&FINANCE CONTROL

F E B R U A R I 2 0 1 0 | 3 7 W W W . K L U W E R F I N A N C I E E L M A N A G E M E N T . N L

Management control

Het meest gebruikte referentiemodel voor het inrichten van integraal risicomanagement, is wel wat meestal kortweg als COSO wordt aangeduid. In 1992 publiceerde het Commit-tee of Sponsoring Organizations (COSO) van de Treadway Commission (de Amerikaanse National Commission on Fraudulent Financial Reporting, uit 1985) het zogenaamde Internal Control – Integrated Framework, om profit- en not-for-profit-organisaties te helpen hun internal control te analy-seren en verbeteren. Die sponsors van Treadway waren het American Institute of Certified Public Accountants (AICPA), de American Accounting Association (AAA), Financial Exe-cutives International (FEI), het Institute of Internal Auditors (IIA) en last but not least het Institute of Management Ac-countants (IMA). In 2004 kwam datzelfde COSO met haar Enterprise Risk Management – Integrated Framework, kortweg het COSO- of COSO ERM-model dus. Alternatieven voor COSO zijn bijvoorbeeld branchegericht, als Basel II voor de banken en Solvency II voor de verzekeraars, of buiten de Ver-enigde Staten de Australisch/Nieuw-Zeelandse AS/NZS ISO 31000:2009 Risk management – Principles and guidelines of de Risk Management Standard van de Federation of European Risk Management Associations FERMA. Dit model wordt wereldwijd het meest gebruikt, maar dat betekent niet dat er geen kritiek op is. Een van de sponsors, IMA, uitte bijvoorbeeld in 2006 de zorg dat COSO te veel gericht was op externe auditors en niet op managers. Bijna hadden ze een alternatief model gepubliceerd, maar dat wist de riskmanagementgemeente nog net te voorkomen. In plaats daarvan verrijkte IMA (de Amerikaanse VRC) het COSO-framework met een submodel, de Collaborative Assu-

rance & Risk Design: Management Edition. Dit initiatief wees op de zwaktes van COSO ERM: veel te breed, te veel princi-ple-based om ook de interne controle te ondersteunen. Bo-vendien veel te gecompliceerd voor de gemiddelde manager, met drie doelstellingen (effectiveness and efficiency of opera-tions, reliability of financial reporting en compliance with ap-plicable laws and regulations). Je kunt je natuurlijk afvragen waarom die populariteit van het COSO-model blijkbaar niet geholpen heeft de financiële crisis te voorkomen. Andere critici wezen er terecht op dat COSO ERM niet helpt tegen fraude en de meeste serieuze fraude speelt zich af op het niveau van directie en bestuur – die ‘staan boven’ interne controle. Ook zou de financial dis-closure van COSO niet veel echte risico’s aan het licht bren-gen – zie de geheel onverwachte ondergang van COSO-adept Lehman Brothers.

COSO ERM lijdt, kortom, onder een aantal tekortkomingen: het is vooral gericht op externe auditing, het is te ingewikkeld voor managers, geeft geen eenduidig normenkader, geen draaiboek om ERM te implementeren, er wordt een smalle definitie van interne controle gehanteerd en bovendien is het model te statisch voor de moderne dynamische omgeving waarin het een helder ijkpunt zou moeten zijn.

Ri sicomanagement

GEWOON JE WERK GOED DOENHet COSO ERM-raamwerk wordt al bijna 20 jaar ingezet om de ‘internal control’ binnen organisaties in kaart te brengen. De kritiek is echter niet van de lucht. Het model zou te theoretisch zijn en te kort schie-ten in het blootleggen van grote financiële risico’s. In zijn ‘Handboek Risicomanagement’ gaat Urjan Claassen in op deze kritiek en biedt hij inzichten die het model praktischer maken.

A R N E L A S A N C E

Ondernemerschap en risico

onlosmakelijk verbonden

FC0110_vrij_artikel_06 37FC0110_vrij_artikel_06 37 11-02-2010 16:11:0111-02-2010 16:11:01

&FINANCE CONTROL

3 8 | F E B R U A R I 2 0 1 0

Vijf componenten die in onderlinge samenhang dienen te worden ontworpen:

Bij een ineffectieve risicomanagementinfrastructuur:

Risicostrategiewordt niet uitgevoerd

en risico's worden niet adequaat beheerst

Risico's en risico-

strategie

Beheer-sings-

processen

Mensen Informatie&

Communi-catie

Toezicht

Mensen voerenbeheerstaken

niet adequaat uit

Geen adequateaan- of bijsturing

Onvoldoende ofonbetrouwbareinformatie voor

toezicht

aan wet- en regelgeving; projecten moeten binnen het budget blijven, zowel in tijd als in kosten. Maar organisaties moeten zich ook realiseren wat hun doelstelling is: winst (bedrijfsle-ven) of een maatschappelijk doel (not-for-profit) en er zijn altijd zowel conformance- als performance-risico’s.Integraal risicomanagement helpt een organisatie om te gaan met risico en kan daardoor de waarde van de organisatie ver-hogen. Effectief en integraal risicomanagement verhoogt de kans dat doelen gerealiseerd worden en zorgt voor een duur-zaam voordeel ten opzichte van de concurrent die diezelfde risico’s niet heeft voorzien. Ook zorgt een integrale aanpak er-voor dat er niet te veel wordt uitgegeven aan risicobeheersing. Effectief risicomanagement zal ongetwijfeld de algemene per-formance van de organisatie verbeteren. Dat is kort geformu-leerd de businesscase voor integraal risicomanagement. Risi-co’s managen is gewoon je werk als manager goed doen.Regels, wetten, toezicht, procedures, systemen, controles en rapportages zijn allemaal bedoeld om te komen tot beter on-dernemingsbestuur. De ‘kwaal’ lijkt daarmee overigens mis-schien onder controle gebracht, maar schijn bedriegt natuur-lijk. De symptomen – fraudes en boekhoudaffaires – treden minder vaak op, maar de oorzaak is natuurlijk niet weg. Bo-vendien blijkt steeds weer dat we met de beste wil van de we-reld niet in staat zijn de echt grote risico’s, zoals de huidige crisis, te voorzien. De vele procedurele maatregelen kunnen op termijn zelfs contraproductief werken, omdat ze met schijnzekerheid het natuurlijk immuunsysteem van de onder-neming aantasten. Discussies over goed ondernemingsbe-stuur richten zich dezer dagen wellicht te veel op regels en protocollen, en op riskmanagement in de vorm van een re-ductie van echte onpeilbare onzekerheid tot statistisch meet-bare risico’s, en te weinig op hart en ziel van goed onderne-mingsbestuur: talent, en vooral de integriteit van de organisatie, haar leiding en haar mensen.

Risico en onzekerheidDesalniettemin is riskmanagement dezer dagen een van de belangrijkste aandachtsgebieden van management en control-lers, zoals op te maken is uit de vele publicaties die over dit onderwerp verschijnen. Ondernemerschap en risico zijn onlosmakelijk met elkaar verbonden. Tot investeringen en innovaties wordt besloten, zonder dat tevoren succes of falen vaststaat. Na de internet-bubbel, de boekhoudschandalen en recentelijk de financiële crisis, werden en worden zowel de wet- en regelgeving aange-past, als allerlei referentiemodellen en protocollen ontwikkeld en aangeprezen, om zo veel mogelijk risico’s te voorzien, defi-niëren, wegen, vermijden, mitigeren of minstens te ‘managen’. Maar elke onderneming móét ook risico’s nemen, wil ze in-springen op kansen om meer waarde te creëren.

Daarbij treedt meteen een kip-of-eikwestie naar voren. Wat komt er eigenlijk eerst? Moet je alvorens een nieuwe bedrijfs-strategie te ontwikkelen eerst een brede risk assessment uit-voeren, of andersom? Zonder daar een uitspraak over te doen, moge duidelijk zijn dat de twee eigenlijk altijd geïntegreerd aan de orde zouden moeten komen. Omdat de omgeving steeds verandert, is strategiebepaling een dynamisch proces; hetzelfde geldt voor risicobeoordeling. Een enterprise-wide risicoanalyse kan helpen bepalen of er risico’s zijn die te groot zijn voor de organisatie.Risico’s worden gemanaged op basis van het conformance- of het performance-motief. Organisaties moeten zich houden

Figuur 1

Vijf componenten van de ERMplus-infrastructuur

Kwaal lijkt onder controle gebracht,

maar schijn bedriegt

FC0110_vrij_artikel_06 38FC0110_vrij_artikel_06 38 11-02-2010 15:29:0711-02-2010 15:29:07

&FINANCE CONTROL

F E B R U A R I 2 0 1 0 | 3 9 W W W . K L U W E R F I N A N C I E E L M A N A G E M E N T . N L

Mensen laten zich bij dilemma’s nauwelijks leiden door regel-geving of procedures. Het eigen morele oordeel, de inschat-ting van wat belangrijk geachte anderen verwachten, het ge-drag van naaste collega’s en vooral het voorbeeldgedrag van leidinggevenden hebben veel meer invloed. Dat blijkt keer op keer uit diverse onderzoeken. In dat gegeven ligt ook het belang van soft controls. In zijn woord vooraf wijst Loek Hermans, voorzitter MKB Neder-land, op het feit dat ‘de essentie van succesvol risicomanage-ment niet alléén gelegen is in een adequaat raamwerk of model voor risk management. Uiteindelijk,’ aldus Hermans, ‘draait het om mensen. Mensen die verantwoordelijkheid nemen, dragen, en daar verantwoording over afleggen.’ Onder soft controls verstaan we de verzameling controlmaat-regelen die met elkaar gemeen hebben dat ze voornamelijk te maken hebben met menselijk gedrag, en daarom niet goed meetbaar zijn. Een aantal voorbeelden van deze control en-vironment, zoals COSO ERM het noemt:

cultuur; ~managementstijlen; ~gedeelde waarden en normen; ~commitment en loyaliteit; ~HRM-beleid (beloning, zorg, toezicht); ~opleiding en training. ~

Iedereen kent voorbeelden van organisaties waarbij ‘op pa-pier’ alles geregeld is, maar waar het toch niet wil lukken. Het omgekeerde komt eveneens voor: organisaties waarin niets geregeld lijkt, en die toch fantastisch opereren. Soft controls, aldus de auteur van het handboek, zijn altijd werkzaam in een organisatie, bedoeld of onbedoeld. Zij zijn het die er uit-eindelijk voor zorgen dat de ‘harde controls’ ook inderdaad het beoogde effect sorteren. Met andere woorden: rule-based is mooi, maar het zijn de principles die de rules versterken – én omgekeerd!

Beoordelen en belonen?Aan de dezer dagen algemeen geuite weerzin tegen bonussen te meten, zou een van de hoofdoorzaken van de financiële cri-sis de gewoonte zijn om managers verkeerd te belonen: zij werden als het ware gedwongen om alleen naar winst op korte termijn te streven. Het Handboek Risicomanagement gaat uitgebreid, maar droog-theoretisch, in op de verschillende manieren van pres-tatiemeting en -beloning.

Handboek RisicomanagementDe aanleiding tot voorgaande inleiding is de recente verschij-ning van het Handboek Risicomanagement, een lijvige (> 500 pagina’s) Nederlandstalige uitgave over ‘ERMplus: een prakti-sche toepassing van COSO ERM’. In dertien hoofdstukken plus een epiloog en een aantal bijla-gen geeft dit ‘handboek’ in de inhoudsopgave een volledig overzicht van de ins en outs van risicomanagement:

Inleiding: waarom risicomanagement? Wat is COSO ERM? ~Waarom ERMplus? Achtergronden: governance, risk management, Enterprise ~Risk Management.Taal: wat is risico? ~Organisatiedoelstellingen, structuur en cultuur. ~Identificatie van risico’s, risicostrategieën. ~Inrichting controlprocessen. ~Monitoren en continu verbeteren. ~Verantwoording. ~Implementatie. ~Project en risico. ~Risicomanagement en de kredietcrisis. ~Toezichthouders. ~Wet- en regelgeving. ~

In de bijlagen vindt u een begrippenlijst, een overzicht van (inter)nationale corporate governance wet- en regelgeving en twee scans: een om te bepalen hoe ‘volwassen’ de organisatie is wat betreft riskmanagement en een quick scan rond de zo-genaamde soft controls.In zijn voorwoord kondigt de auteur Urjan Claassen aan dat hij met dit boek over COSO ERM niet alleen wil vertellen wat het belang van risicomanagement is, maar dat hij ook een praktisch handboek heeft willen maken door een aantal be-zwaren van critici tegen het COSO-model weg te nemen. Hij doet dat door onderdelen van het model uit te diepen en handvatten te bieden voor een praktische toepassing van COSO ERM via een pragmatische en gestructureerde route-kaart die ‘ERMplus’ genoemd wordt.

Belang van soft controlsRisicomanagers, of zij die deze rol op zich nemen, moeten daartoe allereerst een effectieve infrastructuur realiseren, gebaseerd op vijf componenten (volgens het ERMplus-raamwerk):

risico’s en bijbehorende tegenmaatregelen; ~controlprocessen; ~mensen; ~informatie en communicatie; ~toezicht. ~

Geen strategisch plan

zonder risicoanalyse

FC0110_vrij_artikel_06 39FC0110_vrij_artikel_06 39 11-02-2010 15:29:0711-02-2010 15:29:07

&FINANCE CONTROL

4 0 | F E B R U A R I 2 0 1 0

Omgaan met risico’s

Volgens het Committee of Sponsoring Organizations of the Treadway

Commission (COSO), zijn er vier mogelijke manieren om met risico’s

om te gaan: avoid, accept, reduce en share.

Vermijden

Risico’s wegnemen door te voorkomen dat dergelijke ‘events’ zich

voordoen. Bijvoorbeeld door elke risicovolle innovatie af te wijzen,

of onderdelen met een hoger risicoprofiel te vervreemden.

Accepteren

Het bestaande risicoprofiel ongewijzigd handhaven. Door niets te

doen, door risico’s in de prijs te verrekenen, door voor elk risico

compensatie te eisen, door interne verrekening, door te reserveren

enzovoort.

laat staan de kans daarop kunnen overzien. Nassim Taleb wijst in zijn boek De zwarte zwaan ook op het feit dat we ons wel kunnen voorbereiden op dingen die we Gaussiaans kunnen voorzien, en waarvan we de gevolgen enigszins in kaart kunnen brengen, maar niet op de volledig uit de lucht vallende grote rampen, hoe goed we die achteraf ook denken te kunnen verklaren (bijvoorbeeld via uit de hand gelopen bonussystemen). Het gevaar van risicomanagement is dat er veel informatie verzameld wordt waar helemaal niets mee wordt gedaan, of waaruit onterechte conclusies getrokken worden. Een bekend voorbeeld is hoe senator Kennedy door de Inland Security op grond van datamining op een no-fly list kwam te staan. Iedere succesvolle organisatie moet risico’s ook durven ne-men, ja omarmen zelfs, als kans om waarde te creëren. Het is altijd een risico om nieuwe markten te betreden, nieuwe dien-sten te ontwikkelen, een ander bedrijf over te nemen. Als de strategie zorgvuldig onderbouwd is, en de kenbare kansen en consequenties in kaart gebracht zijn, dan is risico weer iets leuks en spannends geworden. Leuk en spannend is het Handboek Risicomanagement niet te noemen. Wel geeft het een bijzonder degelijk overzicht van hoe een organisatie risicomanagement op basis van COSO ERM kan invoeren. En dat is nuttige bagage in een tijd waarin consultants riskmanagement als nieuwe panacee aan de man proberen te brengen.

Arne Lasance is freelance journalistHet boek ‘Handboek Risicomanagement’ van drs. Urjan Claassen RA RE CIA, is in 2009 verschenen bij Kluwer (ISBN 9789013064049).

Het onderscheidt bijvoorbeeld input-, output- en procesge-richte meting van performance. Inputgerelateerde meting houdt vooral rekening met inzet, leidinggevende kwaliteiten en knowhow. Outputgerelateerde prestatiemeting houdt on-voldoende rekening met de vraag hoe iemand een bepaald resultaat behaald heeft. Bij procesgerelateerde meting wordt vooral dat aspect ‘gemeten’. De conclusie is dat inputgerela-teerde systemen het zwakst zijn, en dat noch proces- noch outputmeting alleen voldoende is om echt rechtvaardig te oordelen. Een goede, veelzijdige methode is dan ook nodig om de prestaties - zeker als basis voor de latere beloning – te kunnen meten en beoordelen.Omdat de manier van belonen een zo belangrijke invloed uit-oefent op het gedrag van managers en medewerkers, vormt de betreffende systematiek ook een belangrijk aspect van mana-gement control- en risicomanagement. Het handboek geeft in vijf pagina’s een overzicht van beloningsvormen, beloningsbe-leid en beloningssoorten en besteedt ook nog aandacht aan groepsbeloning versus individuele beloning, het niveau waar-op gemeten wordt en absolute versus relatieve prestaties. Dit alles echter volgens de beste tradities van een leerboek HRM – u zal vergeefs zoeken naar de vraag wanneer iemand meer dan een miljoen mag verdienen, wat het risico is van beloning met opties, aandelen, of via peer-related incentive schemes.

Risico of onzekerheidHet was de econoom Frank Knight die al in 1921 in zijn boek Risk, Uncertainty and Profit aandacht vroeg voor het verschil tussen risico en onzekerheid. Hij maakte daarin een duidelijk onderscheid tussen risico, als randomness met berekenbare kansverdelingen (zoals bij het gooien met een dobbelsteen), en de dynamische onzekerheid van ons bestaan, waarin we geen idee hebben wat er gaat gebeuren,

Delen

Ten slotte kunt u er ook voor kiezen de risico’s te delen met een

derde partij. Bijvoorbeeld door een ziektekostenverzekering af te

sluiten bij een betrouwbare verzekeraar, door te herverzekeren, hed-

gen of securitiseren, door joint ventures aan te gaan, door functies

te outsourcen, door vreemd kapitaal aan te trekken.

Reduceren

Men kan ook proberen bekende risico’s te mitigeren tot een

acceptabel niveau. Voorbeelden zijn geografische spreiding, of door

effectief risicomanagement in te voeren.

FC0110_vrij_artikel_06 40FC0110_vrij_artikel_06 40 11-02-2010 15:29:0711-02-2010 15:29:07