Header for print stylesheet
You are here:  

Het risicomanagementsysteem van DSM in 2009

(N.B.: Onderstaande beschrijving moet worden gezien als een toelichting op het Jaarverslag; het hier beschreven systeem is het systeem zoals dat in 2009 functioneerde, en de beschrijving zal gedurende het jaar niet worden geactualiseerd).

Risicomanagement als onderdeel van de besturingsstructuur
Figuur 1 geeft de algehele besturingsstructuur van DSM weer, met de voornaamste besturingsniveaus en de belangrijkste besturingselementen en regels per niveau. Voor DSM, als onderneming genoteerd aan de Amsterdamse effectenbeurs, vormen de Nederlandse wet en de aangepaste Nederlandse corporate governance code 2008 (“Code Frijns”) de maatstaf voor deugdelijk ondernemingsbestuur.
Figuur 1: De algehele besturingsstructuur van DSM

Figuur 1: De algehele besturingsstructuur van DSM
Opmerking: Alle interne regels gelden in aanvulling op geldende nationale en internationale wet- en regelgeving. Bij strijdigheid prevaleren de laatste.

In het kader van goed ondernemingsbestuur vereist de Code Frijns dat de Raad van Bestuur ervoor zorgt dat er een op de onderneming toegesneden risicomanagementsysteem is ingericht, dat rapportages betrouwbaar zijn en dat wet- en regelgeving wordt nageleefd.

Uitganspunten voor risicomanagement
Het risicomanagementsysteem van DSM is gebaseerd op het Enterprise Risk Management framework van de Sponsoring Organizations of the Treadway Commission (COSO-ERM), en omvat de acht elementen van risicomanagement die daarin worden aangegeven. Het framework bepaalt ook dat het risicobeheersingsproces moet worden toegepast op risico’s betreffende de strategie, de bedrijfsactiviteiten, de rapportage en de naleving van wetten en regels, en dat het wordt uitgevoerd op alle niveaus van de organisatie. Het risicomanagementsysteem van DSM is vastgelegd in de besturingskaders voor het concernniveau en voor de bedrijfsonderdelen.

In het COSO-ERM framework worden de volgende elementen van risicomanagement onderscheiden:

  • Internal environment
  • Objective setting
  • Event identification
  • Risk assessments
  • Risk response
  • Control activities
  • Information and communication
  • Monitoring

Verdere uitgangspunten voor DSM’s risicomanagementsysteem zijn: optimale integratie van risicomanagement in de dagelijkse bedrijfsprocessen en het toepassen van algemeen toepasbare beheersmaatregelen voor veelvuldig voorkomende risico’s. Het systeem wordt hieronder beschreven, eerst voor het concernniveau, daarna voor het niveau van de bedrijfsonderdelen. De beschrijving volgt de acht COSO-elementen.

Concernniveau
Door besturingsstructuren in te richten zoals hierboven beschreven en door besturingskaders te definiëren voor het concernniveau en voor de bedrijfsonderdelen heeft de Raad van Bestuur de interne omgeving (internal environment) voor enterprise risk management gecreëerd. De DSM Values (die in 2010 worden vervangen door de DSM Code of Business Conduct), Corporate Policies en Requirements bepalen de “toon aan de top” met betrekking tot ethisch handelen en ethisch zakendoen. Bij het uitvoeren van zijn risicomanagementverantwoordelijkheden wordt de Raad van Bestuur bijgestaan door de afdeling Corporate Risk Management.

De strategie van de onderneming wordt bepaald in de Corporate Strategy Dialogue (CSD). De CSD vindt ongeveer elke drie tot vijf jaar plaats. Indien nodig worden de risicoprofielen van alternatieve scenario’s geanalyseerd voordat definitieve strategische keuzes worden gemaakt. De strategie wordt vertaald in concrete financiële en andersoortige doelstellingen (objectives), waarvan jaarlijks in een strategische review wordt bepaald in hoeverre ze bereikt zijn.

De gekozen strategie is onderwerp van een Corporate Risk Assessment (CRA) die wordt uitgevoerd door de Raad van Bestuur. In de CRA worden ontwikkelingen en gebeurtenissen (events) geïdentificeerd die het behalen van de strategische en bedrijfsdoelen zouden kunnen beïnvloeden. De mogelijke invloed van deze gebeurtenissen wordt ingeschat (assessed) en reacties (responses) op de belangrijkste risico’s worden bepaald. Van enkele belangrijke parameters (bijvoorbeeld schommelingen in valutakoersen) wordt de invloed berekend in gevoeligheidsanalyses. De CRA wordt jaarlijks geactualiseerd.

Voor de concernprocessen zoals treasury en corporate accounting zijn beheersmaatregelen (controls) gedefinieerd en geïmplementeerd.
De Raad van Bestuur spreekt regelmatig met het verantwoordelijk management over performance, risico’s en regelhandhaving. De afdeling Corporate Risk Management verzorgt informatie over het risicomanagementsysteem van DSM via zijn Intranet site en regelmatige publicaties. De afdeling verzorgt ook opleidingsprogramma’s op het gebied van risicomanagement en organiseert informatie-uitwisselingsbijeenkomsten voor risicomanagementspecialisten uit de hele onderneming.

Bedrijfsonderdelen en stafafdelingen bewaken (monitor) de werkzaamheid van de belangrijkste controles en rapporteren in het kader van hun reguliere businessrapportages regelmatig over risico’s en controles. Materiële risico’s worden over het gehele jaar gerapporteerd in de Annual Strategic Review en de zogeheten Letters of Representation. Risico’s en ontwikkelingen in het risicomanagementsysteem worden ook gerapporteerd aan de Audit-commissie van de Raad van Commissarissen. De overzichten van risico’s en de reacties daarop worden aan het einde van het tweede kwartaal geactualiseerd.

Niveau van de bedrijfsonderdelen

Besturingskader voor bedrijfsonderdelen; Corporate Policies en Requirements
De Raad van Bestuur onderhoudt het Besturingskader voor bedrijfsonderdelen (zie figuur 2) en wordt hierbij ondersteund door de Concernstafafdelingen.
Figuur 2: Besturingskader voor bedrijfsonderdelen

Figuur 2: Besturingskader voor bedrijfsonderdelen

Binnen dit Besturingskader vormen de Corporate Policies en Requirements de basis voor systematisch risicomanagement. Figuur 3 toont de structuur van de Corporate Policies, Requirements en Directives (Corporate Directives zijn tijdelijke of lokale uitbreidingen van de Corporate Requirements en worden ingesteld wanneer een speciale situatie dat noodzakelijk maakt, bijvoorbeeld een reisverbod om veiligheidsredenen).
Figuur 3: Structuur van de Corporate Policies, Requirements en Directives

Figuur 3: Structuur van de Corporate Policies, Requirements en Directives

Hieronder wordt beschreven hoe de acht COSO-ERM componenten door DSM worden ingevuld.

Internal Environment
De DSM Values (die in 2010 worden vervangen door de DSM Code of Business Conduct) en de communicatie over risicomanagement zoals beschreven in de vorige paragraaf bepalen voor een belangrijk deel de interne omgeving voor risicomanagement. De Unit Risk Management Requirements schrijven daarenboven voor dat elk bedrijfsonderdeel:

  • moet beschikken over een risicomanagementsysteem waarvan de verschillende onderdelen via een portal toegankelijk zijn;
  • moet beschikken over een risicomanagementorganisatie inclusief een audit-commissie onder voorzitterschap van de directeur van het bedrijfsonderdeel;
  • een jaarplan voor risicomanagement moet opstellen en moet toezien op de implementatie daarvan;
  • een risicomanagementproces moet implementeren zoals beschreven in de Corporate Requirements en hieronder toegelicht. Volgens de Corporate Requirements moeten Corporate Policies worden vertaald in beleidslijnen voor de bedrijfsonderdelen, waarbij het management het voortouw moet nemen en het voorbeeld moet geven. Het management moet de medewerkers vervolgens aanspreken op naleving van de Requirements. Op deze manier dringt de “toon” die aan de top wordt gezet geleidelijk door naar alle lagen van de onderneming.

Objective Setting
De Strategy Requirements schrijven voor dat ieder bedrijfsonderdeel regelmatig een Business Strategy Dialogue (BSD) moet uitvoeren. De uitkomst van dit strategische proces wordt vertaald in heldere doelen, zowel op het gebied van financiën als op andere functionele en zakelijke gebieden. Indien van toepassing worden risicoprofielen van alternatieve scenario’s geanalyseerd voordat definitieve keuzes worden gemaakt. De resultaten en vooruitzichten van de strategie van elk bedijfsonderdeel en de daarmee samenhangende risico’s en reacties worden jaarlijks in een Annual Strategic Review herzien.

Event identification, risks assessment en risk response
Als onderdeel van een BSD moet een zogenaamde Business Risk Assessment (BRA) worden uitgevoerd om de belangrijkste risico’s die inherent zijn aan de gekozen strategie te bepalen. Voor interne processen worden ten minste eens in de vijf jaar Process Risk Assessments (PRA’s) uitgevoerd. De bedrijfsonderdelen bepalen de reacties voor de belangrijkste risico’s die in de BRA en PRA geïdentificeerd zijn en managen de opvolging daarvan. De risico’s worden twee keer per jaar geactualiseerd. Als onderdeel van de BRA moet worden nagegaan voor welke majeure verstoringen van de bedrijfsvoering Business Continuity Plans moeten worden opgesteld.

Control activities
Het risicomanagementsysteem van DSM voorziet op twee manieren in het identificeren, schatten en vaststellen van reacties en beheersmaatregelen: via de BRA’s en PRA’s zoals hierboven beschreven en via het identificeren van algemeen toepasbare beheersmaatregelen voor veelvuldig voorkomende risico’s. In ondernemingen als DSM is een groot deel van de identificeerbare risico’s direct in verband te brengen met het karakter van de bedrijfsvoering. Daarom heeft DSM ervoor gekozen deze veelvuldig voorkomende risico’s op te sporen en in te schatten en er algemeen toepasbare beheersmaatregelen voor te ontwerpen. Deze verplichte algemene beheersmaatregelen zijn onderdeel van de Corporate Requirements en betreffen alle functionele gebieden. Op het gebied van de primaire goederenstroom met de daarbij behorende financiële controleprocessen, en in enkele ondersteunende processen, wordt het uitvoeren van de beheersmaatregelen ondersteund door standaard ICT-oplossingen. In die gevallen worden de beheersmaatregelen “ingebouwd” in standaard bedrijfsprocessen en ziet het centrale autorisatiemanagement erop toe dat de vereiste scheiding van verantwoordelijkheden voldoende wordt toegepast. Door dit concept van algemeen toepasbare beheersmaatregelen voor veelvuldig voorkomende risico’s wordt bereikt dat een groot aantal veel voorkomende risico’s op een efficiënte manier wordt beheerst of gereduceerd. In hun BRA’s en PRA’s kunnen de bedrijfsonderdelen zich concentreren op de risico’s en reacties die specifiek voor hen van belang zijn.

Information and communication
De Corporate Policies en Requirements en de implementatie daarvan in de bedrijfsonderdelen zijn onderwerp van (verplichte) training. Er wordt speciale aandacht gegeven aan de communicatie over risico’s, bijvoorbeeld bij overdracht van taken in de hogere functies.

Om de bedrijfsonderdelen te helpen bij het implementeren van het risicomanagementsysteem en het integreren daarvan in de dagelijkse bedrijfsprocessen is het Besturingskader voor bedrijfsonderdelen (figuur 2) beschikbaar gemaakt als portal op het DSM Intranet. Alle relevante beleidsdocumenten, requirements, practices en standaard bedrijfsprocessen zijn te vinden onder de verschillende knoppen. De bedrijfsonderdelen hebben de portal gekopieerd voor eigen gebruik en er bedrijfsprocessen, beleidsdocumenten, requirements en practices aan toegevoegd die specifiek zijn voor het betreffende onderdeel. Verder hebben ze links gemaakt naar gearchiveerde documenten, zoals standaard bedrijfsvoorschriften.

Monitoring, reporting, inbedding en continue verbetering
De effectiviteit van beheersmaatregelen wordt op verschillende manieren in de gaten gehouden en gerapporteerd: door het monitoren van controls in standaard bedrijfsprocessen, door het monitoren van naleving van de Corporate Requirements en door periodieke rapportages over risico’s en beheersmaatregelen. Daarnaast zijn er verschillende incident-rapportages. Verder zijn er speciale tools beschikbaar om het monitoren van de werkzaamheid van controles in de standaard bedrijfsprocessen te ondersteunen.

Eén van de specifieke doelstellingen van het risicomanagementsysteem is het kunnen verschaffen van een redelijke mate van zekerheid dat de financiële rapportage geen materiële onjuistheden bevat en het kunnen bevestigen van het juist functioneren van het interne controlesysteem. Daarom bestaan er binnen DSM op financieel gebied gedetailleerde voorschriften ten aanzien van boekhouding en verslaglegging, met bijlagen waarin onder meer wordt aangegeven volgens welk tijdschema en in welk format de verslaglegging dient plaats te vinden, zoals de DSM Chart of Accounts, de in overeenstemming met IFRS opgestelde DSM Accounting Rules en het format voor een driemaandelijkse verklaring, te ondertekenen door de Financieel Directeur van elk bedrijfsonderdeel.

Om risicomanagement in te bedden in de reguliere businessprocessen, zijn gedrags-gebaseerde practices ter beschikking gesteld om risicomanagement duurzaam te helpen maken zonder dat het een zaak wordt van “checklist afkruisen”. De practices omvatten onder meer workshops over “Learning from Non-conformities and Deviations” en “Principle Based Compliance”.

Het systeem wordt regelmatig verbeterd op basis van terugkoppeling vanuit de bedrijfsonderdelen over het functioneren van de Corporate Requirements en andere elementen van het risicomanagementsysteem.
footer for print stylesheet