COSO 2017 / COSO ERM / GRC software / GRC-software / integraal risicoprofiel / risico-perceptie / risicoidentificatie / www.naris.com

Coso principe 19: risico communicatie

Geplaatst door

Communicatie is een zeer belangrijk onderdeel van risicomanagement wil risicomanagement gaan leven in de organisatie. Zeer zeker extern maar ook intern. De organisatie dient dus ook haar communicatiekanalen daarvoor te gebruiken.

Communiceren met Stakeholders

Om interne en externe stakeholders te informeren zijn er verschillende communicatiekanalen/ instrumenten beschikbaar om risico-informatie op te halen en te delen. Hiermee wordt de voor besluitvorming noodzakelijke en relevante informatie verstrekt.

Onderwerpen die intern gecommuniceerd dienen te worden:

  • De strategie en zakelijke doelstellingen van de organisatie, zodat al het personeel op de verschillende niveaus hun individuele rollen begrijpen.
  • Stijgers en dalers in het integrale risicoprofiel
  • De risicobereidheid en -tolerantie.
  • Het belang, de relevantie en de waarde van risicomanagement.
  • De kenmerken, het gewenste gedrag en kernwaarden die de cultuur van de organisatie bepalen.
  • De verwachtingen van management en personeel met betrekking tot ondernemingsrisico’s en prestatiemanagement.
  • De verwachtingen van de organisatie van belangrijke zaken met betrekking tot risicomanagement, inclusief gevallen van zwakte, verslechtering of niet-naleving.

Het management communiceert ook extern informatie over de strategie, doelstellingen en risico’s van de organisatie. Dit wordt ook wel risicoverantwoording genoemd,  bijvoorbeeld aan aandeelhouders, toezichthouders en andere externe partijen. Hierdoor krijgen externe belanghebbenden meer begrip en vertrouwen dat prestaties en de strategie daadwerkelijk gehaald worden.

Een organisatie krijgt ook informatie vanuit haar omgeving. Klanten en leveranciers kunnen bijvoorbeeld input leveren over het ontwerp of de kwaliteit van producten of diensten, of ratings, analisten. Deze informatie kan via e-mail, social media, blogs, of andere kanalen komen. Idealiter komt al deze informatie binnen in een integraal GRC systeem.

Communicatie met de RVB/RvC/RVT

COSO omschrijft vaak de board of directors (hiermee wordt een one tier systeem genoemd waarbij executives -directie- en non executives -RvC- in 1 board zitten). Ik heb dit hieronder elke keer als bestuur omschreven, tenzij het duidelijk is dat het over de toezichtkant gaat. 

Communicatie tussen het bestuur en het management is noodzakelijk voor organisaties om de strategie en doelstellingen te bereiken. 

Organisaties dienen hun governance-structuur zo in te richten dat de taken en verantwoordelijkheden op bestuurs- en managementniveau duidelijk zijn toegewezen. Deze structuur dient immers de gewenste risicodialoog of het challengen te ondersteunen.

Om doeltreffend te communiceren, moeten het bestuur en het management een gedeeld begrip hebben van risico’s en de relatie ervan met strategie en bedrijfsdoelstellingen. Bovendien moet het bestuur een diepgaand inzicht in de strategie, bedrijfsactiviteiten, waardeketen, kostenstructuur en de bijbehorende risico’s ontwikkelen.

Bestuur en management bespreken voortdurend de risk appetite (risicobereidheid).  Als onderdeel van haar toezicht-rol zorgt de RvC/RVT  ervoor dat er een open communicatie over de risicobereidheid is.  Zij kan dit doen in de formele bestuursvergaderingen of  door buitengewone vergaderingen te beleggen om specifieke gebeurtenissen te bespreken zoals cyberterrorisme, CEO-opvolging of fusies.  De RVC en het management kunnen de risicobereidheidsverklaring gebruiken als een ijkpunt om de risico’s te monitoren.

Het management verschaft de noodzakelijke informatie aan het bestuur om haar toezichtstaken met betrekking tot risico’s te kunnen vervullen.

Er is geen strikt format om met de  RVC te communiceren maar hieronder een paar aandachtpunten;

  • Koppel de risico’s aan de strategie en bedrijfsdoelstellingen van de organisatie.
  • Leg informatie vast en stem informatie af op een niveau dat in lijn is met de verantwoordelijkheden en met het detailniveau van informatie dat de RvC nodig heeft. Een RvC wil op hoofdlijnen informatie en geen overload.
  • Zorg ervoor dat rapporten het risicoprofiel van de organisatie weergeven in overeenstemming met haar risk appetite . En koppel gemelde risico-informatie aan beleid voor blootstelling en toleranties.
  • Meet de prestaties en laat zien of de afwijkingen aanvaardbaar zijn.
  • Geef een integraal en dynamisch beeld zien van de exposure aan risico’s. Dit  inclusief historische gegevens, verklaringen van trends en toekomstgerichte informatie, die wordt toegelicht in relatie tot de huidige posities.
  • Risicomanagement gaat over de dynamiek in het profiel. Update het risicoprofiel met een frequentie die overeenkomt met het tempo van de risico-evolutie en de ernst van het risico.
  • Gebruik een standaard risicotaal en rapportage structuur om consistente presentatie en structuur van risico-informatie in de loop van de tijd te ondersteunen.

Het management kan het belang van kwalitatieve open communicatie met het bestuur niet genoeg benadrukken.  Er dient een dynamische en constructieve risicodialoog te bestaan tussen het management en het bestuur, inclusief de bereidheid om aannames die ten grondslag liggen aan de strategie en bedrijfsdoelstellingen te challengen.

De RvC kan een omgeving creëren waarin het management zich veilig voelt om vroegtijdig risico-informatie aan het bestuur te verstrekken. Ook al hebben ze nog geen duidelijke aanpak voor dat risico gepland. Snelheid van informatie is voor sommige risico’s essentieel. Het management kan zich ongemakkelijk voelen bij het bespreken van nieuwe risico’s met het bestuur op een moment dat de ernst van deze risico’s vaak onduidelijk is.  Juist dan is een open dialoog met het bestuur zinvol. Een veilige en open meldcultuur is hierbij het sleutelwoord.

Methoden van Communiceren

Om informatie te ontvangen zoals bedoeld, moet dit duidelijk worden gecommuniceerd. Om er zeker van te zijn dat de communicatiemethoden werken, moeten organisaties deze periodiek evalueren.

Dit kan worden gedaan door de verwachtingen ten aanzien van risicomanagement in de individuele doelstellingen voor werknemers mee te nemen. En dit ook mee te nemen bij periodieke beoordelingsgesprekken.

De communicatiemethoden kunnen sterk uiteenlopen; van het houden van een open dialoog, tot interne rapportages, het plaatsen van berichten op het intranet, het aankondigen van een nieuw product op een beurs tot het wereldwijd uitzenden aan aandeelhouders via sociale media en nieuwsbrieven.

Soorten communicatie;

  • Interne documenten (bijv. interne rapportages, dashboards, prestatiebeoordelingen, presentaties, vragenlijsten en enquêtes, beleid en procedures, veel gestelde vragen).
  • Risicodialogen; risicosessies centraal, decentraal, risk appetite,
  • Informele communicatie, bij de koffie, lunch. Het hangt af welke risicotaal er gebruikt wordt.
  • Elektronische berichten (bijv. e-mails digitale uitnodigingen voor risicosessies, sociale media, tekstberichten).
  • Externe/derde-partij materialen (bijv. industrie-, handels- en professionele tijdschriften, mediaberichten, websites van collega-bedrijven, belangrijkste interne en externe indexen).
  • Escalatie-protocollen en -beleid vast om communicatie te vergemakkelijken wanneer er uitzonderingen zijn in gedragsnormen of wanneer ongepast gedrag plaatsvindt. Bijv. klokkenluider-regelingen, code of conduct, fouten cultuur, meldcultuur…etcetc

Plaats een reactie