subsidiary, a business unit, and an entire division all the way to the board (COSO, 2004).
16
6. The role of the board in ERM A company’s board of directors plays a critical role in overseeing an enterprise risk management process (ERM Initiative, 2014). Since management has to answer to the board of directors, the board’s focus on effective risk oversight is critical to setting the tone and culture towards effective risk management. In order to obtain an effective ERM system, the board has to set a certain strategy, formulate the high level objectives, and approve broad-based resource allocations.
6.1. COSO’s view on the role of the board Within COSO’s Integrated Framework, COSO suggests four areas that are important for the board with regard to the implementation and execution of enterprise risk management (COSO, 2009). First of all, the board has to understand the company’s risk philosophy, which has to correspond with the company’s risk appetite. The risk appetite is the amount of risk, which a company is willing to accept in pursuit of stakeholder value (KPMG, 2008). Second, the board has to know to which extent management has established effective enterprise risk management. Boards should be informed by its management about the existing risk management processes and order management to demonstrate the effectiveness of those processes in identifying, assessing, and managing the most significant risks. A third suggestion is that the board has to monitor the organization’s portfolio of risks and consider it against its risk appetite. It should also understand and assess an organization’s strategies with all its possible risk exposures, this was also found important by McKinsey (2010). And last, the board has to be informed of the most significant risks and whether management responds appropriately. Risks are evolving and the need for solid information is high. Therefore, regular reporting by management to boards is critical to effective board oversight of key risk exposures. In reality, boards of directors often use board committees to carry out certain of their risk oversight duties. Frequently used committees are audit committees and governance committees, each focusing on elements of ERM. That way, the board can focus on strategic 17
risk issues while the relevant committees can address risk oversight in the other areas. A study done by Protiviti (2010) states that in more than 90% of the organizations, there is an audit committee involved in the risk oversight of the company. In this regard, Yatim (2010) states that the implementation of an audit committee is more common in companies with a well-structured board, in which the responsibilities and tasks are clearly defined. This is opinion is shared by Daud, Haron, & Ibrahim (2011), who claim that a positive correlation exists between the quality of the board of directors and the level of ERM adoption.
6.2. Studies on the role of the board in ERM Protiviti (2010), a “risk and internal audit services” consulting firm released a report on “board risk oversight” for which it was commissioned by the COSO. The report focussed on the risk oversight responsibilities of the board and how those responsibilities are performed. To obtain the information, Protiviti did a survey on more than 200 current and past board members from a broad range of industry9 and organization sizes. The one half were U.S. domestic and operational organizations, the other half were internationally operational and U.S. domestic or internationally operational and based organizations. The overall consensus of the report is that many board members believe that their risk oversight process operates effectively, whereas their monitoring is done in a more ad hoc manner instead of a mature, robust and repeatable kind of process. The survey emphasized some critical points of the risk oversight responsibilities. First of all, the survey shows that only a small part of the organizations find that their risk appetite level is actively used to discuss whether a certain risk should be taken or not. This suggests that boards and their organizations can benefit from a more defined and rigorous process. There should be a clearer dialogue between the risk appetite and its connection to strategic planning and the executive management (COSO, 2009). A second remarkable point is the lack of risk reporting to the board. We will discuss this matter further in chapter 7. Protiviti’s study states that the some boards do not receive certain information reports at least once a year. These reports consist of a summary of the most significant gaps in capabilities for managing key risks and the status of initiatives to address those gaps, a summary with the exceptions to management’s established policies or limits for key risks and finally a scenario analyses with 9
The Industries used were: Financial services, Not-for-profit, Consumer products and services, Healthcare and
life science, Technology media and communications, Industrial products, Energy, Multi-Industry, Government.
18
the impact of changes in key external variables impacting the organization. These reports are not received on a regular basis. Consequently there is still some room for improvement concerning the regularity of reporting to fit the desired organization’s risk profile and the board’s specific needs (Protiviti, 2010). Also notable is that nearly two-thirds of the respondents noted that board monitoring of the organizations risk’s management processes is not done at all or is done at hoc. It has to be mentioned that these figures do not account for all organizations. Both the size of the company and whether they are public or private plays a large role in the state of risk oversight. Closely related to the risk oversight of the board is the self-evaluation of this risk oversight process. The survey reveals that a large part of the respondents do not self-evaluate their risk oversight process and for those who do, the majority does this in a more ad hoc manner. So it is clear that there is also room for improvement on this matter (Protiviti, 2010). Beasley, Branson & Hancock (2012) also did a study that shows some interesting facts about the risk management role of the board. In 2012, they released their most recent report on the current state of ERM. The report was based on a survey that was responded by 618 executives who represent a variety of industry and company sizes. The first interesting point is the use of committees in the risk management oversight; the study indicates that less than 50% of all boards have formally assigned risk oversight responsibilities to a board committee, mostly to the audit committee of a company. This is less than the earlier study Protiviti (2010) had performed. Appointing an audit committee for risk oversight is noticeably more common for the larger companies, public companies and financial services organizations. The second point is whether the board of directors reviews and discusses the top risk exposures facing the organization. The study shows that only 58.8% of the sample does this on a formal basis. Again, it has to be noticed that this number is higher for larger organizations and public companies as shown below in Figure 4.
Figure 4: The percentage of board of directors who discuss top risk exposures, source: (Beasley, Branson, & Hancock, Current State of Enterprise Risk Oversight, 2012)
19
7. Risk reporting to the board When looking at the risk management of a company, it is not only crucial to look at the role of the board in this matter, but also at the information the board receives and how it perceives the information in order to perform its function. Not a lot of academic studies have been done on this particular part of risk reporting. Risk-information reporting is still in an early stage. Nonetheless, there are already a few studies that give a fairly good image on the current information that is reported. The previously mentioned study by Beasley, Branson & Hancock (2012) for example also looked at the reporting to the board of directors. In Figure 5 below, the evolution of the formal reports on top risk exposures to the board of directors is represented. There has been a substantial increase between 2009 and 2012: the percentage of reports almost doubled to 50%. This indicates that companies are making progress with the risk reporting. Nevertheless, there are still a lot of boards of directors who do not receive the necessary information reports to perform their risk oversight responsibilities effectively. This was previously touched upon in chapter 6.2, where Protiviti’s study on the boards’ risk oversight responsibilities was mentioned. In their study from 2010, Protiviti noticed that in many organizations, certain risk reports were not being received annually. Figure 5 shows that there has been an increase compared to 2010, but there is still a lot of room for improvement.
Figure 5: Graph showing the evolution in risk reporting to the board, Source: (Beasley, Branson, & Hancock, Current State of Enterprise Risk Oversight, 2012)
20
Ballou, Heitgher & Stoel (2011) conducted a study on how boards of directors perceive the risk management information they receive in order to execute their risk oversight responsibilities. The study was based on a survey they did on 125 respondents, who all were directors of publicly traded companies representing different business sizes and a variety of industries. The survey was mainly based on the four components that the COSO suggests to boards of directors for their risk oversight responsibilities as explained in chapter 6.1. The results of the survey show some interesting facts about how the risk management information affects the risk oversight function of the board. Concerning the first component of discussing the risk philosophy and appetite of the firm (COSO, 2009), Ballou, Heitgher & Stoel found that more than two-thirds of the respondents stated that the board and management formally discussed which risk information the board should receive. Thus, on the one hand the board takes initiative on which reports it has to receive in order to fulfil the company’s oversight responsibilities. On the other hand, they found that only a small percentage of management has developed and shared a formal risk appetite statement with their board. This can of course lead to miscommunication with various parties on the level of acceptable risks. Without defined risk appetites, organizations have to continue to examine each risk individually, instead of analysing them in an enterprisewide view by using a risk portfolio approach (Ballou, Heitger, & Stoel, 2011). The second component is the understanding of the risk management practices in the organization (COSO, 2009). When looking at which information the board receives about the risk management process, the report shows that only 30% of all respondents receive information on all three of the following processes: the risk identification, the risk likelihood & impact estimation and the prioritization of risks. This clearly shows that boards receive limited information about the processes, which obstructs the board in understanding the risk management effectively (Ballou, Heitger, & Stoel, 2011). The third component is about reviewing the portfolio of risks and taking the risk appetite into account (COSO, 2009). It is important for an organization to examine the risks in relation to each other, in order to estimate whether resources have been allocated in the most efficient way. The report reveals that on this matter, only 34% of the respondents fully integrate risk information across all the companies’ risks.
21
The fourth and final component is that the board should be informed of the most significant risks exposed to the organization (COSO, 2009). Concrete information such as the likelihood of a certain risk and the potential impact it can have, is necessary for boards in order to perform an effective risk oversight. The report shows that almost all the respondents receive a proper description about all potential risks of the organization, but exact measurements like the estimates of the potential impact and likelihoods of these risks are significantly less received by the board10. On this matter, it is rather unclear how boards can understand the appropriateness of their risk responses without understanding the possible impact on their company. Maybe there is a lack of understanding or some companies might not be aware of what “they do not know” and just try to manage the risks the best way they can. Also notable is the fact that risk impact information is often too focused on short-term financial results instead of taking the impact on potential business drivers and the long-term corporate strategy into account (Ballou, Heitger, & Stoel, 2011). A final interesting fact is that risk information is often focused more internally instead of looking at the risks that the industry and their competitors are exposed to. In that way an organization could use these external responses as a benchmark and prevent potential risks for the future (The Conference Board, 2006). Slagmulder & Boicova (2012) also published a research report on the risk reporting to the board of directors. The study specifically focussed on integrating risk into performance by both focusing on the reporting of risk information on an enterprise-wide view and by linking risks with multiple performance indicators. A first key finding of their study was that there has been an increased awareness of the importance of taking risks into account in their decisions, mainly due to the greater overall attention towards risks and the formalization of the reporting. A second interesting fact is that risks are looked at in a positive (opportunity) and negative (threat) way; this could enhance the strategic decisions taken by the company. The most important observation they found is that companies perform “separate risk reporting” to the board, as well as “integrated reporting”, which links risks with performance and strategy. This integrated way of reporting provides information in a much broader context; it is linked with information on performance, strategy and operations, which gives us a clearer picture of the risk’s effect on the company. Separate risk reporting focuses more on the individual risk aspects of the business itself, it is an essential part of risk oversight but has the tendency to be more compliance driven (Slagmulder & Boicova, 2012).
10
For the different types of information reports that are received by the board, see attachment 1
22
8. Empirical Study 8.1. Research Question “What is the risk management role of the board of directors in Belgian companies?”
8.2. Goal of the study The main goal for my research is to see what role boards of directors of Belgian companies play in the risk management of their organization. First of all, I want to investigate what kind of role the board plays in the actual implementation of a RM system; whether they take an initiative role or a more acknowledging one. The second goal is to see what their current knowledge is about the risks their enterprise face and about the risk management that their company applies. The third goal is to get an idea of the information the board receives on the risks of the company and on how the company takes measures to prevent those risks. The last and main goal is to see what the actual role of the board is in the risk management of the firm. In my research I will look at what their role is nowadays, but also what it used to be. The study is not performed on a quantitative manner, but on a qualitative basis. Therefore I hope to not only get a clear answer on the goals I have set, but also see what kind of mind-set the Belgian board members have about risks, in order to see what they believe risk management should be all about.
8.3. Target Group For the qualitative research that I conducted, I chose to gather my info through in-depth interviews. I preferred this approach to doing a survey because the interviewees could give me more elaborate answers. Because the interviewees could explain their answers of different aspects of risk management, I could obtain specific information, which would otherwise stay unnoticed. For my target group, I focussed on board members of companies who already have some internal control & risk management system in place, preferable a more advanced enterprise risk management process. Throughout the literature study it became clear that mostly the bigger firms, firms in financial services and publicly quoted firms are more advanced in their risk management oversight compared to others.
23
For this study, I will not look into financial service firms because they are already the most regulated firms due to the nature of their activities. These companies are obliged to have advanced risk management processes and procedures because of their products and due to the financial crisis of 2008-2009 regulations have increased significantly. In my research I only focussed on non-financial companies, due to the fact that financial companies are more an outlier as an industry and are not representable for the global risk management. In the search of non-financial organizations that have a more advanced risk management process I focused on larger public traded firms from all kinds of industries. Public traded companies are obliged to publish the state of their risk management and how they actually conduct risk management in their annual report. This way I could easily see which organizations were potential interviewees for my research. The private companies were not totally taken out of the equation. Private companies are also interesting to look at, but you cannot really know in advance what kind of risk management system they have, since they are not obliged to publish an elaborate annual report. Therefore I only targeted the biggest private companies, who were most likely to have a RM system in place, as shown in a study of Beasley, Branson & Hanson (2012).
8.4. Potential organizations As mentioned above, for the empirical study I first made a shortlist of big public or private Belgian companies. The public companies had to be traded on one of the three Belgian stock indexes: Bel20, BelMid and the BelSmall which are all part of the Euronext Brussels. These three indexes combined held 86 public traded companies who were potential interviewees. In order to see which companies fitted the criteria I went through their annual reports. The first criteria is, being big enough, for this I looked at the revenues (> €250 million) and/or the profits (> €50 million) of the companies and also at the total assets when taking real estate companies into account. The second and most important criteria, is whether they have some sort of risk management system in place. The more advanced the risk management systems are, the more this could possibly benefit the study. For private companies I searched in the Trends Top5000 database to find potential interviewees. The only criterion for the private companies is, similarly to the public companies, that they have to be big enough (revenue > €250 million). The second criteria of the public companies cannot be applied for the private companies, as this information is not 24
available on their annual report. As mentioned before, the bigger the companies are, the more likely they will have a risk management system in place. This rule of thumb will be used to choose the private companies.
8.5. Interview selection Based on the specific lists of companies and the criteria on which I screened those companies, I created a short list from which I wanted to try to conduct as many interviews as possible. Out of the 86 publicly traded companies, I excluded all the financial service companies (banks, insurance companies, etc.). By doing this, I could focus solely on the non-financial companies. After excluding the financial service companies and doing a thorough screening of the rest of the list, there were still 22 large public companies that could serve as potential interviewees. These 22 public companies represent different kind of industries; retail, brewing/beverages, manufacturing in chemicals/petro-chemicals/display-technology, courier services, film distribution, real estate, metallurgy, food processing, electric utilities, holding companies, media, textiles and agro-industry. This heterogeneous list of companies serves as an excellent basis to find out whether there is a difference between those industries in terms of risk management. For the private companies, I found 3 big companies who fitted the profile for potential interviewees. These companies were also located in different types of industries namely construction, media and food. Together, the private and public companies resulted in a short list of 25 Belgian companies. Out of these 25 companies I tried to gather as much information from their board of directors concerning their risk management role in the company.
8.6. Interview approach 8.6.1. Questions and interview methodology Since I did my research on Belgian companies, the interviews were therefore conducted in Dutch. The first reason being that the majority of the board members of the Belgian companies are native Dutch speakers. Second, they would probably feel more at ease when taking an interview in Dutch and therefore would probably express themselves in a much clearer and more structured way. The questions I asked are set up in a way that all goals of the study were covered for each company. The questions of the interview were open questions. With this approach the interviewees would give more elaborate answers on the topics.
25
In the interview I also included some questions that focused more on the opinion of the interviewee. This part is more subjective compared to the other questions but nonetheless crucial for the study. The list of interview questions is shown in attachment 2. Although this was a preset list of questions, the advantage of performing an in-depth interview is that I could always reflect on what the interviewee was telling. If the interviewee mentioned something new or noticeable, I asked him to elaborate further on that matter. The interviews itself took around an average of 30 to 40 minutes, depending on how much or how little the interviewee could tell me about the subject.
8.6.2. Arranging and conducting interviews Getting in contact with directors was one of the challenges of the empirical study. Through personal contacts and via intermediaries I got in contact with 16 companies of the list. When searching for a board member to interview, I tried to get hold of directors who are also members of the audit committee, since those members are probably the most involved with the RM. Out of these 16 companies, I was able to fit in 8 interviews. A plus is that all the companies are active in different industries, this way I won’t get a biased view of the Belgian companies’ risk management. Each interview is completely written down in a transcription, which can be found in attachment 3 through 10. These transcriptions served as the basis for my analysis, out of respect for these companies and in order to assure their anonymity, the names of these companies will not be disclosed. Letters, ranging from A to H, therefore replaces their names. I analysed the information in two ways, a within-case analysis for analysing the firm individually and a cross-case analysis for doing an inter-case analysis on the same matters. In Table 1 below, you can see the full list of companies I interviewed and the position of the person I interviewed within the company. Company
Industry
Revenue/(Assets)
Interviewee
Member of AC?
A
Real estate
€1,27 Billion (A)
Executive director
No
B
Film industry
€245 Million
Non-exec director
No
C
Food processing
€407 Million
Executive director
Yes
D
Metal refining
€9,82 Billion
Non-exec director
Yes
E
Textile
€323 Million
Non-exec director
Yes (CM)
F
Retail
€21,2 Billion
Non-exec director
Yes
G
Telecom
€1,64 Billion
Non-exec director
Yes (CM)
H
Construction
€2,123 Billion
Non-exec director
Yes
Table 1: List of interviewed companies
26
9. Analysis 9.1. Analysis Technique I performed a qualitative data analysis based on a case/topic matrix. In the books Qualitative Data Analysis (1984) and The qualitative researcher's companion (2002) by Miles & Huberman, the authors explain several ways to analyse qualitative data and the most fitting technique for my data was applying a within case and a cross case analysis on the case/topic matrix. The type of matrix I used is shown below in Table 2, with the rows representing the different topics I wanted to investigate and the columns representing all the different cases/companies I have investigated. The matrix is filled with quotes and facts about the specific topics of a specific company (these can be found back in the transcriptions of the interviews). For the within case analysis I only looked at the columns individually and for the cross case analysis I only looked at the rows. The filled-out matrix that is used for the study can be found in Attachment 11 Company/Topic
Company A
Company B
Company C
Company D
…
Topic 1 Topic 2 … Table 2: Case/Topic Matrix
9.2. Within Case Analysis The within case analysis is performed by looking at the cases individually. First I will start by giving a brief description of each company and why it was chosen for the study. Secondly, I described the 11 topics I wanted to investigate applied on each company individually. The topics are: the start of active risk management within the company, the ERM system in the organisation, the risk management leader and entity within the organisation, the awareness of risks within the board, the role of the board with the implementation of a RM system, the RM role of the board, the RM role of the audit committee, the risk reporting to the board, improvements on the reporting or on the RM system and their vision on RM and on the evolution of RM.
27
9.2.1. Company A Company description Company A is a Belgian publicly traded company that is active in the real estate industry. It is noted on the Euronext Brussels BelMid stock index and benefits from the fiscal REIT (Real Estate Investment Trust) status in Belgium (Bevak/Sicafi), in France (SIIC) and in the Netherlands (FBI). The company is still a partially family owned company; 27% of the stocks are still owned by the founding family, the other 73% are free float. The company fitted the profile as an interviewee seeing that as of 2013 it holds €1,273 billion in real estate assets which makes it the second largest REIT company in Belgium. These assets generated a €79,9 million net profit for 2013. So in terms of size, company A fitted the profile perfectly. Another reason is their level of risk management. When inspecting the latest annual report you immediately see that the company takes risk management seriously. The first chapter of their annual report is fully devoted to explaining all the risk factors and their potential impact on the company. The interview I conducted was with an executive director. Analysis Start of active risk management: the interviewee believes that every company should be occupied with risk management. Because they are a publicly quoted, the company has to manage these risks in a more formal and systemised way. The company has been doing active risk management for a long time and this has increased even more since the financial crisis of 2008-2009. According to their annual reports they started publishing about risk factors in 2005, which is around the start of the Belgian Code on Corporate Governance. The ERM system in the organisation: the company has a RM system in place that uses the same methodologies as the COSO framework; they look at all the possible risks of the company and the potential impact they could have. Behind these risks are quantitative calculations, which try to assess to likelihood of the risks occurring and which factors have an impact on them. The RM leader/entity within the organisation: the CFO is the main risk manager of the company, but he also has other tasks. Within the company itself, there is no real risk entity that solely occupies itself with risks and risk management. The company consists of a small staff and believes that everyone in the organisation should be occupied with risks that are inherent to their domain. 28
The awareness of the risks and the RM in the board: according to the interview all the board members are fully aware of the risks of the company and how these risks are managed. The RM role of the board of directors: the executive directors of the board have a more active role concerning risk management; they often have informal meetings with the CEO’s of the company to discuss certain risk situations and how these risks should be dealt with. The board as a whole does not have a formalised role in the risk management process. They are however involved with the risk management of the company. Once a year the board gets together to discuss the long term plan of the firm and cover all the risks that are inherent to the company and the strategy they decide to follow. Each board member has its input in the risk management, which is important because every director gets knowledge from other companies or sectors. The board also has the final say when decisions concerning risks have to be taken, while taking the advice of the audit committee into account. The RM role of the audit committee: monitoring the efficiency of the internal control and the risk management systems and reporting to the board on the risk analysis and management. The risk reporting to the board: once a year the CFO gives a full report about all the risks to the board, this happens as part of the annual report and gives an update on the current affairs of all the risks. All these risks, positive or negative, are taken into account and mount to a new forecast of those risks. However this method only applies for important risks, the director stated: “Daily risks or situations that do not pose a big threat are not formally handled, but are managed rather ad hoc by the management”. Improvements: the interviewee does not see any new features that could improve the company’s current reporting. In contrast concerning, the overall ERM, he believes that there is always room for improvements. For example when –in the long term- the company expands abroad, an increase of the formalisation of the RM processes will certainly be needed. Vision on RM and the evolution: the interviewee thinks risk management has got too suffocating nowadays. I quote, “I would prefer to start by showing the opportunities instead of risks. I see a lot of companies where the entrepreneurship diminishes because of the risk management”. This is mainly caused by over-formalising; lengthy reports that create a tension between those who create value for the company and the people who are occupied with the risk management. This could result in a company losing its competitiveness.
29
9.2.2. Company B Company description Company B is a Belgian publicly traded company that is active in the film industry; mostly through it’s large chain of movie theatres, but also through film distribution. It is noted on the Euronext Brussels BelMid stock index since April 1998. The company has a free float of 48% and the other 52% is in hands of the founding family. The company fitted the profile as a potential interviewee; first of all because of it’s size. In 2013 the company created an annual revenue of €245,95 million resulting in a net profit of €37,54 million. These figures make the company the biggest player in the Belgian film industry and one of the biggest players in Europe. The second reason is its risk management; after looking at the annual report I could see that the company had a RM system in place that is based on the COSO framework, which was explained in chapter 5. The implementation of this framework definitely shows that the company has a certain level of maturity concerning risk management, which makes it a perfect candidate to interview. The interview I conducted was with an independent nonexecutive director who has been in the board of directors of the company for over 4 years now. Analysis Start of active risk management: about 4 – 5 years ago (2008-2009) the company implemented a formal process of risk analysis and risk management because it fitted in the line of good corporate governance, which was deemed a standard for a public company. This is confirmed by the annual reports, in which the risk management and internal control was published for the first time in 2009. The ERM system in the organisation: there is an ERM system in the company that is based on the framework of the COSO. The board looks at which risks the company faces, what impact those risks could possibly have on the firm and what the likelihood is that those risks will occur. The RM leader/entity within the organisation: I quote the interviewee: “There is a Chief Risk Officer who occupies himself with risks and internal control duties, but he is not full time at our company.” The CRO works together with the internal audit, which tests the RM activities and components on a regular basis. Also involved in the RM is the management and its business controlling unit that constantly monitors the RM activities and searches for improvements. 30
The awareness of the risks and the RM in the board: all the board members are aware of all the known risks that the company faces. The RM role of the board in the company: the RM role of the board can be split up in two ways. First of all there is the formal process, namely mapping all the risks to which the company is exposed and all the other necessary inputs for the RM process. Furthermore, there is also the risk management as a normal part of the strategic process; there you have to take the risks into account when setting up the firm’s strategy. The board is actively involved in the RM of the firm, especially in the assessment of potential risks. ERM is also a formal point on the agenda of the board, which is extensively discussed once a year. The board has to take the aspect of risks into account when taking decisions about everything; they give input and direction when discussing risks and are actively involved with risk responses together with management. The RM role of the audit committee: the audit committee plays a supporting role in the board concerning risks. They discuss and evaluate the internal control and risk management systems, as well as the “risk management action plan” and “the risk survey” that is given to all the stakeholders in order to find new potential risks. The risk reporting to the board: it is the CRO of the company who reports to the board and this happens through a dialogue. Each year the board receives a risk report that is created based on the inputs of all the stakeholders. The board also goes through the full annual report and other information when discussing the risks of the company. Improvements: concerning the reporting the members of the board feel that they receive enough information to perform their RM role properly. The RM itself, could be integrated a bit more throughout the entire company, as long as the company benefits from it. Vision on RM and the evolution: “The risk management process has to be able to lead to discussions and has to be something useful that could be actively used when taking decisions”. Risk management should only be done in a way that it adds value for the firm. The interviewee believes the value of risk management should come from letting it trickle down to the daily aspects that are part of decision making. Also important is to take a certain entrepreneurship and growth into account when creating a certain strategy, but it has to happen with a conservative view concerning risk taking.
31
9.2.3. Company C Company description Company C is a Belgian publicly traded company that is active in the food processing industry. The company especially produces processed meat products and ready meals, e.g. they are the market leader with their lasagne in many European countries. Company C is noted on the Euronext Brussels BelSmall Stock Index since 1986 and has a free float of 25%, but with 64,5% equity of the company, the majority of the company is still in hands of the initial founders. The company fitted the profile as an interviewee because first of all, it is a sizeable Belgian company which created a revenue of €407,2 million in 2013. Secondly, in the annual report you can see that they have a RM system that tries to introduce as much structure in the company as possible. The RM system and internal control, which was integrated is based on the COSO framework that is explained in chapter 5.2. The interview itself was taken with an executive director who has been a board member for several years and is also a member of the audit committee. Analysis Start of active risk management: since the start of the Belgian Code on Corporate Governance the company started with active risk management. According to the annual reports, the company first published reports on the biggest business risks in 2005 and from 2008 onwards the publications were made in more elaborate manner. The ERM system in the organisation: there is an internal audit department that controls, analyses and gives advise on possible improvements on the risk management procedures within the company using the COSO Framework. The RM leader/entity within the organisation: the internal leader concerning risk management is the internal auditor, which is a single person. He is sort of the CRO of the company, but it is believed that the term CRO is used more in the largest companies. Other than the internal auditor, there are no formal entities that are occupied with RM within the company. The awareness of the risks and the RM in the board: it is believed that the board is completely aware of the risks that the company is submitted to. A closed online platform that is only accessible by the board members was created and contains all the necessary information about all the risks in case the directors want to refresh their knowledge. 32
The RM role of the board in the company: the board has the final say when certain actions or decisions have to be taken concerning risks or RM. When taking these decisions, the board always takes the advice of the audit committee into account. An important aspect of the board is that it is diversified; “We are with 9 people in the board of directors and there are members who also have mandates in many other companies where other insights about risks appear”. This way the directors can introduce new ideas on RM. Within the board there is a difference in the involvement of the RM, when looking at the executive directors, they are much more involved in the RM than the non-executive directors. The executive directors make a risk map (shows the likelihood of the risks to occur and their overall importance) twice a year, which they compare to the findings of the internal audit to see if they match. The non-executive directors come together once a year to discuss all the risks of the company with the whole board and get a report about the situation of all the risks. The RM role of the audit committee: the audit committee does all the preparatory work about the risks so it can give a full report to the board. The committee also gives advice to the board concerning risks and on the risk management of the company. Furthermore the committee looks for improvements and discusses risk management and internal control a few times a year. The risk reporting to the board: every year the internal auditor makes a full report about all the risks and a risk map, which he presents to the audit committee. The committee will then give the board a summarised report on the situation of all the risks and a risk map that is easy to read. Behind each risk that is shown to the board, there is a full equation with quantitative calculations of all the aspects of the risks. Improvements: in terms of reporting the company would like to have a more dynamic view of the risks in order to see if there have been some evolutions in these risks throughout the years. Concerning the RM the company wants to integrate the RM processes a bit lower into the operations of the organisation, but the interviewee doesn’t know if this will bring added value to the company. Vision on RM and the evolution: “There is the danger that we will shift to a level of risk management that the Americans want”. In the USA companies are starting to over-formalise their RM processes and the board of company C strives in finding a golden mean between formalising and using common sense/entrepreneurship. The board also wants to make sure that the awareness about the risks of the company inside the board never fades. 33
9.2.4. Company D Company description Company D is a Belgian publicly traded company that is active in the exploitation of natural materials and the refining industry. Its main production activities are refining and recycling precious metals and the production of catalysts, especially for vehicles. The company, one of the oldest and largest companies of Belgium, is noted on the Euronext Brussels Bel20 index and has a market capitalization of €4.2 billion. The free float of the company is 100% and there is no real controlling shareholder of the company. The company definitely fits the profile as an interviewee because of its size, it is one of the largest Belgian companies, creating an annual revenue of €9,819 billion in 2013, which resulted in a net profit of €179 million. Another reason is the company’s RM approach; in the latest annual report I could see that they have a fairly mature RM system in place and multiple control elements were implemented into their structure based on the COSO framework. I took an interview with an independent non-executive director who is also a member of the audit committee. Analysis Start of active risk management: the independent director could not really pinpoint when the company started with active RM, but according to the annual reports, the first time that information about the RM actively was published was in 2005. This was around the time that the Belgian Code on Corporate Governance was launched. The ERM system in the organisation: the company uses the COSO-framework for its risk management and has implemented control components from this model in the organisation and risk management processes. The company also has developed a risk analysis system, which every business unit and department has to apply on their activities. The RM leader/entity within the organisation: the company does not have a team or a specific CRO for risk management, but there is a high awareness of risks with the internal audit. The internal audit fulfils a monitoring role to keep an overview of the specific risk management processes of the firm. The risks are also partially monitored by the audit committee, but within the direction committee the division managers have the most control over the RM. The awareness of the risks and the RM in the board: the board and especially the members who are in the audit committee are fully aware of the biggest risks to which the 34
company is submitted. They receive enough information on the risks, this way they are well informed The RM role of the board in the company: The interviewee stated:“It is your role as the board to see what is evolving in the world and to make sure that you do not get stuck in a routine”. The board members have to make sure that the company evolves alongside its surroundings. This task depends on the skills and knowledge of the directors on certain subjects; most directors are complementary and bring in different skills and ideas to the board and that is key in RM. This way they can implement ideas from other organisations into the company. The board gets advice from the audit committee that actually does most of the analysis around risks. Taking this advice into account the board will decide which actions the company has to execute concerning risks or RM. Overall the board approves what the audit committee has prepared, but the members do ask critical questions and ask for explanations on certain matters. In the end the board always has the final say on which decisions have to be taken. The RM role of the audit committee: especially the audit committee occupies itself with risk management; it is more elaborately occupied with risk management than the board. The audit committee approves the full audit plan that is prepared each year by the internal audit and then reports the key points to the board. The risk reporting to the board: the board does not get specific reports on risks. In contrast, the audit committee does get specific dedicated reports on the risks, which are used once a year to report the risks to the board, thematically per product and in a less extensive way. Improvements: through the audit committee the board would like to implement a special track around cyber criminality and security in the audit plan, so that these risks are also mapped in order to create awareness on these matters. Vision on RM and the evolution: The interviewee stated: “If you do not have a good internal audit team, then your risk management will never work”. Thus, having a proper internal audit is a must, but it is also important that all the control processes are set right. The board has to constantly be alert for new risks and that is where the experiences of the directors come in handy. Nevertheless they should not forget that they’re not there to do the work of the top management, they have to give the management their trust and guide them when necessary. 35
9.2.5. Company E Company description Company E is a Belgian publicly traded company that is active in the textile industry. Its main activities are the fabrication of protective clothing, production of chemicals and the coating of textiles. The company is noted on the Euronext Brussels BelSmall Index since March 1996. Nowadays 65,10% of the stocks is still in control of the founding family, 3,4% is owned by the ING group and the remaining 31,4% is free float on the stock market. The company also fitted the profile as an interviewee on two levels. First of all it is big enough to be part of the study; in 2013 for example it created a revenue of €323 million resulting in a net profit of €14,3 million. The second reason is the RM of the company. Through the annual report I could see that there is a well worked-out internal control and risk management system that is partially based on the COSO methodology. The interview was taken with an independent non-executive director who is also the chairman of the audit committee. Analysis Start of active risk management: the company has built up a track record of the risks together with COFACE, which is their credit insurer for more than 7 years now. Since 2005 the company has started publishing their main risk factors, which also is around the time that the Belgian Code on Corporate Governance was launched. In 2010 the company started to elaborate further on the internal control and risk management. The ERM system in the organisation: the company has its own internal risk management system that is approved by their credit insurer COFACE and their external auditor. The system uses a certain methodology and is also aligned with the COSO framework methodology according to the annual report. The RM leader/entity within the organisation: the company has its own risk management system and risk department. Five employees work full time on studying risks, making reports and passing on evaluations. There is one person who acts as the CRO of the company. He is the leader of the RM cell and reports directly to the CFO of the company. The awareness of the risks and the RM in the board: the board is definitely aware of all the bigger risks that the company faces. “In the six years that I am with the company, there haven’t been any surprises concerning risks. For me this is a correct barometer that says that we are well informed on the risks.” 36
The role of the board in the implementation of the RM system: the CFO definitely played a key role in the implementation of a risk management system. The interviewee was not sure whether the board played a big role in that transition. The RM role of the board in the company: the board asks the necessary question concerning risks, especially in line with the strategy of the company. The audit committee gives advice to the board on their findings, but it is always the board that makes the final decisions on how to react against risks or on other decisions concerning risk management. Once or twice a year the board assembles to get explanations on the RM system and on how it works. Overall the board is fairly active in the risk management of the company, but it does rely a lot on the AC. The AC does the majority of the risk monitoring and goes much more extensively into the risks whereas the board touches upon the risks in a more general way. The RM role of the audit committee: the AC’s main role is to advice the board on certain decisions by delivering information about risks and the RM of the company. In the AC more elaborate questions about risks will be asked and the members will try to question certain links with the risks. A key way of monitoring by the AC is by following the claims; the committee will act retroactive by learning from their mistakes so they can be avoided in the future. The risk reporting to the board: the AC does not get specific reports on the quantitative calculations behind the risks, but its get the results of these numbers in a report. The committee also receive information about the situations of the 20 biggest clients of the firm, which represents 80% of the revenues and gives a fairly global picture of the company’s risk situations. The AC then gives the same information to the board and explains it in a clear way. Improvements: the board does not really think improvements are necessary, nor for the reporting nor for the overall ERM. The company does believe that there will probably be some further developments concerning integrating the RM processes more within the firm. Vision on RM and the evolution: the board believes that their risk management is very evolved and much more explicit compared to many other companies. The members think that everyone in the company has to be aware that they are vulnerable to certain risks and that everyone has to do what is necessary to prevent these risks from happening. It also is the role of the board to make sure the awareness about risks stays high in the firm and to constantly think and evolve further with the company while taking risk management into account. 37
9.2.6. Company F Company description Company F is a Belgian publicly traded company that is active in the retail industry. It is headquartered in Belgium but is active worldwide, especially in the USA where it generated over 60 percent of its revenue in 2013. The company is noted on the Euronext Brussels Bel20 index since 1962 and on the NYSE since 2001. The company definitely fitted the profile as an interviewee because of its size. It is one of the largest companies of Belgium; the company generated a revenue of €21,2 billion in 2013, which resulted in a net profit of €487 million. The second reason is the company’s level of risk management. In the annual report I saw that the company created an internal control and risk management system, which it controls with the guidelines set by the COSO ERM framework. I did the interview with an independent non-executive director who is also a member of the audit committee. Analysis Start of active risk management: the active RM started around 10 years ago, when audit committees started to rise due to the creation of the Belgian Code on Corporate Governance. Since around 2005 company F has been focussing on all possible business risks, whereas before they only took the financial risks into account. Since 2009 they also started using the COSO methodology and an official committee for risks has been assigned since last year. The ERM system in the organisation: there is an internal control and risk management system implemented in the company. The company implemented certain components and the methodology from the COSO framework. The RM leader/entity within the organisation: the internal audit occupies itself with the overall risk monitoring of the firm and the Chief Internal Audit Officer is considered the risk management leader within the firm. “There is no official risk committee in the company, but the audit committee does occupy itself with the risks that have to be analysed”. The awareness of the risks and the RM in the board: according to the interviewee the board tries as hard as one can to be aware of all the risks. The company cannot predict everything but it is certainly extremely occupied with RM and tries to avoid unwanted situations that are damaging for the company as much as possible.
38
The role of the board in the implementation of the RM system: the initiative came from the auditors and the top management. The board probably did not play a big part in the implementation of the RM system. The RM role of the board in the company: the board takes the responsibility of taking the advice of the AC concerning risks, but in the end it is the board that always has the final say. In general the board plays a more awaiting role because the members gave the larger part of the risk analysis to the AC, but the board does constantly ask questions and brings up things the members have seen outside the company. Often the board will call in management when something goes wrong and gives guidelines to take appropriate actions. The board especially does not want to interfere with day-to-day management of the company. The RM role of the audit committee: the AC has no authority but collects information about the risks and analyses these risks for the board. The members do so by constantly asking questions about all the risks and by monitoring the processes of its management in order to identify risks. They will closely follow up on these risks and then report to the board in a clear and structured manner. The risk reporting to the board: the board gets a report in each board meeting about what the AC discussed in its meeting and which measurements should be taken according to the AC. This report includes all the risks and their key factors such as the likelihood of occurring, the measurements that have been taken, and whether the risks are covered and other factors. The AC in its turn receives reports from the Chief Internal Audit Officer or from the CEO. Improvements: According to the board there are no improvements needed concerning risk reporting. For the overall risk management they will try to find their way through all the rules that currently are brought into effect and by integrating everything into one clear overviewing system this could certainly facilitate this. Vision on RM and the evolution: the board thinks formalizing is a must with a RM system, but you have to stay pragmatic. Whenever governments start creating laws about risks, you will automatically start overformalizing and “box-ticking” without seeing what is really happening. And that is what the problem is in the USA. The interviewee stated: “The system should not dominate the company, it’s the company that should make use of the system.” When looking at the evolution in risk management the interviewee claims that the boards are much more critical and aware of risks than 10 years ago. 39
9.2.7. Company G Company description Company G is a Belgian publicly traded company that is active in the telecommunications industry. Its main products are cable television, broadband Internet and telephony. The company is noted on the Euronext Brussels Bel20 Index since 2005 and has a market capitalization of €4,9 billion. The company’s main shareholder is an international group, which holds 57,21% of the shares, the public holds 31,45% and other parties hold the rest. The company fitted the profile as an interviewee because it is the second largest telecommunication company of Belgium, creating a revenue of €1,641 billion in 2013, which resulted in a net profit of €116,4 million. The second reason is the company’s mature internal control and risk management system. In the annual report you can see that they have created a framework for evaluating and analysing all the company’s risks based on the COSO components that are explained in chapter 5.2. The interview itself was conducted with an independent non-executive director who is also the chairman of the audit committee. Analysis Start of active risk management since the foundation of the company, the company has been doing some sort of risk management, but this became more active since an audit committee was created. That was around the creation of the Belgian Code on Corporate Governance code in 2005. Up to now they have a very active level of risk management and are constantly trying to improve. The ERM system in the organisation: there is an ERM system implemented in the company that sets the broad lines of how risk management in the firm has to be done. Most of these guidelines and control components are adapted from the COSO framework. For example, the firm has been making risk maps the past two years to visualize the risks that the company faces and what kind of impact these risks could have on the organisation. The RM leader/entity within the organisation: there is no specific person that can be called the leader concerning RM in the firm. Consequently many people are responsible for RM, all in their own domain. The internal audit plays a monitoring role concerning risks. It is responsible for the financial reporting and the risks concerning fraud and incomes. The awareness of the risks and the RM in the board: the whole board is aware of all the big risks of the company and the company wants to keep it that way. 40
The role of the board in the implementation of the RM system: the impulse for implementing a more active risk management came from upper management or from the chairman of the audit committee, therefore also partially from the board. The RM role of the board in the company: the main RM role of the board is asking questions about the risks and their situation and sending out action-initiating signals to the company by demanding reports. At the end of the day it is still the management that executes the decisions made by the board. In general the board is involved with all the big risks and formally has all the authority over what has to be done. The board determines a certain strategy and when setting this strategy it has to take all the risks surrounding this strategy into account. The AC has been granted the majority of the monitoring tasks and helps the board a lot in its risk management role. It can be said that the AC does the biggest part of the RM for the board, except making the final decisions. The RM role of the audit committee: the audit committee has a more operational and explicit role in the RM of the company. It gives technical assistance to the board so that they can make correct decisions. The AC constantly looks for risks within the strategy set by the board on all possible domains. The risk reporting to the board: the audit committee receives a full risk map and a couple of audit reports each year. Based on these reports the audit committee can inform the board in a more concise way. Improvements: the board does not see any direct improvements concerning the risk reporting, but they do feel that it is important that the attention for risks and risk management should not dim away, they want to make sure this does not happen. I quote the director: “The concern is that we have to stay attentive. The danger around risk management is that it could weaken and then something could possibly happen”. Vision on RM and the evolution: the board believes that it has succeeded in managing certain risks and that it has become much more aware of the risks the company faces. This is partially due to being subjected to the Sarbanes Oxley-law since the company is partially owned by an American company. Moreover this also increased the awareness of the risks and the processes around them. When looking at the evolution of their RM, they see that the awareness around risks is much higher compared to the past.
41
9.2.8. Company H Company description Company H is a privately owned Belgian company and the only private company that I interviewed for my empirical research. It is active in the construction industry where it is the biggest player for Belgium and one of the biggest in the world. The group itself is partially owned by an Egyptian construction company, which holds a 50% stake of the company. The company fitted the profile as an interviewee because of its size. The company generated a revenue of €2,123 billion resulting in a net profit of € 92 million. Because the company is not publicly traded, it is not obliged to publish an elaborate annual report in which the internal control and risk management is fully described. As explained in chapter 8.3, I only looked at the size of the company when considering a private company, because the chance a company of this size has an internal control and risk management system at its disposal is fairly high. The interview itself was conducted with an independent non-executive director who is also a member of the audit committee. Analysis Start of active risk management: there has always been attention for risks because of the industry the company is active in. This got even more refined since 2004 when going from public to private and due to the fact that there came a lot of independent directors on the board in 2004. The ERM system in the organisation: “We do not have a specific framework for managing risks in the company; what we do in the committees is look at the risks on the different businesses and projects that we have”. The board looks at the risks with the audit committee and the internal audit, but there is no formal system where risks are modelled in a visual way. The RM leader/entity within the organisation: the formal RM leader within the firm is the Chief Internal Audit Officer. The internal audit/risk entity that he controls is partially responsible for monitoring and analysing risks on the projects of the company, but in general the CEO is the most important asset in the RM of the firm. The awareness of the risks and the RM in the board: the board members are all fully aware of all the biggest risks thanks to the good flow of information. They do state that they are not always aware of the smaller risks, but those are also the least threatening to the business. 42
The role of the board in the implementation of the RM system: top management, especially the CEO played a huge role in the implementation of a more active RM. The board also played a big role. The board for instance brought in a lot of independent directors that increased the level of RM due to their vast amount of experience in other industries. The RM role of the board in the company: the main RM role of the board is “holding a mirror in front of the company to ask critical questions and give recommendations to the management concerning risks and risk management”. “The board tries to comprehend how management assesses risks, how they deal with risks and how they make conclusions about the risks”. The board constantly tries to search for improvements in that system. The board gets the input about the risks from the report that is prepared by the AC, but in the end it is the board that decides which actions have to be undertaken. The involvement with certain risks and the measures that have to be taken depends on the size of the risk. The bigger the risk and possible threats, the more the board gets involved. The RM role of the audit committee: the AC organises closed sessions with the internal audit and the external auditor in order to get their input on certain issues that the AC sees, because the AC goes much deeper into risks compared to the board. It is the AC that does an extensive reporting on al the projects and business risks so it can report to the board in a concise and structured manner. The AC committee comes together 4 times a year and also has several ad hoc meetings when certain crisis situations occur. The risk reporting to the board: the AC reports to the board, and receives most of the info from the internal audit that constantly does internal studies. The board gets a full analysis per country or per project in which everything is systematically shown concerning risks. Improvements: a more systemic approach, where data is processed through a system that gives clear signals on possible errors. This must still happen in a holistic manner. Vision on RM and the evolution: “we have always learned more from our mistakes than from our successes”. These mistakes have definitely brought a stricter risk analysis and management to the organisation. It is important to find a balance between RM and business, because RM can kill business if it starts to dominate. The evolution in RM has gone from a very basic and reactive manner towards much more proactiveness and professionalism. The board always wants to find the balance between risks and entrepreneurship, because paranoia about risks will suffocate the business and could hurt the competitiveness. 43
9.3. Cross Case Analysis The cross case analysis is the essential core of my empirical research because it compares the different companies on the topics I have chosen to investigate. With this approach I tried to find some interesting comparisons on the risk management of the larger Belgian companies. I did not only look for interesting similarities between companies, but also for some findings that are notably different between the companies. It is thanks to the cross case analysis that I can say what the current risk management role of the board is in more mature Belgian companies. This also gave me the opportunity to translate the vision of the boards about risk management onto paper. The cross case analysis was done only by looking at the rows of the case/topic matrix as shown in table 2 or attachment 11.
9.3.1. Start of active risk management Four out of the eight companies stated that they have been performing risk management for a long time. Maybe not as active as they do now, but they did look at the different risks because it was inherent to the industry they are active in, which required to be occupied with risks on a certain level. The most noticeable changes were made around 2004 – 2005, since seven out of the eight companies drastically improved their risk management processes and risk overview around that time. The main reason for this was without a doubt the launch of the Belgian Code on Corporate Governance in 2004 -2005 under the name of Code Lippens11 for publicly quoted companies and Code Buysse for non-quoted companies. This was the result of an action plan that was launched by the European Union in 2003 in order to increase the corporate governance level in its member states. Followed by the launch of this code, the audit committees started to get established and these audit committees also played a pivot role in creating a more elaborate risk management. These dates were also confirmed by the individual annual reports of the companies. More information on risks and risk management processes of the companies were published in these reports from 2004-2005 onwards. Another key factor in increasing the level of risk management was the financial crisis of 2008-2009, which definitely woke up everyone and increased the awareness around risks and
11
The Code Lippens has been revised in 2009 and is now called the Belgian Code on Corporate Governance
44
risk management. Four out of the eight companies stated that they increased their risk management processes during or around that time. This was also confirmed by looking into their annual reports, which showed a drastic change in the reporting about their risks and risk management. The overall reason why the organisations improved their risk management was due to the fact that most of the companies wanted to comply with good corporate governance because of being publicly quoted. This way their stakeholders could have a better insight in the company’s risk management and they could protect their business as much as possible. Also important was the launch of the audit committees and the fact that more and more independent directors came into the boards of the companies and brought in different visions and experience concerning risk management.
9.3.2. The ERM systems in the organisations The level of active risk management is noticeably high for the larger Belgian companies. Seven out of eight companies state that they have a formal risk management system/framework that analyses and monitors the different risks to which the companies are subjected. Even though it could be a coincidence, it is remarkable that those seven companies are all public companies. The single private company I investigated stated that it does not have a formal system/framework. This private company does perform active risk management through its internal audit, which looks very deeply into the on-going projects, but does not work with a formal risk management system. The seven companies that stated to have a formal risk management system/framework, all stated that their system was fully or partially based on the framework that is created by the COSO as explained in chapter 5. This confirms the study performed by Beasley, Branson & Hancock (2010) for larger Belgian companies, which showed that the COSO framework is the most used framework for ERM guidance. The use of the COSO framework in the risk management of companies was also confirmed by looking into the annual reports of each company individually. A couple of the most used components implemented into the framework are: listing all the possible risks to which the company can be subjected to, looking at what impact the possible risks could have on the performance of the company, what the likelihood is of these risks to actually occur and which actions that need to be taken against those risks. These are not the only components the companies use, but they are the most frequently mentioned by the board members. The risk
45
management systems cover a lot more components. A full description of the ERM framework is provided in chapter 5.2 where the COSO framework is described in a clearer way.
9.3.3. The RM leader and risk entities in the organisations The presence of a risk management leader at the companies is fairly dispersed. Two companies, companies D & G, state that they do not have a real leader concerning risk management. They do however have certain people that have risk management responsibilities. These people have a certain amount of RM leadership, because they are responsible for their division or department. The other six companies have a specific leader concerning risk management. In company A this is the CFO, in company B this is an external person who is viewed as the CRO, in company C this is the internal auditor, in company E this is a CRO who reports directly to the CFO, in company F this is the Chief Internal Audit Officer and for company H this is also the Chief Internal Audit Officer together with the CEO. So a few different types of functions hold the title of RM leader in the companies. Although they often have a different title, they do however all report directly to the CFO, CEO and the audit committee of the company. When looking at specific risk management entities or divisions in the companies, there is only one company, company A, which does not have a specific entity or unit that is occupied with risk management. The company does not have a large staff at its disposal, therefore they handle most of the RM through the CFO and the CEO’s. Another notable case is company E, which is the only company that has its own risk team and RM system that is fully approved by its credit insurer. At the head of this risk team there is a CRO. The other six companies also have specific entities that are fully or partially responsible for risk management within the firm. In company B this is the internal audit together with the business-controlling unit of the management, for company C, D, F, G and H the risk management role is mostly fulfilled by the internal audit on the management level. As mentioned above, all these entities report directly to the CFO, CEO or the audit committee.
9.3.4. The awareness of the risks and the risk management in the boards When looking at the awareness, we see that all the boards that I interviewed claim to be fully aware of the biggest risks of their companies and of the risk management that is done within their companies. This high awareness is mainly due to a good risk management system, but especially because of the information flows throughout the company. It is also thanks to solid information and the fact that it is so accessible for the board members that there is a high 46
awareness in these companies. For example, company C even created a special online platform where all information is constantly available for its board members. And all these companies also are constantly striving to keep their awareness high and to improve it even more.
9.3.5. The role of the boards in the implementation of risk management Four out of eight companies did not really know whether the board had any involvement in the implementation of the risk management system of the company. Out of the other four companies, the interviewee of company E stated that he could not really tell if the board was involved because the implementation happened too long ago, but he did say that the CFO and top management played a key role in the implementation. As for company F, the interviewee believes that the board did not play a big role in the implementation, but the top management played the pivot role in the implementation. Companies G & H were the only companies where it was stated that the board definitely played a role in the implementation of a RM system, through the audit committee or through the presence of the independent directors. The top management was also extremely important and very involved for companies G & H. Overall I can say that the board may have played an important role in the implementation of a RM system, but the top management, being the CEO and CFO probably were the most critical people in this process.
9.3.6. The risk management role of the boards Overall, the risk management role of the boards is fairly similar for all the different companies in the study. In general we can conclude that the board always has the final say over the decisions that have to be taken concerning risks and risk management. So in terms of decision-making, the boards play the most important role. The board always takes the advice that is provided by the audit committee into account when making these decisions. All the companies stated that their audit committees give advice to the board and that they are considered a crucial organ in the risk management of the company. Whether the board takes this advice in consideration is not always sure, but almost all the interviewees stated that they take this advice very seriously. Because the members of the audit committee are also members of the board of directors, their advice is taken very seriously. The fact that the people who are in the audit committee are mostly experts in the sectors of finance, auditing, and other typical domains that suit the audit committee, makes them even
47
more reliable. These people are considered very skilled and trustworthy and especially the chairman of the audit committee is considered to be a vital link. In some companies the audit committee does the bigger part of the risk management role of the board. Five out of eight companies explicitly said that the audit committee was granted most of the risk management activities of the board. This way the board plays more of an awaiting role; it has to wait until it gets all the input from the audit committee in order to make a decisions on certain topics concerning risks and risk management. This finding also confirms the studies done by Protiviti (2010) and Beasley, Branson & Hancock (2012), which stated that audit committees are often taking up the risk oversight responsibilities of the boards. When looking at the risk management role of the boards of the companies individually we definitely see some similar things, but the companies vary in how the boards perceive their specific role. In company A, the board does not have a formalised role in the risk management process. However the board is involved in the risk management of the company. Once a year the board assembles to discuss the long-term plan of the firm and then covers all the risks that are inherent to the company and the strategy it decides to follow. In company B, the role of the board is split up in two parts. First of all, the risks to which the company is exposed are mapped and estimated. Secondly, the board constantly takes risks into account when setting up the firm’s strategy. ERM is also a formal point on the agenda of the board that is discussed once a year. In company C, the whole board comes together once a year to discuss all the risks of the company and to receive the report on the situation of the risks. In this company, a lot of the risk management activities are done by the management or the audit committee as explained earlier. In company D, the board members’ role is to see what is constantly going on in the world, what is new and which evolutions are happening. To make sure that the company does not get in the daily rut, it makes sure it evolves alongside its surroundings. Overall the board approves what the audit committee has prepared, but it does ask critical questions and explanations on what is offered to them. In company E, the board asks the necessary questions concerning risks, especially in line with the strategy of the company and once or twice a year the board comes together to get explanations on the RM system and on how the system works. Overall the board is fairly active in the RM, but it does rely a lot on the audit committee. In company F, the board 48
constantly asks questions about risks and brings up things the members have seen outside the company. Often the board will call in management when something does go wrong and then it will give guidelines to take actions. For company G, the role of the board is asking questions about the risks and their situation and sending out signals to the company by demanding reports on a certain subject. The board also determines a certain strategy and when setting this strategy it has to take all the surrounding risks into account. For company H, the main role of the board is reflecting about the company by asking critical questions and giving recommendations to the management concerning risks and risk management. The board tries to comprehend how management manages risks and the board members constantly try to search for improvements in that system. The involvement of the board with certain risks depends on the size of the risk. The larger the risk and possible threats, the more the board gets involved. Thus, in general you can see that the roles of the boards differ a bit depending on which company we are dealing with, but essentially all the boards try to be as critical as possible concerning risks. They try to ask as much questions as possible, they give certain guidelines and they seek for improvements. All these kinds of roles seem evident but are nonetheless crucial in the risk management. There are two more key findings that are important to mention about the board’s risk management role. First, the different role of executive directors compared to non-executive directors should be addressed. Both company A & C stated that the executive directors have a much more active role in the risk management because they are closer to the management of the company. They discuss and analyse the risks on a more frequent basis together with the CEO and this often happens in a more ad hoc fashion compared to the formal meetings of the full boards with the non-executive directors included. Secondly, and one of the key factors of the boards in their risk management role is the large amount of knowledge and experience amongst the independent directors of the board. Each member has a certain input and has certain domains in which he is more specialized than others. It is important that the board is diversified, because directors with experience from other companies bring in other insights/ideas about risks and risk management, which could then be implemented into the company.
49
9.3.7. The risk management role of the audit committees As previously mentioned, the audit committee plays a big role in the risk management of the company and helps to diminish the workload of the board's risk management role. As said before, the audit committee plays a crucial role in advising the board when certain decisions have to be taken, but it is also the AC’s role to constantly keep the board up to date about certain situations concerning risks or risk management. In company A, the audit committee monitors the efficiency of the internal control and the risk management systems. In company B, the audit committee discusses and evaluates the internal control and risk management systems as well as monitoring the actions that are taken against certain risks. In company C, the audit committee does all the preparatory work about the risks so that it can give a full report to the board and it discusses and looks for possible improvements on risk management and internal control a few times a year. In company D, the audit committee is more elaborately occupied with risk management than the board. The audit committee approves the full audit plan that is prepared each year by the internal audit. In company E, the audit committee extensively asks questions about risks and it questions certain links with the risks. A key way of monitoring the risks is by following the claims; the AC will act retroactive by learning from its mistakes so it can avoid them in the future. In company F, the audit committee collects information on the risks and analyses the risks for the board. It does this by constantly asking questions about all the risks and by monitoring the processes of management to identify risks. In company G, the audit committee has a more operational and explicit role in the risk management of the company. It is constantly looking for risks within the strategy set by the board on all possible domains. In company H, the audit committee organises a closed session with the internal audit and the external auditor in order to get their input on certain issues. The audit committee goes much deeper into risks compared to the board. Generally the roles of the audit committees at the different companies are fairly similar: they all play a part in the monitoring of the internal control and risk management, they all give extensive reports to the boards, they look for potential improvements and are very crucial since they perform large parts of the risk management role of the boards.
50
9.3.8. The risk reporting to the board The risk reporting to the board is a crucial element for a solid risk management system. Without clear and efficient information reporting about the risks and the risk management the board would never be able to perform its role in such an effective way. All eight interviewees stated that their board receives a clear and structured report about the risks and risk management at least once a year. As already mentioned earlier the audit committee most often delivers these reports to the board. The CFO or the CEO, depending on the structure of the company, could also do this. The audit committee itself first receives a much more extensive and profound report from the internal audit or another risk entity because they are deeper involved with the risk oversight than the board. The audit committee then makes a clearer and more synthesised report specifically for the board. Another interesting finding is that all of the eight companies stated that they are very pleased with the level of risk reporting at this moment and that it is definitely enough to perform their risk oversight role.
9.3.9. Possible improvements A typical role for the board and its committees is to constantly look for possible improvements. Through the experiences and ideas that they have gained with other companies, the board members always try to bring new and better ideas to the board. As far as risk management is concerned, the companies I interviewed are also looking at improvements in different directions such as the reporting to the board or improvements on the risk management system itself. Company A would grasp the opportunity to increase the formalisation of their risk management processes if they would become a bigger player abroad. In company B the interviewee feels that the system could be integrated a bit more throughout the entire company, as long as it gives the whole company a great advantage. In company C the board would like to add a more dynamic view of the risks to the reporting in order to see if there has been some improvement in these risks throughout the years. Concerning the risk management they might try to integrate the risk management a bit lower into the operations of the company, but the interviewee is not sure which value this will add to the company. In company D the interviewee would like to implement a special track around cyber criminality and security in the audit plan, which would mean an increase both in the RM system and in the reporting of risks. In company E the interviewee hopes there will be a further evolution towards integrating the risk management more within the firm. 51
In company F the board would like to have one clear overviewing system that could facilitate the board in trying to find a way through all the rules it currently has on risk management. In company G the board wants to make the risk reporting even more available and solid so that the awareness amongst the board members about risks does not diminish. In company H the board would like to have a more systematic approach in their risk management. In other words the board wants a system wherein objective data is processed through a system and can give clear signals on possible errors or risk positions.
9.3.10. The board’s visions on risk management and the evolution of RM Besides the different questions specifically aiming for answers about risk management and everything concerning the role of the board in risk management, I also wanted to know how the board actually perceives the risk management. This is a more subjective view of what the boards feel about the risk management in Belgium and how they think risk management has evolved. It could be interesting to compare their perception with results from other studies. Another interesting point is to see where the Belgian board members believe the focus should lie for risk management. In company A, the board members think risk management has gotten too suffocating nowadays, they see a lot of companies where the entrepreneurship diminishes due to the risk management because of over-formalising. They believe you should focus more on the opportunities than on the risks of the company. In company B, the board members believe that the risk management has to lead to discussions and that it has to be useful so it can be actively used when decisions have to be made and that RM should only be done in a way that it is value adding for the firm. Also important is to take a certain entrepreneurship and growth into account, but with a conservative view concerning risk taking. In company C, the board feels that there is danger of shifting to the American standards of formalising risks. Companies in the USA are over-formalising their RM processes and the board of company C strives
to
find
the
middle
course
between
formalising
and
using
common
sense/entrepreneurship. In company D, the board says it constantly has to be aware of new risks. The board should also never forget that it is not there to do the work of the top management, but that it has to give them their trust and guide them when necessary. At company E, the board thinks that everyone has to be aware of the risks they are exposed to and that everyone has to try as hard as they can to prevent those risks from happening. It is also the role of the board to make sure 52
the awareness about risks stays high in the firm and to constantly think and evolve further with the company while taking risk management into account. In company F, the board tries to keep both feet on the ground, they think formalizing is a must with an advanced RM system, but you have to stay pragmatic when it comes to risks. You have to avoid over-formalizing your system and “box-ticking”, which could lead to being blind for what is really happening. The USA has been obsessed with RM much longer than Europe and in a more extreme way. In company G, the board says the system should not dominate the company but it is the company that should make use of the system. Concerning the evolution in RM the interviewee sees that the boards are much more critical and aware of risks than 10 years ago; back then the attention often disappeared when nothing happened for a while. In company H, the board says it is important to find a balance between RM and business/entrepreneurship, because RM can kill business if it starts to dominate. They believe the evolution in risk management has gone from a very basic and reactive manner of looking at risks towards much more proactiveness and professionalism. When looking at all these views about risk management, there are some noticeable things that come back very often with the Belgian boards, such as the equilibrium between formalizing and entrepreneurship/common sense that has to be obtained, otherwise it could have negative effects on the companies and they could loose their competitiveness. In line with finding this equilibrium is the fear of going to an American system and adopting their attitude towards risks. Clearly Belgian board members do not think that the American mentality is the way to go concerning risks. They believe that the current level of risk management formalization is already more than enough for the amount of risk management that they apply. Another interesting finding is that the board does not want to start running the company itself, they are there to advice the higher management in how to optimize the company, they give them their blessing to do what they are supposed to do, but they do not want to start to interfere with the actual business. A final point is the fact that all of the companies want to strive for a high awareness around risks for the future. This is also where the companies have seen the most significant changes in the boards over the years, the actual awareness of the risks and the risk management around them. Thanks to constant attention for the matter and the ever-lasting need for improving the system, the board members believe that the attention for risks will only increase in the future.
53
10. Conclusion 10.1. General Conclusions After analysing the data collected through the qualitative study we can draw a few conclusions. We can say that there are two main events that made the companies engage in a more active risk management; firstly, the launch of the Belgian Code on Corporate Governance, which initiated the rise of audit committees and secondly the financial crisis of 2008-2009. It was observed that almost all of the investigated companies had some sort of risk management system or framework, which was always based on the COSO framework. We can say that a lot of companies had entities that were occupied with risk management, most of the time this was the internal audit of the company, but exceptionally there was a new entity created specifically for risk management. We see that most companies had some sort of CRO who is responsible for risk management within the firm. This function is not always officially the one of CRO (as we see in banks), but for instance the Chief Internal Audit Officer or the CFO. It can be stated that all the boards were very much aware of all the risks that their companies face and that a key focus point of the boards was to keep this level of awareness high. Concerning the role of the board in the implementation of a risk management system, we can say that the influence of the board was much less than that of the top management. When considering the risk management role of the board, we can say that the boards try to be very critical towards risks. They try to ask as much questions as possible to understand the situations in which the risks occur, they arrange a meeting at least once a year to discuss all the risks, they give guidelines to the management, they constantly look for improvements for the RM, the different independent directors all bring in new insights/ideas from outside the company to increase the RM and the board always has the final say when it comes to decisions that have to be taken against risks or concerning the risk management. The study shows that the audit committees play a major role in the risk management of all the companies. They examine the risks extensively in order to report to the board in a very clear and structured manner. It can be said that they often carry out most of the risk oversight duties of the boards, so that the board only has to make a final decision based on their advice. 54
It was observed that the Belgian boards have a mind-set that is clearly different from the American ones. American boards are much more risk-averse whereas the Belgian boards are more keen on taking calculated risks as long as they are justified. This could be because Belgian boards are more principle-based, whereas in America they are more rule-based, which often causes them to over-formalise and to start “box-ticking”. This over-formalisation and “box-ticking” is something that Belgian boards definitely want to avoid, in order to never lose sight of what is really going on with the company. This finding is confirmed in the literature, as Woods (2010) found in one of her studies, that this “box-ticking” could hamper good risk management. When comparing the findings of this study with the four key areas for the boards that the COSO suggests, we can conclude that the Belgian boards comply with all four areas, which suggests that they effectively do apply the COSO methodology in real terms. When looking at the risk management role of the board compared to its other roles, we can say that the risk management role is not a third individual role next to their strategic and monitoring role. The risk management role clearly exists, but it cannot be seen individually. It is intertwined between the strategic and the monitoring role and it is something that cannot be left aside in today’s way of governing a business. When comparing earlier studies, such as the one from Protiviti (2010) and from Beasley, Branson & Hancock (2012) with the results of this study, we can confirm some of the conclusions they made. These two studies were performed on a bigger amount of companies in which they saw notable differences between larger and smaller companies concerning their risk management. They stated that larger companies (revenues > $500 million) had a more extensive risk management compared to the rest. For this study we cannot compare with smaller companies because it only focused on larger companies, but we can confirm their findings for the larger Belgian companies, who all had a very mature risk management. A second finding in their studies was that a lot of companies had an audit committee that often carried out part of the board’s RM duties. This can also be confirmed for this study; all the interviewed companies had an audit committee that performed extensive risk oversight for the board. A final conclusion that could be drawn is that generally speaking we did not really see any difference between the distinct industries concerning their risk management, the RM role of the board and the risk reporting to the board. 55
10.2. Further research As recommendations for further research, I would suggest to conduct a more elaborate qualitative study in which more companies are being interview in order to have a stronger validation. Since the interviewees mentioned the difference between the Belgian and American regulations concerning the risk management, it could be envisioning conducting a study to compare the Belgian or European boards with American ones. The interviewees expressed a negative opinion regarding the American way. A study should investigate whether this opinion is reflected in the performances of the companies. This way, it could be interesting to see whether there are actual significant differences or whether it is a mere gut feeling of the Belgian board members. Moreover, another study could investigate if this Belgian sentiment is shared with the board members of other European companies. As stated in chapter 9.3.2, all public companies in this study had an extensive ERM framework in place. In contrast, the sole private company that participated in this study did not have such framework. Further research should investigate whether this difference between public and private companies can be generalized.
56
11. Bibliography Ballou, B., Heitger, L. D., & Stoel, D. (2011). How Boards of Directors pereice Risk Management Information. Management Accounting Quarterly , 12 (4), 14-22. Beasley, M., Branson, B., & Hancock, B. (2012). Current State of Enterprise Risk Oversight. NC State University. Beasley, M., Branson, B., & Hancock, B. (2010). COSO 2010 Report on ERM. COSO. Beasley, M., Clune, R., & Hermanson, D. (2005). Enterprise risk management: An empirical analysis of factors associated with the extent of implementation. Journal of Accounting and Public Policy , 24, 521-531. Brown, I., Steen, A., & Foreman, J. (2009). Risk Management in Corporate Governance: A Review and Proposal. Corporate Governance: An International Review, , 17 (5), 546-558. Commisie Corporate Governance. (2009). Corporate Governance Code 2009. COSO. (n.d.). Retrieved October 20, 2013 from http://www.coso.org/aboutus.htm COSO. (2013). Retrieved October 20, 2013 from http://www.coso.org/aboutus.htm COSO. (2009). Effective Enterprise Risk Oversight: The role of The Board of Directors. COSO. (2004). Enterprise Risk Management: An Integrated Framework . Executive Summary. ERM Initiative. (2014, January 14). Recent Developments to the Board’s Role in Risk Management. Bank and Corporate Governance Law Reporter . Daud, W. N., Haron, H., & Ibrahim, D. N. (2011). The Role of Quality Board of Directors in Enterprise Risk Management (ERM) Practices: Evidence from Binary Logistic Regression. International Journal of Business and Management , 6 (12). DeLoach, J. (2012, June 25). Retrieved December 10, 2013 from Corporate Compliance Insights: http://www.corporatecomplianceinsights.com/coso-iso-31000-or-another-ermframework/ NCSU (Director). (2012). How ERM may impact credit ratings [Motion Picture]. 57
Fraser, J., & Simkins, B. J. (2007). Ten Common Misconceptions About Enterpris Risk Management. Journal of Applied Corporate Finance , 19 (4), 77-85. Huberman, A. M., & Miles, M. B. (2002). The qualitative researcher's companion. Sage Publications. Harvey, J. (2008). Enterprise Risk Management - Topic Gateway. CIMA. Harrison, J., & Raimo, C. (2011, March 7). Proactive Risk Management with SAP BusinessObjects – Leveraging Technology to Gain Enterprise Transparency and Rapid Insight into Changing Business Conditions. KPMG. (2008). Understanding and articulating risk appetite. KPMG Publications . Liebenberg, A. P., & Hoyt, R. E. (2011). The Value of Enterprise Risk Management. The journal of Risk and Insurance , 78 (4), 795-822. Liebenberg, P. A., & Hoyt, E. R. (2003). The determinants of Enterprise Risk Management : Evidence from the appointment of Chief Risk Officers. Risk Management & Insurance Review , 6 (1), 37-52. NCSU, E. i. (Director). (2012). How ERM may impact credit ratings [Motion Picture]. Nocco, W. B., & Stulz, M. R. (2006). Enterprise Risk Management: Theory and Practice. Journal of Applied Corporate Finance , 18 (4), 8-20. McKinsey. (2010, February). A board perspective on enterprise risk management. McKinsey Working paper on risk (18). Meulbroek, L. K. (2002). A senior manager's guide to Integrated Risk Management. Journal of Applied Corporate Finance , 14, 56-70. Miles, M. B., & Huberman, A. M. (1984). Qualitative Data Analysis. Sage Publications. Quinn, R. L. (2009, February 26). From The Evolution Of Enterprise Risk Management: http://www.investopedia.com/articles/fundamental-analysis/08/enterprise-riskmanagement.asp Protiviti. (2010). Board Risk Oversight: A Progress Report. Protiviti. Protiviti. (2010). Current state of enterprise risk management. Protivit , 4 (4). 58
Protiviti. (2006, January). Guide to Enterprise Risk Management. Slagmulder, R., & Boicova, M. (2012). Integrating Risk into Performance: Reporting to the Board of Directors. CGMA. SOX-Online. (2013, October). About the COSO Framework: Background and Essential Facts . From SOX-online: http://www.sox-online.com/coso_cobit_coso.html The Conference Board. (2006). The Role of U.S. Corporate Boards In Enterprise Risk Management. Research Report. Van den Berghe, L. A., & Baelden, T. (2005, August 26). The Monitoring Role of the Board: one approach does not fit all. Corporate Governance: An International Review . Yatim, P. (2010, March). Board structures and the establishment of a risk management committee by Malaysian listed firms. Journal of Management & Governance . Woods, M. (2010). Reporting and managing risk. CIMA, Research executive summary series , 6 (8).
59
12. Attachments 12.1. Attachment 1
Risk information reported to boards of directors, Source: (Ballou, Heitger, & Stoel, 2011)
60
12.2. Attachment 2 Interview Questions: •
Hoe lang is het bedrijf al actief bezig met risicobeheer?
•
Waarom al/nog maar XXX jaar? Wat was de trigger voor aan actieve risicobeheersing te doen? Is dit geadapteerd van andere bedrijven, was het een vereiste voor publiek te gaan of is er een andere bepaalde reden?
•
Bent u bewust van bedrijfswijde risicobeheersing (Enterprise risk management)?
•
Van wie of van waar kwam het initiatief om aan bedrijfswijde risicobeheersing te doen (zoals bv het COSO framework)?
•
Heeft het bedrijf een welbepaalde risico appetijt/filosofie?
•
Wat is uw rol als bestuurder in het risicobeheer van de organisatie?
•
Hoe actief is uw rol als bestuurder m.b.t. risicobeheer?
•
Vindt u dit voldoende, of vindt u dat u een meer actievere rol mag hebben?
•
Wie is de interne leider omtrent risicobeheer binnen het bedrijf? Zijn er specifieke sleutelpersonen of organen die gespecialiseerd zijn in het risicobeheer van het bedrijf?
•
Rapporteert dat orgaan/ die persoon rechtstreeks aan de raad van bestuur?
•
Heeft u als bestuurder enige zeggenschap over hoe er gereageerd moet worden op risico’s?
•
Welke rapporten omtrent risico’s worden ontwikkeld voor de raad van bestuur?
•
Is de verkregen informatie/rapporten rond de risico’s voldoende om uw monitor/overzicht verantwoordelijkheden te vervullen?
•
Bent u op dit moment bewust van de grote risico’s waar het bedrijf aan bloot gesteld zijn?
•
In welke richting denkt u dat het risicobeheer van het bedrijf zal gaan? Is er nog ruimte voor verbetering of vindt u het voldoende?
•
Wat denkt u over de toekomst van bedrijfswijde risicobeheer? Zal dit meer geïntegreerd zijn binnen het bedrijf?
•
Wat denkt u dat uw rol zijn m.b.t. risicobeheersing in de toekomst zal zijn?
61
12.3. Attachment 3 Interview with executive director Company A: Hoe lang is het bedrijf al actief bezig met risico management? Ik denk dat elk bedrijf daar op een bepaald moment misschien zelfs onbewust mee bezig is, maar door het feit dat wij een beursgenoteerd bedrijf zijn moeten wij meer formeel en formalistisch die risico’s inschatten. Zoals ja kan zien in ons jaarverslag is risicobeheer het eerste topic dat je op je maag krijgt. Wij zijn daar eigenlijk altijd mee bezig geweest, maar natuurlijk sinds dat de regelgeving en de perceptie van mensen voor risico’s veranderd zijn, vooral sinds de calamiteiten van 2008-2009. Wat was de trigger om aan meer formele risicobeheer te doen? Hoe de risicotemplate net formeel tot stand is gekomen weet ik ook niet meer juist, dat is al jarenlang dat we daar nu mee bezig zijn. Der is daar vroeger eens over nagedacht en nu houden we die dagelijks up to date wanneer er iets wijzigt. Voor dat we in Roemenië actief waren, zou ik niet gezegd hebben dat Oost-Europa en Centraal-Europa een risico is voor ons. Nu is dat wel iets waar we ons mee moeten bezighoud. Bent u als bestuurder bewust van Bedrijfswijde Risicobeheer, zoals wat het coso framework probeert te bereiken? COSO is inderdaad gebruikt geweest om onze lijst up to date te houden, er zijn al veel grotere bedrijven die ook echt een specifieke risk manager hebben, wij hebben wel een risk officer maar die doet ook veel andere zaken. Een risk officer is een meer formalistische zaak, iedereen moet bezig zijn met risico’s. Iedereen in zijn domein moet alle risico’s herkennen, wij proberen iets te maken dat iedereen naar alles oren heeft. Wij proberen buiten het framework van je eigen departement te denken, hebben wij een bonussyteem dat gebaseerd is op de winst, dat maakt dat iedereen nadenkt bij de zaken die ze doen of wat ze willen doen? Komt de target van 4euro per aandeel niet in gevaar? Zodoende, komt mijn eigen bonus ook niet in gevaar? Heeft WDP een welbepaalde risico appetijt/filosofie waar het rond werkt? wij werken in een framework als een 4 jaren plan dat we nu hebben, waarin we de lijnen uitzetten voor wat we in die 4 jaren willen doen. We willen de business later groeien met 50%, dat is een zeker risico, maar financieel en management gewijs denken we dat we dat aankunnen zonder uitermate veel grote risico’s te nemen. Dit zijn we nu aan het uitbouwen, maar tussen droom en daad de staat helaas de werkelijkheid zoals we zeggen. Het is niet zo dat het allemaal vlekkeloos verloopt, hier en daar komen we wel een rimpel tegen en die proberen we dan goed te managen. De stijging van 600miljoen aan activa is een target, maar we gaan dat niet doen aan om het even welke prijs. We gaan daarvoor geen slechte gebouwen kopen of minder goed gaan bouwen, we daarvoor geen minder goede prijzen geven. In 2008 zijn onze afschrijvingen altijd beperkt geweest vergeleken met andere bedrijven die investeringen deden met andermans geld, daar gaat onze filosofie niet naar toe. Wat is uw rol als bestuurder in het risicobeheer van de organisatie? Ik denk dat ik een beetje atypisch ben in die zin dat ik uitvoerend voorzitter ben, en ik ben dus ook een onderdeel van het management team. Het is niet zo dat ik hier als voorzitter maar één keer per maand ben. Ik ben hier regelmatig, ik ken het reilen en het zeilen en regelmatig hebben ik en Tony en Joost (CEOs) informele vergaderingen waarin we samenzitten en zeggen van gaan we dit doen en gaan we dat doen, wat is onze strategie? Dus ik probeer dus op een regelmatig basis mee de risico’s te managen. 62
En de rest van de raad van bestuur, zoals de niet uitvoerende bestuurders, wat is hun rol? Dat is minder, één maal per jaar maken we ons budget en ons lange termijn plan op en daar wordt dan ook gekeken naar de verschillende risico’s, gaande van wat gaat de rente doen? Dus het renterisico, en daar komt dan een beslissing uit met de hele raad van bestuur. Dit geldt ook voor andere risico’s, zij hebben natuurlijk de input van andere raden van bestuur en kunnen dus andere zaken aanbrengen. Maar er is geen over geformaliseerd proces die hun een specifieke rol oplegt m.b.t. risico’s. Is uw rol als bestuurder vrij actief? En die van de niet-uitvoerende bestuurders? Mijn rol is veel actiever dan de niet-uitvoerende zeker tijdsgewijs, maar hun inbreng wanneer het raad van bestuur is omtrent de risico’s is wel belangrijk. Wij brengen dan verslag uit tegenover hen en de guide Lines de ze ons dan geven proberen we ook zo goed mogelijk op te volgen. Deze guide lines worden gegeven in 3maandelijks meetings met de raad van bestuur. Vindt u uw rol actief genoeg? En die van de andere leden van de raad van bestuur? Ik heb nog niets opgemerkt van een vraag naar een nog actievere rol, vooral omdat tot nu toe nog geen grote fout/No go actie gemaakt hebben. Misschien als er een grote stommiteit zou begaan worden, zou er nog meer aandacht besteed kunnen worden. Maar ik denk dat iedereen blij is met het niveau van aandacht dat we besteden aan de risico’s. Is er een interne leider voor risico’s binnen het bedrijf, dus bepaalde sleutelpersonen, organen die meer met het risicobeheer bezig zijn? Organen zou ik niet zeggen, maar de CFO speelt in ons bedrijf wel een pivot rol in het risico beheer. Maar door het feit dat we zo een kleine firma zijn qua personeel, 30-40 mensen, is dit bij ons minder formeel gestructureerd. Rapporteert de CFO en de mensen die bezig zijn met de risico’s rechtstreek aan de raad van bestuur? Ja, de CFO geeft elk jaar een volledig rapport over de risico’s aan de raad van bestuur. Heeft u als bestuurder enige zeggenschap over hoe er gereageerd moet worden op risico’s? Ja aangezien ik uitvoerend voorzitter ben, manage ik dus samen met de gedelegeerde bestuurders rechtsreeks de risico’s. Welke rapporten omtrent de risico’s worden ontwikkeld voor de raad van bestuur? Er wordt één maal per jaar als onderdeel van het jaarverslag een risicoverslag gegeven met de stand van zaken van de huidige risico’s. Vooral op het financiële vlak, alle risico’s die tot uiting gekomen zowel negatief als positief worden meegenomen in de rapportering en leiden tot een nieuwe forecast. Maar dagdagelijkse risico’s of situaties die niet de grootste dreiging vormen worden niet formeel afgehandeld, maar eerder ad hoc. Is de verkregen informatie rond de risico’s voldoende om uw rol als bestuurder te vervullen? Ja ik denk dat wij op dit moment voldoende weet hebben van de risico’s die we hebben, ik dat we die voldoende beheren in de zin dat we daar een schatting kunnen op maken hoe ze zullen evolueren en wat ze eventueel zullen te weeg brengen als kosten. Zowel financieel als andere vlakken. Bent op dit moment bewust van de grote risico’s waar het bedrijf aan bloot gesteld zijn? Ik denk persoonlijk van wel ja En de rest van de raad van bestuur? Ja iedereen is volledig van bewust. 63
In welke richting denkt u dat het risicobeheer van het bedrijf zal gaan? Is er nog ruimte voor verbetering? Ik denk dat er altijd ruimte is voor verbetering. Ik denk dan inderdaad over het feit dat wij vooral een bedrijf waren dat alleen in België actief was, nu zitten we al in vier landen. Dus ik denk dat we dat nog meer zullen moeten formaliseren naar de toekomst toe. Om een voorbeeld te geven, vandaag zitten we met 50miljoen euro assets in Roemenië, de dag dat we daar met 150mio euro zitten gaat dat wel je risicoprofiel beïnvloeden. Dan zal er sowieso meer aandacht aan moeten besteed worden. Wat denkt u over de toekomst van ERM? Zal dat ook meer geïntegreerd zijn binnen dit bedrijf? Ik vind dat het risk gegeven soms wat te ver is doorgeslagen, ik vind het altijd aberrant dat ons jaarverslag begint met een hele resem van risico’s en alles rond het risicobeheer. Ik zou liever eerst wat de opportuniteiten aan de dag brengen. Ik zie bij veel bedrijven dat toch het entrepreneurship vermindert omwille van het risk management. Ik zat toch ook in een bedrijf waar 300000 man werkt en zie toch dat risk management daar toch leidt tot ellenlange rapporten die maken dat er dan een spanningsveld ontstaat tussen de do’ers, zijnde de mensen die omzet creëren en de mensen die risk management doen. Het is een tweesnijdend zwaar. En het is de gulden middenweg tussen die formalisering en de entrepreneurship dat moet gevonden worden. Wat denkt u dat uw rol zal zijn m.b.t. risicobeheersing in de toekomst? Zal u nog meer uitgesproken rol hebben? Mijn houdbaarheidsdatum is op dat vlak bijna bereikt. Ik zeg dat common sense het gene is wat men in het bedrijfsleven nodig heeft en niet te veel met geld van iemand anders werken, want dat leidt tot aberraties. In onze branche zijn de grootste afschrijvingen gebeurd bij Amerikaanse bedrijven die bezig waren met geld van andere mensen. Hebzucht is iets van alle tijden, maar hebzucht met het geld van iemand anders is nooit goed.
12.4. Attachment 4 Interview with a non-executive directer of Company B: Hoe lang is het bedrijf al actief bezig met risicobeheer? Ik denk dat het nog ongeveer 4-5 jaar is dat we een formeel proces hebben van risicoanalyse en risicobeheer. waarom zeg ik een formeel proces. Ik denk dat wanneer het gaat over risicomanagement en de rol raad van bestuur dat je sowieso een onderscheid moet maken in het eigenlijke risicomanagement als normaal onderdeel van een strategisch proces. Waaraan ik dan vooral denk aan, de rol van de raad van bestuur is om strategische lijnen uit te zetten. Natuurlijk ook om te zorgen dat de financiële kant van het bedrijf goed bewaakt is. Dus in deze zin denk dat het dus de rol is van de raad van bestuur om bij alle beslissingen het aspect risico mee te nemen. En dus niets bloot te stellen aan financiële risico’s en onnodige business risico’s. Dat vind ik dus belangrijk deel uit maken van elke grote beslissing. Daarnaast heb je meer het formeel risicomanagement proces. Dit is dus het in kaart brengen van aan welke risico’s het bedrijf kan blootgesteld worden. Zullen we dat meten, in lijn met het sociaal ondernemen, inlichtingen nemen bij verschillende stakeholders waaronder de raad van bestuur. Dus als ik het heb over een formeel risico management proces dan denk ik toch een jaar of 4,5,6. Was er een bepaalde trigger voor aan die formele risicomanagement te doen? Om eerlijk te zijn, dat weet ik niet echt. Ik denk dat het gewoon past in het kader van goeie Governance, en dat er bij veel bedrijven waar er een beursvorming is gebeurd dat risico management en dat
64
formeel risicomanagement proces en het betrekken van de raad van bestuur daarbij deel uitmaakt van een goeie corporate Governance. En dat Kinepolis daar goed voorbeeld van is. Was het publiek gaan van Kinepolis daar een drijver van? Had dat een grote invloed? Neen, daar heeft het niets mee te maken want Kinepolis was al veel langer beursgenoteerd. Bent u bewust van bedrijfswijde risicobeheersing, zijnde ERM? Ja ik denk dat er inderdaad achter het systeem ERM en best practices en zo worden toegepast. Zowel aan welke risico’s staat het bedrijf bloot, welke mogelijke impact zouden de risico’s hebben, wat is de waarschijnlijkheid dat ze zich zullen voordoen. Dus eigenlijk wat ik denk, ik ben in deze materie geen expert, maar wat dus de klassieke elementen zijn van het ERM systeem. Kwam het initiatief om ERM toe te passen van een bepaald iemand/orgaan binnen het bedrijf? Dat weet ik eigenlijk niet. Is er een bepaalde risico filosofie/appetijt waar het bedrijf zich aan houdt? Ja absoluut, ik denk dat je als bedrijf natuurlijk rekening moet houden met een bepaalde ondernemerschap en groei, maar zeker met een wat conservatief behoudt met betrekking tot het risicoprofiel. Wat is uw rol als bestuurder dan omtrent het risicobeheer van het bedrijf? wel dus de raad van bestuur wordt actief betrokken bij het risicomanagement proces en dus ook de inschatting van welke de risico’s waar het bedrijf aan bloot staat. ERM is een formeel agenda punt op de raad van bestuur die eenmaal per jaar uitgebreid aan bod komt. Vindt u dat een voldoende actieve rol? Of zou het nog actiever mogen? Voor mij is het een voldoende actieve rol, aangezien er toch wel een input wordt gevraagd en we die dan ook geven. Ook tijdens de analyse die toch ook vrij richting gevend is denk ik toch dat we een vrij richting gevende rol spelen en voldoende actief. Het is ook dat je ziet na een verloop van tijd, je zit in een bepaalde sector waar de risico’s, zeker de omgevingsrisico’s niet echt veranderen. Het is niet dat het om de 2 maand of zelfs om het jaar volledig anders is. Eigenlijk zie je daar in grote mate een stabiliteit in. Voor de dingen die je niet direct ziet aankomen is het misschien het best om een voldoende breed perspectief te houden en niet te specifiek gaan. Wat ik nuttig vind is om het formeel risicoproces misschien te gebruiken als een kapstok naar het informele toe en naar de strategie bepaling toe. Dus de doorsnede van uw riskmanagement en de analyse van de risico’s en je strategie definiëring is heel belangrijk Is er een interne leider omtrent risicobeheer binnen het bedrijf? Ja er is een soort CRO die zich bezig houdt met het beheer van de risico’s en de interne controle. Die is daar niet full time mee bezig alleen bij Kinepolis. Die heeft daar expertise in opgebouwd en zorgt op dat vlak wel voor continuïteit binnen het proces. Voor de rest zijn er geen formele entiteiten die zich binnen het bedrijf nog bezig houden met de risico’s. Rapporteert deze persoon rechtsreeks aan de raad van bestuur? Ja en dit gebeurd in onderlinge dialoog. Heeft u als bestuurder enige zeggenschap over hoe er gereageerd moet worden op risico’s van het bedrijf? Zeker, het is niet alleen goedkeurend, de raad van bestuur speelt zeker een rol in deze beslissingen en ook dit gebeurd in onderlinge dialoog met de directie. 65
Welke rapporten omtrent risico’s worden ontwikkeld voor de raad van bestuur? Wel er is een inputbevraging bij de verschillende stakeholders, over wat de risico’s zijn, wat hun probabiliteit is en wat de mogelijke impact is. Op die manier wordt zo een jaarlijks risico rapport mee samengesteld, welke dan volledig besproken wordt één maal per jaar bij een samenkomst van de raad van bestuur. Er wordt niet meermaals per jaar samengekomen, aangezien de risico’s ook niet bepaald fluctueren. Is de verkregen informatie voldoende om uw monitoring / overzicht functies uit te voeren? Ja ik vind van wel, natuurlijk beperkt de inschattingen van een bestuurder zich niet alleen tot het risk management rapport, we nemen alles in achting en het hele jaarverslag en alle andere informatie is zeker genoeg om mijn job te doen als bestuurder. Bent u op dit moment bewust van de grote risico’s waaraan het bedrijf is bloot gesteld? Ja dat denk ik wel, voor zover ik weet wel. In welke richting denkt u dat risicobeheer binnen Kinepolis zal gaan? Is er ruimte voor verbetering? Ik denk dat we daar naar stabiliteit zullen gaan via het verder zetten van het systeem waar we nu mee bezig zijn. Ik ben er geen expert in, maar we hebben er allemaal goed naar gekeken of het systeem rigide is en voldoet aan de eisen. Dus ik denk dat het op dit moment zeker genoeg is. Denkt u dat ERM nog meer zal geïntegreerd worden bij Kinepolis? Wat ik een beetje vind is dat je je kan gaan focussen op dat formele proces, het is te zeggen dat is de kapstok die we moeten verder doortrekken. Maar waar ik denk dat we de waarde kunnen halen uit het risk management, is om het RM en het risico inschatting meer te laten doorsijpelen doorheen het dagdagelijkse wat deel uitmaakt bij het nemen van beslissingen, van business cases opmaken. Dat het meer geïntegreerd wordt in het algemene bedrijfsvoering in plaats van het als een stand alone proces te zien. We hebben nu zo een risk management proces geïmplementeerd en doen de best practices, het is niet zomaar dat we dat gedaan hebben gewoon om iets te doen. Het is de bedoeling dat je daar waarde uithaalt. En ik weet niet juist wat het beste model is, maar dat is waarschijnlijk wat zoeken. Het risk management proces moet kunnen leiden tot discussie en moet iets nuttig zijn dat actief kan gebruikt worden binnen het nemen van beslissingen. Het zou inderdaad misschien een verbeterpunt kunnen zijn om het vanuit de raad van bestuur nog iets meer te laten integreren, dat gaat dan via het operationele management moeten gebeuren. RM rol naar de toekomst toe? Het huidige niveau is voldoende, en misschien het perspectief risico meenemen in alles, zonder dat risico’s u verlammen. Want je kunt geen bedrijf laten draaien met alleen maar naar de risico’s te kijken want dan doe je niets.
12.5. Attachment 5 Interview with a executive director of Company C: Hoe lang is het bedrijf al actief bezig met risicobeheer? Ik ben bij het bedrijf sinds 2010, en ervoor hadden zij de gewoonte om met een risico map te werken. En ik denk dat ze als sinds het oprichten van de corporate Governance code daar al mee bezig zijn geweest en hier toch één van de voorlopers mee waren.
66
Is er een reden waarom ze al zolang mee bezig zijn? Ik weet niet waarom ze er mee begonnen zijn, dat was ook voor mij tijd bij het bedrijf. Het bedrijf is ook bezig met Enterprise Risk Management, waar ze zich baseren op het Framework van de COSO, vanwaar kwam dit initiatief? Dat was ook al voor mij tijd bij Ter Beke, maar dat wordt inderdaad toegepast. We hebben een interne audit afdeling, die met het COSO framework eigenlijk de procedures binnen het bedrijf controleert, analyseert en adviseert tot verbeteringen en dat wordt volledig volgens het framework gedaan. Wat is uw rol als bestuurder in het risicobeheer van het bedrijf? Wat ik zelf doe, is 2 maal per jaar ga ik de risico map zoals we die hebben met het directiecomité bespreekbaar maken. We doen dat in 2 richting, het directiecomité maakt een inschatting van de grootste risico’s volgens belangrijkheid en de likelihood dat ze gaan gebeuren en onze interne auditor doet dat dan ook op basis van de gesprekken dat zij gevoerd heeft binnen de organisatie. En dan vergelijken we of de ideeën van het management overeen komen met het COSO framework analyse van onze interne auditor wat nogal een vrij statische analyse is. En hetgeen ik er nu wil aan toevoegen als uitvoerend bestuurder is een dynamische analyse, in die zin om te kunnen vast te stellen in wat de maatregelen te weeg brengen die bepaalde risico’s willen te weeg brengen over tijd. Deze analyse kan dan gemaakt worden over een grote periode. We zitten in de raad van bestuur met 9 mensen en we zitten met mensen die ook in veel andere bedrijven waar andere inzichten rond risicobeheer aanbod komen. En zo komen we samen op dingen terecht die we mogelijk willen toepassen bij het bedrijf, zoals bv onlangs die dynamische analyse. Dus de raad van bestuur speelt wel een rol actieve rol in het risicobeheer? Het gebeurd eigenlijk niet in de raad van bestuur als dusdanig, het gebeurd eigenlijk in het audit comité. Dat is de standaard verantwoordelijkheid van het audit comité. En bepaalde leden van de raad van bestuur vormen dan het audit comité dat eigenlijk als orgaan onder de raad van bestuur fungeert. De raad van bestuur heeft een aantal organen, het klassieke is het audit comité en dan heb je ook nog de benoeming & remuneratie comité. En in bepaalde bedrijven heb je ook nog een strategisch comité, en de verantwoordelijkheid van deze comités is eigenlijk het voorbereidend werk te doen om dan uiteindelijk adviezen te geven aan de voltallige raad van bestuur. Maar het is nog altijd de voltallige raad van bestuur die besluiten nemen, de comités zijn er enkel om adviezen te geven. De bestuurders van die comités hebben ook bepaalde achtergronden, bv : het audit comité heeft vooral mensen nodig met een meer financiële achtergrond. Heeft het bedrijf dan ook een bepaalde risicobeheer filosofie waar het zich aan houdt? één van de aspecten waar wij op staan is bijvoorbeeld, “no compromise on quality”. We hebben gedefinieerd wat we daar onder verstaan en we zullen ons daar aan houden. Zeker in onze branche van voedsel is food safety één van de cruciale elementen waar we niet door getroffen kunnen worden. We hebben een heel sterke QA en R&D afdeling die ervoor zorgen dat aan alle voorwaarden wordt voldaan. En wanneer is het eigenlijk sterk gegroeid, dat is door de audits die verplicht gedaan worden door onze klanten. We hebben zelf audits waardoor we gecertificeerd worden, maar er zijn dus grote klanten uit Europa die ons komen auditen, om te zien of op vlak van standaarden en procedures alles voldaan wordt. Hoe actief is uw rol dus als uitvoerend bestuurder m.b.t risicobeheer? En die van nietuitvoerend bestuurders? Ik als uitvoerend bestuurder en gedelegeerd bestuurder heb natuurlijk een heel actieve rol. De rest van de raad van bestuur komt één maal per jaar samen 67
voor de risico’s te bespreken, en krijgen ze een rapportering omtrent de situatie van de risico’s. Dat gaat dus eerst via een interne auditor die een rapportering maakt, deze legt ze voor in het audit comité. En dan vroegen bepaalde bestuurders van het audit comité, hoe was dat in 2012 met deze risico’s. Meestal wijzigen risico’s bijna niet, meestal is dat per jaar bijna een kopie van en vandaar dat de vraag ook komt omdat eens dynamisch te zien om te zien hoe dat evolueert. Die discussie heeft plaats gevonden in het audit comité en dan legt de voorzitter van het audit comité dit voor aan de hele raad van bestuur. Dus het audit comité is toch wel een vrij belangrijk orgaan? Heel belangrijk, cruciaal voor het bedrijf. Is die rol actief genoeg ? Ik zelf als afgevaardigd bestuur wil dat met het directie comité 2x per jaar hierover samen komen. Maar met de raad van bestuur is 1x per jaar genoeg. Je hebt veel raden van bestuur waar er zelf geen aandacht aan wordt besteed. Ik denk dat wat dat betreft, we toch wel een voorbeeld zijn hoor Is er een interne leider omtrent het risicobeheer binnen het bedrijf? Ja de Interne auditor, dat is één persoon. En is er een CRO? De interne auditor heeft dat ongeveer op zijn verantwoordelijkheid. Een chief risk officer zie je meer bij de banken en bij hele grote bedrijven zoals een shell, chemiebedrijven. Maar bedrijven bij onze van grote ga je dat niet vinden. Rapporteert deze interne leider rechtsreeks aan de raad van bestuur? Die rapporteert rechtsreeks aan het audit comité en deze rapporteert dan aan de voltallige raad van bestuur. Heeft u als bestuurder, en de raad van bestuur in het algemeen enige zeggenschap over hoe er gereageerd moet worden bij het optreden van risico’s? Of is het eerder goedkeuren van de plannen? Neen er zitten veel bestuurders met ervaring die echt een eigen mening vormen als er gerapporteerd moet worden over een risico. Dan kan de interne auditor bevindingen geven, maar uiteindelijk komen de conclusies en de besluitvorming echt van de bestuurders zelf. Het is zo dat een raad van bestuur andere dingen kan toevoegen om dingen aan te pakken, dan dingen die een interne auditor weet. Deze heeft vaak een beperkter gezichtsveld en een bestuurder moet een breder gezichtsveld hebben. Welke rapporten omtrent risico’s worden ontwikkeld voor de raad van bestuur? Dat is met een risk map, dat is een map dat je maak dat aangeeft op een grafiek, de importance to the business en the likelihood dat zich iets voordoet. En dus degene met een hoge likelihood en hoge risico moet je in de gaten houden en dat is dus gemakkelijk zichtbaar. Dit is maar een samenvatting natuurlijk, maar per onderdeeltje van een risico is er nog een volledige uitwerking achter. Volledig uitgeschreven met kwantitatieve berekeningen waarom de risico’s zo hoog zijn en wat er zou kunnen gebeuren, de mitigerende acties dat het bedrijf al genomen heeft en wat er nog zou kunnen gebeuren. Dus dat wordt heel uitvoerig gerapporteerd. Bekijken jullie eerder de samenvatting? De raad van bestuur bekijkt inderdaad meer naar het oppervlakkige samenvatting van de risico’s met de risk map enzo, terwijl het audit comité wel meer in de diepte gaat op deze risico’s. Dus het audit comité krijgt meer rapporten dan de voltallige raad van bestuur? Nee, bij het bedrijf nu niet meer omdat we ze sinds kort allemaal online op een platform zetten toegankelijk voor alle leden van de raad van bestuur. Is de verkregen informatie rond de risico’s voldoende om verantwoordelijkheden uit te voeren ? of zijn er dingen die nog ontbreken? Ja, dus zoals ik zei de dynamiek in de 68
risico’s zou ik nog op kaart willen gezet hebben om daar eens te kunnen naar kijken. Je kijkt ook vaak naar andere bedrijven op dat vlak, stel dat er iets bij een ander bedrijf heeft voorgedaan. Bv een brand in één van hun fabrieken, hoe gaan ze daar mee om en wat is het risico. Daar staan wij dan ook eens over stil natuurlijk over hoe je zulke dingen opvangt. Naar uw mening is de informatie die u verkregen hebt voldoende? Ja die is voldoende, ik denk niet dat ik iets zal missen. Bent u en misschien ook de onafhankelijke bestuur op dit moment volledig bewust van wat de grote risico’s zijn van het bedrijf? Ja, ik wel toch, maar de bestuurders zullen top of their mind misschien niet alle risico’s kennen, maar daarvoor is er dus die beschikbaarheid van alle documenten als ze er eens willen naar kijken. In welke richting denkt u dat het risicobeheer van het bedrijf zal gaan? Is er nog ruimte voor verbetering? Hoh, het gene wat zouden kunnen doen is het nog lager in de organisatie brengen. Bedoelt u het dan ook formaliseren? Ja dan moet je toch wel een stukje formaliseren wat ook niet altijd even evident is. Door het COSO framework is de interne auditor ook al wat bezig met het middle management, maar ja om het nog meer uit te diepen en te integreren weet ik niet of ik het voordeel er van in zie. Wat denkt u over de toekomst over ERM zelf? Ik denk dat je daar verschillende niveaus gaat krijgen, en het gevaar is het opschuiven naar het niveau dat die Amerikanen willen. En dat zijn alleen maar papieren bundels van formalizing en overformalizing en dan moet je eigenlijk proberen een gezonde middenweg te zoeken. Een midden weg tussen Formalisering en Gezond verstaan/Entrepreneurship. Is het dan beter om ad hoc te reageren, dan dat er iets formeel op papier staat? Neen ik denk dat je altijd iets op papier moet hebben, de vraag is natuurlijk hoe diep je het moet doen. Dezelfde structuur zoals we hier hebben vind ik niet overdreven, dat is hanteerbaar en dat is werkbaar. Het beschermt veel bedrijven voor ongelukken die ze tegen komen waar ze anders niet aan gedacht hebben en ad hoc gaan denken er aan, dan is het meestal te laat hé. Wat denkt u wat uw rol als bestuur in risicobeheersing zal zijn in toekomst? Ik denk dat het belangrijk is dat de raad van bestuur, meer dan één keer per jaar er bij stil staat. Dus dat er één of ander vorm bewust zijn is over de risico’s voor het bedrijf, bij veel raden van bestuur is dat dus niet. Dus mijn rol is ook bij bedrijven waar het niet bestaat de vraag te stellen, één maal per jaar wil ik hierover vergaderen. En zo ook het management ook verplichten om een denk oefening te doen van hoe, en daarom is het niet altijd het COSO framework dat ze moeten gebruiken. Maar toch een bepaalde structuur om alles in kaart te brengen en te reflecteren wat alle risico’s zijn. Dat is dus een rol dat ik dus kan innemen als onafhankelijk bestuurder, zoiets in de agenda plaatsen. Dat vind ik dus goed voor bedrijven en meestal komt er wel iets van als je dat op de agenda plaatst. Zijn de meeste bestuurders wat vertrouwt met de risico’s en risicobeheer? Ja ik zou zeggen de meeste wel, de één natuurlijk meer dan de andere. Maar dat hangt natuurlijk af van de sector waarin ze gewerkt hebben en de ervaring die ze er hebben opgedaan.
69
12.6. Attachment 6 Interview with a non-executive director of Company D: Ik zal eerst vlug wat een inleiding geven en wat uitleg geven rond mijn ideeën en daarna vraagt u anders maar nog enkele relevante vragen. Ik ben bestuurder bij Umicore, ik ben bestuurder bij Armonea en dan nog voorzitter van een start up Restore. Bij Umicore is dus er niet echt een risico manager, er is ook niet echt een aparte compliance manager. Maar wij hebben een heel goed uitgebouwd interne audit systeem en daar kan je altijd meer informatie rond vinden in ons jaarverslag. Efkes over die risico’s, wat zijn de grootste risico’s bij Umicore? Er is altijd het gevaar van sociale conflicten, die al dan niet uit de hand lopen. Je hebt de ongevallen, ik moet het je niet vertellen, maar die 2 doden in Olen zijn daar zeer triestige illustraties van. En zeker in een bedrijf zoals Umicore is ereen enorm gevaar voor diefstal, met name vooral diefstal in edele metalen is een mega risico, dat zich namelijk elk jaar voordoet. Er is een enorm gevaar van wat ik noem een knowledge leak, het is een kennisbedrijf en als het kennis lekt dan is er een probleem. Het is een bedrijf dat continue gevaar loopt van allerlei environmental problemen te hebben omdat ze werken met aller soorten delicate grondstoffen. Het bedrijf is ook bloot gesteld aan allerlei dramatische schommelingen van materiaalprijzen. Je kunt prijzen hebben die crashen maar je kan ook het omgekeerde hebben. Er kunnen ook bevoorradingsproblemen zijn door bepaalde omstandigheden. Je weet dat er in de wereld iets bestaat wat men noemt “rare earth”, dat zijn schaarse materialen en ook de scrap en de electronic scrap zijn ook belangrijk voor ons, dus daar mag niets mis meegaan met logistiek en dergelijke. Dit zijn enkele grote risico’s buiten de klassieke risico’s. Tussen die verschillende risico’s in een onderneming kan je als bestuurder meer of minder doen om die te voorkomen, in een heel groot bedrijf moet je ten eerste al zien of uw audit team al een competent team is met een goede chief auditor. Als je geen goeie interne audit hebt, dan werkt je risicobeheer nooit. Ten tweede moet je zien dat alle controleprocessen in orde zijn. Daarnaast is uw taak als bestuur heel belangrijk om te zien wat er in de wereld evolueert en dat je niet blijft hangen in routine, maar dat je dus ook de nieuwe dingen ziet. Bijvoorbeeld, ik heb laatstleden een boekje uitgegeven in verband met cybersecurity waarin we dus guidelines geven hoe er moet omgegaan met cyber risico’s en dat is dan ook gericht op de audit comités. Daar kan natuurlijk iemand van de raad van bestuur het verschil maken in het beheer. Maar op een aantal andere domeinen kan je eigenlijk niet zo heel veel doen vanuit de raad van bestuur, je kan wel rapporten opvragen en dergelijke meer, maar eigenlijk moet je het echt overlaten aan professionals. Ik denk maar aan environment, dat is een metier op zich, arbeidsongevallen voorkomen dat is een systeem dat in fabrieken zit. Dat heeft met plantmanagement te maken, er zijn instellingen zoals Prevent in Belgïe die daar eigenlijk dag in dag uit mee bezig zijn met best practices uit te wisselen. Maar daar kun je als bestuurder eigenlijk weinig aan doen, je kan kijken of het een bepaalde prioriteit krijgt, de vraag of het wordt gerapporteerd naar de board e.d.. Dus al naar gelang de verschillende materies kun je als bestuurder meer of minder inzoomen op de risico’s. Hoe het systeem bij Umicore exact in elkaar zit weet ik niet exact van buiten, dat staat uitgebreid beschreven in het jaarverslag. Maar ik weet wel dat er elk jaar een heel sterke audit gebeurt waar dan ook een volledig audit plan wordt opgesteld dat wij dan goedkeuren. Is het dan het audit comité dat dit goedkeurt? Het audit comité keurt dat inderdaad goed, ik zit daar dan in. Ik heb nu onlangs ook in het audit comité gezegd dat ik gedurende 2 jaar in het audit plan een speciale track wil rond cybercriminaliteit en beveiliging. Natuurlijk Umicore is geen bank, een bank is verplicht een risk officer te hebben op het hoogste niveau. Wij hebben per plant een environment manager en voor arbeidsongevallen is dat ook per fabriek dat één ieder verantwoordelijk is en daar worden dan ook best practices uitgewisseld. 70
Maar we hebben nu niet voor risicomanagement en een aparte staf uit te bouwen. Umicore probeert zijn staf ook niet te uitgebreid te maken want als ze vergelijken met hun concurrenten zien ze dat zij dikwijls het best uitgerust zijn ter vergelijking met hun naaste concurrenten. Inderdaad, anders stel ik nu nog vlug enkele gerichtere vragen. Hoe lang is het bedrijf al actief bezig met risicobeheer? Dat weet ik eigenlijk niet, dat kunt u waarschijnlijk wel vinden in het jaarverslag (rond 2008 staat daar). Wat is uw rol en van de raad van bestuur zelf als het gaat om risicobeheer binnen de organisatie? Laat ons zeggen dat accent ligt op het audit comité, een aantal bestuurders zitten in het audit comité en een audit comité is dus extra mee bezig met de risico’s. Behalve omtrent risico inzake continuïteit, dat doen we in het remuneratiecomité. En die comités rapporteren dus aan de board, omtrent safety is er dan ook de gedelegeerd bestuurder die regelmatig rapporteert aan de board. Dus jullie zijn meer het goedkeurend orgaan als board? Ja, maar wij stellen ook wel vragen, over of we verzekerd zijn tegen bepaalde risico’s. Bv of de dramatische schommelingen in de prijzen van edele metalen gedekt zijn, tot hoever is dat gedekt, welke termijn en dergelijke, zo’n punctuele dingen willen wij als board zeker weten en uitleg over krijgen. Hebben jullie dan een actieve rol in het risicobeleid binnen de board, zijnde dus mee dirigeren omtrent antwoorden op risico’s en dergelijke? Ja dat gebeurt vaak ook in functie van de competentie van de board members, in mijn geval bijvoorbeeld, met dat ik nu een jaar heb samengewerkt met ernst & young en Microsoft heb gewerkt aan dat project rond cybercriminologie heb ik daar wel veel kennis op gedaan. Je bent dan board member in bedrijven en dan heb je wel iets extra te brengen voor een bedrijf en heeft ieder zo wel een meerwaarde. Op sommige punten hebben andere mensen dan niet veel kennis en expertise. Een raad van bestuur moet dus al het ware een polyvalente entiteit zijn. Dus omtrent een interne leider, er is geen sleutelpersoon of orgaan die zich binnen de organisatie zich bezig houdt met risicobeheer? Er is geen aparte staf daarvoor of een chief risk officer zoals bij de banken, maar er is bij Umicore een zeer groot bewust zijn bij de interne audit rond risico’s. Dit wordt voor een stuk dan vooral gecontroleerd door het auditcomité en het wordt aangestuurd door het directiecomité waar de divisiemanagers de leiders zijn. Welke rapporten krijgt de raad van bestuur dan omtrent de risico’s? Gewoonlijk krijgt de raad van bestuur hierrond geen aparte rapporten, dus der zijn twee instanties het audit comité en de raad van bestuur. Bij het audit comité krijg je echt dedicated reports over de risicobehandelingen. Maar de raad van bestuur krijgt dit dan thematisch volgens de verschillende producten. Daar zitten dan vooral de dingen bij die belangrijk zijn, en vooral cijfermatig, met de doelstellingen, welke voorvallen er zijn geweest en dergelijke. Zijn die verkregen rapporten volgens u voldoende om uw verantwoordelijkheden uit te voeren? Voor ons is het belangrijk dat er twee dingen gebeuren, één dat het bedrijf alert is voor nieuwe soorten risico’s en daar brengen allemaal onze ervaringen mee van de andere bedrijven waar de bestuurders ook nog bij zitten. En aan de andere kant willen wij dan weten waar er grote gevaren zijn en waar het misloopt. Maar wij zijn daar niet om te handelen omdat 71
we er van uitgaan dat die mensen die verantwoordelijk dragen, die eigenlijk topmanagers zijn. Dat we die als een schoolmoeder hun handje moeten vasthouden. We gaan er vanuit dat we die mensen kunnen steunen en hun een legitiem vertrouwen kunnen geven. Dus de verkregen informatie is zeker voldoende? Jaja zeker, en soms gaan we heel diep en vragen we heel gedetailleerde rapporten op wanneer bepaalde situaties zich voordoen, zoals bv een overname waar we echt alle risico’s moeten bekijken.
12.7. Attachment 7 Interview with a non-executive directer of Company E: Hoe lang is Sioen al actief bezig met risicobeheer ? Natuurlijk een bedrijf is bezig is met zijn risico’s in het algemeen, zij het van bij de start, dat weet ik niet zo goed. Maar in ieder geval, van zo lang ik er ben, ik ben er nu 7 jaar. Heeft Sioen in feite een bijzonder goed risicobeheer. Wat risicobeheer betreft, wil ik een onderscheid maken tussen algemeen risicobeheer en specifiek risicobeheer. En als ik het nu heb over het specifieke risico voor hen, is dat het klantenrisico. Ze hebben een intern systeem die op punt is gesteld, en dat is ook goedgekeurd door hun kredietverzekeraar ( dat is coface) en die hebben eigenlijk, wat zelden gebeurd, toegelaten dat Sioen mag werken met hun eigen risico systeem. Op afstand goedgekeurd door coface, en ze moeten natuurlijk de regels volgen. Maar als er iets gebeurt dan wordt een vergoeding uitgedaan. Dat is het enigste bedrijf waar het op die manier kan, van alle bedrijven waar ik bestuurder van ben. Ze hebben dus hun eigen systeem? Ja, hun eigen systeem, risicoafdeling waar 4/5 man werkt die de risico’s bestuderen, ter plaatse gaan bij de klant. Rapporten maken, evaluaties doorgeven. Risicolimieten worden weliswaar bepaalt door coface. Maar als ze daar binnenblijven en er zijn geen nieuwe elementen en ze hebben hun werk gedaan zoals het hoort, dus de regels gevolgd, dan wordt het altijd goedgekeurd door coface. Dat is dus het enige van de 15 bedrijven waar ik bestuurder ben waar ze zo iets hebben. Hoelang is dit formeelsysteem al geïmplementeerd? Ik denk toch al een jaar of 6, ik ben het niet zeker. Ze hadden al een trackrecord opgebouwd met coface, maar wanneer zo de toelating gekregen hebben van coface om zo te werken kan ik niet meer juist zeggen. Waarom is het dat 6jaar geleden een meer formeel systeem is geïmplementeerd? Was dat een vereiste? Of hebben ze dat van ergens gezien? Neen, uiteraard is het een textielbedrijf, waar er een evolutie was van de risico’s en dat men dat zo laag mogelijk wilde goeden. Het risico, laat ons zeggen, als je gaat naar een kredietverzekeraar, kost dat ongeveer 1% van uw omzet, dat kan wat meer of minder zijn. En men wilde dat dus toch heel goed in de gaten houden, te meer zoals in vele bedrijven heeft Sioen ook een paar grote klanten. Dus er is wel een grote spreiding van klanten, maar zoals in veel bedrijven heb je de 80-20 regel, en dat heb je daar ook. Maar dus die grote klanten worden dus ook verzekerd. Bent u als bestuurder (en de andere bestuurders) bewust van enterprise risk management? Dus bedrijfswijde risicobeheer? Ja we zijn daar zeker van bewust, ik ga niet zeggen dat het even uitgesproken is zoals u het zegt. Maar dan wil ik even overschakelen naar het algemeen risicobeheer. Want ik heb dat misschien niet gezegd, maar ik ben dus ook 72
voorzitter van het audit comité. En daar kijken we ook nog naar wat zijn dus eigenlijk de risico’s die we lopen. Productrisico’s, Productierisico’s, dus dat wordt wel in de bekeken. Maar dus één van de punten waarmee wij de risico’s goed in de gaten trachten te houden, is door het opvolgen van de claims, als er problemen zijn krijg je claims. Dat moet je goed volgen, uiteraard is dat niet proactief, dat is retroactief als ik het zo mag zeggen. Maar door het zo te doen leer je ook naar de toekomst toen, en dat is eigenlijk de praktijk hoe wij het trachten te beheren. Maar terugkerend omdat je nu specifiek risicobeheer vraagt, krijgt Sioen van mij veel punten. Zowel in de breedte als in de diepte. En tot nu toe hebben we ook nog niet veel accidenten gehad. Bent u bewust van andere soorten framework zoals die van het COSO, die waarschijnlijk gelijkaardig zijn aan het interne systeem die uitgebouwd is bij Sioen? Het zal waarschijnlijk gelijkaardig zijn, maar ik ga eerlijk zijn ik ken dat niet. Maar dat er een systeem is, ja, dat het door de audit van coface is gegaan ja, dat er een methodologie is, heel zeker. En die methodologie is volledig goedgekeurd door coface dus dat zal zeker goed zijn. Maar dat van de COSO ken ik niet. Heeft het bedrijf een welbepaalde risicofilosofie/risicoappetijt waar het altijd gaat rond werken? Absoluut. Ten eerste ,wat is het grote risico, is een zwaar verlies op een klant, dan heb je het debiteurenrisico en het verlies van omzet. Dat trachten wij zo goed mogelijk in de gaten te houden. Ten tweede, het volgen van de limieten die we toegekend krijgen en ons ook houden aan deze limieten. Maar bijvoorbeeld, we hebben een Russische klant en een Poolse klant, die niet voor krediet verzekerd zijn. En we hebben wel beslist als raad van bestuur, om een risico te nemen op die twee klanten op een bepaalde limiet. Dus we weten zeer goed, moest er ooit iets gebeuren met die klant, kan het bedrijf dat dragen en zullen er geen abnormale risico’s voorkomen. Omtrent het risicosysteem, van waar of wie kwam dat initiatief om dat toe te passen? De grootste impuls komt ongetwijfeld van de CFO, die is eigenlijk de drijvende kracht achter het geheel, ook voor het opvolging systeem en hij heeft dus ook de waardering gekregen van een externe audit (coface). Dus hij was vooral verantwoordelijk voor dit systeem en het initiatief kwam niet van de raad van bestuur? Dat zou kunnen, maar dat kan ik niet zeggen want het was van voor mijn tijd. In ieder geval, moest het er niet geweest zijn, dan zou ik er zeker op gewezen hebben als bestuurder. Wat is uw rol als bestuurder (en van de raad van bestuur in zen geheel), omtrent risicobeheer binnen de organisatie? Ik zou zeggen mijn rol is de nodige vragen te stellen, en de juiste vragen te stellen in verband met risico. Ik zal u een voorbeeld geven, in het audit comité, naast het presenteren van de claims zoals ik al zei. Presenteert men ook altijd de outstandings op de 20 belangrijkste cliënten, ook hoe dat ze verzekerd zijn of niet verzeker zijn. Of ze in overview zijn en hun betalingstermijnen respecteren. Dus per kwartaal wordt dat voorgelegd en kunnen we dus de risico’s opvolgen. Per kwartaal aan het audit comité? Ja, aan het audit comité. En aan de raad van bestuur zelf? Uiteraard, het audit comité is dus een advies comité en draagt altijd voor en geeft dus zijn idee omtrent de feiten, maar het is dus altijd de raad van bestuur die beslist. Hoeveel keer per jaar ontfermt de raad van bestuur zich rond risico’s? Wat we wel doen met de raad van bestuur is 1 of 2 keer per jaar denk ik, wordt het risicobeheersingssysteem uitgelegd aan de voltallige raad van bestuur. Overlopen jullie dan ook de risico’s? Ik ga niet 73
zeggen dat we dan de risico’s overlopen, omdat dat de taak is van het audit comité, maar men weet hoe men te werk gaat, wat de opvolgingen zijn, hoe het systeem in zen werk gaat. Ik heb geluk dat je eigenlijk Sioen vraagt, want het is niet overal zo! Ze zijn zeker onder de bedrijven waar ik nog bestuurder ben, het verst geëvolueerd. En bij andere bedrijven probeer ik dan ik d.m.v. mijn impulsen daar ook iets bij te brengen. Hoe actief is uw rol als bestuurder en die van de raad van bestuur omtrent het omgaan met de risico’s? Dat is geen gemakkelijke vraag natuurlijk, mijn collega’s die niet in het audit comité zitten, zijn ook begaan met de risico’s. Maar ik zou zeggen veel algemener, niet zo specifiek. Het is dan ook de rol van het audit comité om die rol te spelen. Zij doen dat ook, zij stellen ook vragen omtrent risico’s, maar het audit comité is er natuurlijk meer mee bezig. Bij de resultatenbespreking van een bedrijf komen er natuurlijk ook problemen naar boven en dan is het ook een gelegenheid voor hen om ook vragen te stellen. Zij leunen toch ook een beetje op het audit comité hoor, en terecht. Het audit comité is dus toch wel een heel cruciaal orgaan. Ja zeker en vast ! Vind u de rol dat de bestuurders hebben omtrent risico’s voldoende is? Waar ik ben ja, en het wordt heel ernstig genomen. Als ik Sioen bekijk, voor de risico’s die niet verzekerd waren, heb ik toch aangedrongen dat dat moest gekend zijn door de raad van bestuur en goedgekeurd worden door de raad van bestuur. Ook als belangrijke claims zijn, dat de raad van bestuur er wel van bewust zijn wat die claims zijn. Dus ze zijn er wel actief bij betrokken? Is er een interne leider omtrent risicobeheer binnen het bedrijf? Absoluut, onder de financiële directeur is er iemand die de cel risicobeheer leidt. Dus eigenlijk een Chief risk officer? Absoluut, en die heeft een 3 of 4tal personen onder hem, het is volledig uitgewerkt. En dit wordt dus ook officieel erkent door een buitenstaander. Bij de grote klanten gaat de risico cel dus ook ter plaatse, dus bij de klant in het buitenland, om een soort audit te doen op hun bedrijf. Rapporteert die cel dan rechtstreek aan de raad van bestuur? Neen dat rapporteert alles direct aan de CFO, en als het nodig is meldt deze het dan aan het audit comité. En eigenlijk wat risico betreft komt het altijd naar boven. Heeft u als bestuurder enige zeggenschap over hoe er gereageerd moet worden op risico’s? Ja toch wel, het is te zeggen, het audit comité kan aanbevelingen doen. En dus als er iets is, bijvoorbeeld het vaststellen van een limiet voor iemand die niet verzekerd is, dat de raad van bestuur dat weet dat er een risico loopt en ook welk risico we lopen. En dan geeft het audit comité een advies aan de raad van bestuur? Ja want het is altijd de raad van bestuur die beslist, het de raad van bestuur die ultiem beslist, ja/nee over hoe er gereageerd moet worden op een risico. Wij aanvaarden dat risico binnen de gestelde lijnen. Welke rapport, informatie wordt er ontwikkeld voor de raad van bestuur omtrent risico’s? Inzage van de rapporten zelf omtrent risico’s dat zien we niet, ik zie daar de resultaten van. Dat wordt ook een beetje gefilterd, zoals ik net al zei, de 2O belangrijkste klanten en de stand van zaken, wat de gemiddelde uitstaande dagen zijn/wat het zou moeten zijn, wat is er in overdue.. Maar daartoe beperkt het zich toe.
74
En is dat de informatie voor het audit comité of de raad van bestuur? Voor het audit comité, maar de raad van bestuur krijgt ook die informatie. Als je voor de twintig grootste pijlers ziet hoe alles gedekt is, en hoe alles er uitziet heb je al een goed beeld voor de rest ook. Is de gekregen informatie omtrent risico’s is genoeg om uw rol als bestuurder te kunnen uitvoeren. Absoluut, ik vind het zeker voldoende. Bent u op dit moment bewust van alle grote risico’s waaraan het bedrijf is bloot gesteld? Dat denk ik wel, dus zeker bij de grote lijnen. Ik ga het zo stellen, bij de 6 jaar dat ik er ben, zijn er geen verassingen naar boven gekomen. Voor mij is dat eigenlijk de juiste barometer. Dat betekent dat we eigenlijk toch tamelijk goed anticiperen op de risico’s. En de rest van de raad van bestuur, zijn zij van de grote risico’s bewust? Ja dat denk ik wel. In welke richting denkt u dat het risicobeheer van het bedrijf zal gaan? Is het voldoende, of is er nog ruimte voor verbetering? Ik moet logisch zij met mezelf, ik denk dat het voldoende is. Moest het onvoldoende zijn, dan zou ik het zekerlijk vragen. Ik weet niet of het aan bod komt, maar er is ook nog altijd het verslag van de externe auditor. En je vraagt je dan vaak af, heeft die wel alles gezien? Dat wil ik toch zeggen als anekdote, als voorzitter van het audit comité vraag ik altijd op het einde van de audit, heeft het management nu wel gezegd wat ze moeten zeggen ? Dus in de zin van, zijn er dingen die we niet weten? Of die je ons niet zegt? En dit vraag ik ook altijd aan de externe auditor. Dus gezond verstand gebruiken Wat denkt u over de toekomst van bedrijfswijde risicobeheersing? Ja ik denk dat daar sowieso meer naar zal geëvolueerd worden, je ziet die systemen evolueren in de tijd en iedereen zal daar ook meer aandacht voor hebben. Het verlies van een grote klant kan een serieuze hap zijn in de eigen middelen. Dus meer bewustzijn creëren doorheen het bedrijf? Ik zou het formuleren als, iedereen moet bewust zijn dat men risico’s loopt, en dat men er alles moet aan doen om ze te beheersen. Iedereen moet daarover zelf over beslissen hoe hij het doet. Wat denkt u wat uw rol zal zijn m.b.t. risicobeheer in de toekomst? De rol van een externe bestuurder en dan specifiek naar het audit comité, is helpen meedenken met het bedrijf en helpen meedenken in groei, evolutie en strategie, maar ook naar risicobeheer. Mijn historisch achtergrond is waarschijnlijk ook de reden waarom ik bestuurder ben bij zoveel bedrijven, aangezien ik toch acht jaar het risicobeleid van een bank heb gedaan, wereldwijd dan.
12.8. Attachment 8 Interview with a non-executive director of Company F: Hoe lang is Delhaize al actief bezig met risicobeheer ? Het principe van risicobeheer in de zin van risk comités op te richten rond risicobeheer is eigenlijk een relatief recent iets. Risicobeheer gebeurde eigenlijk al jaren ervoor, iedereen doet constant aan risicobeheer. Maar als het gaat over in eerste instantie als de raad van bestuur zich buigt over de strategie, dus het management draagt een strategie naar voor en de raad van bestuur keurt die goed of keurt die af, wijzigt die en deelt die dan terug mee aan het management. Maar constant stellen ze de vraag van waar lopen we risico en van wat? Ik zal anders eerst wat meer uit leggen over de risico’s, Mensen hebben over risico’s enorm veel verschillende ideeën en zeggen van, dat soort dingen zouden moeten behandeld worden door het bedrijf. En waarom heeft het bedrijf daar niet naar gekeken als er eens iets gebeurd met het bedrijf? Het is typisch dat er dan 75
reacties ontstaat rond het risicobeheer van een bedrijf. Om even terug te gaan in de geschiedenis, ergens een 10-15 jaar geleden na dat de audit comités ontstaan zijn. Is men beginnen zeggen van, ja de audit comités buigen zich wel over de financiële cijfers, maar wat als er dan eens iets verkeerd loopt, wie houdt zich daar dan mee bezig? Zo is men dus begonnen met oefeningen om te stellen van wat zijn de risico’s van mijn bedrijf? En daar komen dus in het begin de meest absurde situaties uit waarvan men dacht dat men het ei van Columbus uitgevonden heeft, maar in feite deed men dat al heel lang. Men is dus beginnen zoeken rond de producten naar alles wat er in een onderneming verkeerd kan gaan, dus omtrent grondstoffen, elektriciteit, uw fabriek die afbrandt e.d.. Dus wat doet de raad van bestuur nu in de meeste omstandigheden, we komen dan terug naar Delhaize nadien. Het gaat dus over 10-15 jaar geleden, en dan zei men dat er een risk comité moet opgebouwd worden. Deze moet zich bezighouden met het uitdenken van de meest absurde scenario’s, deze vroeg dat eerst aan het management om te doen want het management was eigenlijk de enige dat daar eigenlijk iets meer kon over vertellen. Het management vroeg zich dan af wat er eigenlijk allemaal onderzocht moest worden en zo kwamen er allemaal gekke dingen naar boven. Op einde van het historie is dat zo langzamerhand begon met iets meer gestructureerd te worden. Dus vandaag zit je in een scenario waar nog veel die bedrijven, als ze klein van taille zijn zeggen dat ze zich daar elke dag mee bezig zijn en ze proberen dat allemaal goed te doen. Bij de grote ondernemingen is er een soort formalisme gekomen rond die risico’s. Men heeft zich willen indekken door het maken van instrumenten om zeker te zijn dat men als raad van bestuur zeker niets over het hoofd gezien heeft. Dus er zit een stuk werkelijkheid in die risicoanalyse en er zit een heel stuk formalisme in en daar moet je altijd heel goed mee oppassen. Dus is niet omdat de corporate Governance, zoals we indertijd bij Lernout en Hauspie gezien hebben, in al zen aspecten perfect wordt toegepast, dat het bedrijf geen stommiteiten of risico’s neemt. Als je dan kijkt naar alle grote bedrijven, ga je combinaties vinden van een audit comité en een risk comité of ga je een audit comité vinden dat ook de rol van een risk comité doet. Bij BNP Paribas waar ik ook in de raad van bestuur zit, daar is het audit en risk comité één enkele groep. In de kleine ondernemingen gaat men in het executive comité, als er al één is nu een dan eens over dat onderwerp gaan brainstormen en meetings overhouden. Bij de grote ondernemingen gaat men dat in eerste instantie laten bestuderen daar het management, dus het executive comité en zal dat gebeuren op niveau van de raad van bestuur. Er zal daar een risk comité opgebouwd worden, dat in de meeste gevallen zal gecombineerd worden met het audit comité. Bij Delhaize bestaat er geen officieel risico comité, maar het audit comité houdt zich wel bezig met de risico’s die moeten geanalyseerd worden. Dat is dus een hele moeilijke taak, want je raakt dus werkelijk aan alles van de onderneming, vanaf het kleinste tot het grootste. Je kunt dus werkelijk in alle richtingen gaan. Wat doet men nu bij Delhaize, men probeert dat dus in te kaderen uit actiepunten die men ontdekt heeft via het executive comité, die dus de grootste risico’s inhouden en die pakt men dus jaar in jaar uit aan. Maar men kan dus ook niet alle risico’s compleet indekken. Dus veel van die soorten risico comités komen tot de conclusie dat ze echt van allerlei soorten risico’s hebben, maar dat ze op de meeste niet kunnen reageren. Nu zijn er heel wat dingen waar men nog voor veel bedrijven aan het zoeken is naar wat de risico’s zijn waarvan men zich echt iets van moet aantrekken. Dus die groot genoeg zijn, waar er iets kan aan gedaan worden en die in mijn macht liggen. Dus dat zijn de dingen die nu aan het gebeuren zijn en bv bij de banken is dat heel zwaar opgebouwd en omwille van de crisis in 2009 is dat nog eens versterkt. Zij hebben niet alleen een risk comité, maar ook een compliance groep, daar is het echt veel uitgebreider om zeker niet opnieuw dezelfde fouten te maken. Bij andere bedrijven is dat veel minder gestructureerd en gaat men dus alles eens bekijken wat de grootste risico’s zijn, bv voor Delhaize is dat bijvoorbeeld als de data van zijn cliënten in de openbaarheid komt dus van alles rond deze software en IT kant. Er is dan ook een bepaald voorval geweest rondom 76
dat bepaalde risico en is het dus een soort van obsessie geweest om daar een correct antwoord op te geven, tweede obsessie is hacking. Men is dus in se niet altijd bezig met zijn product, maar men is bezig met zijn omgeving. Maar er zijn dan natuurlijk ook risico’s rond de producten, zoals bv een producten die niet meer kan leveren en daar moet je natuurlijk op bereid zijn door meerdere leveranciers te hebben, maar dat is eigenlijk bijna dagelijkse kost. Als je we dat niet deden in het verleden dan waren we er nooit geraakt. Dus een groot stuk van dat risicobeheer is dus eigenlijk “business as it was in the past and the smartest one was the one who survived”, dus het klassieke risico voor het bestaan van de onderneming als dusdanig. Maar het grootste stuk van die nieuwe elementen van risico’s, zoals die data, daar hadden ze vroeger nooit over nagedacht. Dus ik denk dat alle grote bedrijven de dag van vandaag, systematisch bepaalde risico’s gaan prioriteren en deze dan ook systematisch aanpakken. Dus bij verschillende sectoren zal dat anders zijn, maar je zult deze ongeveer wel terug vinden per groep van bedrijven. Hoe wordt dat dan behandeld? Het wordt dus eerst behandeld door een comité dat werkt voor de raad van bestuur, dat comité heeft geen enkel gezag, het heeft wel specialisten en onafhankelijken die zich in dat vak zich al verdiept hebben. Die gaan dat dan rapporteren aan de raad van bestuur die dan de verantwoordelijkheid neemt van die raadgevingen van dat comité te volgen of niet te volgen en die gaat daarover met het management debatteren als ze vinden dat er moet ingegrepen worden. De raden van bestuur, vergeet dat niet, komen niet tussen in het day-to-day management van het bedrijf. De raden van bestuur bepalen de strategie en delegeren aan het management, en het management kan daarin beperkte acties krijgen of kan daarin heel brede mogelijkheden hebben. Nu in België zijn de meeste bedrijven nog zo gestructureerd, dat de raad van bestuur zich wettelijk ongeveer met alles kan moeien. Dus de de-connectie zoals in Nederland tussen de raad van commissarissen en het management bestaat in België gelukkig bijna niet. Dus de raden van bestuur, als er op risk niveau iets fout loopt, dan gaan die het management op het matje roepen en hen de opdracht geven om op te treden. Dat zullen ze dan ook board per board opvolgen zeker toch bij Delhaize, maar dat zal altijd gebeuren via dat comité. Dat is dus gebeurd met die fidelity cards bijvoorbeeld en daar hebben we dus dat IT proces opgevolgd van hoe dat vorderde. Dus voor de zekerheid, dat comité waar u nu over spreekt is toch het audit comité ? Ja bij Delhaize is dat het audit comité Zijn er dan veel bedrijven waar er dan een effectief risico comité is die dan ook zo noemt? Bij BNP Paribas is er toch wel zo’n samenwerking. Dat is waarschijnlijk ook omdat banken daar veel explicieter mee bezig zijn vermoed ik? Ja banken zijn er inderdaad veel explicieter mee bezig, bij Delhaize is het nu ook relatief nieuw, het feit dat het audit comité nu die risicorol op zich neemt is iets wat men officieel toegevoegd heeft sinds dit jaar. We spraken wel al altijd over de risico’s in de board, maar een formalisering hiervan voor het audit comité is nog maar sinds dit jaar gebeurd. Maar dus risicoanalyses zich eigenlijk impliciet gebeurd in het audit comité voordien, maar ze hadden er niet de officiële titel voor. Maar dus dat databeheer is het enige punt waar we zo formeel rond aan het werken zijn. Andere risico’s zijn, wat gebeurd er met uw winkels als je niet bevoorraad wordt en dergelijke zijn behandeld geweest in de raad van bestuur zonder dat daarvoor iets specifiek in een comité behandeld is, dat zijn evidente dingen. Maar dus hoe kleiner dat je zal gaan (onder bedrijven), hoe minder je zal vinden rond risicobeheer, dat is duidelijk. Dus het formele proces rond risicobeheer hoe lang is dat er dus al bij Delhaize? Ik denk dat het begonnen is rond de jaren 2000-2005, de ganse story is eigenlijk te situeren als volgt; audit comités komen op naar aanleiding van L&H in België, Enron in de VSA en dergelijke. Dus plotseling moest iedereen een audit comité hebben. Maar de regels van corporate 77
governance die zijn pas opgebouwd in 2004-2005, want het is ik die er aan begonnen ben als voorzitter van het VBO. Toen hebben wij een audit comité aangeraden en dat in de corporate governance hebben geschreven. Dus toen die audit comités hun weg begonnen te vinden, zijn de auditors zelf zich beginnen verdiepen in risico’s om ongemakkelijke situaties te vermijden en kwamen dan ook wel met andere bevindingen naar boven omdat zij daar wel enige verantwoordelijkheid bij voelden. Dus zo is het wat gegroeid dat audit comités zeiden dat er naast financiële zaken, nog veel andere zaken waren die in de gaten moesten gehouden worden. Er was eerst een soort risico analyse binnen Delhaize, dus waar zitten onze risico’s en dan was er risicobeheer en dat is minder dan één jaar oud. De vraag waarom al zoveel jaar is dus ook al een beetje verklaard natuurlijk, dus via de audit comités. Ja meestal gebeuren dingen pas na een crisis, op basis van de schandalen zegt men van, “ja we moeten daar iets aan doen om zulke situaties te kunnen vermijden in de toekomst” en zo is dat er systematisch gekomen en zijn er daar instrumenten rond gekomen. Maar je bent nog een beetje te vroeg met je thesis, want het is bij de meesten nog maar net in opbouw. Dat kan inderdaad goed zijn, maar ik wil toch graag eens een beeld krijgen hoe het dus in Europa/Belgïe het er eigenlijk aan toe gaat, want in Amerika zijn daar nu toch ook al even mee bezig met dat formaliseren van die processen. Bij Delhaize zie je dat inderdaad wel zeer goed, want Delhaize is voor de helft Amerikaans voor de helft Europees qua structuur en management. Maar de invloed van de Amerikaanse wetgeving speelt dus ook een rol op ons bedrijf, zij waren inderdaad daar al een tiental jaar mee bezig maar nu is dat meer en meer aan het uitvlakken. Bent u en de volledige raad van bestuur bewust van Enterprise Risk Management, dus bedrijfswijde risicobeheer? Wel het COSO systeem is dus een heel bekent systeem, en sommige bedrijven hebben dat onmiddellijk geadapteerd, er zijn ook andere systemen. Maar bij Delhaize zijn we daar zeker van bewust, Delhaize is qua bedrijven die ik ken in België één van top kwaliteit. Maar ondanks alle systemen die er al waren, was die databreach in Amerika door een hacker toch een ferme klap voor he bedrijf. Het is goed dat zo’n analyses gebeuren, maar soms mis je wel nog bepaalde risico’s die je dan achteraf pas beter kan aanpakken. Van wie of waar kwam het initiatief om het ERM framework te implementeren? Volgens mij kwam dat van de auditors en die wetgeving in 2e instantie. Maar er is daar in België nog geen wetgeving rond, wat ook niet zo makkelijk is. Maar in de VS is dat er al jaren. En daar zijn er dus al beschermingen binnen het bedrijf tot in het absurde met wat er allemaal met een bedrijf zou kunnen gebeuren. Dus in de VS is het over-geformaliseerd naar uw mening? Je kunt dat bijna niet vermijden, want zodra je een wet maakt dan begint men te overformaliseren. En men is dan dus zodanig alle cijfertjes aan het invullen en alle “boxen aan het afvinken” zoals men zegt tot alles meerdere malen gecheckt is, maar eigenlijk in de grond van de zaak is men niet aan het zien wat er aan het gebeuren is en dat is dan ook het grote gevaar. Dus ik denk dat een board wel een stuk formalistisch moet zijn, maar vooral heel pragmatisch moet blijven, vragen moet stellen over wat er in een business aan het gebeuren is en als een board dat niet doet, dan gaan die systemen nooit werken. Een board moet meer met zijn voeten op de grond blijven en de domme vragen stellen waar de anderen zeggen van, ja daar hebben we eigenlijk nog nooit naar gekeken en kunnen we misschien iets aan doen. 78
Dus die initiatieven kwamen niet direct van de raden van bestuur die aan zo’n framework dachten? Neen, de raden van bestuur zullen zeker en vast over risico’s gesproken hebben. Maar de snelheid van de bewegingen vroeger was veel lager dan nu, nu veranderen de bedrijven zo snel en zo constant, dat de raad van bestuur hier ook mee meegaat. Er wordt de dag van vandaag veel kritischer gewerkt dan 10 jaar geleden, de raden van bestuur zijn versterkt met onafhankelijke mensen die vanuit die positie ook andere vragen gaan stellen. Er is dus op dat vlak een heel ander concept gekomen binnen de raden van bestuur. Het was zo dat de raden van bestuur vroeger wel naar de risico’s keek als er iets gebeurde en dat ook probeerde aan te pakken, maar als er dan een paar jaar niets meer gebeurde, dan verdween de aandacht wel omtrent de risico’s. Hebben ze bij Delhaize een bepaalde risico filosofie/appetijt waar ze zullen rond gaan werken? Wij praten daar wel al over, maar we krijgen daar nog niet echt een concreet antwoord over. Bij de banken is dat wel al meer gespecifieerd, daar hebben ze dan risk managers die zich daar mee bezig houden, maar zelf die specialisten hebben het al enorm moeilijk om daar iets concreet rond te formuleren. Dus een risk appetijt vastleggen is iets heel moeilijk en dat vastleggen bij Delhaize is quasi onmogelijk. Ik zou dus niet echt risk appetijt op zich bekijken, maar eerder de algemene strategie en dat zit daar wat in verweven. Dus bij Delhaize zitten we op vlak van risico’s wel al met een soort van reactiefase en is er toch wel al geformaliseerd, maar het is allemaal wel relatief recent. Toen ik bij Delhaize in 2005 begonnen ben spraken wij nog niet over risk management, maar wij praatten wel over de risico’s van de onderneming. En keken indertijd wel niet alleen naar de shareholder’s value maar we keken ook al naar de stakeholders. Wat is dus uw rol als bestuurder en dus samen met de andere bestuurders omtrent risicobeheer binnen het bedrijf? Dus bijna altijd zitten de onafhankelijke bestuurders in de comités, zeker in België moeten in het audit comité allemaal onafhankelijke bestuurders zitten. Dus daar spelen die onafhankelijke bestuurders hun rol, en de andere bestuurders die dus niet in het audit comité zitten spelen dus eerder een afwachtende rol. Ze hebben dus eigenlijk voor een stuk de job van de analyse doorgespeeld naar de comités. Maar als de comités iets zeggen omtrent een risico en dat zie je heel sterk bij Delhaize en bij Amerikaanse bedrijven, dan staan de haren van de raad van bestuur recht en zijn ze bang. In Europa is die reactie er ook, maar veel kalmer, rustiger en veel analytischer. Wij spelen dus duidelijk ons rol als onafhankelijke bestuurders in de comités van de bedrijven. Ik ben dat vergeten te zeggen maar eigenlijk was het initieel de Interne audit die de rol rond risico’s op zich kreeg geschoven, maar deze kon dat niet aan en begon zo samen met de externe audit te duwen omdat op te pakken in de executive comités en in sommige bedrijven is dat dus doorgegroeid naar de raad van bestuur die zijn eigen comités hiervoor opgericht heeft. Dus je zou eigenlijk kunnen stellen dat jullie rol voortdurend vragen stellen is en uiteindelijk geven jullie dan ook jullie advies om zo goed mogelijk die risico’s te beheren? We stellen dus constant vragen, dat is nu niet om Delhaize te verdedigen, maar we stellen dus constant vragen rond risico’s en we doen dat in het audit comité en we doen dat aan 3 groepen van mensen, aan het management dus de CEO. We vragen dat aan de externe auditor en we vragen het afzonderlijk ook nog altijd eens aan de interne auditor. En de raad van bestuur zelf, dus los van het audit comité, hebben zijn dan een bepaalde rol? Dat is dus het gevolg van die formalistische comités te creëren zoals het audit comité, die gaan het audit comité vragen stellen door dingen dat ze buiten het bedrijf zien. Maar in iedere raad van bestuur gaat er dus een mondeling en schriftelijk verslag zijn van wat er in het audit 79
comité besproken is en waar ze denken dat er actie zou moeten ondernomen worden. Dat gebeurd heel gestructureerd bij Delhaize. Vind u dat die rol dan voldoende van de raad van bestuur? Ik vind dat die toch voldoende is ja, we lopen bijna al het risico dat we te ver gaan. Dat we ons te veel gaan beginnen moeien. Het blijft dan ook mijn filosofie dat raden van bestuur geen executive management zijn, die moeten zich dus niet bezighouden met het uitvoeren, zij moeten de opdrachten geven. En sommige raden van bestuur vergeten dat dan ook. Dat is dan kenmerkend aan België dat de raden van bestuur, wettelijk nog alle verantwoordelijkheden heeft. Dus hier denk ik dat in geval van risicobeheer onze rol is van vragen te stellen, kritisch te zijn, suggesties te doen en met de raad van bestuur beslissingen nemen over opdrachten die we geven aan het management. Is er dan omtrent risicobeheer een interne leider binnen Delhaize? Zoals een soort CRO? Dat is vooral de interne audit zich dus daar mee bezig doet. Maar ik denk niet dat er een formele aanstelling hier voor is. Dat zit sowieso verwezen in de rol van de interne audit. Rapporteert deze dan rechtstreeks aan de raad van bestuur? De interne auditor zijn overste is eigenlijk de CEO van het bedrijf. Maar hij heeft toegang tot het audit comité en het audit comité heeft dan de toegang tot de raad van bestuur. Dus de raad van bestuur kan de interne audit niet zomaar oproepen. Heeft de raad van bestuur enige zeggenschap over hoe er gereageerd moet worden op risico’s? Ja dat gaat zeker via de raad van bestuur en zij hebben daar de finale zeggenschap over. Welke rapporten worden omtrent risico’s ontwikkeld voor de raad van bestuur? Bij Delhaize is dat een onderdeel van het rapport van het audit comité. Wat houdt dat dan allemaal in? Dat gaat van de likelihood van de risico’s? wat hebben we er tegen gedaan ?waar staan we nu? Is het risico ingedekt? Is alles genoeg behandeld? En dan zijn er mensen van de raad van bestuur die daar via hun ervaring op antwoorden van hoe ze het ergens anders zien en dan vinden dat er op bepaalde dingen misschien meer kan gedaan worden. Dus dat is een debat in de raad van bestuur. Denkt u dat die verkregen informatie voldoende is voor de raad van bestuur? Wat gebeurt er, soms gaan er leden van de raad van bestuur vinden dat ze niet voldoende gedocumenteerd zijn. En dan is de reactie van het audit comité om te zeggen, als je meer informatie rond die bepaalde onderwerpen wilt dan gaan we u die geven. Dus de raad van bestuur moet dan ook die vragen stellen, als ze die niet stellen, dan kan het audit comité ook niet weten dat er onvoldoende documentatie gegeven is. Bij sommige bedrijven worden de volledige rapporten altijd doorgestuurd naar de voltallige raad van bestuur, maar bij Delhaize gaat dat wel over een 400tal bladzijden. Die mensen lezen dat dan ook niet en daarom wordt er een goeie synthese gemaakt die aan de raad van bestuur wordt gegeven. Bent u als bestuurder op dit moment bewust van de grote risico’s waaraan het bedrijf is bloot gesteld? Ik hoop het toch, we doen er alles aan om alles te weten. Het is zo moeilijk om te weten waar de volgende tackle zal zijn. Dus je kan dat niet voorspellen. Maar we zijn er toch wel allemaal mee bezig, je kan alles downloaden en via het internet er aan komen als bestuurder. We denken constant aan die dingen en de dag van vandaag is dat dan in meer formele dingen gegoten. 80
In welke richting denkt u dat het risicobeheer van het bedrijf zal gaan? Is er nog ruimte voor verbetering? Of is het voldoende? Ik denk dat we op dit moment moeten proberen te zien naar wat we allemaal van regeltjes naar voor geschoven hebben en dat we daar onze weg in moeten vinden. Het is een heel pak meer werk wat we gedaan hebben, maar veel van dat werk dat we gedaan hebben is zeker voor de volgende tien jaar meer dan voldoende. Nu moet men in die nieuwe wave van risico management de beste dingen er uit halen en maken dat het goed in de bedrijven zit ingeprent en dan pas kunnen we naar de volgende fase gaan om te zeggen van wat we nog meer kunnen doen? Wat denkt u over de toekomst van ERM binnen het bedrijf? Zal dat nog meer geïntegreerd worden binnen het bedrijf? Dat is al meer dan genoeg geïntegreerd vind ik, daar staan we heel ver in. Het aantal systemen dat daarrond nu al draaien begint al bijna onoverzichtelijk te worden en daar mee moet je dus zeker oppassen. Dus moesten we al die systemen kunnen bundelen in één heel overzichtelijk systeem zou dat ook een immens groot voordeel kunnen zijn, net zoals ze nu al overal bezig zijn met SAP systemen. Ik denk dat de key in het risk management dus toch wel is om de overzichtelijkheid te behouden over het systeem niet? Ja dat is de grote moeilijkheid en daarom krijg je de kleine ondernemingen hier niet in mee. Men moet dus met zijn twee voeten op de grond blijven staan. Wanneer heeft men eigenlijk een zwaar systeem nodig, dat is wanneer de zaken beginnen onoverzichtelijk te worden. En dat is grote onderneming sneller het geval dan bij kleine ondernemingen. En men moet zorgen dat het systeem het bedrijf niet mag domineren, maar dat het bedrijf gebruik maakt van het systeem. En we zijn in bepaalde van die dingen veel te ver aan het gaan. Ik zie ergens wel een lijn dat gezond verstond daarin nog altijd in moet primeren. Inderdaad, toen we bezig waren met het schrijven van de corporate governance code hebben iets toegevoegd dat “comply or explain” noemt, wat voorstelt dat er basisregels zijn dat iedereen zou moeten doen en als je het niet doet moet je toch kunnen uitleggen waarom je het niet doet. Dus dat een klein bedrijf die zware structuren van grote bedrijven niet op zich hoeven te pakken. Men moet pragmatisch blijven en met beide voeten op de blijven hierrond. Wat denkt u dat uw rol m.b.t. risicobeheer zal zijn in de toekomst? Ik denk dat er misschien nog een beetje meer druk zal komen op dat soort dingen, maar ik verwacht niet echt een grote versterking van die regels. Ik denk dat de crisis iedereen waakzamer heeft gemaakt, maar we moeten zeker oppassen voor overregulering. Ik zou graag hebben dat we niet meer verder moeten hebben dan wat we nu al moeten doen. Maar ik zie in de VSA dat het daarrond nog altijd niet stil staat en dan zullen er altijd wel dingen overwaaien naar Europa toe.
12.9. Attachment 9 Interview with a non-executive director of Company G: Hoe lang is het bedrijfal actief bezig met risicobeheer? Ik denk van bij het begin, ik denk dat we sinds het begin al een audit comité hadden. Zoals je weet een audit comité is niet alleen rond de kwaliteit van de cijfers maar ook rond risicobeheersing. Dus dat is eigenlijk sinds ’96.
81
Waarom is dat al sinds ’96, was er daar een reden voor dat er direct actief aan risicobeheer werd gedaan? Het bedrijf is dan opgericht, en voor zover ik weet werd dat al sindsdien gedaan. Bent u als bestuurder bewust van Enterprise risk management, dus bedrijfswijde risicobeheersing? Ja absoluut, ik denk dat risico’s vanuit de raad van bestuur bestuurt worden vanuit 3 niveaus. Enerzijds heb je het audit comité waar de bestaande strategie en de operationele en financiële risico’s worden gemonitord en waar er acties genomen worden. Op dat niveau is men er het meest en het meest expliciet mee bezig. Ik denk dat er ook een rol is voor het remuneratiecomité, maar in dat remuneratiecomité bespreekt men succesionplanning en ik denk dat in veel bedrijven de stabiliteit van het management, de continuïteit daar heel cruciaal is. En een derde niveau is die van de raad van bestuur, waar ik daarstraks zei dat het audit comité de risk monitoring doet binnen de strategie, wel de raad van bestuur bepaalt deze strategie. En als ik bijvoorbeeld denk aan het niveau van leverage bij Telenet, dat is een collectieve beslissing van de raad van bestuur. Het audit comité geeft hier wel wat technische assistentie, maar de analyse hierrond wordt bijna altijd door het management gedaan en de beslissing van de raad van bestuur. Van wie kwam het initiatief om aan bedrijfswijde risicobeheersing te doen ? Dus via een bepaald framework als leidraad. Ja er is zo’n framework inderdaad, we hebben dat eigenlijk vorig jaar gedaan en dit jaar opnieuw. Dat is echt risk mapping, dus in kaart brengen van welke de grote risico’s zijn dat we denken. Ja sommige risico’s kun je moeilijk iets aan doen natuurlijk, regulatory risks daar kan je niet veel aan veranderen. Dus dat actieve beheer op die manier doen jullie nog maar 2 jaar? Nee, we hebben die oefening al een paar keer gedaan, maar normaal duren die niet met de frequentie van elk jaar. De eerste keer dat we dat deden kan ik eigenlijk niet meer zeggen. En van wie kwam dat initiatief dan voor zo’n framework te gebruiken? Van het management of van mij, aangezien ik voorzitter ben van het audit comité. Heeft het bedrijf een bepaalde risico filosofie opgebouwd door zo te werken? Ik denk dat we er in geslaagd zijn bepaalde risico’s te beheersen, dat we bewuster zijn over risico’s. Vooral op execution risks, ik zal zeggen bij wijze van voorbeeld, is dat het aantal grote projecten binnen het bedrijf eigenlijk vrij groot is, en als gevolg van die risicoplanning hebben we gezegd of we het aantal grote projecten niet wat moeten reduceren. Ik denk als je niet bewust omgaat met risico’s, als je het niet goed mapt. Dan ga je zeggen ja, elke individueel project is geen probleem, maar het is collectief dat het problemen maakt. Wat is uw rol als bestuurder in het risicobeheer van de organisatie? Wel ik geef signalen, als board member heb je niet zo heel veel instrumenten, je kunt vragen stellen, je kunt signalen geven, je kunt consultants inschakelen en rapporten opvragen maar op het einde van de dag is het management die de dingen doet. Maar door de juiste vragen te stellen geef je eigenlijk de nodige signalen. Opnieuw een voorbeeld, als ik aankondig dat ik tegen het einde van het jaar een audit wil van de expenses, dan ga ik er van uit dat het signaal effect al voldoende zal zijn om het gedrag in de hand te houden. Maar er worden ook effectief beslissingen genomen zoals bv de leverage die we gaan aannemen, dat wordt effectief beslist binnen de raad van bestuur. Maar bijvoorbeeld we vroegen ons voorheen af hoe het kwam dat IT zo laag in de organisatie rapporteert, ik heb eenmaal die vraag gesteld en ik kan je zeggen dat dit thema om de zoveel tijd terug kwam en intussen is de organisatiestructuur hierrond 82
aangepast en rapporteert de CIO rechtstreeks aan de CEO. Dus door systematisch signalen te sturen en vragen te stellen is dat wel veranderd ? Ja inderdaad, dat klopt. Hebt u binnen het audit comité dan een andere rol dan als die van bij de raad van bestuur? Het is veel meer operationeel zoals ik daarstraks zei, wat je doet is, binnen de framework strategie zoals beslist door de raad van bestuur. Ga je kijken naar risicofactoren, dan spreek over regulatory, treasury, treasury management noem maar op. Echt alle mogelijke domeinen. En vaak is denk ik de waarde meer het identificeren van die verschillende domeinen dan in het uitpluizen in detail van een specifiek domein. Het is meer nadenken over de dingen waar de andere nog niet over nagedacht hebben dat je moet doen. Maar Telenet is een bedrijf dat op dat vlak toch wel een behoorlijke maturiteit heeft. Is het dan correct om te zeggen dat het audit comité een beetje de risicobeheer rol van de raad van bestuur overneemt? Om dan uiteindelijk aan de raad van bestuur te rapporteren? Ja dat is correct. Dus zo betrokken is de raad van bestuur niet bij het risicobeheer? Zoals ik zei niet in de operationele risico’s, maar wel de grote risico’s. Wat ik wil zeggen met operationeel, is dat het audit comités de risico’s bekijken binnen de strategie zoals gezegd door de raad van bestuur en de raad van bestuur bekijkt zelf de risico’s van haar strategie. Vind u de rol van de raad van bestuur actief genoeg? Ik denk dat het voldoende is, als ik vergelijk met andere bedrijven dan denk ik dat het beheer er bij Telenet wel mag zijn. Wat ook meespeelt is dat Telenet onderworpen is aan de wet Sarbanes-Oxley , wat wil zeggen dat de audit vereisten substantieel hoger moeten zijn, dat alle processen gedocumenteerd moeten zijn, dat zij getest moeten worden en dat die testen moeten worden getest. Wat dus ook een grote maturiteit geeft aan de financiële rapportering, maar verhoogt dus ook het bewustzijn van risico en processen. Is er een interne leider omtrent risicobeheer binnen het bedrijf? Voor het framework is er wel iemand die ook de revenue assurance doet, maar je hebt ook iemand speciaal voor security en data security. Je hebt meer verschillende mensen eigenlijk. De audit rapporten en de status gaan dus ook naar het executive comité per kwartaal, dus ook daar is er een goeie awareness van de dingen die er moeten gebeuren. Is het dan misschien meer de interne audit die deze rol wat meer op zich neemt? Er zijn meer risico’s dan alleen het financieel risico bij Telenet, Ik denk dat het niet goed zou zijn dat er één persoon zich bezig houdt met alle risico’s. Ik denk dat je beter werkt met een risk management dat in functie van de specifieke functies en competenties van de mensen verspreid wordt over de organisatie. Je moet werken via de operationele managers, risk management moet een inherent deel zijn van het denken van het management. Rapporteren die personen dan ook rechtstreeks aan de raad van bestuur? Die risk mapping is gedaan met het management, audit comité, board members dus dat was een oefening in een brede groep. Heeft de raad van bestuur enige zeggenschap over hoe er gereageerd moet worden op de risico’s? Formeel heeft de raad van bestuur alle zeggenschap, zo werkt het niet. Er worden audit rapporten gemaakt, de interne audit wordt gedaan door Deloitte bij ons en zij geven recommandaties en het management reageert daar op en dan is er een actie plan. Je moet het management zijn ding laten doen natuurlijk. 83
Maar de finale beslissing rond dat plan, wordt die dan door de raad van bestuur goedgekeurd? Ja dat gebeurd bij ons meer door het audit comité dan door de raad van bestuur. Welke rapporten omtrent risico’s worden ontwikkeld voor de raad van bestuur? Voor het audit comité is er een bepaalde risk map die gemaakt wordt, op basis daarvan worden dan een aantal specifieke audits uitgevoerd elk jaar, en die audit rapporten worden in detail bestudeert en gediscussieerd in het audit comité. Het audit comité geeft dan weer verslag uit aan de raad van bestuur. Het verslag dat aan de raad van bestuur wordt gegeven, is dat dan heel anders? Ja dat is vrij beknopt. Is de verkregen informatie rond de risico’s genoeg voor jullie om deftig jullie risicobeheer te kunnen uitvoeren? Voor zover ik er van bewust ben denk ik dat het zeker voldoende is. Zijn de bestuurders van de raad van bestuur bewust van de grote risico’s waaraan het bedrijf is blootgesteld? Ik denk dat wel ja, ik denk dat niet alleen ik ben er eigenlijk zelf vrij zeker van. In welke richting denkt u dat het risicobeheer van het bedrijf zal gaan? Is er daar nog ruimte voor verbetering? Ik ben persoonlijk tevreden over de huidige staat van het risicobeheer, de zorg is wel dat men er aandachtig moet voor blijven. Het gevaar rond risicobeheersing is dat het wat wegebt tot wanneer er misschien iets gebeurd. Maar het is dus de kwestie om ervoor te zorgen dat er niet ernstig gebeurd, dus wat een zorg is, is dat de aandacht voor deze topic moet blijven. Wat denkt u over de toekomst van enterprise risk management binnen het bedrijf? Zal dat nog meer geïntegreerd zijn? Ja ik denk dat het wel nog meer kan evolueren, maar opnieuw, ik ben daarover op dit moment toch relatief tevreden over hoor. Bent u niet wantrouwig dat er te veel geformaliseerd zou worden door dat framework en dat de bigger picture niet echt meer duidelijk wordt? Dat hangt van de mensen af, en de mensen kennende denk ik dat daar niet echt een groot risico voor is bij Telenet. Wat denkt u dat uw rol en die van de raad van bestuur naar de toekomst zal zijn m.b.t. risicobeheer? Ik denk dat de rol hetzelfde zal blijven, maar ik denk dat het audit comité en de raad van bestuur moeten blijven doen is er voor zorgen dat het bewustzijn van die risico’s. Ik denk dat we frequent die risk mapping moeten doen, kijken naar nieuwe risico’s de we misschien nu nog te weinig hebben geïdentificeerd, dus er actief blijven over nadenken en zorgen dat er bewustzijn blijft binnen de organisatie. Hoeveel keer zijn jullie daar dan mee bezig per jaar als raad van bestuur? Audit comité wordt daar toch 2, 3 keer over gesproken en worden er toch enkele one on ones gedaan. De raad van bestuur zelf minder, maar die geeft wel signalen natuurlijk, zeker ook naar de bestuurders die ook in het audit comité maar dat is minder formalised. Vindt u dat er doorheen de jaren als bestuurder er een evolutie is geweest in de rol als bestuurder omtrent risicobeheer? Ja ik denk een groter bewustzijn rond die risico’s, ik denk dat het vroeger meer compliance was. Dat het beeld rond risico’s dus veel breder is geworden. 84
12.10.
Attachment 10
Interview with an independent director of Company H: Hoe lang is het bedrijf al actief bezig met risicobeheer waarvan u weet van heeft? Sinds ik in de raad van bestuur zit, en toen was het nog beursgenoteerd en noemde Belgische betonmaatschappij. Dus een jaar of 4 voor de delisting en die was in 2004, dus sinds 2000 heb ik er weet van dat er veel aandacht werd aan besteed. Zeker omdat zo’n type onderneming, die qua risico, elk nieuw groot project moet evalueren naar technische risico’s. Dus technische risico’s in de zin van, is dat project op de juiste ondergrond gebouwd? Wat is de invloed van de golfslag van de zee e.d. dus al alle surroundings die in orde moeten zijn of moeten goed ingeschat worden. Twee, risicobeheer aan de financiële kant, zijnde wat is de soliditeit van de partners, wat zijn de garanties, en daar speelt het juridische een belangrijke rol in, de collaterals, downpayments. Drie, landenrisico, in de zin van; Besix bouwt de wereld rond, we hebben nu een project in Azerbeidzjan. En als je Azerbeidzjan inschat, ok er is daar een politiek risico aan wat uiteraard een financiële strop som zou kunnen betekenen bij conflict of bij een verandering van regime. En daar heb je dan natuurlijk de delcredere die u zou kunnen helpen, en ok nu spreek ik vanuit een Belgisch perspectief. Je kan ook andere privé verzekeringen daar voor nemen. Ik heb het dus altijd al geweten dat het bedrijf dat dus systematisch heeft opgevolgd, en eenmaal dat het bedrijf dus van publiek naar privaat is gegaan in 2004, door de management Buy – In of Buy – Out, zijn die procedures verder gezet en op nog een verfijndere manier. Waarom was dat al sinds 2000, was er daar dan een reden voor/ een trigger om aan een actieve vorm van risicobeheer te doen? één, het was beursgenoteerd en dat was wel belangrijk. Twee, qua governance hadden ze dan indertijd toen het bedrijf nog voor 70% in handen was van verschillende families, een onafhankelijk voorzitter aangetrokken zijnde Paul De Meester. Die toch een groot figuur van het Belgisch ondernemerswereld was, omdat hij naast ook Besix ook voorzitter is geweest van BBL. En De Meester die trok wel qua type management, vrij professionele figuren aan. En dat zo zijn ze er tot 7 onafhankelijke bestuurders bijgekomen waaronder ik en o.a. Gerard Vanacker. En Gerard Vanacker was toen op het einde van zijn carrière bij GIMV, en was ook één van de grootbrengers van GIMV. En Gerard had vanuit zijn verleden van bij GIMV een heel systematische approach in risicoanalyse enerzijds en anderzijds risicobeheer. Wat het zou getriggerd hebben voor mijn tijd weet ik niet exact, maar ik kan wel één belangrijk feit zeggen. In de jaren ’70, heeft de Belgische betonmaatschappij in het midden oosten zijn business uitgebouwd, vooral in de emiraten (Abu Dhabi, Dubai) op een manier een manier die toen voor Belgische bedrijven grensverleggend was. Dat knoopte weer aan bij het begin van de 19e eeuw. Dus daar tramrails bouwen in hele steden, ook in Parijs, Caïro e.d.. En Besix heeft dat toen heel goed gedaan, maar op het zelfde moment zijn er collega’s van hen namelijk de groep Battiau en Stadsbader die grote werken opgestart in de Emiraten en die hebben daar ferm hun broek aan gescheurd en zijn er bijna failliet aan gegaan. En in dezelfde tijd, had Besix, toen Belgische betonmaatschappij een groot ziekenhuisproject en daar hebben zij zwaar hun broek aan gescheurd. En zoals altijd leer je veel meer uit je mislukkingen dan uit je successen en dat heeft volgens mij een veel striktere risicoanalyse en risicomanagement met zich meegebracht. Dus eigenlijk toch door dat er enkele serieuze voorvallen van problemen waren gebeurd? Ja zowel in huis als buitenshuis. Dat heeft toen toch wel veel ophef gemaakt in de Belgische kranten enzo hoor.
85
Bent u als bestuurder bewust van Enterprise Risk Management? Zoals bij bepaalde frameworks als het COSO en andere. Neen zo’n framework hebben wij niet bij Besix, wat wij doen is natuurlijk in het audit en risk comité. Is kijken naar de risico’s op de verschillende businesses die we hebben, op de verschillende projecten die we aangaan. Maar er is geen bepaald formeel systeem waar de bepaalde risico’s als een model in kaart zijn gebracht. Maar bij KBC bestaat dat natuurlijk wel, bij de bankenwereld is dat veel extremer, daar is het bijna een risk obsessie geworden, daar is er zelf een aparte risk comité los van het audit comité. Van wie kwam die initiatieven om die risico’s zo te bekijken? Van het topmanagement en van de board, van de board zeker als we private gegaan zijn. Iets wat ik zelf heel belangrijk vind is dat te veel analysis en te veel risk management business doodt, dus dat je daar een goed evenwicht moet vinden en dat die nooit verloren mag worden. En dat ik mijn hart vasthoud naar de toekomst toe over hoe duur kredietverlening gaat worden want dat heeft natuurlijk een impact op de kost. En dat we ons zo een competitief nadeel gaan inwerken voor onze economie, maar dat is natuurlijk mijn visie. Heeft Besix zelf een welbepaalde risico filosofie/appetijt waar het altijd gaat rond werken en zich er aan gaat houden. Ja zeker en vast. De risico filosofie is dat we niet risk avers zijn, dat we dus moeten “risicovolle” projecten durven aangaan. Als we op zen minst ofwel een enorme kennis hebben van de markt en het land hebben, ofwel enorme kennis hebben van het project dat we doen. Bv, hier in Belgïe zouden we dus bijvoorbeeld durven de Oosterweel doen, maar in Nigeria gaan we durven een haven doen. Want één van onze Corecompetenties die we met vallen en opstaan verworven hebben is Maritieme werken. Maar intussen zijn we daar dus een zeer sterke speler in geworden. We kunnen dus risico’s nemen en we nemen ook risico’s, maar je moet elk project goed inschatten op zijn risico gehalte. Er is een risk assessment door het lokale management, door de interne controle en de mensen die met risks bezig zijn maar ook door het topmanagement. Er gaat geen project aangegaan worden die niet volledig gewikt en gewogen is door het topmanagement op al zijn risico’s. En ik denk dat door die filosofie van risico’s durven aan te gaan ons ook zo succesvol heeft gemaakt. Wat is dus uw rol en van de andere bestuurders in het risicobeheer van de organisatie. Zowel in de raad van bestuur als in het audit comité. Eerst en vooral een spiegel voorhouden, dus een spiegel voorhouden op een kritische manier. Niet om ambetant te doen, maar om te verstaan hoe zij risico’s inschatten, hoe zij dit afwegen en hoe ze dan tot conclusies komen en dit steeds opnieuw. Twee, als er zaken mislopen, van dan te vragen wat we er uit geleerd hebben. Zijn de procedures aangepast? Is er een menselijke fout geweest en is er daar voor ingegrepen in de organisatie? Dus die soorten vragen stellen en aanbevelingen maken. Drie, maar dat is meer in het audit comité, altijd vragen naar closed sessions met ofwel bepaalde mensen van uit de organisatie, bijvoorbeeld de interne controle of de internal risk guide. En altijd naar closed sessions vragen met je externe auditors los van het management. Dan vraag je aan hun als je bepaalde zorgen hebt over dingen, hoe zou jij het asessen, wat denk je daar van ? Zijn er nog dingen binnen het audit comité? Binnen het audit comité ga je veel dieper natuurlijk, daar zijn er natuurlijk zeer extensieve rapporteringen over enerzijds alle projecten die lopen, maar anderzijds over alle geschillen die er zijn, zelfs als het nog geen juridische vorm aan neemt. En daar gaan we toch vrij diep op in en daar is de voorzitter een heel belangrijke persoon in. Het is heel belangrijk dat die man de business kent, dat je er gevoel mee hebt. Want die zet toch wel de toon in het audit comité. 86
En in de board is het dus vooral het kritische kijken naar de activiteiten e.d. ? De board neemt kennis van het verslag van het audit comité. Sommige boards vragen ook de papieren op, terecht en ik vind dat in feite goed maar ze moeten ze dan ook effectief lezen. En een audit comité en een risk comité maken maar aanbevelingen, beslist niet over de implementaties er van, beslist zelf niet over of die aanbevelingen moete gevolgd worden. Het is de board die dat doet, en daarom is het goed dat een board zich bij een belangrijke ingrijp, dieper bij het probleem inwerkt. Maar natuurlijk moeten ze maken dat ze niet gewoon al het werk van het audit en risk comité gewoon overdoen. En dat is iets wat ik te veel in de bankenwereld aan het zien ben. Door alles wat risico betreft 10keer opnieuw te bekijken op een manier die volgens mij business belemmerend aan het worden is. Is het heel triestig dat een board i.p.v. met business, strategieën, de opportuniteiten, zich bezig houdt met die risico’s. Die overregulering is nooit goed, en daarin zullen de overheden moeten aanvaarden dat er risico’s moeten genomen worden om een economie goed te kunnen laten draaien. Doorheen de jaren, ziet u dan eigenlijk een verandering in die rol en hoe dat die eigenlijk geëvolueerd is? Dat was van heel loos en veel meer rapporteren na de feiten naar een meer proactieve manier gegaan en veel professioneler aangepakt. Zowel door het interne management die dan een interne controle man hebben, terwijl vroeger dat meer de CFO die dat een beetje deed. Dat was vroeger veel losser en tussen de soep en de aardappelen door en het zijn natuurlijk grote ontsporingen die gemaakt hebben dat er meer systematiek in komt. Ten tweede, de toezichthouders op beursvlak hebben daar ook een goede rol in gespeeld, dus niet alleen voor de banken, dat in de jaarverslagen de risico’s moeten opgesomd zijn. Ook de externe auditors nemen die monitor sinds die grote ontsporing met bijvoorbeeld Enron nog veel serieuzer. Maar ik blijf mijn standpunt dus wel herhalen, te veel paranoia op dat vlak leidt tot een gebrek aan risico durven nemen, een gebrek aan entrepreneurship en vooruitgang. En belangrijk voor mensen zoals mezelf, is dat we het evenwicht bewaren, dat we niet banger dan ons schaduw worden want anders doen we niets meer. Je moet natuurlijk oog hebben voor het risico, maar je moet ook oog hebben voor het ander en dat is puur judgement. Je kan dat niet in modellen gieten of afwentellen op een ander, je bent zelf verantwoordelijk voor je eigen judgement. Inderdaad en dat zie ik dus ook wel vaker terug, die afweging moet duidelijk gemaakt worden en blijkt wel een aandachtspunt bij veel bestuurders. Ja tuurlijk, het wordt boxticking anders, je gaat je overal willen indekken en je gaat geen business meer doen. En uiteindelijk ga je te kort schieten in je rol van mede stakeholder in een bedrijf. De kwaliteit van de mensen is een noodzakelijke voorwaarde om goed te kunnen draaien, heb je dat niet, je mag nog de beste modellen hebben, de beste analyses, zonder de mensen zal je er niets van bakken. En zie je dan ook een evolutie bij de rol van de raad van bestuur? Ja een groter bewustzijn voor risico natuurlijk, en natuurlijk sinds 2008 een beetje meer formalistisch en een beetje meer remmend i.p.v. duwend door de crisis. Hoe actief is jullie rol dan als bestuurders binnen het bedrijf? In elke board komt de gang van operaties aan bod, en dat is het moment om naar de risico’s dat die operaties met zich meebrengen naar boven te halen en daar vragen over te stellen. Het formele gebeuren gebeurd dan via het audit comité die dan rapporteert aan de board en als er daar dan consequenties aan vasthangen dan moet de board een beslissing nemen en wordt er dikwijls iets dieper ingegaan op dat specifieke geval. 87
En het audit comité hoeveel keer komen zij samen? Dat gaat bij Besix 3 a 4 keer per jaar zijn, en dan heb je ook nog ad hoc vergaderingen. Bij bepaalde crisis situaties of moeilijke situaties zijn er dan bepaalde vergaderingen die daar dan enkel aan gewijd zijn. En dat moet ook behouden worden, want anders is er geen toegevoegde waarde. Ik geloof zeer sterk in dat model waarbij de raad van bestuur goed zijn rol speelt, maar zich dan ook volledig beperkt tot zijn rol. En dus niet zelf de interne risk assessment willen beginnen doen, zijn die niet goed, verander dan de mensen die ze uitvoeren. We moeten de grote lijnen uittekenen en geen mierenneukers beginnen worden. Vind u dat die rol actief genoeg is voor de raad van bestuur? Of vind u dat die nog wat actiever mag zijn? Neen, dat is zeker voldoende. Dat is al veel actiever geworden dan vroeger. Vroeger was de board een plaats waar het management informatie verstrekte aan de bestuurders die dan al dan niet een slimme vraag mochten stellen, en als er dan beslissingen moesten genomen worden, dan waren die al lang genomen door het management comité en de voorzitter. En heel dat model is volledig veranderd. Ik ben wel een persoon die dan ook wel zegt, dat we als board ons ook moeten beperken. Want ik ken zo’n boards die de neiging hebben om zich in de plaats te stellen van het directie comité en dat kan leiden tot conflicten en verlies van waarde. Ieder zijn rol dus, maar het omgekeerde kan natuurlijk ook, een CEO die bijvoorbeeld alles op zich neemt. Ik vind, de beste talenten dat je kan aantrekken moet je dan ook aantrekken, zowel aan beide kanten. En je moet die mensen speelruimte geven en je moet ze goed betalen, vertrouwen is daar een heel belangrijke zaak in. Is er binnen Besix een interne leider omtrent risicobeheer? Dus een bepaalde sleutelpersoon of een orgaan dat zich daar mee bezig houdt. Ja, de CEO, informeel dan. Hij zal de beoordelingen doen, hij heeft daar dan ook veel ervaringen mee en is daar ook een drijvende kracht achter. Hij is ook een man die luistert naar de raad van bestuur en neemt dat dan ook serieus. En hij verdraagt zelf soms wat kritiek, wanneer bepaalde zaken zijn waar wij anders over denken. En vaak komen we zo samen tot nieuwe conclusies en proberen we die dan ook te implementeren, zoals controles van bepaalde processen en dergelijke. En er is geen formele risk manager binnen Besix? Ja die is er wel, dat is de interne audit en risk entiteit. Maar die rapporteert onafhankelijk aan de CEO en aan het audit comité. We zien die dan ook soms alleen, maar voor mij is de CEO bij verre de belangrijkste persoon in dat model. Rapporteert die interne persoon rechtstreeks aan de raad van bestuur? Neen die rapporteert aan het audit comité, maar we zouden dat kunnen opvragen in de raad van bestuur. Het gaat altijd eerst via het audit comité en via die weg naar de RvB. Welke rapporten zijn dat zo allemaal dat het audit comité krijgt? Daarin wordt alles systematisch opgesomd van analyses per land of per bedrijf dat we hebben. Het is in feite een verslag van een interne studie van hun. Vind je dat die verkregen informatie dan voldoende is om jullie verantwoordelijkheden uit te oefenen? Op dit moment wel, maar er is altijd ruimte voor verbetering natuurlijk. Bent u en de andere bestuurders bewust van alle grote risico’s binnen het bedrijf? Ja, van alle grote risico’s denk ik wel omdat de informatiedoorstroming wel goed is bij Besix. Maar ook niet alle risico’s. 88
In welke richting denkt u dat de risicobeheersing binnen het bedrijf zal gaan? Denkt u dat er daar nog iets kan verbeteren? Ja zeker, een nog systematischere approach waar er dan een aantal gegevens verwerkt worden op quasi objectieve manier en die dan knipperlichtjes kunnen doen gaan. Dat zou wel gemakkelijk zijn om daar misschien nog wat te formaliseren. Maar je moet natuurlijk holistisch kunnen redeneren, je moet alles in kaart kunnen brengen en dat risico’s maar een deel aspect is, het is belangrijk maar het is niet alles. En twee het evenwicht vinden en drie natuurlijk de juist mensen ter beschikking hebben. Wat denkt u over de toekomst van ERM binnen het bedrijf? Ik zou dat niet echt kunnen zeggen, we draaien op dit moment zeer goed. We hebben de beste cijfers in de wereld ongeveer als je naar de EBIT kijkt en de EBITDA marge, we groeien nog altijd. We hebben soms wel problemen met bepaalde zaken, maar dat is binnen de perken en ik weet niet of zo’n beter beheer dat meer zou kunnen behelpen. Ik ben daar vrij kritisch in. Ik vind dat de samenleving, de toezichthouders en de overheden zo gericht zijn op de gevaren, dat een bedrijf daar niet mag in gedenatureerd geraken. En misschien is het door mijn kritische gedachte dat ze me ook vragen voor die audit. Wat denkt u dat uw rol zal zijn naar de toekomst toe m.b.t. risicobeheer? Dezelfde, ik ben een bewaker van evenwichten en ik begrijp goeie procedures en alles er rond. Maar ik sta er op dat men moet maken dat men business kan blijven doen.
89
12.11.
Attachment 11
Topics/Companies
Company A
Company B
Company C
Company D
Company E
Company F
Company G
Company H
Start%of%active%Risk% Management%
“We have always been thinking about risks”, “More formalistic since being quoted in 1999” “Especially since the crisis of 20082009, which changed the perception on risks”
“It’s about 4-5 (2008-2009) years that we have a formal process of risk analysis and risk management” “It fitted in the line of good corporate governance which is standard with a public company”
“Before 2010, I believe since the start of the corporate governance code in Belgium (2004-2005)”
“I can’t really remember when that started”
“Around 6-7 years, before I was a board member, they had build up a track record with COFACE”, “I’m not sure when it actively started”
“An official committee especially for risks is fairly recent, it started last year”, “the RM started around 10-15y ago, when ACs started to rise due to the rules of the corporate governance code”
“Since the beginning of the company I believe”, “since we had an audit committee (code Lippens 2005)”
“Since 2000 and maybe even before there has been attention for risks” “In 2004 when going from public to private this continued even more and in a more refined manner”
N/A
N/A
N/A
N/A
“The COSO framework has been used to keep our list/template up to date”.
“There is an ERM process/framework (based on COSO) that is behind our risk management system” “The classic ERM components; risk likelihood, their impact etc.”
“We have an internal auditor who controls, analyses and advises improvements on the procedures within the company using the COSO Framework”
“Came mostly from the auditors, because there are no laws for it in Belgium” “probably not through the boards” “There is a risk and internal control system, the COSO system is a very popular one, we are aware of that one and implement it in our RM”
“From management or from me, seeing I’m the chairman of the audit committee”
ERM%system%in%the% organisation%%
“Top management and the board played a role, definitely when we went private because there were a lot of independent directors” “We don’t have a formal framework where we look at risks and model them, we do look at the risks of our different businesses with the (risk)/audit committee”
RM%entity%and%leader% within%the%organisation%
“Our CFO functions as our Risk manager, we are a fairly small company personnel wise”, “everyone in his domain should know their risks”, “Everyone of the board is fully aware of the risks”
“There is a CRO who occupies himself with risks and internal control”, “There are no other formal entities within the company concerning risks” “The board is aware of all the big risks for as far as I know”
RM%Role%of%the%board%in% the%organisation%
“As a executive director, the CEOs and I have informal meetings where we consider and manage the risks”, “Once a year the board gathers to discuss the LT plan of the firm and there we cover all the risks and each board member has its input, which is important”, “ the board has the final vote on decisions concerning risks”, “No over formalised process which gives them a certain role concerning risks”
“The board has to take the aspect of risks into account when taking decisions about everything”, “The board is actively involved with the risk management process, so the estimations of which risks the company is submitted to”, “ERM is a formal agenda point which we discuss extensively once a year”, “We give input and direction when discussing risks”, “we are actively involved with risk responses together with management”
“There is a internal auditor, no CRO (that is more banks and big enterprises). He reports directly to the audit committee that reports to the board” “Maybe not about all the risks on top of their minds, but therefore we make the documents permanently available for the board” “As an executive director I try to make a risk map twice a year (graph with the likelihood and the importance to the business), which we then compare with our internal auditor’s findings.” “The diversified board, with experience from everywhere brings in other insights on risk management”, “The board makes their decision based on the advice of the audit committee”, “ My role is more active, but the board gathers once a year to discuss the risks, there are many boards who don’t even do that”
RM%Role%of%the%audit% committee%in%the% organisation%
Monitoring of the efficiency of the internal control and the risk management systems and reporting to the board
Discussing and evaluating the internal control and risk management systems, as well as the “risk management action plan” and “the risk survey”
Risk%reporting%to%the% board%
“Each year, the CFO gives a full report the board about all the risks and their state” “Daily, less threatening risks are handled more ad hoc”
Improvements%on% reporting%to%the%board%
“I believe that it is enough, and that we know everything of the risks that we know of”
“The CRO reports directly to the board, this happens in a mutual dialogue” “Each year there is risk report that Is created, which is discussed once a year with the board” “The received information is enough. We also look at the total annual report and other information”
“The biggest impulse definitely came from the CFO, I don’t know if the board had any involved, it was before I joined the board” It has it’s own internal risk system which is approved by their credit insurer and external audit, The system has a certain methodology (aligned with COSO according to the annual report) “The company has it’s own RM system/ risk department where 4/5 people work, who study risks, make reports and pass on evaluations and at the top a RM leader.” “I believe we are aware of the risks, certainly the big one; in the past six years there haven’t been any surprises.” “You have ask the necessary question concerning risks, you help think with the company”, “The audit committee gives advice to the board of directors on their findings, but it is always the board who makes the decisions on how there has the be reacted”, “The board gathers once or twice a year and then the RM system is fully explained to know how everything works, what is followed up etc.”, “we do not explicitly go over the risks because that's more the role of the audit committee, the board needs the AC”, “ “In the AC we try to follow the claims, act retroactive to learn from our mistakes”, “Look at the 20 biggest clients quarterly”, “ The AC gives recommendations” “We get results of risk reports, e.g. the situations of the 20 biggest clients, the AC gets this as well as the board”
Improvements% concerning%ERM%
“Always room for improvement”, “More formalising if we get larger internationally”,
“Maybe let the system integrate even more throughout the company”
Vision%on%RM%and%the% evolution%
“Risk management has maybe gotten too far”, “I would rather start by showing the opportunities instead of the risks”, “I see with a lot of companies where the entrepreneurship diminishes due to the risk management” “Over formalising, results in lengthy reports that create a tension between the do’ers and the people who are occupied with the risk management”
“The risk management has to lead to discussions and it has to be useful so it can be actively used when decisions have to be made”. “I believe the value of risk management should come from letting it trickle down to the daily aspects which are part of decision making”, “You have to take a certain entrepreneurship and growth into account, but with a conservative view concerning risk taking” ,“You are in a certain sector where the surrounding risks don’t change that often”
The%role%of%the%board%in% the%Implementation%of% a%RM%process.%
Awareness%of%the%risks% and%RM%of%the%board%
According to the annual report, the company uses the COSOFramework for her risk management and has implemented control components from this mode” “There is no staff or CRO for risk management as with the banks, but there is a high awareness around risks with the internal audit” “The board and especially the members who are in the audit committee are fully aware of the risks”. “Your task as a director is to see what is new In the world and what is evolving, you have to make sure the company doesn’t stays in routine but sees new things as well.” “Depending on his skills on different matters, a director can focus more or less on certain risks.” “The board gets advice of the audit committee who does most of the work around risks, so it can make a final decision.” “The board approves more of what the AC does, but they also ask questions and ask explanations.”
“Make preparatory work to give advice to the board concerning risks ”, “Searching/discussing improvements on risk management and internal control” “The board gets a full report about the situation of all the risks, a risk map that is easy to read”, “It’s more of a synopsis, but behind each risk, there are calculations as well”, “gets it from the audit committee” “We want to put the dynamic of the risks into a graph”, “Looking at other companies and learn from their actions” “Maybe integrate a bit more lower into the organisation, but I don’t know if I see any value in that”
“The emphasis of the RM lies on the audit committee, they are more elaborately occupied with it.” “AC approves the audit plan of the internal audit” “No specific reports, the audit committee gets specific dedicated reports and they then report the risks to the board thematically per product in a less elaborate way.”
“A director should have a much broader vision than an internal auditor, he should see the overall picture much clearer”, “There is the danger of shifting to the American standards of formalising on risks, there they start to over formalise”, “Find a golden way between formalising and Common sense/Entrepreneurship”, “Make sure that there is some form of awareness about the risks of the company inside the board, and keep it that way, a lot of companies don’t even have that”
“A solid internal audit is a must, if that doesn’t work properly, your risk management will never work”, “The company has to constantly be alert for new risks, and that's where all the directors bring in their experiences of the other companies they are with”, “We are not there to do the work of the top management, we have to give them our trust and we have to guide them when necessary”
“Through the audit committee they want to implement a special track around cyber criminality and security in the audit plan.” N/A
N/A
“More evolution towards integration”
“RM is not everywhere as evolved as with us, I know a lot of companies where it is much less explicit”, “Everyone has to be aware that they are vulnerable to certain risks and everyone has to do everything that they can do to contain those risks”
“The internal audit occupies itself with the risk control” “There is no risk committee, but the AC committee occupies itself with analysing risks”, “We try to do everything to know all our risks, you can’t predict everything but we are very occupied with it” “The board takes the responsibility of taking the advice of the AC or not, it’s the board who always decides”, “The board doesn’t interfere with d2d management of the company, in Belgium they do that a bit more then they should”, “The board calls out management and takes actions when something goes wrong”, “The board plays a more waiting role because they gave the larger part of the analysis to the AC”, “The board will constantly ask questions, and will bring up things they’ve seen outside the company”
“There is a ERM framework/system in the company that does risk mapping” “There are also other goals than set in the COSO framework” “The internal audit is outsourced to Deloitte” “Many people are responsible for RM, not just one person” “The board is very much aware of all the big risks of the company”
“The CEO is the informal leader, but there is a internal audit and risk entity that reports to the CEO and the audit committee, but the CEO is the most important one” “We are aware of all big risks thanks to the good flow of information, but obviously not all the risks”
“ The board determines a certain strategy and when setting this strategy it has to take all the risks surrounding this strategy into account” “The board can ask questions and send out signals by demanding reports etc. but it is mgmt. that does the executions” “The board is involved with all big risks and formally has all the authority over what has to be done” “The AC helps the board a lot in its RM, the AC does the biggest part of the RM for the board, except deciding”
“Holding a mirror in front of the company, and doing this in a critical manner” “The board tries to comprehend how management assesses risks, how they deal with it and how they make conclusions and we try to do this over and over” “So asking critical questions and giving recommendations to the management” “The board gets the input about the risk from the report of the AC, but it’s the board who makes the decisions about certain implementations and the bigger the problems, the more the board gets involved” “The board is a guardian of equilibriums”
“The AC follows up the risks closely and reports them to the board”, “AC has no authority, but gathers info and analysis for the board” “The board gets an oral and writing report in each meeting of what is discussed in the AC and where they believe action should be taken” “This report includes all the risks and their key factors” N/A
“Are more operational and explicit in the RM” “Give technical assistance” “Look for risks within the strategy set by the board on all domains” “The risk mapping is done by the whole upper management and the board” “The audit committee reports on that risk map to the board in a more concise manner”
“AC does closed session with the internal audit and external auditors”, “AC goes deeper into risks and do a much more extensive reporting on al the projects and reports to the board” “The AC reports to the board, and receives most of the info from the internal auditor” “The board gets an analysis per country or project where everything is systematically shown”
N/A
“There is always room for improvement”
“Try and find our way through all the rules we already have”, “Find a way to integrate everything in one clear system” “The VSA has been obsessed with RM much longer than Europe”, “When creating laws you automatically start overformalizing and box-ticking without seeing what is really happening”, “Formalistic systems is a must but we have to stay pragmatic!” “Boards are much more critical and aware of risks than 10 years ago, back then the attention often disappeared” “The system can’t dominate the company, it’s the company that should make use of the system”
“The attention for RM management shouldn’t dim away, we have to make sure this does not happen” “I believe we have succeeded in managing certain risks and that we have become much more aware about the risks” “We are also subjected to the SOX-laws, which increases our awareness of the risks and the processes around them” “Compared to the past the awareness around risks is much higher, in the past it used to be more compliance”
“An even more systemic approach, where objective data is processed and can give signals afterwards” “formalising, but staying holistic” “You always learn more from your mistakes than your successes, that has brought a more strict risk analysis and management”, “you have to find a balance between RM and business, because RM can kill business if it starts to dominate, overregulating is never good” “RM used to be very empty en reactive, now its much more proactive and professional” “Too much paranoia around risks will decrease entrepreneurship and a company should never get denaturalised in this way”
90
91
