www.naris.com

Principe 20: rapportages over risico, cultuur en prestaties

Geplaatst door

De organisatie rapporteert over risico, cultuur en prestaties op meerdere niveaus en integraal.

Dit is het laatste principe vanuit COSO ERM. Wil je eerst het totaal overzicht klik dan hier.

Identificeren van de gebruikers en hun rol

Rapportages ondersteunen het personeel op alle niveaus om inzicht te krijgen in de relaties tussen risico, cultuur en prestaties. Daarnaast geeft zij informatie voor strategische  besluitvorming en om de dagelijkse bedrijfsvoering te verbeteren.

Rapportages met verschillende functies. Bijvoorbeeld voor;

  • Management en de raad van bestuur die verantwoordelijk zijn voor het bestuur en het toezicht op de entiteit.
  • Risico-eigenaren die verantwoordelijk zijn voor het effectieve beheer van geïdentificeerde risico’s.
  • Externe belanghebbenden (toezichthouders, ratingbureaus, gemeenschapsgroepen en anderen).
  • Andere partijen die het melden van risico’s vereisen om hun rollen en verantwoordelijkheden te vervullen.

Rapportages dienen aan te sluiten bij de behoeften van de gebruiker.

Hoe diep ga je met de details? Een enorme lijst in excel met 100 risico’s is niet bruikbaar voor de raad van bestuur. Elke doelgroep heeft dus verschillende niveaus van gedetailleerdheid van risico’s en prestaties nodig om haar verantwoordelijkheden in de organisatie te vervullen.

Risico-informatie die wordt gepresenteerd aan het bestuur of RVC geïntegreerd of soms geconsolideerd om een integraal beeld van de prestaties en risico’s van de organisatie te geven. Dit helpt  het bestuur bij beslissingen over risicobereidheid en bedrijfsstrategie.

Rapporten aan senior-managers presenteren een meer gedetailleerd niveau en ondersteunen beslissingen over het stellen van strategische beslissingen en budgettering, evenals beslissingen op divisie- en/of functioneringsniveau.

De volgende rapportage laag is nog gedetailleerder en ondersteunt divisieleiders en functionele leiders bij planning, budgettering en dagelijkse activiteiten.

Dit niveau van rapportage moet worden afgestemd op de rapportage door het senior management en de rapportage aan de raad van bestuur.

Risicoanalyses worden met regelmaat gedaan en dienen aan te sluiten op de Planning en Control cyclus. Bedrijfsonderdelen bereiden risico-informatie voor en delen deze informatie in lijn met hun verantwoordelijkheden. Bedrijfsonderdelen kunnen bijvoorbeeld risico-analyses voorbereiden als onderdeel van de ingediende financiële budgetplanning. Op deze manier kunnen zij om extra middelen voor risicobeheersing beter onderbouwen.

Kenmerken van Rapportage

Een goede rapportage combineert kwantitatieve en kwalitatieve risico-informatie. De presentatie kan variëren van vrij eenvoudig tot meer complex. Dit is afhankelijk van de grootte, het type en de complexiteit van de entiteit. Het laat ook stijgers en dalers in het risicoprofiel zien oftewel het is een fris en actueel risicoprofiel.

Soorten Rapportage

  • Risico-portfolio, schetst een integraal beeld van de risico’s door de hele organisatie. Het belicht de grootste risico’s voor de organisatie en legt de relatie met de strategie en sturing van de organisatie.
  • Risicoprofiel, vergelijkbaar met de portfolioweergave, schetst de ernst van risico’s, maar richt zich op verschillende niveaus binnen de entiteit. Het risicoprofiel van een divisie of een operationele eenheid kan bijvoorbeeld in de totale  P&C cyclus worden meegenomen.
  • Analyse van oorzaken stelt gebruikers in staat aannames en wijzigingen te begrijpen die ten grondslag liggen aan de portfolio- en profielweergaves van risico.
  • Gevoeligheidsanalyse meet de gevoeligheid van veranderingen in belangrijke aannames die zijn ingebed in de strategie en het mogelijke effect op strategie en bedrijfsdoelstellingen.
  • Analyse van nieuwe en veranderende risico’s biedt de vooruitziende blik om te anticiperen op veranderingen. Dit kan effect hebben op middelen en/of bijsturen qua verwachtingen in de prestaties.
  • Belangrijke prestatie-indicatoren en -maatregelen schetsen de tolerantie van de organisatie en het potentiële risico voor een strategie of bedrijfsdoelstelling.
  • Trendanalyse toont bewegingen en veranderingen in de portfolioweergave van risico, risicoprofiel en prestaties van de organisatie of divisie.
  • Incidenten of schade analyses,  .
  • Doorontwikkeling of volwassenheid risicomanagement. Sluit het risicomanagement aan bij de organisatiecultuur en structuur. Wat gebeurt er daadwerkelijk, wordt er geïnvesteerd om risicomanagement levend te houden.

Rapportages worden aangevuld en gevalideerd met commentaar en analyse door materie-deskundigen. Zo verstrekken compliance en technologie experts vaak commentaar en analyses over de:

  • ernst van het risico,
  • de effectiviteit van risicobeheersing,
  • factoren voor veranderingen in trendanalyse, en
  • ontwikkelingen en mogelijkheden die de organisatie mogelijk binnen de branche heeft.

Bestuursrapportage risicomanagement

Op directieniveau is er altijd sprake van zowel formele rapportage als informele informatie-uitwisseling. Het bestuur kan bijvoorbeeld informele discussies voeren over de mogelijkheid van strategie en implicaties van alternatieve strategieën en hierbij risicorapportages gebruiken.

In formele rapportages neemt het bestuur haar verantwoordelijkheid voor de risico’s en beheersing met betrekking tot het uitvoeren van de strategie of het beoordelen van de risicobereidheid. Of legt zij verantwoording af over de werking van het risicomanagement of risicobeheerssysteem.

Er zijn een aantal manieren waarop het management rapporteert aan een bestuur, maar het is van cruciaal belang dat de focus van rapportage de link is tussen strategie, risico en prestaties. Rapportage aan het bestuur is het hoogste rapportageniveau en omvat de portfolioweergave. Rapportering aan het bestuur moet helpen bij een open dialoog over de strategie en prestaties in combinatie met de impact van potentiële risico’s.

Rapportage over Cultuur

De cultuur van een organisatie is gebaseerd op gedrag en houdingen, en het meten ervan is vaak een zeer complexe taak. Rapportage over cultuur kan bestaan uit;

  • ‘Lessons learned’-analyses
  • Beoordelingen van gedragstrends, bijvoorbeeld de meldcultuur of de foutencultuur (zoals ook in de governance codes steeds meer wordt gevraagd)
  • Enquêtes over risicohoudingen en risicobewustzijn
  • Analyse van culturele trends.
  • Benchmarking naar andere entiteiten of standaarden.
  • Compensatieregelingen en de mogelijke invloed op de besluitvorming.

Key Risk Indicators/ early warning signals

Een key risk indicator (rode vlag) is bijvoorbeeld het aantal wisselingen in een raad van bestuur. KRI’s worden gebruikt om een risico’s eerder te kunnen zien aankomen. Ze zijn meestal kwantitatief, maar kunnen kwalitatief zijn.

KRI’s worden gerapporteerd aan de niveaus van de organisatie die zich in de beste positie bevinden om het begin van een risico waar nodig te beheren. Ze moeten samen met de belangrijkste prestatie-indicatoren worden gerapporteerd om de onderlinge relaties tussen risico en prestaties aan te tonen.

Organisaties zijn bijv. afhankelijk van een netwerk van partijen, third parties. Het wegvallen van toeleveranciers is een groot risico. Door KRI’s weet je welke toeleverancier het grootste risico is en kun je daar je beste mensen op zetten. 

Hoe vaak rapporteren over risico’s?

Het management is verantwoordelijk voor accurate rapportages. Om dit te bereiken werkt zij nauw samen met diegenen die rapporten gebruiken om vast te stellen welke informatie nodig is, hoe vaak ze de rapporten nodig hebben en hun voorkeuren in hoe rapporten worden gepresenteerd. Met rapportages moet het management in staat worden gesteld bij te sturen, financiële impact van de veronderstelde risico te bepalen en de effectiviteit van de beheersing.  

De frequentie moet in verhouding staan tot de strategie, de dynamiek, de ernst en prioriteit van het risico’s. Voor de risicoanalyse rondom het samenvoegen van twee organisatieonderdelen dient bijv. twee wekelijks gerapporteerd te worden. Bij een groot investeringsproject bijv. wekelijks maar bij een stafafdeling 2 keer per jaar.

Meer voorbeelden ?

INTEGRAAL RISICOPROFIEL
Incident management

1 comments

Plaats een reactie