Wildinghe Consultancy

Advies + Interim Management

Artikelen
Navigatie
 

Enterprise Risk Management (ERM)

Inleiding

Iedere onderneming heeft te maken met onzekerheid over externe en interne gebeurtenissen. Daarin liggen de kansen, maar ook de bedreigingen. Winst is de beloning voor het succesvol nemen van risico's. Wie geen risico's wil nemen kan geen onderneming leiden. Maar wie een onderneming leidt zal zich regelmatig de vraag moeten stellen hoeveel risico hij bereid is te accepteren ('risk appetite'). Wie te veel of te weinig risico neemt loopt het gevaar dat hij zijn doelstellingen niet realiseert.

ERM heeft te maken met het managen van risico; niet met het elimineren ervan. ERM helpt managers bij het omgaan met onzekerheid (en de daaruit voortvloeiende risico's en kansen). Via ERM worden potentiŽle gebeurtenissen opgespoord welke de onderneming kunnen beÔnvloeden. Bijbehorende risico's worden in kaart gebracht. Mogelijke reacties worden voorbereid. In grote lijnen dient ERM te zorgen voor:
  • het op elkaar afstemmen van risk appetite en strategie;
  • het verbeteren van beslissingen over reacties op risico's;
  • het verminderen van operationele verrassingen en verliezen;
  • het identificeren en managen van meervoudige en cross-company risico's;
  • het benutten van kansen;
  • het verbeteren van de inzet van middelen.
ERM kost tijd, moeite en geld en er is zijn cultuur- en gedragsveranderingen voor nodig. Maar als ERM binnen de gehele onderneming door mensen op alle niveaus wordt toegepast, is het een uitstekend instrument om het management een redelijke zekerheid te verschaffen dat gedefinieerde ondernemingsdoelstellingen zullen worden gerealiseerd.

ERM-systeem

ERM is geen eenmalige gebeurtenis, maar een proces. Voor ERM moet dus een systeem worden ontworpen. Een ERM-systeem is het geheel van beleidsmaatregelen, processen, taken, gedragingen en andere aspecten van een onderneming, die tezamen bijdragen aan:
  • een doeltreffende en efficiŽnte bedrijfsvoering van de onderneming door haar in staat te stellen gepast te reageren op belangrijke strategische, operationele, financiŽle, en andere risico's;
  • de naleving van de interne procedures met betrekking tot de uitvoering van de bedrijfsactiviteiten;
  • de naleving van relevante wetten en regels;
  • het zeker stellen van de kwaliteit van de interne en externe verslaggeving.
ERM-system kan in het Nederlands worden vertaald als intern risicobeheersings- en controlesysteem.

Model

Voor het ontwerpen van een op de onderneming toegesneden ERM-systeem is het handig om gebruik te maken van het zgn. COSO (Committee of Sponsoring Organizations of the Tready Commission) model. Dit model wordt wereldwijd door grote ondernemingen als uitgangspunt gebruikt voor het bouwen van en het praten over ERM-systemen. De componenten vormen een geÔntegreerd systeem dat aan veranderende omstandigheden kan worden aangepast.

Het model ziet er als volgt uit:
Figuur 1
Aanpak opzetten ERM

Uitgaande van het COSO model kan het opzetten van een ERM-systeem schematisch als volgt worden weergegeven.

Figuur 2

Identificeren van essentiŽle risico'

Stap 3 van het hiervoor genoemde schema geeft aan dat moet worden nagegaan wat de belangrijkste gebeurtenissen of ontwikkelingen zijn die een bedreiging vormen voor de realisatie van de strategieŽn. Dit kan zowel top-down als bottom-up gebeuren.

Een top-down-benadering is bijvoorbeeld de zgn. 'strategische risicoanalyse'. Dit is een onderzoeksaanpak waarbij, in nauwe samenwerking met het management van de onderneming en vanuit het perspectief van haar organisatiedoelstellingen, de belangrijkste risico's op een gestructureerde en consistente wijze worden geÔdentificeerd. Het volgende risicoanalyseschema geeft een beeld van het (denk-)proces dat ten grondslag ligt aan de strategische risicoanalyse.

Figuur 3

Een strategische risicoanalyse omvat de volgende stappen.
  1. Vanuit het perspectief van de organisatiedoelstellingen, op gestructureerde wijze identificeren en vastleggen van de belangrijkste risico's in een zogenaamd risicoregister.
  2. Classificeren van deze risico's op basis van - de aard van - hun potentiŽle impact op het realiseren van deze doelen en de waarschijnlijkheid dat het risico zich daadwerkelijk manifesteert.
  3. Per significant risicogebied inventariseren door welke bedrijfsfuncties en op welke wijze(n) dat risico momenteel beheerst wordt alsmede welke verbeteringen daarin gewenst zijn.
Een strategische risicoanalyse resulteert in een beknopte rapportage waarin is vastgelegd:
  • Het huidige risicoprofiel van de organisatie.
  • De door het management vastgestelde prioriteitsstelling van deze vitale risico's.
  • Het huidige risicobeheersingprofiel dat een totaal inzicht geeft in de wijze waarop de belangrijkste risico's momenteel door de diverse bedrijfsfuncties worden afgedekt.
  • Een concreet plan voor gerichte verbetering van de beheersing van de vitale bedrijfsrisico's.
Beheersing van risico's

De meeste ondernemingen neigen ertoe hun risico's te beheersen vanuit specialistische afdelingen. Daartussen bestaat veelal weinig coŲrdinatie. Bovendien gebeurt het onderkennen van nieuwe risico's nog veel te vaak reactief in plaats van pro-actief. Gevolg: onvoldoende inzicht in en consensus over risicobeoordeling, -beheersing en -bewaking, onvoldoende dekking van risico's, te hoge kosten.

Integraal risicomanagement bundelt en coŲrdineert het management van bedrijfsrisico's over de gehele organisatie. Daarbij wordt tevens rekening gehouden met de onderlinge relaties en afhankelijkheden van de diverse (soorten) bedrijfsrisico's. Door een betere strategische aansturing en onderlinge coŲrdinatie van de maatregelen ter beheersing van risico's kunnen de inconsistenties, overlappingen en lacunes daarin beter worden geÔdentificeerd. Dit resulteert in een verhoogde effectiviteit en verlaging van de kosten van die maatregelen. Deze op samenhang gerichte benadering, vindt u terug in het volgende schema.

Figuur 4