Het risicomanagement systeem van DSM

Risicomanagement als onderdeel van de besturingsstructuur
Figuur 1 geeft de algehele besturingsstructuur van DSM weer. Het toont de voornaamste besturingsniveaus en de belangrijkste besturingselementen en regels per niveau. Voor DSM, als een aan de beurs van Amsterdam genoteerde onderneming, is de Nederlandse corporate governance code (“Code Tabaksblat”) de maatstaf voor deugdelijk ondernemingsbestuur.

Figuur 1: De algehele besturingsstructuur van DSM
NB: Alle interne regels gelden in aanvulling op geldende nationale en internationale wet- en regelgeving. In het geval van tegenstrijdigheid is de laatsgenoemde leidend.

Als onderdeel van goed ondernemingsbestuur vereist de Code Tabaksblat dat de Raad van Bestuur ervoor zorgt dat er een op de onderneming toegesneden risicomanagementsysteem is, dat rapportages betrouwbaar zijn en dat wet- en regelgeving worden nageleefd.

Uitganspunten voor risicomanagement
Het risicomanagementsysteem van DSM is gebaseerd op het Enterprise Risk Management framework van de Sponsoring Organizations of the Treadway Commission (COSO-ERM), en omvat de acht risicomanagement elementen die daarin worden onderkend. Het framework bepaalt ook, dat het risicobeheersingsproces moet worden toegepast op risico’s betreffende de strategie, de bedrijfsactiviteiten, de rapportage en de naleving van wetten, en dat het wordt uitgevoerd op alle niveaus van de organisatie.

De COSO-ERM risicomanagement elementen:

• Internal environment
• Objective setting
• Event identification
• Risk assessments
• Risk response
• Control activities
• Information and communication
• Monitoring

Het DSM risicomanagementsysteem is vastgelegd in de besturingskaders voor het concernniveau en voor de bedrijfsonderdelen.

Verdere uitgangspunten voor DSM’s risicomanagementsysteem zijn: optimale integratie van risicomanagement in de dagelijkse bedrijfsprocessen en het toepassen van algemene controles voor algemeen voorkomende risico’s. Het systeem wordt hieronder beschreven, eerst voor het concernniveau, daarna voor het niveau van de bedrijfsonderdelen. De beschrijving volgt de acht COSO-elementen.

Concernniveau
Door het inrichten van besturingsstructuren zoals hierboven beschreven en het specificeren van besturingskaders voor het concernniveau en de bedrijfsonderdelen heeft de Raad van Bestuur de interne omgeving (internal environment) voor enterprise risk management gecreëerd. De DSM Values, Corporate Policies en Requirements bepalen de “toon aan de top” met betrekking tot ethisch gedrag en zaken doen. In het uitvoeren van zijn risicomanagement verantwoordelijkheden wordt de Raad van Bestuur bijgestaan door de afdeling Corporate Risk Management.

De strategie van de onderneming wordt bepaald in de Corporate Strategy Dialogue (CSD). De CSD vindt ongeveer elke drie tot vijf jaar plaats. Indien nodig worden de risicoprofielen van alternatieve scenario’s geanalyseerd voordat strategische keuzes worden gemaakt. De strategie wordt vertaald in concrete doelstellingen (objectives), zowel financiële als andere, waarvan jaarlijks in een strategische review wordt bepaald in hoeverre ze bereikt zijn.

De gekozen strategie is onderwerp van een Corporate Risk Assessment (CRA) die wordt uitgevoerd door de Raad van Bestuur. In de CRA worden ontwikkelingen en gebeurtenissen (events) geïdentificeerd die het behalen van de strategische en bedrijfsdoelen zouden kunnen beïnvloeden. De mogelijke invloed van deze gebeurtenissen wordt geschat (assessed) en reacties (responses) op de top risico’s worden bepaald. Van enige belangrijke parameters (b.v. wisselkoers-fluctuaties) wordt de invloed berekend in gevoeligheidsanalyses. De CRA wordt jaarlijks bijgewerkt.

Voor de concernprocessen zoals treasury en corporate accounting zijn controles (controls) gedefiniëerd en geïmplementeerd.

De Raad van Bestuur bespreekt prestaties, risico’s en regel-handhaving regelmatig met het verantwoordelijk management. De afdeling Corporate Risk Management verzorgt informatie over het DSM risicomanagementsysteem via zijn Intranet site en regelmatige publicaties. Die afdeling verzorgt ook risicomanagement modules in verscheidene concern trainings programma’s en organiseert informatie-uitwisselingsbijeenkomsten voor risicomanagement specialisten uit de hele onderneming.

Bedrijfs- en stafeenheden bewaken (monitor) de werkzaamheid van sleutel-controles en rapporteren, als onderdeel van hun normale business rapportages, regelmatig over risico’s en controles. Materiële risico’s en tekortkomingen worden jaarlijks gerapporteerd in de strategische review en de zogenaamde Letters of Representation. Risico’s en ontwikkelingen in het risicomanagementsysteem worden ook gerapporteerd aan het Audit Commitee van de Raad van Commissarissen.

Niveau van de bedrijfsonderdelen

Besturingskader voor bedrijfsonderdelen; Corporate Policies en Requirements
De Raad van Bestuur onderhoudt, ondersteund door de Concernstafafdelingen, het Besturingskader voor bedrijfsonderdelen (zie figuur 2).

Figuur 2: Bedrijfskader voor bedrijfsonderdelen

Binnen dit Bedrijfskader vormen de Corporate Policies en Requirements de basis voor systematisch risicomanagement. Figuur 3 toont de structuur van de Corporate Policies, Requirements en Directives (Corporate Directives zijn tijdelijke of locale uitbreidingen van de Corporate Requirements en worden ingesteld in geval een speciale situatie dat noodzakelijk maakt, b.v. een reisverbod om veiligheidsredenen).

Figuur 3: Structuur van de Corporate Policies, Requirements en Directives

Hieronder wordt beschreven hoe de acht componenten van de COSO-ERM-Cubus door DSM worden ingevuld.

Internal Environment
De DSM Values en de communicatie over risicomanagement zoals beschreven in het vorige hoofdstuk bepalen voor een belangrijk deel de interne omgeving voor risicomanagement. De Unit Risk Management Requirements schrijven daarenboven voor dat elk bedrijfsonderdeel een organisatie voor risicomanagement moet inrichten en dat het rapporteren van falende controles en materiële risico’s aangemoedigd moeten worden. De Corporate Requirements vereisen dat Corporate Policies worden vertaald in beleid op het niveau van de bedrijfsonderdelen. Ze bepalen ook dat management de leiding moet nemen en het goede voorbeeld moet geven, terwijl het de medewerkers verantwoordelijk houdt voor regel-handhaving. Op deze wijze wordt de “toon aan de top” naar beneden doorgegeven in de organisatie.

Objective Setting
De Strategy Requirements schrijven voor dat ieder bedrijfsonderdeel met regelmatige tussenpozen een Business Strategy Dialogue (BSD) moet uitvoeren. De uitkomst van dit strategische proces wordt vertaald in heldere doelen, zowel op het gebied van financiën als op andere functionele en zakelijke gebieden. Indien van toepassing worden  risicoprofielen van alternatieve scenario’s geanalyseerd voordat definitieve keuzes worden gemaakt. De resultaten en vooruitzichten van de strategie van elk bedijfsonderdeel en de daarmee samenhangende risico’s en reacties worden jaarlijks in een strategische review herzien.

Event identification, risks assessment en risk response
Gebeurtenissen die het risicoprofiel van de business zouden kunnen beínvloeden worden geïdentificeerd als onderdeel van de BSD. The Unit Risk management Requirements schrijven voor dat, volgend op een BSD, een zogenaamde Business Risk Assessment (BRA) moet worden uitgevoerd om de belangrijkste risico’s die inherent zijn aan de gekozen strategie te bepalen. Als er belangrijke risico’s in de interne processen worden geconstateerd dan worden er specifieke Process Risk Assessments (PRA’s) voor de betreffende processen uitgevoerd. De bedrijfsonderdelen bepalen de reacties voor de belangrijkste risico’s die in de BRA en PRA geïdentificeerd zijn en managen de opvolging daarvan.

Control activities
Het risicomanagementsysteem van DSM voorziet op twee manieren in het identificeren, schatten en vaststellen van reacties en controles: via de BRA’s en PRA’s zoals hierboven beschreven en via het identificeren van algemene controles voor algemeen voorkomende risico’s. In ondernemingen als DSM is een groot deel van de denkbare risico’s direct in verband te brengen met het karakter van de bedrijfsvoering. Daarom heeft DSM ervoor gekozen deze algemeen voorkomende risico’s op te sporen en in te schatten en er algemene controles voor te ontwerpen. Deze verplichte algemene controles zijn onderdeel van de Corporate Requirements en betreffen alle functionele gebieden. Op het gebied van de primaire geld- en goederenstroom met de daarbij behorende financiële controle processen, en in enkele ondersteunende processen wordt het uitvoeren van de controles ondersteund door standaard ICT-programma’s. In die gevallen worden de controles “ingebouwd” in zogenaamde standaard business processen. Door dit concept van algemene controles voor algemeen voorkomende risico’s wordt bereikt dat een groot aantal algemeen voorkomende risico’s op een efficiënte manier wordt gecontroleerd of gereduceerd. In hun BRA’s en PRA’s kunnen de bedrijfsonderdelen zich concentreren op de risico’s en reacties die specifiek zijn voor dat onderdeel.

Business continuity plans moeten voorbereid worden om een effectieve reactie mogelijk te maken op alle risico’s die een potentiëel zeer ernstig gevolg kunnen hebben maar die, hoewel de kans dat ze plaats zullen vinden zeer klein is, niet geheel uit te sluiten zijn.

Information en communication
De Corporate Policies en Requirements en de implementatie daarvan in de bedrijfsonderdelen zijn onderwerp van (verplichte) training. Er wordt speciale aandacht gegeven aan de communicatie over risico’s, bijvoorbeeld in de overdrachtsprocedures bij opvolging in hoge management posities.

Om de bedrijfsonderdelen te helpen bij het implementeren van het risicomanagementsysteem en het integreren daarvan in de dagelijkse bedrijfsprocessen is het Besturingskader voor bedrijfsonderdelen (figuur 2) beschikbaar gemaakt als portal op het DSM Intranet. Alle relevante beleidsdocumenten, requirements, practices en standaard business processen zijn te vinden onder de verschillende iconen. De bedrijfsonderdelen kunnen de portal kopiëren voor eigen gebruik en er bedrijfsprocessen, beleidsdocumenten, requirements en practices aan toevoegen die specifiek zijn voor het onderdeel. Verder kunnen ze hyper-links maken naar gearchiveerde documenten, zoals standaard bedrijfsvoorschriften.

Monitoring en reporting; inbedding en continue verbetering
De werkzaamheid van controles wordt op verschillende manieren in de gaten gehouden en gerapporteerd: door het monitoren van controles in standaard business processen, door het monitoren van handhaving van de regels uit de Corporate Requirements en door periodieke rapportages over risico’s en controles. Daarnaast zijn er verschillende incident-rapportages. Verder zijn er speciale tools beschikbaar om het monitoren van de werkzaamheid van controles in de standaard bedrijfsprocessen te ondersteunen.

Eén van de specifieke doelstellingen van het risicomanagementsysteem is het kunnen verschaffen van een redelijke mate van zekerheid dat de financiële rapportage geen materiële onjuistheden bevat en het kunnen bevestigen van het juist functioneren van het interne controlesysteem. Daarom zijn er op financiëel gebied gedetailleerde requirements voor accounting en rapportage met daaraan gerelateerde annexen. Deze schrijven onder andere de tijdschema’s en formats voor de rapportage voor, alsmede de DSM Chart of Accounts, de IFRS-compliant DSM Accounting Regels en het format voor de affidavit, die elk kwartaal door de Financiële Directeur van elk bedijfsonderdeel getekend moet worden.

Om risicomanagement in te bedden in de normale manier van zaken doen, zijn gedrags-gebaseerde practices ter beschikking gesteld om risicomanagement duurzaam te helpen maken zonder dat het een zaak wordt van “checklist afkruisen”. De practices omvatten workshops over “Learning from Deviations” en “Principle based compliance”.

Het systeem wordt regelmatig verbeterd op basis van terugkoppeling vanuit de bedrijfsonderdelen over het functioneren van de Corporate Requirements en andere elementen van het risicomanagementsysteem.