Header for print stylesheet
You are here:  

Het risicomanagementsysteem van DSM in 2008

(N.B.: Onderstaande beschrijving moet worden gezien als een toelichting op het Jaarverslag; het hier beschreven systeem is het systeem zoals dat in 2008 funtioneerde, en de beschrijving zal gedurende het jaar niet worden geactualiseerd).

Risicomanagement als onderdeel van de besturingsstructuur
Figuur 1 geeft de algehele besturingsstructuur van DSM weer, met de voornaamste besturingsniveaus en de belangrijkste besturingselementen en regels per niveau. Voor DSM, als een aan de beurs van Amsterdam genoteerde onderneming, is de Nederlandse corporate governance code (“Code Tabaksblat”) de maatstaf voor deugdelijk ondernemingsbestuur.

Figuur 1: De algehele besturingsstructuur van DSM

Figuur 1: De algehele besturingsstructuur van DSM
Opmerking: Alle interne regels gelden in aanvulling op geldende nationale en internationale wet- en regelgeving. Bij strijdigheid prevaleren de laatste.

Als onderdeel van goed ondernemingsbestuur vereist de Code Tabaksblat dat de Raad van Bestuur ervoor zorgt dat er een op de onderneming toegesneden risicomanagementsysteem is, dat rapportages betrouwbaar zijn en dat wet- en regelgeving wordt nageleefd.

Uitganspunten voor risicomanagement
Het risicomanagementsysteem van DSM is gebaseerd op het Enterprise Risk Management framework van de Sponsoring Organizations of the Treadway Commission (COSO-ERM), en omvat de acht risicomanagement elementen die daarin worden onderkend. Het framework bepaalt ook, dat het risicobeheersingsproces moet worden toegepast op risico’s betreffende de strategie, de bedrijfsactiviteiten, de rapportage en de naleving van wetten, en dat het wordt uitgevoerd op alle niveaus van de organisatie. Het DSM risicomanagementsysteem is vastgelegd in de besturingskaders voor het concernniveau en voor de bedrijfsonderdelen.

De COSO-ERM risicomanagement-elementen:

  • Internal environment
  • Objective setting
  • Event identification
  • Risk assessments
  • Risk response
  • Control activities
  • Information and communication
  • Monitoring

Verdere uitgangspunten voor DSM’s risicomanagementsysteem zijn: optimale integratie van risicomanagement in de dagelijkse bedrijfsprocessen en het toepassen van algemene controles voor algemeen voorkomende risico’s. Het systeem wordt hieronder beschreven, eerst voor het concernniveau, daarna voor het niveau van de bedrijfsonderdelen. De beschrijving volgt de acht COSO-elementen.

Concernniveau
Door het inrichten van besturingsstructuren zoals hierboven beschreven en het specificeren van besturingskaders voor het concernniveau en de bedrijfsonderdelen heeft de Raad van Bestuur de interne omgeving (internal environment) voor enterprise risk management gecreëerd. De DSM Values, Corporate Policies en Requirements bepalen de “toon aan de top” met betrekking tot ethisch gedrag en zaken doen. Bij het uitvoeren van zijn risicomanagementverantwoordelijkheden wordt de Raad van Bestuur bijgestaan door de afdeling Corporate Risk Management.

De strategie van de onderneming wordt bepaald in de Corporate Strategy Dialogue (CSD). De CSD vindt ongeveer elke drie tot vijf jaar plaats. Indien nodig worden de risicoprofielen van alternatieve scenario’s geanalyseerd voordat definitieve strategische keuzes worden gemaakt. De strategie wordt vertaald in concrete doelstellingen (objectives), zowel financiële als andere, waarvan jaarlijks in een strategische review wordt bepaald in hoeverre ze bereikt zijn.

De gekozen strategie is onderwerp van een Corporate Risk Assessment (CRA) die wordt uitgevoerd door de Raad van Bestuur. In de CRA worden ontwikkelingen en gebeurtenissen (events) geïdentificeerd die het behalen van de strategische en bedrijfsdoelen zouden kunnen beïnvloeden. De mogelijke invloed van deze gebeurtenissen wordt geschat (assessed) en reacties (responses) op de belangrijkste risico’s worden bepaald. Van enkele belangrijke parameters (bijvoorbeeld schommelingen in valutakoersen) wordt de invloed berekend in gevoeligheidsanalyses. De CRA wordt jaarlijks bijgewerkt.

Voor de concernprocessen zoals treasury en corporate accounting zijn controles (controls) gedefinieerd en geïmplementeerd.

De Raad van Bestuur bespreekt prestaties, risico’s en regelhandhaving regelmatig met het verantwoordelijk management. De afdeling Corporate Risk Management verzorgt informatie over het DSM risicomanagementsysteem via zijn Intranet site en regelmatige publicaties. Die afdeling verzorgt ook opleidingsprogramma’s op het gebied van risicomanagement en organiseert informatie-uitwisselingsbijeenkomsten voor risicomanagementspecialisten uit de hele onderneming.

Bedrijfsonderdelen en stafafdelingen bewaken (monitor) de werkzaamheid van de belangrijkste controles en rapporteren in het kader van hun normale businessrapportages regelmatig over risico’s en controles. Materiële risico’s worden jaarlijks gerapporteerd in de Annual Strategic Review en de zogenaamde Letters of Representation. Risico’s en ontwikkelingen in het risicomanagementsysteem worden ook gerapporteerd aan de Audit-commissie van de Raad van Commissarissen.

Niveau van de bedrijfsonderdelen

Besturingskader voor bedrijfsonderdelen; Corporate Policies en Requirements
De Raad van Bestuur onderhoudt, ondersteund door de Concernstafafdelingen, het Besturingskader voor bedrijfsonderdelen (zie figuur 2).

Figuur 2: Besturingskader voor bedrijfsonderdelen

Figuur 2: Besturingskader voor bedrijfsonderdelen

Binnen dit Besturingskader vormen de Corporate Policies en Requirements de basis voor systematisch risicomanagement. Figuur 3 toont de structuur van de Corporate Policies, Requirements en Directives (Corporate Directives zijn tijdelijke of lokale uitbreidingen van de Corporate Requirements en worden ingesteld wanneer een speciale situatie dat noodzakelijk maakt, bijvoorbeeld een reisverbod om veiligheidsredenen).

Figuur 3: Structuur van de Corporate Policies, Requirements en Directives

Figuur 3: Structuur van de Corporate Policies, Requirements en Directives

Hieronder wordt beschreven hoe de acht COSO-ERM componenten door DSM worden ingevuld.

Internal Environment
De DSM Values en de communicatie over risicomanagement zoals beschreven in het vorige hoofdstuk bepalen voor een belangrijk deel de interne omgeving voor risicomanagement. De Unit Risk Management Requirements schrijven daarenboven voor dat elk bedrijfsonderdeel

  • moet beschikken over een risicomanagementsysteem waarvan de verschillende onderdelen via een portal toegankelijk zijn;
  • moet beschikken over een risicomanagementorganisatie inclusief een audit-commissie onder voorzitterschap van de directeur van het bedrijfsonderdeel;
  • een jaarplan voor risicomanagement moet opstellen en moet toezien op de implementatie daarvan;
  • een risicomanagementproces moet implementeren zoals beschreven in de Corporate Requirements en hieronder toegelicht. Volgens de Corporate Requirements moeten Corporate Policies worden vertaald in beleidslijnen voor de bedrijfsonderdelen, waarbij het management het voortouw moet nemen en het voorbeeld moet geven. Het management moet de medewerkers vervolgens aanspreken op naleving van de Requirements. Op deze manier dringt de “toon” die aan de top wordt gezet geleidelijk door naar alle lagen van de onderneming.

Objective Setting
De Strategy Requirements schrijven voor dat ieder bedrijfsonderdeel met regelmatige tussenpozen een Business Strategy Dialogue (BSD) moet uitvoeren. De uitkomst van dit strategische proces wordt vertaald in heldere doelen, zowel op het gebied van financiën als op andere functionele en zakelijke gebieden. Indien van toepassing worden  risicoprofielen van alternatieve scenario’s geanalyseerd voordat definitieve keuzes worden gemaakt. De resultaten en vooruitzichten van de strategie van elk bedijfsonderdeel en de daarmee samenhangende risico’s en reacties worden jaarlijks in een Annual Strategic Review herzien.

Event identification, risks assessment en risk response
Als onderdeel van een BSD moet een zogenaamde Business Risk Assessment (BRA) worden uitgevoerd om de belangrijkste risico’s die inherent zijn aan de gekozen strategie te bepalen. Als er belangrijke risico’s in de interne processen worden geconstateerd dan worden er specifieke Process Risk Assessments (PRA’s) voor de betreffende processen uitgevoerd. De bedrijfsonderdelen bepalen de reacties voor de belangrijkste risico’s die in de BRA en PRA geïdentificeerd zijn en managen de opvolging daarvan. De risico’s worden twee keer per jaar geactualiseerd. Als onderdeel van de BRA moet worden nagegaan voor welke majeure verstoringen van de bedrijfsvoering Business Continuity Plans moeten worden opgesteld.

Control activities
Het risicomanagementsysteem van DSM voorziet op twee manieren in het identificeren, schatten en vaststellen van reacties en controles: via de BRA’s en PRA’s zoals hierboven beschreven en via het identificeren van algemene controles voor algemeen voorkomende risico’s. In ondernemingen als DSM is een groot deel van de identificeerbare risico’s direct in verband te brengen met het karakter van de bedrijfsvoering. Daarom heeft DSM ervoor gekozen deze algemeen voorkomende risico’s op te sporen en in te schatten en er algemene controles voor te ontwerpen. Deze verplichte algemene controles zijn onderdeel van de Corporate Requirements en betreffen alle functionele gebieden. Op het gebied van de primaire goederenstroom met de daarbij behorende financiële controleprocessen, en in enkele ondersteunende processen, wordt het uitvoeren van de controles ondersteund door standaard ICT-oplossingen. In die gevallen worden de controles “ingebouwd” in zogenaamde standaard bedrijfsprocessen en ziet het centrale autorisatiemanagement erop toe dat de vereiste scheiding van verantwoordelijkheden voldoende wordt toegepast. Door dit concept van algemene controles voor algemeen voorkomende risico’s wordt bereikt dat een groot aantal algemeen voorkomende risico’s op een efficiënte manier wordt gecontroleerd of gereduceerd. In hun BRA’s en PRA’s kunnen de bedrijfsonderdelen zich concentreren op de risico’s en reacties die specifiek voor hen van belang zijn.

Information en communication
De Corporate Policies en Requirements en de implementatie daarvan in de bedrijfsonderdelen zijn onderwerp van (verplichte) training. Er wordt speciale aandacht gegeven aan de communicatie over risico’s, bijvoorbeeld bij overdracht van taken in de hogere functies.

Om de bedrijfsonderdelen te helpen bij het implementeren van het risicomanagementsysteem en het integreren daarvan in de dagelijkse bedrijfsprocessen is het Besturingskader voor bedrijfsonderdelen (figuur 2) beschikbaar gemaakt als portal op het DSM Intranet. Alle relevante beleidsdocumenten, requirements, practices en standaard bedrijfsprocessen zijn te vinden onder de verschillende knoppen. De bedrijfsonderdelen kunnen de portal kopiëren voor eigen gebruik en er bedrijfsprocessen, beleidsdocumenten, requirements en practices aan toevoegen die specifiek zijn voor het betreffende onderdeel. Verder kunnen ze hyperlinks maken naar gearchiveerde documenten, zoals standaard bedrijfsvoorschriften.

Monitoring, reporting, inbedding en continue verbetering
De werkzaamheid van controles wordt op verschillende manieren in de gaten gehouden en gerapporteerd: door het monitoren van controles in standaard bedrijfsprocessen, door het monitoren van naleving van de Corporate Requirements en door periodieke rapportages over risico’s en controles. Daarnaast zijn er verschillende incident-rapportages. Verder zijn er speciale tools beschikbaar om het monitoren van de werkzaamheid van controles in de standaard bedrijfsprocessen te ondersteunen.

Eén van de specifieke doelstellingen van het risicomanagementsysteem is het kunnen verschaffen van een redelijke mate van zekerheid dat de financiële rapportage geen materiële onjuistheden bevat en het kunnen bevestigen van het juist functioneren van het interne controlesysteem. Daarom bestaan er binnen DSM op financieel gebied gedetailleerde voorschriften ten aanzien van boekhouding en verslaglegging, met bijlagen waarin onder meer wordt aangegeven volgens welk tijdschema en in welk format de verslaglegging dient plaats te vinden, zoals de DSM Chart of Accounts, de in overeenstemming met IFRS opgestelde DSM Accounting Rules en het format voor een driemaandelijkse verklaring, te ondertekenen door de Financieel Directeur van elk bedrijfsonderdeel. 

Om risicomanagement in te bedden in de normale manier van zaken doen, zijn gedrags-gebaseerde practices ter beschikking gesteld om risicomanagement duurzaam te helpen maken zonder dat het een zaak wordt van “checklist afkruisen”. De practices omvatten workshops over “Learning from Deviations” en “Principle Based Compliance”.

Het systeem wordt regelmatig verbeterd op basis van terugkoppeling vanuit de bedrijfsonderdelen over het functioneren van de Corporate Requirements en andere elementen van het risicomanagementsysteem.

footer for print stylesheet