COSO 2017 Governance & Cultuur
Het nieuwe COSO 2017 ERM raamwerk legt de nadruk op de wisselwerking tussen risico, prestatie, strategie en waarde. Risicomanagement wordt strategisch risicomanagement. Een van de vijf thema’s die COSO 2017 behelst is governance en cultuur. Binnen governance en cultuur zijn op zijn beurt 5 heldere principes te onderscheiden, die ik in deze blog graag één voor één onder de loep wil nemen.
Principe 1: Verkrijgen van integraal risico-overzicht
De RvB is, namens de verschillende stakeholders, allereerst verantwoordelijk voor het het verkrijgen van een integraal risico-overzicht (de helicopterview). We hebben het hier dus niet over het dagelijkse en operationele risicomanagement maar over strategische en externe risico’s. Er dient voldoende kennis te zijn van de echt relevante risico’s die de organisatie kunnen bedreigen, zoals bijvoorbeeld cybercrime, nieuwe wet- en regelgeving, demografische ontwikkelingen. De RvC dient de RvB en management te challengen op de compleetheid van dit beeld, de prioriteiten en de mogelijke impact van deze risico’s . Zij dient de complexiteit van de organisatie goed te begrijpen en moet weten hoe risicomanagement en de werkvormen waarde toevoegen aan de organisatie. Door het voeren van een dialoog moet ze een passende vorm van risicomanagement vinden, die aansluit bij de organisatie. De RvC kent de organisatie- bias van de organisatie goed (bijvoorbeeld dominante persoonlijkheden, kwantitatief enthousiast, ontwijken tegenkracht) en challenged de RvB en het management deze te overwinnen.
Principe 2: Neerzetten van een operationele structuur
Dit principe gaat over het neerzetten van een operationele structuur, die in staat is de strategie en doelstellingen uit te kunnen voeren. Er dient kortom binnen de organisatie een duidelijke sturingsfilosofie aanwezig te zijn, die door structuur en reporting wordt ondersteund. Ook dienen de taken en verantwoordelijkheden helder te zijn. Voor een goede sturing is het belangrijk dat er integrale risico- informatie vanuit de organisatie ontstaat die naar boven opgerold (of geconsolideerd) kan worden. Door tooling kan worden gemonitord of risico’s daadwerkelijk op meerdere niveaus betrokken worden bij de besluitvorming. Bijv. door te kijken naar de dynamiek in het profiel aan de hand van de stijgers en dalers.
Principe 3: Bepalen gewenste cultuur
Cultuur & gedrag gaat over de kernwaarden, gedrag en besluitvorming. Deze organisatiecultuur bepaalt voor een belangrijk gedeelte hoe de organisatie risico’s identificeert, welke ze accepteert en hoe de risico’s gemanaged worden. De directie dient daarom de gewenste risico-cultuur (voor de gehele organisatie en haar individuen) vast te stellen, met de kernwaarden als basis. Natuurlijk verschillen decentraal de risicoculturen (een salesafdeling is bijvoorbeeld meer risiconemend dan een juridische afdeling). Toch is het belangrijk dat er een gemeenschappelijk begrip ontstaat over welke risicovolle beslissingen acceptabel zijn in het licht van de risk appetite, om de strategie uit te kunnen voeren.
Besluitvaardigheid speelt dan ook een belangrijke rol in de risicocultuur van de organisatie. Vooral in situaties waar er te weinig informatie beschikbaar is voor een beslissing, of als onverwachte gebeurtenissen de strategie of performance raken. Besluitvaardigheid ontstaat op basis van ervaring, risicohouding, vaardigheden en de beschikbare informatie. Maar het is belangrijk altijd rekening te houden met organisatie-bias als vooroordelen.
De meeste ideale situatie ontstaat wanneer de kernwaarden in de haarvaten van de organisatie zitten (bij besluitvorming en gedrag). Indien dit niet het geval is worden doelstellingen en prestaties niet gehaald en ontstaat wantrouwen bij de stakeholders. Opvallende signalen hiervoor kunnen zijn dat de directie haar verwachtingen onvoldoende weet over te brengen. Of dat het middenmanagement zich onvoldoende verbonden voelt met de missie, visie en strategie, of dat er geen onderzoek plaatsvindt naar excessief risiconemend gedrag.
Principe 4: Aantoonbaar commitment kernwaarden
Bij dit principe gaat het om het consistent gebruiken van de kernwaarden in relatie tot de missie en visie, ook al zijn er verschillen in de organisatie. De boodschap wordt herhaald en de organisatie wordt aangemoedigd om het gewenste gedrag te laten zien.
- Omarmen van risicobewuste cultuur; Hier gaat het vooral om sterk leiderschap en voorbeeldgedrag om het risicobewustzijn binnen de organisatie te vergroten. Medewerkers worden aangemoedigd mee te denken (het bespreken van risico’s in relatie tot strategie en doelstellingen). Daarnaast wordt het risicobewustzijn verbonden met besluitvorming en worden prestaties en beloningen gekoppeld aan kernwaarden. Uiteindelijk wordt de open en eerlijk gevoerde risicodialoog verankerd in de besluitvorming.
- Afdwingen van verantwoordelijkheden; De directie is verantwoordelijk voor de risico’s en heeft als taak een risicomanagement raamwerk en werkwijze neer te zetten die ondersteunt bij het behalen van de strategie. Deze verantwoordelijkheid is vertaald naar de organisatiestructuur van de organisatie.
- De verantwoordelijkheid evalueren; Of de prestaties daadwerkelijk worden gehaald wordt op meerdere niveaus in de organisatie geëvalueerd. Hierbij wordt sterk gekeken of de prestatie past binnen de waarden van de organisatie.
- Open communicatie; Het management zorgt regelmatig voor interne transparantie over risico’s, door duidelijk naar de organisatie te communiceren dat risico’s onderdeel zijn van ieders dagelijkse verantwoordelijkheden. Voorbeelden van informatie die gedeeld dient te worden zijn: veranderingen in de aannamen die onder de strategie of doelstellingen liggen of de adequaatheid van risicobeheersing. Op deze wijze kan de directie vaststellen of het risicomanagement in de praktijk werkt, en kunnen er disciplinaire maatregelen worden getroffen.
Principe 5: Werving, ontwikkeling en het vasthouden van capabele medewerkers
Binnen dit principe toont de organisatie dat er commitment is in het bouwen en onderhouden van het noodzakelijke human capital, in relatie met de strategie en doelstellingen.
- Neerzetten en evalueren van competenties ; Het management bepaalt het menselijk kapitaal dat benodigd is voor de uitvoering van de strategie. Middels een top down beoordelingssysteem wordt gekeken of de competenties daadwerkelijk aanwezig zijn en of deze functioneren.
- Werving, ontwikkeling en vasthouden individuen; Bij de werving is het essentieel ook naar de risicohouding van de persoon te kijken, en te beoordelen of deze past bij de organisatie. Training, coaching, evaluatie en behoud van het personeel zijn hiernaast van het grootste belang.
- Belonen van prestaties; het is belangrijk het gewenste gedrag te belonen door het geven van meer verantwoordelijkheid en erkenning. Dit kan ook gebeuren door salarisverhoging of bonusstructuren.
- Werkdruk balans; Druk en stress kan ontstaan vanuit targets, het wegvallen van collega’s of een externe context als een dip in de economie of een die door mensen wordt gecreëerd. Juist in dit soort situaties worden meer fouten gemaakt en is het belangrijk de werkdruk te verminderen door extra inhuur en het verschuiven van taken.
Risicomanagement door de nieuwe COSO ERM aanpak echt strategisch. In onze training strategisch risicomanagement gaan we hier in de praktijk handen en voeten aan geven.