Figuur 3: Structuur van de Corporate Policies, Requirements en Directives
Hieronder wordt beschreven hoe de acht COSO-ERM componenten door DSM worden
ingevuld.
Internal Environment
De DSM Values en de communicatie over
risicomanagement zoals beschreven in het vorige hoofdstuk bepalen voor een
belangrijk deel de interne omgeving voor risicomanagement. De Unit Risk
Management Requirements schrijven daarenboven voor dat elk bedrijfsonderdeel
-
moet beschikken over een risicomanagementsysteem waarvan de verschillende
onderdelen via een portal toegankelijk zijn;
-
moet beschikken over een risicomanagementorganisatie inclusief een
audit-commissie onder voorzitterschap van de directeur van het
bedrijfsonderdeel;
-
een jaarplan voor risicomanagement moet opstellen en moet toezien op de
implementatie daarvan;
-
een risicomanagementproces moet implementeren zoals beschreven in de Corporate
Requirements en hieronder toegelicht. Volgens de Corporate Requirements moeten
Corporate Policies worden vertaald in beleidslijnen voor de
bedrijfsonderdelen, waarbij het management het voortouw moet nemen en het
voorbeeld moet geven. Het management moet de medewerkers vervolgens aanspreken
op naleving van de Requirements. Op deze manier dringt de “toon” die aan de
top wordt gezet geleidelijk door naar alle lagen van de onderneming.
Objective Setting
De Strategy Requirements schrijven voor dat
ieder bedrijfsonderdeel met regelmatige tussenpozen een Business Strategy
Dialogue (BSD) moet uitvoeren. De uitkomst van dit strategische proces wordt
vertaald in heldere doelen, zowel op het gebied van financiën als op andere
functionele en zakelijke gebieden. Indien van toepassing worden
risicoprofielen van alternatieve scenario’s geanalyseerd voordat definitieve
keuzes worden gemaakt. De resultaten en vooruitzichten van de strategie van
elk bedijfsonderdeel en de daarmee samenhangende risico’s en reacties worden
jaarlijks in een Annual Strategic Review herzien.
Event identification, risks assessment en risk response
Als
onderdeel van een BSD moet een zogenaamde Business Risk Assessment (BRA)
worden uitgevoerd om de belangrijkste risico’s die inherent zijn aan de
gekozen strategie te bepalen. Als er belangrijke risico’s in de interne
processen worden geconstateerd dan worden er specifieke Process Risk
Assessments (PRA’s) voor de betreffende processen uitgevoerd. De
bedrijfsonderdelen bepalen de reacties voor de belangrijkste risico’s die in
de BRA en PRA geïdentificeerd zijn en managen de opvolging daarvan. De
risico’s worden twee keer per jaar geactualiseerd. Als onderdeel van de BRA
moet worden nagegaan voor welke majeure verstoringen van de bedrijfsvoering
Business Continuity Plans moeten worden opgesteld.
Control activities
Het risicomanagementsysteem van DSM voorziet
op twee manieren in het identificeren, schatten en vaststellen van reacties en
controles: via de BRA’s en PRA’s zoals hierboven beschreven en via het
identificeren van algemene controles voor algemeen voorkomende risico’s. In
ondernemingen als DSM is een groot deel van de identificeerbare risico’s
direct in verband te brengen met het karakter van de bedrijfsvoering. Daarom
heeft DSM ervoor gekozen deze algemeen voorkomende risico’s op te sporen en in
te schatten en er algemene controles voor te ontwerpen. Deze verplichte
algemene controles zijn onderdeel van de Corporate Requirements en betreffen
alle functionele gebieden. Op het gebied van de primaire goederenstroom met de
daarbij behorende financiële controleprocessen, en in enkele ondersteunende
processen, wordt het uitvoeren van de controles ondersteund door standaard
ICT-oplossingen. In die gevallen worden de controles “ingebouwd” in zogenaamde
standaard bedrijfsprocessen en ziet het centrale autorisatiemanagement erop
toe dat de vereiste scheiding van verantwoordelijkheden voldoende wordt
toegepast. Door dit concept van algemene controles voor algemeen voorkomende
risico’s wordt bereikt dat een groot aantal algemeen voorkomende risico’s op
een efficiënte manier wordt gecontroleerd of gereduceerd. In hun BRA’s en
PRA’s kunnen de bedrijfsonderdelen zich concentreren op de risico’s en
reacties die specifiek voor hen van belang zijn.
Information en communication
De Corporate Policies en
Requirements en de implementatie daarvan in de bedrijfsonderdelen zijn
onderwerp van (verplichte) training. Er wordt speciale aandacht gegeven aan de
communicatie over risico’s, bijvoorbeeld bij overdracht van taken in de hogere
functies.
Om de bedrijfsonderdelen te helpen bij het implementeren van het
risicomanagementsysteem en het integreren daarvan in de dagelijkse
bedrijfsprocessen is het Besturingskader voor bedrijfsonderdelen (figuur 2)
beschikbaar gemaakt als portal op het DSM Intranet. Alle relevante
beleidsdocumenten, requirements, practices en standaard bedrijfsprocessen zijn
te vinden onder de verschillende knoppen. De bedrijfsonderdelen kunnen de
portal kopiëren voor eigen gebruik en er bedrijfsprocessen, beleidsdocumenten,
requirements en practices aan toevoegen die specifiek zijn voor het
betreffende onderdeel. Verder kunnen ze hyperlinks maken naar gearchiveerde
documenten, zoals standaard bedrijfsvoorschriften.
Monitoring, reporting, inbedding en continue verbetering
De
werkzaamheid van controles wordt op verschillende manieren in de gaten
gehouden en gerapporteerd: door het monitoren van controles in standaard
bedrijfsprocessen, door het monitoren van naleving van de Corporate
Requirements en door periodieke rapportages over risico’s en controles.
Daarnaast zijn er verschillende incident-rapportages. Verder zijn er speciale
tools beschikbaar om het monitoren van de werkzaamheid van controles in de
standaard bedrijfsprocessen te ondersteunen.
Eén van de specifieke doelstellingen van het risicomanagementsysteem is het
kunnen verschaffen van een redelijke mate van zekerheid dat de financiële
rapportage geen materiële onjuistheden bevat en het kunnen bevestigen van het
juist functioneren van het interne controlesysteem. Daarom bestaan er binnen
DSM op financieel gebied gedetailleerde voorschriften ten aanzien van
boekhouding en verslaglegging, met bijlagen waarin onder meer wordt aangegeven
volgens welk tijdschema en in welk format de verslaglegging dient plaats te
vinden, zoals de DSM Chart of Accounts, de in overeenstemming met IFRS
opgestelde DSM Accounting Rules en het format voor een driemaandelijkse
verklaring, te ondertekenen door de Financieel Directeur van elk
bedrijfsonderdeel.
Om risicomanagement in te bedden in de normale manier van zaken doen, zijn
gedrags-gebaseerde practices ter beschikking gesteld om risicomanagement
duurzaam te helpen maken zonder dat het een zaak wordt van “checklist
afkruisen”. De practices omvatten workshops over “Learning from Deviations” en
“Principle Based Compliance”.
Het systeem wordt regelmatig verbeterd op basis van terugkoppeling vanuit de
bedrijfsonderdelen over het functioneren van de Corporate Requirements en
andere elementen van het risicomanagementsysteem.