Onlangs werd de vernieuwde COSO-standaard Enterprise Risk Management (ERM) uitgegeven. Het raamwerk is een welkome vernieuwing van de eerste editie die in 2004 is gelanceerd. Wellicht ben ik u, als bestuurder of commissaris, al kwijt met deze eerste zinnen. Een nieuw raamwerk voor risicomanagement is ten slotte meer iets voor een risicomanager. Toch?
Door Marcel Prinsenberg, binnen PwC verantwoordelijk voor risk consulting aan niet-financiële organisaties.
Meer dan eens tref ik bestuurders die overtuigd moeten worden dat ERM een goed idee is. Doorgaans komt dit omdat ze niet goed doorgronden waarover het gaat en daardoor risicomanagement beschouwen als een losstaand proces voor buiten de bestuurskamer. Die interesse wordt nu wel vaker aangewakkerd als er een stevig incident plaatsvindt en men zich afvraagt: kan dat bij ons ook gebeuren? Daarnaast bestaat er een verhoogde interesse bij bedrijfsverkoop of beursgang, omdat er dan expliciet naar risicomanagement wordt gevraagd. Een gemiste kans als je het mij vraagt.
Risicomanagers zullen het nieuwe COSO-raamwerk wel gaan omarmen; het is een radicale vernieuwing van wat al jaren veruit de meest gebruikte risicomanagementstandaard ter wereld is. Het raamwerk komt echter pas echt tot zijn recht als risicomanagers de weg naar de bestuurskamer weten te vinden. Daarom een oproep aan risicomanagers: gebruik het vernieuwde COSO-raamwerk als cadeau.
Een cadeau aan bestuurders dat met de juiste uitleg niet alleen een waardevolle toevoeging is voor de dagelijkse risicobeheersing, maar vooral ook voor de dagelijkse besturing en prestaties. Het is aan jullie om het als een zodanig cadeau te verpakken dat het bestuur en de raad van commissarissen het met plezier in ontvangst nemen. Want hoe mooi ook de theorie, niet iedereen is daar altijd in geïnteresseerd. Het draait immers uiteindelijk om de praktijk. Het echte cadeau vormt dan ook niet de ingebonden versie van het COSO-raamwerk, maar de praktische uitwerking van de COSO-principes.
Laat ik een voorbeeld geven. Onlangs begeleidde ik een workshop bij een grote bouwonderneming. We hebben daar praktische manieren ontwikkeld om risicomanagement als onderdeel van de operationele activiteiten te laten bijdragen aan waardecreatie. Een van die toepassingen is het go/no-go-moment in de tenderfase. De bouwers beslissen dan of ze een project wel of niet aannemen. 'Hier word ik blij van', zei een van de regiodirecteuren, 'dit gaat mij helpen'. Nu de toepassing van de COSO-principes een concrete functie kreeg, kwam het tot leven.
PwC is als principle author ruim twee jaar bezig geweest om de vernieuwde COSO-ERM te schrijven, in consultatie met vele belanghebbenden. Mijn collega Dennis Chesley beschreef al welke wijzigingen de nieuwe standaard kent. Ik was nauw betrokken bij het proces en ben zeer enthousiast over het resultaat, omdat ik zie dat het veel kan betekenen voor bestuurders die het weten toe te passen.
Om te beginnen blijkt de verbinding met de bestuurskamer al uit de titel: ERM - Integrating with Strategy and Performance, typische onderwerpen die in de bestuurskamer de hoogste aandacht hebben. COSO volgt de dynamische waardeketen van ondernemingen, beginnend bij de missie en visie, via de kernwaarden, naar de strategie, uitvoering en waardecreatie. Dit raamwerk gaat dus nadrukkelijk niet over risicobeheersing als doel op zichzelf. Het geeft een basis voor het nemen van betere beslissingen die waarde genereren, iets dat iedere bestuurder zal aanspreken. En nee, de standaard is ook niet specifiek financieel georiënteerd. Het is toepasbaar voor alle facetten van de dagelijkse bedrijfsvoering.
Nog een misvatting is dat COSO ontworpen is voor grote, beursgenoteerde ondernemingen. Het raamwerk is te gebruiken voor alle organisaties, ongeacht grootte of volwassenheid. Dat COSO een nogal conceptuele, theoretische exercitie zou aanbieden, hoor ik ook nog weleens. Wees gerust, op bijna elke pagina is wel een voorbeeld beschreven. Daarnaast volgt later dit jaar een aparte publicatie met specifieke voorbeelden van organisaties die de componenten en principes hebben toegepast. En wie het boekwerk van honderd bladzijden wat lang vindt: begin eens met de executive summary van tien kantjes.
Hoewel ik zelf dus heel enthousiast ben over COSO 2017, wil ik bescheiden eindigen. Want ja, COSO is natuurlijk maar een raamwerk. En u hebt als bestuurder of commissaris vast nog meer aan uw hoofd. Maar voor wie de moeite neemt om zich hierin te verdiepen, is er veel moois te ontdekken. Vraag uw risicomanager er eens naar of kijk voor meer informatie op onze website.
Over de praktische toepassing van een aantal COSO-principes, bericht ik een volgende keer graag meer.
Misschien bent u met iets meer risico wel succesvoller. Wij helpen u om risico’s en compliance in balans te brengen met uw ambities. Door bijvoorbeeld...
Door uw prestaties steeds te verbeteren, vermindert u de kans op fouten en verhoogt u uw waakzaamheid. U verdient de kosten die u voor de verbeterslag maakt...
Marcel Prinsenberg
Senior Director Risk Consulting, PwC Netherlands
Tel: +31 (0)65 122 52 70