analysis of information flow and content in...

ANALYSIS OF INFORMATION FLOW

AND CONTENT IN ERM

Word count: 29.786

Simon De Block Student number : 01107612

Supervisor: Prof. dr. Regine Slagmulder

Master’s Dissertation submitted to obtain the degree of:

Master of Science in Business Economics

Academic year: 2016 - 2017

I

Confidentiality agreement

PERMISSION

I declare that the content of this Master’s Dissertation may be consulted and/or reproduced,

provided that the source is referenced.

Name student: Simon De Block

I

II

Abstract

The aim of this study is to examine how risks are internally reported in Belgian firms. Moreover, this

study also investigates the function of risk reporting to the board of directors. Lastly, this study also

focuses on the approaches adopted by Belgian organizations in order to deal with the increased

emphasis that is being placed on risk management.

By conducting in-depth interviews with members of the C-suite (and especially CEOs) in Belgian

firms, I gathered some interesting findings relating to my research questions.

I find that ERM processes are adopted for two purposes. First of all, risk management processes are

established in order to safeguard the financial figures. Secondly, and more importantly in the light of

ERM, I also observe that risk management processes are laid out in order to complement the

achievement of strategic objectives. The implementation of a risk appetite is mainly found in

companies that have established a risk management process in alignment with their strategy.

Determining the most appropriate approach to address risk management depends on a lot of factors.

The types of risks and the context of the organization’s operations, including the number of full-time

equivalents seem to be important factors when deciding what approach to use.

Concerning the impact of regulatory requirements on risk management practices, I find that this

certainly has an impact on how organizations look at risks. I find that being compliant is sometimes

perceived as a burden, while it can also lead to a more integrated approach to risk management. I

also observe that, in some cases, being compliant is a necessary condition to survive as an

organization. A mix of both bottom-up and top-down risk information flow is observed. A heat map is

the most used tool to report risk information. Conducting interviews with employees is also a ‘tool’

that is used to gather risk-related information. I find two functions of risk reporting to the BoD. First

of all, risks are reported in relation to the achievement of strategic objectives. Secondly, risks come

up during the discussion of financial figures, indicating that not every organization integrates risks

and strategy.

II

III

Acknowledgements

Writing a master’s dissertation was a completely new task that was laid upon me. I had no idea what

challenges I was about to face. Like many of my student colleagues, I’ve heard numerous stories

about the struggle of this responsibility, good and bad, but ultimately I have to say that it was all

worth it. It was very satisfying to gradually see a progress being made, but it was equally frustrating

to revisit some of my findings in order to improve my master’s dissertation.

I thank the many people I could count on. First of all, I would like to thank my supervisor Prof.Dr.Ir.

Regine Slagmulder for her continuous feedback and support. She really helped me by taking

sufficient time to reflect on my updates that I sent to her, which is greatly appreciated.

Furthermore, I would like to thank my family and especially my parents for the chance they’ve given

me to go to university. I thank them for their patience and support. It was great to see how my family

supported me during my empirical research. My father, mother, aunt and girlfriend read my master’s

dissertation multiple times in order to find spelling and grammatical errors. I thank them for their

time!

Many thanks to the people I have been able to interview. Your time is greatly appreciated. During the

last months, I learned a lot by going into the field and by listening to people who have great

responsibility in their organizations. I thank them for sharing their knowledge with me.

Lastly, I would like to thank Amelie Verbeken. I’m thankful for the relevant help she gave me and her

continuous effort to motivate me during hard times.

IV

Table of Content

Confidentiality agreement................................................................................................................ I

Abstract ........................................................................................................................................... II

Acknowledgements ........................................................................................................................ III

Table of Content ............................................................................................................................. IV

Abbreviations ................................................................................................................................ VII

List of figures .................................................................................................................................. IX

List of tables.................................................................................................................................... IX

1. Introduction ..................................................................................................................................... 1

2. ERM ................................................................................................................................................. 4

2.1. Definition ................................................................................................................................. 4

2.2. ERM framework ....................................................................................................................... 5

2.3. Categorization of risks ............................................................................................................. 6

2.4. Tools for internal risk reporting .............................................................................................. 8

2.5. Risk appetite and Risk tolerance ........................................................................................... 12

2.6. ERM and compliance with current regulation ...................................................................... 13

SOX ................................................................................................................................................ 13

EuroSox .......................................................................................................................................... 13

The Belgian Code 2009 on Corporate Governance ....................................................................... 14

Other Belgian regulation ............................................................................................................... 14

Basel regulation & corporate governance principles for financial services .................................. 15

Rating agencies .............................................................................................................................. 16

Alignment of ERM and compliance ............................................................................................... 16

2.7. Key findings ........................................................................................................................... 17

3. Organizational approaches and responsibilities regarding ERM................................................... 18

3.1. Risk Architecture ................................................................................................................... 18

3.2. Risk management approach .................................................................................................. 18

Decentralized approach ................................................................................................................ 18

Centralized approach .................................................................................................................... 18

Delegation of risk ownership ......................................................................................................... 19

3.3. The Board’s role and responsibilities in ERM ........................................................................ 19

Board’s composition and its impact on ERM ................................................................................ 20

3.4. Organizational units’ involvement in risk management ....................................................... 21

Audit committee ............................................................................................................................ 21

V

Internal audit ................................................................................................................................. 22

CEO ................................................................................................................................................ 22

CFO ................................................................................................................................................ 23

Senior management ...................................................................................................................... 23

Risk committee .............................................................................................................................. 23

CRO ................................................................................................................................................ 24

3.5. Key findings ........................................................................................................................... 25

4. Risk reporting to the Board of Directors ....................................................................................... 26

4.1. Importance of internal risk reporting to the Board of Directors ........................................... 26

4.2. Functions of risk reporting to the Board of Directors ........................................................... 26

4.3. Board-management interaction regarding risk ..................................................................... 27

4.4. Content of risk reports provided to the Board ...................................................................... 28

Context of risk reporting to the Board .......................................................................................... 28

Preparation of risk reports to the Board ....................................................................................... 29

4.5. Key findings ........................................................................................................................... 29

5. Empirical study .............................................................................................................................. 31

5.1. Research questions................................................................................................................ 31

5.2. Goal of research .................................................................................................................... 31

5.3. Research methodology .......................................................................................................... 32

5.4. Sampling ................................................................................................................................ 32

5.5. Interviewee’s profile.............................................................................................................. 34

5.6. Securing access to interviewees ............................................................................................ 34

6. Analysis .......................................................................................................................................... 36

6.1. Within-site analyses .............................................................................................................. 37

Eandis ............................................................................................................................................ 38

Realdolmen .................................................................................................................................... 41

Company A .................................................................................................................................... 44

Company B..................................................................................................................................... 47

Company C ..................................................................................................................................... 50

Company D .................................................................................................................................... 52

Company E ..................................................................................................................................... 54

Company F ..................................................................................................................................... 57

6.2. Cross-site analysis .................................................................................................................. 59

Formalized ERM framework .......................................................................................................... 60

Establishment of risk appetite/risk tolerance ............................................................................... 61

Risk management approach .......................................................................................................... 63

VI

Impact of regulatory requirements on risk management ............................................................. 65

Internal risk reporting.................................................................................................................... 67

7. Conclusions .................................................................................................................................... 72

8. Limitations and opportunities for future research ........................................................................ 75

9. Bibliography ..................................................................................................................................... X

10. Attachments .............................................................................................................................. 76

10.1. Attachment 1 -- Interviewing guide .................................................................................. 76

10.2. Attachment 2 – Interview transcript: Eandis..................................................................... 77

10.3. Attachment 3 – Interview transcript: Realdolmen ............................................................ 84

10.4. Attachment 4 – Interview transcript: Company A............................................................. 92

10.5. Attachment 5 – Interview transcript: Company B ............................................................. 98

10.6. Attachment 6 – Interview transcript: Company C ........................................................... 108

10.7. Attachment 7 – Interview transcript: Company D .......................................................... 113

10.8. Attachment 8 – Interview transcript: Company E ........................................................... 118

10.9. Attachment 9 – Interview transcript: Company F ........................................................... 125

10.10. Attachment 10 – Case/Topic matrix ................................................................................ 133

VII

Abbreviations

AAA The American Accounting Association

AICPA The American Institute of Certified Public Accountants

AC Audit Committee

ACCA Association of Chartered Certified Accountants

AIRMIC Association of Insurance and Risk Managers

Alarm The Public Risk Management Association

B2B Business – to – business

B2C Business – to – consumer

BCBS Basel Committee on Banking Supervision

BIPT Belgian Institute for Postal services and Telecommunications

BoD Board of Directors

BSC Balanced Scorecard

C-suite Members of an organization’s top management

CAE Chief Audit Executive

CEO Chief Executive Officer

CFO Chief Financial Officer

CLT Core Leadership Team

COO Chief Operating Officer

COSO Committee of Sponsoring Organizations of the Treadway Commission

CREG Commission for Electricity and Gas Regulation

CRO Chief Risk Officer

EBITDA Earnings Before Interest, Taxes, Depreciation & Amortization

ECB European Central Bank

VIII

ERIC Eandis Risk Identification Cart

ERM Enterprise Risk Management

EU European Union

FASFC Federal Agency for the Safety of the Food Chain

FEI Financial Executives International

FSMA Financial Services and Markets Authority

GDPR General Data Protection Rule

IBR Instituut van de Bedrijfsrevisoren

ICT Information and Communication Technology

IFRS International Financial Reporting Standards

IIA The Institute of Internal Auditors

IMA The Institute of Management Accounts

IRM Institute of Risk Management

ISO International Organization for Standardization

IT Information Technology

KPI Key Performance Indicator

KRI Key Risk Indicator

NBB Nationale Bank van België

PCI Payment Card Industry

PMO Project Management Office

REBITDA Recurring Earnings Before Interest , Taxes, Depreciation & Amortization

SLA Service Level Agreement

SOX Sarbanes-Oxley Act

U.S. The United States of America

VBO Verbond der Belgische Ondernemingen

IX

List of figures

Figure 1: Risk Management Process from ISO 31000………………………………………………………………………….5

Figure 2: A heat map…………………………………………………………………………………………………………………………..9

Figure 3: Example of a tornado chart………………………………………………………………………………………………….9

Figure 4: Example of a Balanced Scorecard…………………………………………………………………………………….…11

Figure 5: Recurrent methodology for managing risks in Eandis…………………………………………………………39

List of tables

Table 1: List of judgement sample…………………………………………………………………………………………………….33

Table 2: Case/Topic-matrix……………………………………………………………………………………………………………….37

Table 3: List of interviewed people and the sector of the organizations……………………………………………37

1

1. Introduction

The global financial crisis in 2008 demonstrated the importance of adequate risk management in

organizations (Kashyap, 2010). On a more positive note, the Association of Chartered Certified

Accountants (ACCA) (2014) posited that the crisis was an incentive for companies to devote attention

to Enterprise Risk Management (ERM) and risk reporting, meaning that these important matters

should be more included in daily operations. As a consequence of corporate scandals before and

during the crisis, governing bodies have placed more emphasis on transparency and disclosure of the

organization’s activities and its internal controls (Epstein & Buhovac, 2006).

Nowadays, organizations are expected to disclose lots of information regarding their operations and

their correlated risks. Compliance with regulatory requirements mandates that sufficient information

relating to the organization’s operations and its correlated risk must be disclosed in a transparent

way to its stakeholders (e.g. The Belgian Code on Corporate Governance, 2009). The increased

attention that was placed on transparency and disclosure was an incentive for organizations to install

an efficient and effective ERM process that was suitable for safeguarding the expanding disclosure

expectations of their stakeholders (Beasley, Pagach, & Warr, 2008). To that end, organizations are

adopting ERM just to make sure that they are compliant with regulatory requirements (Ai & Brockett,

2008). Still, ERM is better established in a manner that complements strategy, indicating that ERM

should be installed in order to execute strategy and objectives in a more risk-adjusted way (Fraser &

Simkins, 2007). The impact of compliance with all these imposed requirements raises the question of

which function of risk reporting to the board of directors is adopted. Berg & Westgaard (2011)

already examined the different functions of risk reporting to the board of directors in a Norwegian

context. Risk reporting can be set out to give assurance to the board regarding compliance with

imposed regulatory requirements, but more importantly in the light of ERM, it can also be useful for

strategic purposes. Unfortunately, Berg & Westgaard’s (2011) results highlighted the absence of

strategy-driven risk reporting to the Board of Directors, indicating that compliance takes the upper

hand during risk reporting to the board. I would like to extend their research by examining the

influence of compliance with regulations and ultimately the function of risk reporting to the Board of

Directors in Belgian organizations.

Many studies have been conducted regarding the use of tools to identify and assess risks (Epstein &

Buhovac, 2006; Shenkir & Walker, 2007; AIRMIC, Alarm, & IRM, 2010), but the use of tools to report

on risk-related matters is often neglected. The usefulness of tools, which support risk reporting in

relation to performance, is already examined by several authors (Beasley, Chen, Nunez, & Wright,

2

2006 (a); Slagmulder, 2013). Those authors raised awareness of the potential integration of risk and

performance through the use of tools, such as balanced scorecards. I would like to build on their

research by examining the existence and use of tools that support risk reporting in organizations. It

would surely be interesting to discover how Belgian firms are trying to link performance and risk

through the use of tools or other techniques.

The literature study also revealed some interesting insights regarding different organizational

approaches to ERM and the risk responsibilities delegated to organizational functions. Organizations

can adopt different organizational approaches in order to conduct an effective ERM program

(Heiligtag, Schlosser, & Stegemann, 2014). Different organizational functions or business units can be

held responsible for a particular type of risk that is related to their operations and for which they

should assume responsibility (Kinman, 2012), but this raises the question of how those different

organizational functions communicate on risk-related matters. I will explore which organizational

approaches are adopted by Belgian firms to address risk management in their organization, and how

risk-related information is communicated.

The literature review is established in a manner that complements my research questions.

The first section introduces ERM in an elaborate way. It furthermore provides a brief overview of

tools that organizations can adopt to report on risk-related topics. Important concepts, like risk

appetite and tolerance, are also defined in order to understand the impact that these concepts can

have on risk reporting in the organization. Lastly, it gives a summary of regulation that hovers over

organizations and that could affect the organization’s perspective of risk reporting.

The second section of the literature review addresses risk architecture and the different

organizational approaches that are used to cope with risk management throughout the organization.

It further gives an indication of the broad responsibilities of the Board of Directors and other

organizational functions regarding risk management. The last section of the literature review

elaborates on the importance of risk reporting in the organization, and specifically to the Board of

Directors. Two different functions of risk reporting to the Board of Directors are identified. This

section concludes by giving an indication of the many possibilities regarding the content of risk

reports provided to the Board.

A qualitative approach was adopted to conduct my research. I tried to address my research questions

by interviewing CEOs or other members of the C-suite. Due to the nature of my research, I focused

on Belgian publicly listed organizations. I imagine that the impact of regulatory requirements on the

function of risk reporting is greater in publicly listed organizations. Notwithstanding this

consideration, I also included a privately owned firm and a European publicly listed organization in

3

order to assess if there are any differences in risk management or the reporting process. The

empirical study also elaborates on my judgement sample and my approach for getting into contact

with the interviewees. Consequently, a within-and cross-case analysis of the interviews is provided in

order to come up with conclusions about my research. Lastly, I give my general conclusions about

this research and give some recommendations for future research.

4

2. ERM

2.1. Definition

COSO (2004) applies the following definition of Enterprise Risk Management (ERM): “Enterprise risk

management is a process, effected by an entity’s Board of Directors, management and other

personnel, applied in strategy setting and across the enterprise. It is designed to identify potential

events that may affect the entity, and manage risk to be within the entity’s risk appetite, to provide

reasonable assurance regarding the achievement of entity objectives” (COSO, 2004, p.4).

Stroh (2005) defined ERM on a more positive note. He argued that organizations should, after they

have identified and assessed the risk factors, make sure that the risk exposures that could be harmful

to the organization are mitigated. Organizations should also be able to grasp the benefits of upside

opportunities that arise while doing enterprise-wide risk management, since an ERM process should

be established in a manner that supports the execution of strategic objectives (Fraser & Simkins,

2007; Stroh, 2005). Stroh (2005) argued that the implementation of an ERM process is an essential

precursor to survival for companies.

Ittner & Oyon (2014) argued that a key contributor to a successful ERM implementation is the

delegation of decision rights and the assignment of accountability (risk ownership). Kinman (2012)

described risk owners as people in the organization that are being held accountable for risks that are

associated with the achievement of their business results. Ittner & Oyon (2014) determined four

main factors to assess the implementation of effective ERM processes by organizations. According to

them, the first two key components of ERM are the establishment of a common risk management

framework and the communication of the organization’s risk appetite and tolerance. They defined

the third key characteristic of ERM as the use of tools and processes for identifying, evaluating,

managing, and monitoring risks. The last key contributor to ERM is the extent of cross-functional

enterprise risk management activities, which means that more emphasis should be placed on cross-

functional contributions of different functions and a movement away from functional silos where

risks are not being managed in an enterprise-wide approach.

Beasley, Pagach, & Warr’s (2008) study approached ERM in a more careful manner, since they

suggested that the costs and benefits of implementing an ERM program are very firm-specific. They

assessed equity market reactions to announcements of appointments of senior executive officers

overseeing the enterprise-wide risk management. Their results indicated that the positive association

between the hiring of Chief Risk Officers who would oversee ERM and equity market reactions was

5

dependent on firm-specific variables like leverage, firm size, cash on hand, and volatility of prior

reported earnings.

On a more positive note, Fraser & Simkins (2007) argued that future-oriented and integrated ERM

systems should focus on managing risks in a cohesive way. This means that risk management should

be focused on interdependencies of risks and the implications of those risks on the achievement of

strategic objectives. Their thoughts on effective ERM programs stressed the importance of strategy-

related risk management. According to them, “ERM programs must be designed and carried out in

the context of the overall strategic and business planning activities of the organization” (Fraser &

Simkins, 2007, p.78).

2.2. ERM framework

Ittner & Oyon (2014) shared the opinion that a risk management framework or process should be

perceived as a key contributor to a successful implementation of ERM. It should basically help the

organization to manage their risks in a formalized manner.

Figure 1 provides a simplified version of the risk management process from ISO 31000. Purdy (2010)

stated that the introduction of ISO 31000:2009 was primarily to promote a standardization of risk

and risk management. ISO issued this globally accepted standard for risk management with the aim

of achieving “consistency and reliability in risk management” (Purdy, 2010, p. 881). This standard is

also established in a way that it is applicable to all international organizations.

Figure 1. Risk management process from ISO 31000 (Purdy, 2010)

6

The process starts by establishing the context. Defining the organization’s objectives and identifying

the external and internal factors that may impact the achievement of those objectives are essential

steps in establishing the context in which the organization operates. Purdy also stated that this step

is considered to be an “essential precursor” to risk identification (Purdy, 2010, p.884).

Risk assessment under ISO 31000 consists of the following three consecutive steps: risk

identification, risk analysis, and risk evaluation (Purdy, 2010). Risk identification is set up to expose

the risks and uncertainties the organization is facing. This initial step of the risk assessment phase

requires extensive knowledge of the critical success factors and should make sure that risks related

to these critical success factors are well defined (AIRMIC, Alarm, & IRM, 2010).

Risk analysis is all about getting a clear perspective on the identified risks. Assessing the potential

impact and the likelihood that those risks will eventually materialize are the main purposes of risk

analysis. Purdy also mentioned the fact that ISO 31000 recognizes the advantages of both

quantitative and qualitative approaches to risk analysis. Moreover, risk analysis should be done in a

flexible way, meaning that risk analysis should be performed in a manner that suits the risks that are

being analyzed (Purdy, 2010). The final step of the risk assessment phase is risk evaluation. In this

final phase, management is required to prioritize risks while keeping the established context in mind

(Purdy, 2010).

ISO 31000 presented risk treatment as the selection and implementation of control measures that

are established in order to cope with the risk. ISO 31000 makes a distinction between four distinctive

risk treatments: tolerate, treat, transfer, and terminate (AIRMIC, Alarm, & IRM, 2010).

ISO 31000 acknowledges the importance of two feedback mechanisms. Monitoring and review of

performance, and communication and consultation are considered to be two important feedback

mechanisms. These feedback mechanisms allow the organization to monitor the performance of the

established risk management process, and to learn from past mistakes regarding the management of

risk (AIRMIC, Alarm, & IRM, 2010).

2.3. Categorization of risks

Nocco & Stulz (2006) argued that the first step in implementing ERM is to get a clearer picture of all

the risks the organization is exposed to. Ittner & Oyon (2014) identified nine risks that could impact

an organization: compliance risk, financial fraud risk, reputation risk, IT risk, credit risk, market risk,

liquidity risk, catastrophic risk, and supply chain disruptions. Ultimately, Nocco & Stulz (2006) pointed

out that a typology of risks is often industry-specific, indicating that organizations should use their

7

own taxonomy of risks, and that they should spend sufficient time to identify all relevant

organizational risks.

According to Kaplan & Mikes (2012), organizations must understand the distinctions between the

different types of risks they face, in order to set up an effective enterprise risk management

program. They eventually managed to distill all possible organizational risks into three different

categories.

They identified the first category of risks as ‘preventable risks’ or internal risks that should be

monitored and controlled. Guidelines, codes of conduct and the implementation of a risk aware

culture should help to reduce the materialization of avoidable outcomes. Undesired behavior of

employees is a preventable risk and is essentially controllable. Consequently, these risks should be

avoided. The authors recommended managing this category of risks by closely monitoring the

organization’s processes and aligning employees’ behavior with the organization’s values and

strategy (Kaplan & Mikes, 2012).

The second category of risks is ‘strategy risk’. The authors stressed the importance of managing

strategy risks. The impact that those risks could have on the achievement of strategic objectives

requires the organization to closely monitor those assumed risks. Distributed guidelines or a code of

conduct aren’t appropriate to manage such risks since these risks require open debate about

possible risk exposures. Strategy risks shouldn’t be managed through rules-based risk management.

Instead, they recommended installing a risk management system designed to reduce the negative

impact risks could have on the achievement of strategic objectives (Kaplan & Mikes, 2012).

‘External risks’ are the last category of risks. These are risks that the organization can’t control or are

beyond their reach (e.g. natural and political disasters) (Kaplan & Mikes, 2012).

To conclude, Kaplan & Mikes (2012) stated that companies should adapt their ERM processes to

these three different categories of risk. A compliance or rules-based approach is only desirable for

managing preventable risks, while it’s not suitable for strategy and external risks because these risks

require open debate about risk exposure to eventually reduce the probability of occurrence.

8

2.4. Tools for internal risk reporting

Each organization can develop a combination of techniques and supporting tools to identify risks,

and assess their consequences and probability of occurrence (Shenkir & Walker, 2007).

Shenkir & Walker (2007) argued that, with the aid of a cross-functional team, brainstorming could be

useful in identifying risks. On top of that, they argued that scenario analysis could be a very useful

and relevant tool for identifying strategic risks. This tool is pro-active and incentivizes managers to

think more future-oriented. By asking ‘what-if’ questions, management can explore risk events that

probably will not materialize. However, if those risks eventually materialize, then it will have a

serious impact on the continuity of the company’s operations. The use of technology can also

support the identification of risks (e.g., via intranet) (Shenkir & Walker, 2007). War-gaming is also

perceived as a valuable tool for identifying risks as it allows the organization to simulate a situation

where their immediate competitors could change their strategy in an unfavorable way to the

organization (Kaplan & Mikes, 2012).

“Within the ‘risk assessment step’, all risks identified as potentially important should be assessed for

magnitude and probability of occurrence” (Epstein & Buhovac, 2006, p. 8).

Shenkir and Walker (2007) stated that many organizations see the advantage of using risk maps that

graphically display impact and probability of occurrence. The major advantage of risk maps is that

this aggregation provides an easy-to-understand overview of risks faced by the organization.

Although risk maps provide meaningful risk-related information (impact and probability of

occurrence), their one important weakness is that they do not show the interdependency among

risks. It’s sometimes the case that one risk has little to no impact on the organization, but when this

particular risk is seen in correlation with other risks then this could lead to a bigger impact1. This

means that risk maps are best used in an organization-wide approach, meaning that users should be

able to grasp the information in an understandable way, but that those users should also be aware of

potential disadvantages of this tool (Shenkir & Walker, 2007).

1 A particular risk exposure may have no impact on the financial results of an organization when it’s being isolated from other risks. However, when we look at the risk in an integrated manner, then the possibility exists that it may impact customer satisfaction which consequently could lead to decreasing financial results in the long-term. Seeing risk exposures in a company-wide lens is very important when using risk maps (Shenkir & Walker, 2007).

9

Figure 2. A heat map (Kaplan R. S., 2009)

Figure 2 illustrates the usefulness a risk heat map. This tool allows managers to have an oversight of

risk exposures. The darkest colors in this heat map resemble the top risk priorities that require

immediate managerial attention. The identified risk exposures are assessed for likelihood and

magnitude of consequences. In figure 2, the management has used a rating scale from 1-5 for each

factor (likelihood and magnitude of consequences). By multiplying these ratings, management can

set priorities for risks with a score higher than fifteen, for example (Kaplan R. S., 2009).

Kaplan’s (2009) description of a heat map relates to the description of a risk map by Shenkir &

Walker (2007). A heat map is also useful in prioritizing the key risks that need to be presented to the

board of directors (Branson, 2015).

Tornado charts are also considered practical tools for assessing the impact of risks on a particular

performance measure (such as revenue and earnings per share). A tornado chart allows managers or

members of the board to see which risks have the greatest impact on revenue, for instance (Shenkir

& Walker, 2007).

Figure 3. Example of a tornado chart (Shenkir & Walker, 2007)

10

Figure 3 provides an example of the potential use of a tornado chart. It shows all identified risks and

their impact on earnings variability. The guide ‘A structured approach to ERM and the requirements

of ISO31000’ by AIRMIC, Alarm, & IRM (2010) stated the usefulness of recording risk assessments in a

risk register. The risk register should be viewed as a “risk action plan” that is pro-active and future-

oriented instead of “a static record of the significant risks faced by the organization”. It should serve

as a vehicle for management to constantly look for improvements regarding the existing controls in

place (AIRMIC, Alarm, & IRM, 2010, p. 15).

As stated above in the introduction of this paper, Beasley, Branson, & Hancock’s (2014) study

showed that there was a lack of reporting organizational risk exposures that could affect the

company’s strategy. Tools that can shed light to the latter problem are a strategy map and a

balanced scorecard.

A strategy map is a visual representation of all the objectives organizations want to achieve. It

visually displays the interdependency between factors that are critical to the organization’s success

or key drivers of future performance. A balanced scorecard can be derived from a strategy map

(Bruggeman, Hoozée, & Slagmulder, 2017).

A balanced scorecard (or BSC) should be set up to increase the probability that both financial and

non-financial objectives are realized in an integrated manner (Beasley, Chen, Nunez, & Wright, 2006

(a)). Organizations should use this instrument to translate their missions and visions into measurable

performance indicators. The factors that are critical to the organization’s success should be

economically measured by key performance indicators or KPIs. The ultimate purpose of this

scorecard is to give managers or other users the chance to monitor the achievement of corporate

objectives through the implementation of KPIs (Bruggeman, Hoozée, & Slagmulder, 2017).

11

Figure 4. Example of a BSC (Bruggeman, Hoozée, & Slagmulder, 2017).

Figure 4 shows the practical convenience of a BSC. Innovation and learning objectives are

implemented to enhance employee involvement and to develop a strategic mindset so that internal

business processes are efficiently and effectively carried out. Consequently, a better performance of

internal business processes should be appreciated by the organization’s customers. Ultimately,

customer satisfaction leads to an improved financial performance of the organization (Beasley, Chen,

Nunez, & Wright, 2006 (a); Bruggeman, Hoozée, & Slagmulder, 2017).

Determining appropriate KPIs and performance targets for these four perspectives should make sure

that the organization could track the achievement of its strategy in a measurable way (Bruggeman,

Hoozée, & Slagmulder, 2017). Ultimately, Bruggeman et al. (2017) indicated the importance of

strategic risk management, which they described as a continuous process of identifying, assessing,

and managing risks in alignment with the organization’s strategy. Linking Key Risk Indicators (KRIs)

with Key Performance Indicators (KPIs) should ultimately lead to a better integration of strategy and

risks.

The BSC, a performance management system that is aligned with the organizational strategy, should

be integrated with an enterprise-wide view of risk management. The enterprise-wide view of both a

BSC and ERM should be linked to each other so that management can broaden its attention not only

to the achievement of strategic objectives, but also to the risks that could impact the achievement of

12

those objectives (Beasley, Chen, Nunez, & Wright, 2006 (a)). The authors provided an important

notion regarding the mutual beneficial interplay between balanced scorecards and ERM. “Balanced

scorecards measure an organization’s evolution toward achieving strategic goals, while ERM helps

company leaders think through positive and negative factors that can affect the achievement of their

goals. The combination strengthens the likelihood of achieving strategic objectives. Thus, the two go

hand in hand” (Beasley, Chen, Nunez, & Wright, 2006, p. 50). Their (Beasley, Chen, Nunez, & Wright,

2006 (a); Bruggeman, Hoozée, & Slagmulder, 2017) findings are in alignment with Fraser and Simkins’

(2007) statements about setting up a strategy-focused ERM process.

2.5. Risk appetite and Risk tolerance

The definition of ERM by COSO (2004) highlighted the importance of managing risks within the

organization’s risk appetite. On top of that, Marks (2015) denoted that risk owners and those

responsible for risk oversight need periodic risk reports to make sure that the level of risk is still

within the organization’s risk appetite. It’s therefore useful to explain this important concept and its

relevance for internal risk reporting.

The Institute of Risk Management (IRM, 2017) defined risk appetite as “the amount and type of risk

that an organization is willing to take in order to meet their strategic objectives”. Shenkir and Walker,

in close alignment with the definition of IRM (2017), argued that risk appetite should be seen as “the

overall level of risk an organization is willing to accept given its capabilities and the expectations of its

stakeholders” (Shenkir & Walker, 2007, p.27). IRM (2017) highlighted the importance of a properly

communicated risk appetite statement, because it can actively contribute to the achievement of

organizational objectives or goals. The guide ‘A structured approach to ERM and the requirements of

ISO 31000’ posited that organizations could install a risk appetite statement. This statement should

serve as a basis for organizations to think about risk-related decisions (AIRMIC, Alarm, & IRM, 2010).

The implementation of a risk appetite statement could lead to better strategic management and

better monitoring of enterprise-wide risks. The installment of a risk appetite statement also gives

some assurance to external stakeholders that the organization is committed to pursue its objectives

while keeping risk always in its mind (Boghdadi, 2015).

Ittner and Oyon clarified the difference between ‘risk appetite’ and ‘risk tolerance’ by defining risk

appetite as “the level of risk considered acceptable for the organization”, and risk tolerance as “the

specific risk limits or thresholds to be used when selecting which risks should or should not be taken”

(Ittner & Oyon, 2014, p.19-20). To conclude, Fraser and Simkins (2007) denoted that establishing risk

13

tolerances has the single purpose to ensure that the Board, management, and employees have a

clear understanding of what is deemed acceptable or unacceptable to the organization.

2.6. ERM and compliance with current regulation

Compliance actually describes what a person or entity should do to be in alignment with current

regulations. Corporate failures, like Ahold, Enron and Worldcom., were the basis of the installment of

compliance. The ultimate aim of compliance is preventing organizations from breaking the law,

otherwise they would have to pay large amounts of fines and their stakeholders would hold them

accountable. Organizations should make sure that there are procedures in place that can tackle and

comply with demanding regulatory requirements (VBO, 2015).

SOX

The Sarbanes-Oxley Act (SOX) of 2002 is a United States federal law enacted on July 30, 2002. The bill

was installed as a consequence of the many corporate frauds and failures that took place around that

time. Section 404 of the SOX Act places emphasis on the assessment of internal control. This part of

the bill requires management to have adequate internal controls in place that support financial

reporting. For many U.S. firms, this was an incentive to adopt the COSO framework. The

independence of audit committees also seems to be an important factor in the SOX Act of 2002. The

main purpose of the SOX Act is to restore confidence in U.S. financial markets (Act, 2002).

EuroSox

Porbunderwalla (2007) addressed the concept of EuroSox and its implications for publicly traded

companies in the EU. The EuroSox requirements promote an increased risk management disclosure

among European companies. Management is expected to disclose a report that gives clear

information about the current situation of an organization, including elements of the risk

management system and the process of implementing internal control initiatives.

EuroSox is primarily linked to the following three directives issued by the EU (Porbunderwalla, 2007):

4th directive 78/660/EEC



Eventually, these three directives require assurance regarding effective corporate governance,

internal controls and risk management. Audit committees also have to be established and an

increased emphasis on internal audit is also a consequence of the introduction of EuroSox. The

14

ultimate purpose of these directives is to restore investor confidence in markets (What is EuroSox --

Copenhagen Compliance).

The Belgian Code 2009 on Corporate Governance

Belgian publicly listed companies are obliged to comply with the Belgian Code on Corporate

Governance. Corporate leaders in Belgium have established this Code in order to create more

transparency. Eventually, the increased requirements regarding transparency should be an incentive

to comply with the provisions, guidelines, and principles of this Code. In fact, the Code is established

in a manner that complements existing regulation so that legal initiatives and compliance with the

Code go hand in hand (The Belgian Code on Corporate Governance, 2009).

This Code is built around nine principles that are considered to be very important for good

governance. Many of those principles clearly define the Boards’ responsibilities regarding risk

management. For instance, the Board should decide on the organization’s risk appetite, and should

approve an internal control and risk management framework set up by the executive management.

The importance of board-management interaction is also highlighted by the Code. The organization’s

strategy, risk appetite and key policies established by the Board, should be taken into account by

senior management to perform their duties with great care. Senior management is expected to put

efficient and effective internal controls in place to ensure that risks are properly managed.

Audit committees are required to review and monitor the internal control and risk management

systems, and they should do this at least once a year (The Belgian Code on Corporate Governance,

2009).

Thomas Leysen, the chairman of the Corporate Governance Committee, announced that the Code of

2009 will be reviewed in 2017, indicating that an updated version of this Code lies around the corner

(Corporate Governance Committee, 2017).

Other Belgian regulation

There are numerous regulatory requirements in Belgium, but the extent of compliance varies

according to the industry and the nature of the organization’s operations. Some supervisory

authorities that hover over Belgian organizations are (VBO, 2015):

NBB

FSMA

CREG

BIPT

FASFC

15

The FSMA and NBB are being held responsible for a continuous oversight of financial markets and

publicly listed organizations. The FSMA and NBB are established to make sure that investors get

reliable information in a timely manner. The FSMA’s ultimate goal is to give assurance to the public

that its supervised organizations provide sufficient information for their stakeholders (FSMA, 2017

(a)).

CREG is the abbreviation of ‘Commission for Electricity and Gas Regulation’. This supervisory

authority makes sure that organizations in the energy or gas industry operate according to law.

Continuous monitoring of the functioning of organizations in these sectors is obviously on the agenda

of this independent and autonomous body (CREG, 2017). BIPT is the abbreviation of ‘Belgian Institute

for Postal services and Telecommunications’, and is considered to be the regulator of electronic

communications markets, media and postal markets. Making sure that organizations in these sectors

comply with legislation is one of the main tasks of this independent body (BPIT, 2017).

FASFC is the abbreviation of ‘Federal Agency for the Safety of the Food Chain’. Their main mission is

to “preserve the safety and the quality of our food in order to protect humans, animals and plants”

(FASFC, 2017).

Basel regulation & corporate governance principles for financial services

The Basel regulation focuses on the banking sector, and it ultimately aspires to make the banking

system more safe by addressing many factors that were considered to be the foundation of the

financial crisis. This regulation aims to improve the quality of capital and it also introduces new

standards to cope with short-term and long-term funding (Härle, Lüders, Pepanides, Pfetsch,

Poppensieker, & Stegemann, 2010).

The Basel Committee published a consultative version of the corporate governance principles for

banks in 2014. This guideline was established with the purpose of ensuring effective corporate

governance among European banks (BCBS, 2014). A bank’s risk governance framework should

include three important elements that will eventually form ‘the three lines of defense’ (BCBS, 2014).

First of all, business unit managers or operational management should assume ownership over risks

they have control over. They should assume full accountability and responsibility for managing risks

in their day-to-day operations, while keeping the bank’s risk appetite in mind (BCBS, 2014).

The second line of defense is necessary to monitor the risk management activities of operating

management. An independent risk management function (e.g. CROs) and a compliance function

should contribute to effective risk oversight. Ultimately, CROs are being held responsible for ensuring

that risk management practices in the organization are in alignment with the pre-defined risk

appetite statement. They should be able to aggregate and assess material and emerging risks and

measure the organization’s exposure to those risks. The independent compliance function should be

16

able to monitor the bank’s compliance with applicable laws and regulations. The independency of

these functions is important for the effective monitoring of risk management practices throughout

the organization (BCBS, 2014). The internal audit function constitutes the last line of defense. To

conclude, audit committees and risk committees are required for systematically important banks and

these committees should be separated from each other (BCBS, 2014).

The Guideline (BCBS, 2014) also addressed the importance of embedding a robust risk culture to

ensure an ongoing risk dialogue between the Board and senior management.

Banks may use stress testing and scenario analyses in order to explore risk exposures that may arise

during adverse economic circumstances. This will give them the opportunity to broaden their

perception of all potential risks the organization may encounter (BCBS, 2014).

Rating agencies

Fraser & Simkins (2007) denoted that credit rating agencies, like Standard and Poor’s or Moody’s, are

a driving force for organizations to implement ERM systems. The implementation of ERM processes

could signal an increased attention that has been given to risk and risk management. Consequently,

this could potentially lead to a better credit rating and thus a lower cost of capital or more access to

capital markets. If organizations signal to their stakeholders that they’re effectively managing risk,

then this could lead to an increased confidence of their stakeholders, which is ultimately beneficial

for both parties.

Alignment of ERM and compliance

Ai & Brockett (2008) denoted that regulatory pressures are often perceived as the foundation for

ERM. The authors mentioned that the proliferation of ERM was mainly a consequence of the need to

be compliant with regulatory requirements. To this end, ERM is perceived as an efficient tool useful

to comply with imposed requirements (Ai & Brockett, 2008).

Still, several authors addressed the interconnectivity between ERM and regulatory pressures in a

more positive way by acknowledging the possibility that ERM can be useful for organizations’

processes by taking a more future-oriented perspective.

Fraser & Simkins (2007) made notice of the difference between SOX requirements and ERM

programs. The authors described ERM as a future-oriented process that is mainly concerned with

risks that could jeopardize the execution of strategic objectives. Compliance with regulation like SOX

is mainly backward looking and focused on adhering to reporting requirements. They recommended

that ERM programs and SOX should be seen as two completely different processes.

Epstein & Rejc (2006) and Stroh (2005) postulated that organizations should alter compliance efforts.

Organizations should try to stay ahead of the imposed mandatory requirements by building a risk

17

management and risk reporting system that incentivizes significant business value.

Kaplan and Mikes (2012), consistent with Fraser & Simkins (2007), Epstein & Rejc (2006), and Stroh

(2005), identified that risk management is too often treated as a compliance issue, and

recommended to executives that rules-based risk management shouldn’t be seen as a plausible

solution to every type of risk. This is consistent with Kaplan & Mikes’ (2012) notions on how

organizations should adapt their ERM process to capture all three different organizational risks.

2.7. Key findings

Several authors cling on to different definitions of ERM, but in a sense, they all agree that ERM

should be aligned with the organizational strategy. Delegating risk ownership (Ittner & Oyon, 2014)

throughout the entire organization and keeping a strategy-focused mindset (Fraser & Simkins, 2007)

seem to be two important factors when implementing an ERM system. Establishing an ERM

framework and communicating risk appetite and/or tolerance also are two important factors for

effective implementation (Ittner & Oyon, 2014). The framework presented by ISO 31000 offers a

comprehensive overview of all relevant factors that need to be considered when implementing an

ERM system (AIRMIC, Alarm, & IRM, 2010). Even though organizations face different risks according

to their context, Kaplan and Mikes (2012) provided a relevant categorization of risks and motivate

organizations to tailor their ERM processes in alignment with their three different categories of risk.

The use of tools for monitoring and reporting risks and the cross-functional contributions of the

entire organization toward risk are also examples of key components required for establishing a

successful ERM program (Ittner & Oyon, 2014).

Several authors (Bruggeman, Hoozée, & Slagmulder, 2017; Beasley, Chen, Nunez, & Wright, 2006 (a))

mentioned the possibility of combining risk and performance in light of achieving strategic objectives.

Strategic risk management should beneficially contribute to the realization of strategic objectives

since it also takes risks into account that could impact the achievement of those objectives.

A clear distinction has also been made between the concepts of risk appetite and risk tolerance. This

is of great importance since, as you shall see later on, the Board of Directors is actually responsible

for communication on risk appetite (Epstein & Buhovac, 2006).

To conclude, requirements of governing bodies regarding compliance with current regulation should

be seen as a completely different process than ERM. Although both useful in their own way, ERM

distinguishes itself by promoting a broader horizon of risks on the organizations’ radar, rather than

focusing on compliance-based reporting (Epstein & Buhovac, 2006; Fraser & Simkins, 2007; Stroh,

2005).

18

3. Organizational approaches and responsibilities regarding ERM

3.1. Risk Architecture

The Guideline ‘A structured approach to ERM and the requirements of ISO 31000’ (AIRMIC, Alarm, &

IRM, 2010) mentions the concept of ‘risk architecture’. An organization’s risk architecture is

established in order to clarify the “roles, responsibilities, communication and risk reporting

structure”(p.7) that should be in place to address risk management properly.

3.2. Risk management approach

Heiligtag, Schlosser, & Stegemann (2014) made a distinction between two different approaches to

ERM: the decentralized approach and a centralized approach. Still, the authors mentioned that

determining a suitable approach was highly dependable on the types of risks, meaning that a trade-

off has to be made between both approaches to risk management.

Decentralized approach

In a decentralized approach the central risk function is responsible for developing the risk

management framework, and for setting out guidelines for the use of the risk management

framework. However, business units and functions are free to apply the provided framework in a

local manner that supports their operations. Consequently, a continuous communication process

between the central risk management function and business units is critical to make sure that the

established risk management framework is effectively applied (Nottingham, 2014).

This approach allows greater autonomy in the execution of risk management practices since business

departments can use different tools and models to capture their business unit risks. An increased

communication of risk information flow could be another advantage of a decentralized approach

(Heiligtag, Schlosser, & Stegemann, 2014). A strong risk culture has to be embedded into the entire

organization since business unit managers are held responsible for risks that occur in their line of

business (Heiligtag, Schlosser, & Stegemann, 2014).

Centralized approach

In a centralized approach, the entity responsible for the organization’s risk management closely

“controls and owns most of the risks” (p.5). The central risk function is expected to closely supervise

the organization’s business units’ risks through the use of risk-related models and processes. These

risk-related models and processes are typically distributed throughout the entire organization.

Eventually, the central risk function must enter into a thorough discussion with all the business units’

19

managers in order to review and discuss the assumptions made by them. Ultimately, a centralized

approach should contribute to the efficiency and effectiveness of risk management because it allows

the central risk function to constantly update and refine their ‘best risk management practices’

(Heiligtag, Schlosser, & Stegemann, 2014).

In the centralized model, the central risk management function should be led by a CRO or a central

risk function that should provide risk management initiatives across the entire organization. The CRO

is ultimately accountable for the creation and application of the risk management framework, and

the aggregation of reported results regarding risk management. The aggregated results should be

reported to the Board or a Board committee. A reduced risk management responsibility and

awareness across the organization could be a potential downside of implementing a centralized

approach (Nottingham, 2014).

A report from the Economist Intelligence Unit (2005) provided some benefits of appointing a Chief

Risk Officer (CRO) who would centralize risk management. An increased understanding of

relationships between risks within separate business units could be achieved by using a

comprehensive risk matrix, which would allow CROs to identify enterprise-wide risk exposures.

Delegation of risk ownership

COSO identified some benefits with assigning authority or accountability to lower echelons – the

people who are closest to the daily operations. Delegation of authority is sometimes useful for

“flattening” the organization, because it aims to create creativity among the entity’s personnel.

Taking initiatives and being able to respond in a faster way to changing circumstances are also

examples of the potential outcomes of delegating risk ownership (COSO, 2004, p.32).

Kinman (2012) stressed the importance of building a ‘risk-resilient organization’. In order to have a

‘risk-resilient organization’, organizations must draw upon the knowledge of several risk owners

throughout the entire organization, by delegating risk ownership down to business units and other

important functional areas. Kinman’s (2012) thoughts on the benefits of delegating risk ownership

confirm Fraser & Simkins’ (2007) recommendations. Fraser & Simkins (2007) argued that all

functional areas within an organization should provide efficient information and input relating to

ERM.

3.3. The Board’s role and responsibilities in ERM

Lam (2001) pointed out that the decision to implement ERM is made by the Board of Directors rather

than by the CEO. The Guideline ‘A Structured Approach to ERM and the Requirements of ISO31000’

20

(AIRMIC, Alarm, & IRM, 2010) indicated the importance of the exemplary role that boards must fulfill

in order to promote an organizational culture that acknowledges the importance and implications of

risks in daily operations. In order to install a culture that takes risks into account, boards are

expected to deliver leadership and commitment with the sole purpose of becoming a “risk aware

culture” (p. 6). COSO (2004) made notice of the responsibilities of the Board, by saying that the Board

of Directors should provide important oversight to enterprise risk management, and that it should be

aware of the organization’s risk appetite. The latter reason is consistent with Epstein & Rejc’s (2006)

recommendations that the Board should “originate risk appetite and risk tolerance” (p.14). The board

is expected to assume full responsibility regarding the risk management and risk reporting processes

in the organization. Moreover, evaluating and monitoring the effectiveness of internal controls, if not

delegated to other committees like the audit committee, should also be on the board’s agenda

(Epstein & Buhovac, 2006). In order to execute their responsibility for overall effective risk

management and reporting, boards need to make sure that there’s an effective risk management

process installed. This means that they should get assurance from management that solid practices

are in place to identify and manage risks throughout the entire organization (Steinberg, 2016).

Cammaert (2014) conducted a Belgian qualitative study regarding the risk management role of the

Board of Directors. He concluded that the Board always bears ultimate responsibility concerning

decisions that have to be taken in the pursuit of effective risk management.

To conclude, Tim Leech (2013) recommended that the Board also should take responsibility for

maintaining a ‘risk aware culture’. A common organizational terminology to discuss and report the

current risk status and tools that sustain appropriate risk assessment and reporting are important

elements that constitute a ‘risk aware culture’.

Board’s composition and its impact on ERM

Beasley, Clune, & Hermanson (2005) found that the composition of the Board also plays a crucial role

in successful ERM implementation. They concluded their study by stating that the stage of ERM

implementation is positively related to board independence.

The Financial Times (2017) defined an independent board as a board that consists mostly of

independent directors. Those independent directors should act as watchdogs by maintaining an

independent attitude towards the organization’s executives.

Desender’s (2007) study approached the results of Beasley et al. (2005) in a more detailed manner.

He concluded his study by stating that Board independence is only significantly related to ERM when

there’s also a separation of CEO and chairman. Jensen (1993) pointed out that it’s important to

ensure that CEOs don’t fill the seat of chairman of the board. Evaluating the CEO is one of the main

21

topics that are on the chairmen’s agenda. This, of course, won’t work as smoothly it the CEO fills the

position of chairman. CEOs who fill the position of chairman are contradictive to the main function of

chairmen, since they probably are incentivized to act in their own personal interest.

3.4. Organizational units’ involvement in risk management

Epstein & Rejc (2006) believe that everyone in the organization should have some responsibility for

ERM. The Board may delegate its oversight and reporting duties to certain committees or other

organizational units. Below, you’ll find recommendations of several authors regarding the specific

roles of different organizational units involved in risk management.

Audit committee

An important responsibility of the audit committee (AC) is to monitor the financial reporting

processes adopted by an organization. This means that the AC must review the truthfulness of the

financial figures. Overseeing the financial reporting process mainly coincides with reviewing the

accounting standards that are utilized by organizations (The Belgian Code on Corporate Governance,

2009).

Besides the monitoring of the financial reporting process, audit committees are also responsible for

keeping an eye on the effectiveness of internal control and for making sure that established risk

management systems operate accordingly. Audit committees are supposed to act as a watchdog over

the effectiveness of internal control, which means that they should make sure that there are control

measures in place that can address identified risks in a proper manner (The Belgian Code on

Corporate Governance, 2009).

In Deloitte & Touche’s (2014) ‘Risk Committee Resource Guide’ it became quite clear that audit

committees still focus too strongly on the financial aspects of the organization, while risk

management should be treated as a process that deals with all relevant organizational risks. The

main focus of the audit committees investigated in the Belgian case study by Sarens and De Beelde

(2006) was also on financial results and reporting issues. More surprisingly, the authors discovered

that Belgian audit committees sometimes neglected their other responsibilities regarding the

effectiveness of internal control. Notwithstanding Sarens and De Beelde’s (2006) results, Cammaert

(2014) concluded by stating that most of his surveyed organizations indicated that the audit

committee was responsible for risk reporting to the Board. He also pointed out the strong interaction

between the audit committee and internal audit by arguing that it’s the audit committees’

responsibility to aggregate the information acquired from internal audit, since it’s the audit

committees’ task to make a clear and aggregate report for the Board.

22

The audit committee must also evaluate and monitor the independency of the external auditor (VBO,

2015). External auditors or statutory auditors must do an annual assessment of the truthfulness of

the organization’s financial statements. The appointed external auditor must ensure that the

financial statements of the organization are compliant with regulatory requirements. While

executing this important responsibility, external auditors are expected to maintain total

independence. Reporting on certain transactions (e.g. capital increases, mergers, liquidation) are also

on the external audit’s agenda (IBR, 2010)

Internal audit

Evaluating the effectiveness of the enterprise-wide risk management should be the main priority on

the internal audit’s agenda (COSO, 2004). The internal audit function is expected to provide

‘objective assurance’ regarding the adopted ERM processes to the board of directors or the audit

committee. This means that they should report on the appropriateness and adequacy of installed risk

management practices in the organization. Moreover, they are also required to monitor the

processes in place to manage important risks. Ultimately, in the light of ERM, internal auditors should

monitor the organization’s risk management processes and should keep a watchful eye on the

effectiveness of those processes (IIA, 2013 (a)) Ojha’s (2012) findings on the role and responsibilities

of internal auditors indicated that the internal audit function is mainly concerned with making sure

that the entity has procedures in place that can cope with, for instance, prevention of fraud.

Beasley, Clune, & Hermanson’s (2006 (b)) findings highlighted the importance of top management

and board-level support for internal audit’s active involvement in ERM. This is of great importance

since the internal audit function is expected to report improvements or recommendations regarding

the enterprise-wide risk management to these organizational units. On top of that, Beasley et al.

(2006 (b)) found that the tenure of the organization’s chief audit executive (CAE) is also positively

related to the internal audit’s involvement in ERM. The Chief Audit Executive (CAE) is the leader of

the internal audit function who should be ultimately responsible for the internal audit’s performance

(Carmichael, 2014). Audit committees should at least meet twice a year with the internal audit

function to discuss the current situation of the risk management process adopted by the organization

(The Belgian Code on Corporate Governance, 2009).

CEO

Ittner & Oyon (2014) found that an extensive communication of the organization’s risk appetite and

tolerance, together with risk monitoring and reporting were two important factors that constituted

the responsibilities of CEOs, suggesting that CEOs also fulfill a risk oversight role.

In order to fulfill their oversight role (Ittner & Oyon, 2014), CEOs must meet at least periodically with

senior managers responsible for their respective functional areas. Furthermore, by meeting

23

periodically with the senior management, CEOs should be able to gain an extensive knowledge of the

organization’s risk management. By increasing the interaction with senior management, CEOs should

be able to effectively monitor risks in relation to the entity’s risk appetite (COSO, 2004).

Preparing risk reports for the Board is also a responsibility that CEOs need to fulfill in order to allow

the Board to perform its risk monitoring activities. On top of that, risk reports provided to senior

management should serve the purpose of aiding the responsible managers in achieving risk

management objectives (Epstein & Buhovac, 2006).

CFO

Epstein & Rejc (2006) stipulated that CFOs often take responsibility for risk functions because of the

broad knowledge they have gained through their position in the organization. Besides managing the

traditional financial risks, like for instance compliance or credit risk, Ittner & Oyon (2014) found that

CFOs who have been granted risk ownership are more likely to expand their focus on other

organizational risks like operational and strategic risks.

COSO (2004) also stipulated some benefits of incorporating financial executives into enterprise-wide

risk management. It’s frequently the case that financial executives, like CFOs, are given the

responsibility to track and analyze performance across a wide range of functions. Budgeting and

developing financial plans for the entire organization puts them in the position of having an

enterprise-wide vision on risk management.

Senior management

Senior managers in charge of functional areas throughout the organization should have responsibility

for managing risks that they have control over – risks that have the potential to have an impact on

the established goals and objectives of their operations. Furthermore, each member of senior

management should act as a CEO of his or her department by making sure that actions undertaken

are consistent with the established risk appetite (COSO, 2004).

Risk committee

It’s important to make a distinction between board-level risk committees and executive-level risk

committees.

Bugalla, Kallman, Mandel, & Narvaez (2012) stated that a board-level risk committee must keep a

watchful eye on the adequacy of adopted risk management practices and processes. On top of that, a

board-level risk committee must ensure that identified risk exposures align with the risk appetite of

the organization. Its main responsibility is risk oversight and assistance to the board regarding risk

oversight. Historically, many firms delegated risk oversight responsibilities to audit committees. The

organizations surveyed by Bugalla et al. (2012) indicated that their audit committees’ primary

24

purpose was to ensure the integrity of financial statements, and making sure that the organization

complies with legal and regulatory requirements. However, the formation of a board-level risk

committee could signal a broader approach regarding risk oversight. It seems that shifting risk

oversight responsibility to a board-level risk committee shows a more pro-active vision towards risk

oversight by capturing all corporate risks (Bugalla, Kallman, Mandel, & Narvaez, 2012).

Bugalla et al. (2012) also gave indications for establishing an executive-level risk committee.

Board-level risk committees are responsible for risk oversight, not management. One key task of a

board-level risk committee is to set up appropriate risk appetites and tolerances. The authors made

clear that risk appetites and tolerances are often perceived as a constraint by business units. The

formation of an executive risk management committee and a partnership between a board-level risk

committee could solve these misconceptions of risks by business units. This committee should

consist of a team that is capable of keeping the entity’s risk exposures within reasonable boundaries.

The establishment of an executive risk committee should ultimately lead to better cross-functional

collaboration across the entire organization. The team’s corporate-wide responsibilities should give

more insights into correlations of risk exposures across business units, and should ultimately lead to

better management of corporate-wide risks. The manifestation of risks at executive level should

serve as a model for other managers and employees to perceive risk management as an essential

contributor to organizational success.

CRO

COSO (2004) recommended that CROs should work in close collaboration with other managers in

order to promote effective risk management in their spheres of responsibility. CROs should act as a

staff function by providing support and facilitations to business unit managers so that they can

manage risks accordingly in their area of responsibility. CROs should also be able to provide advice

and assistance regarding the alignment of business units’ risk-taking with the organization’s risk

tolerances. Ittner & Oyon (2014) clarified the current role of Chief Risk Officers or CROs. The authors

found, in consistency with COSO’s (2004) recommendations, that CROs are mainly concerned with

the coordination of risk management activities across the organization, suggesting that these

functions rather play a coordinating role. The execution of that coordinating role can be supported

by the use of comprehensive risk matrices that serve the purpose of centralizing all risk activity of the

organization. The use of these matrices would enhance the understanding of relationships between

risks within separate business. This would allow CROs to identify risk interdependencies across the

different business units (Ross, 2005).

25

3.5. Key findings

Establishing an appropriate risk architecture is paramount for an effective implementation of the

ERM process and risk reporting (AIRMIC, Alarm, & IRM, 2010). The Board should assume full

responsibility for the entire risk management process (Cammaert, 2014; Epstein & Buhovac, 2006).

However, it may delegate risk responsibilities to other organizational units, like the CFO, CEO, CRO,

audit committee, internal audit, senior management, or even risk committees.

First, In order to determine what to include in risk reports to the Board, organizations must draw

upon an effective risk management approach that supports internal risk reporting. A distinction can

be made between a decentralized and a centralized approach, although the differences are quite

subtle (Heiligtag, Schlosser, & Stegemann, 2014; Nottingham, 2014). It seems that both risk

management approaches are led by a central risk function, but the responsibilities of this central risk

function differs according to the adopted approach.

In a centralized approach, the central risk function is expected to closely supervise the organization’s

business units’ risks through the use of risk-related models and processes. These risk-related models

and processes are typically rolled out throughout the entire organization. Eventually, the central risk

function must enter into a thorough discussion with all the responsible managers in order to review

and discuss the assumptions made by them while applying the entity’s risk management framework

(Heiligtag, Schlosser, & Stegemann, 2014).

In a decentralized approach, business units’ managers own all the risks they have control over and a

central risk department or function is responsible for providing support and coordination as needed.

Business unit managers are free to adhere to the established risk management framework in a more

local manner. This approach allows greater autonomy in the execution of risk management practices

since business departments can use different tools and models to capture their business unit risks.

Consequently, a strong risk culture has to be embedded into the entire organization since business

unit managers are held responsible for risks that occur in their line of business (Heiligtag, Schlosser,

& Stegemann, 2014; Nottingham, 2014).

26

4. Risk reporting to the Board of Directors

4.1. Importance of internal risk reporting to the Board of Directors

Slagmulder (2013) did research on how risk-related information could be integrated into

performance reporting to the board of directors. She found that members of the board are

perceiving risks not only in a negative manner but also in a more positive manner, indicating that

risks are increasingly becoming an important instrument for strategic decision-making. This holistic

approach, where both the downside and upside of risks are taken into account, ultimately makes

sure that not only compliance requirements are considered. Moreover, this approach allows for

greater contributions regarding the strategy process. The integration of risk and performance in

board meetings should be perceived as a prerequisite to strategic oversight.

Berg & Westgaard (2011) pointed out that boards are expected to being informed about the

organization’s risks and to have a clear understanding about those risks.

Members of the board should focus their attention on finding an optimal equilibrium between

meeting regulatory requirements and achieving strategic goals. By doing this, they can devote more

attention on the aspects that could jeopardize the achievement of strategic objectives (EY, 2013).

4.2. Functions of risk reporting to the Board of Directors

Berg & Westgaard (2011) and Slagmulder (2013) identified two different functions of risk reporting

to the Board of Directors. First of all, internal risk reporting to the Board serves the purpose of

assuring the Board that sound or legal financial practices are exercised (Berg & Westgaard, 2011).

‘Separate risk reporting’ takes a closer look on the operational risk aspects of the business, and it has

the tendency to be much more compliance-driven. This type of risk reporting is mainly done in order

to meet regulatory requirements and has the tendency to isolate risk from other relevant

information (e.g. performance) (Slagmulder, 2013). This could ultimately lead to putting risk

management into a “box-ticking exercise” (Slagmulder, 2013, p.4). Secondly, and more importantly in

the light of ERM, risk reporting can also be used for strategic purposes (Berg & Westgaard, 2011).

The integration of risk into performance enhances the probability that the board will get ‘the bigger

picture’ and that the Board gets a clearer understanding of the business. Through the connection of

risk information with other types of information on performance and strategy, integrated risk reports

can contribute to gaining a broader perspective of the organization’s objectives and goals

(Slagmulder, 2013). Marks (2015), in alignment with Slagmulder (2013), also stressed the importance

of ‘objective-based risk reporting’. This kind of reporting will enable the board to assess their

27

progress in terms of achieving organizational objectives. The major advantage of this type of

reporting is the focus on achieving strategic objectives, while taking its risks into account.

Unfortunately, Berg and Westgaard’s (2011) results highlighted the neglect of strategy-driven risk

reporting to the Board of Directors. This finding is in alignment with the study conducted by Beasley,

Branson, & Hancock (2014). A majority of their respondents admitted that there was a lack of risk

integration in the context of strategic discussions. Moreover, they also found that more than 66% of

their respondents didn’t have a risk appetite installed that could complement strategic risk reporting

(Beasley, Branson, & Hancock, 2014).

4.3. Board-management interaction regarding risk

Brodeur, Buehler, Patsalos-Fox, & Pergler (2010) stressed the importance of board-management

interaction because they share the opinion that this will strengthen the enterprise-wide risk

management. They believe that an increase in risk interaction between both parties could potentially

lead to a better awareness of risk management in the organization.

Nottingham (2014) introduced some important elements to improve risk communication between

the board of directors and senior executives. First of all, boards should ensure that, in order to fulfill

their oversight function, adequate measures are in place so that management can carry out its risk

management practices. Defining risk governance roles are paramount and establishing risk charters

can help to clarify the roles and responsibilities of senior management or committees. The delegation

of risk responsibilities throughout the company aims to increase accountability among employees

when it comes to risks. Secondly, boards are expected to have a broad knowledge of potential factors

that could alter the established strategy. On top of that, they’re expected to keep a watchful eye on

the strategy of the organization and the risks that could prevent the organization from achieving this

strategy.

Lastly, a written risk appetite statement should be used by management as a tool that helps to

discuss risk-related matters with the board of directors. The most important advantage of a risk

appetite statement is that it has been set up with the main purpose of integrating risk, strategy and

performance. The installation of a risk appetite statement should serve as the cornerstone for

effective risk reporting between board of directors and the management team: it should be used as a

basis to discuss strategy.

28

4.4. Content of risk reports provided to the Board

The content of risk reports should help members of the board to make risk-adjusted decisions

(Epstein & Buhovac, 2006). Brodeur et al. (2010) argued that the board’s risk report should include

the following: a clear prioritization of the organization’s top risk exposures and the assessment,

carried out by management, of those key risks. The report should be presented in an integrated

manner, meaning that it should provide an aggregate view of all the risks the different business units

are exposed to. Roy (2011) stated that this aggregate representation of the top risk exposures is

helpful in preventing an overload of information. The top risks that can negatively impact the

organization’s strategy should consequently be included in the board risk report (DeLoach, 2016).

Kinman (2012) made notice of the use of risk appetite as a benchmark for providing risk reports to

the board of directors. The alignment of risk tolerances with the organization’s risk appetite is an

important element that should be addressed in board risk reports. Fraser & Simkins (2007) already

pointed out that the establishment of (business unit) risk tolerances is mainly to give assurance to

the board that the different business units of the organization have a clear understanding of what is

allowed or not allowed regarding risk-related decisions.

DeLoach (2016) also gave some important recommendations in light of risk reporting to the board of

directors. According to the author, risk reports should focus on the top risks that could jeopardize the

achievement of strategic objectives. That’s why he also mentioned the usefulness to integrate risk

reporting with performance reporting. An increased understanding of risks that could impact the

achievement of organizational objectives and strategy are potential advantages of this integration.

Separating risk reporting and performance reporting could lead to an overwhelming emphasis on

performance by the Board.

Context of risk reporting to the Board

Epstein & Rejc (2006) denoted that risk-related information should be presented in a context that

facilitates the recipient’s understanding of the risks disclosed in the report. The authors

recommended to combine written explanations with graphical tools (e.g. tornado charts, balanced

scorecards, heat maps) with the ultimate purpose of increasing the explanatory power of the risk

reports.

As already mentioned, there are multiple tools available to report to the board on risk-related

matters. It seems that organizations should start making use of tools that support the combination of

performance and risk, if they want to make ERM more strategy-focused (Beasley, Chen, Nunez, &

29

Wright, 2006 (a); Fraser & Simkins, 2007; Slagmulder, 2013; Bruggeman, Hoozée, & Slagmulder,

2017).

Preparation of risk reports to the Board

The organizations assessed by Berg and Westgaard (2011) indicated that their CFO was usually the

person responsible for preparing risk reports for the board of directors.

Branson denoted that the audit committee frequently serves an intermediate function between the

risk management function and the board of directors. CROs, CEOs, and CAEs are also frequently

tasked with the preparation of risk reports (Branson, 2015).

Cammaert (2014) also concluded his qualitative study by stating that audit committees frequently

bear the risk reporting responsibility.

4.5. Key findings

Board of directors are increasingly becoming aware of their risk responsibilities in a more complex

business environment (Slagmulder, 2013). Risk-related information presented to the board of

directors can serve two different purposes (Berg & Westgaard, 2011; Slagmulder, 2013).

Firstly, risk reporting to the Board can serve the purpose to assure the Board that sound legal

practices are exercised (Berg & Westgaard, 2011). Secondly, and even more importantly, risk

reporting should contribute to strategic oversight by providing a summary of all top-tier risks the

organization is facing (DeLoach, 2016). By linking or integrating risk and performance, boards should

see ‘the bigger picture’ in light of the organization’s strategy (Marks, 2015; Slagmulder, 2013).

Ultimately, boards should try to balance these two different functions of risk reporting in light of

their decision-making (EY, 2013). Board-management interaction is an important condition that

needs to be in place in order to effectively report on risk-related matters. A risk appetite statement

could be used by management as a tool that helps the discussion of risk-related matters with the

board of directors (Nottingham, 2014). DeLoach (2016) denoted that risk reports provided to board

of directors must be concise by only mentioning the top-tier risks faced by the entity. This distillation

and aggregation of risks is necessary to avoid an overload of information (Roy, 2011).

Ultimately, risk reports should be provided to the board in a manner that allows the board to act

upon the risk information disclosed. The relevance of risk reports depends on a lot of factors that

definitely require some consideration. Narrative descriptions, the use of graphical displays, and risk

reporting tools are all relevant factors that are useful for increasing the users’ comprehension

(Epstein & Buhovac, 2006). It’s frequently the case that audit committees are responsible for the

preparation of risk reports (Branson, 2015; Cammaert, 2014), but eventually multiple possibilities

30

exist regarding the preparation of risk reports to the Board (Berg & Westgaard, 2011).

31

5. Empirical study

5.1. Research questions

“What’s the function of risk reporting to the Board of Directors in Belgian companies?”

“What organizational approaches are adopted to deal with the increased emphasis on risk

management?”

“How is risk reported throughout the entire organization?”

5.2. Goal of research

The main focus of my research is to explore how internal risk reporting is perceived within the entire

organization, and specifically by the board of directors. As already mentioned in the literature study,

the abundancy of regulations have prompted organizations to adopt a risk management process to

cope with their imposed requirements. To this end, ERM is rather seen as an efficient tool to comply

with imposed regulatory requirements (Ai & Brockett, 2008). Still, ERM can also be used in a more

forward-looking way by reporting on strategy-related matters (Slagmulder, 2013; Marks, 2015). I

want to investigate which function of internal risk reporting takes the upper hand in Belgian

companies. The impact of regulatory requirements on risk management practices will also be a point

of discussion.

The second goal is to assess which organizational approaches are used to cope with the increasing

risk management efforts. The literature review described the difference between a decentralized and

a centralized approach. Different organizational units can carry different responsibilities regarding

risk management. The goal is to explore which units, and how these units communicate on risk-

related matters, and how eventually risks are reported to the board of directors (or abbreviated:

BoD).

Another goal of my study is to assess how risk reporting is conducted within the organization. As

already mentioned in the literature review, there are a lot of tools available to report on risk-related

matters. I will investigate which risk tools are popular in Belgium organizations and assess their

benefits for internal risk reporting.

32

5.3. Research methodology

I’ve chosen to conduct this research via in-depth interviews. A semi-structured interview allowed me

as a novice researcher to apply some flexibility while asking my questions (Rowley, 2012). This

qualitative approach opened up the way for me to capture the respondents’ attitudes and

perceptions regarding risk reporting throughout the organization.

An interviewing guide (see Attachment 1) is established in a manner that will help me to gather

information on all relevant topics in order to come up with a conclusion about this research (De

Pelsmaecker & Van Kenhove, 2014). Rowley (2012) warned that interview questions might deviate

from your research question. This is often the case when the interviewer wants to gather information

around a specific topic the interviewee doesn’t like to talk about. I can only imagine that a few of my

respondents will be reluctant to admit that they installed an enterprise-wide risk management

process just to be compliant with current regulation. Furthermore, I already mentioned in the

literature review that the difference between a decentralized and a centralized approach is quite

subtle. This implied that I couldn’t just ask my respondents to indicate which organizational approach

they had adopted. I needed to take all these different considerations into account, while setting up

my interviewing guide. You can find my interviewing guide in attachment 1.

Although interviewing might be more time-consuming than distributing online surveys, I firmly

believed that potential interviewees could be more receptive to participate in this qualitative type of

research (Rowley, 2012). Rowley (2012) also mentioned the possibility that managers or people with

a significant responsibility within an organization are reluctant to participate in online

questionnaires.

5.4. Sampling

The nature of my research demanded that I should focus on Belgian publicly listed organizations

since these types of companies are often more regulated than private companies. Listed companies

are subject to regulatory requirements and in that manner more suitable respondents for my

research. Still, the inclusion of a private firm and a European publicly listed organization allowed me

to find possible differences between these different types of firms.

The website of FSMA (2017 (b)) provided a list of companies for which Belgium is the home Member

State. More than 150 publicly listed Belgian organizations were found. A sampling frame can thus be

provided.

33

I concluded that a judgement sample was most appropriate to conduct my research.

This type of sample is often used for conducting in-depth interviews. A judgement sample is

characterized by imposing restrictive conditions in order to come up with a suitable sample (De

Pelsmaecker & Van Kenhove, 2014). Due to time constraints, I imposed 2 restrictions for my sample.

First of all, I wanted most of the organizations to be publicly listed. Due to the nature of my research

and the impact of regulatory requirements on the function of risk reporting, I choose to focus on

publicly listed organizations, preferably in Belgium. Although I mainly focused on Belgian publicly

listed organizations (due to the nature of my research), I didn’t want to exclude private companies

that are also heavily regulated or publicly listed companies in other European countries. By including

these organizations in my sample, I could potentially assess if there were any differences in how

organizations are managing or reporting risks. Secondly, the organizations that I contacted were

located in Flanders in Belgium. I checked the website of NBB to explore which organizations were

located in Flanders, and which organizations had handed in their annual report in Dutch. Below,

you’ll find a list of organizations that complied with the imposed conditions.

Table 1: List of judgement sample

Table 1 provides a list of my judgement sample. Fourteen organizations were selected as potential

interviewees. The lines of business are provided to give a perspective of their operations. I also made

a column to indicate whether the interviewees were members of the board or not. I included this

column because it had an important impact on my interview approach. The addresses of members of

the board are displayed in the annual reports. This allowed me to send them a postal letter to their

home address. The last column of the table indicates the approach I used to get into contact with the

people I wanted to interview. To respect the possibility that some interviewees would prefer to stay

anonymous, I replaced the organizations’ real name with letters ranging from A to N. Below, you’ll

find more information on the interviewees’ profile. It’s safe to say that this sample was not randomly

chosen. I’ve developed my sample in a way that it supported my theory building. In order to come up

with conclusions about the perception of compliance with current regulation in Belgian

Location Line of business Interviewee Member of BoD Interview approach

Company A Kortrijk Visualization Technology CEO No Postal letter

Company B Leuven Biopharmaceutical CEO Yes Postal letter

Company C Mechelen Biotechnology CEO Yes Postal letter

Company D Sint-Katelijne-Waver Fruit & Vegetables CEO Yes Postal letter

Company E Wetteren Digital photo CEO Yes Postal letter

Company F Gentbrugge Hydropneumatic components CEO Yes Postal letter

Company G Zaventem Network Service Provider CEO Yes Postal letter

Company H Lembeke Production of cookies CEO Yes Postal letter

Company I Aalst Non-residential development CEO Yes Postal letter / e-mail

Company J Aalst Private equity General manager No Postal letter / e-mail

Company K Melle Electricity & Gas CEO No Postal letter

Company L Waregem Healthcare CEO Yes Postal letter

Company M Huizingen ICT General manager No Postal letter

Company N Ardooie Industrial textile CEO Yes Postal letter

34

organizations, I had to make sure that the chosen sample matched my theory building (Eisenhardt,

1989).

5.5. Interviewee’s profile

In determining suitable respondents for my research, I had to make sure that the interviewees had

sufficient ‘authority’ regarding the risk reporting topic so that the interview could go as intended.

People in the organization that fulfill a significant leadership role, like CEOs, CFOs or even CROs, are

more likely to have a better understanding of risk management in their organization than an

employee with less organizational responsibilities. Finding people in the C-suite was my primary

objective in order to find suitable respondents for my research. Ultimately, I preferred to interview

CEOs since they are expected to have sufficient knowledge of the organization they are leading

(COSO, 2004; Epstein & Buhovac, 2006). These types of respondents allowed me to provide another

perspective of risk reporting to the BoD. Cammaert (2014) already investigated the risk management

role of the BoD in a Belgian context by interviewing members of the Board. By selecting members of

the C-suite, like for instance CEOs, as potential interviewees, I could get a clearer picture on how they

perceive the interaction with the BoD regarding the organization’s risk exposure.

5.6. Securing access to interviewees

Approaching potential interviewees was one of the biggest challenges of this master’s dissertation.

The websites of the selected organizations provided relevant contact details to approach CEOs or

other members of the management team. Some organizations even provided a telephone number of

the CEO and management team, but it seemed to me that contacting people in this way was quite

intrusive. It didn’t give the person time to think about my proposal to do an interview with them.

That’s why I’ve chosen to send letters by mail. The annual reports of the organizations in my sample

displayed the addresses of members of the Board. Most of the organizations in my sample have CEOs

that also fulfill a role within the Board which allowed me to directly send them a letter. I believed

that this approach made sure that they received my request in a direct and proper manner. There’s

always a possibility that an e-mail to the organizations’ headquarters remains unnoticed and that

was something I wanted to avoid. I really wanted to make sure that they at least read my proposal.

Two organizations even provided the e-mail of the CEO on their website. This gave me the

opportunity to directly send them an e-mail on top of a postal letter.

35

As I wanted to increase my response rate, I tried to maintain a professional attitude while

approaching potential respondents. According to Rowley (2012), I needed to keep the following in

mind while approaching potential interviewees:

I have to indicate who I am and why I’m conducting this research

Give respondents an indication of how much time the interview will consume

Assure them confidentiality in order to make them more at ease

Give my contact details while asking if they’re available over the next two weeks

In order to give my interviewees an indication of the duration of the interview, I first needed to pilot

test my interviewing guide. This was also performed in order to check whether the questions made

sense to the audience or not (Jacob & Furgerson, 2012). I chose a family member who gained a great

deal of understanding regarding finance and risk throughout his career. His leadership role and his

close collaboration with the CEO of the organization he’s working for made him a suitable candidate

for pilot testing the interviewing guide. Although he’s working in a Belgian subsidiary of a UK publicly

listed organization, it’s safe to say that regulation will have a similar impact on the organization’s risk

information flow (Porbunderwalla, 2007). Choosing a family member for a pilot test may lead to

biased conclusions, but his desire for me to graduate in business economics goes hand in hand with

his scrutiny regarding my master’s dissertation.

I thought that it was more appropriate to do the interviews in Dutch since I conducted this research

in a Belgian context. This allowed the interviewee to properly communicate his or her motivations in

a more relaxed manner. The removal of the language barrier made sure that the interviewer and the

interviewee could communicate in their mother tongue. Jacob and Furgerson (2012) also

recommended to use some type of recording device because memorizing all the information

acquired during the interview would have been impossible. A recording device allowed me to

maintain eye-contact during the interview. It further gave me the opportunity to actually have a

conversation with the interviewees without being obliged to take notes during the interview.

36

6. Analysis

Eisenhardt (1989) and Yin (1981) made notice of the potential stumbling blocks that could arise while

analyzing the data from conducted interviews. Yin (1981) found that analysts often spend too much

time on writing down all their findings gathered from case studies or interviews. Conducting

interviews often produce a lot of data that has to be analyzed in a proper manner. This overload of

data has to be aggregated in a way that allows the researcher to cope with his or her research

questions.

Miles & Huberman (1984) gave some more insights into the scientific analysis of qualitative data.

Qualitative analysis consists of 3 scientifically important elements that have to be considered: data

reduction, data display, and drawing up conclusions (Miles & Huberman, 1984).

It’s quite cumbersome to constantly rewind or fast forward the recorded conversation, so that’s why

I’d chosen to write down all the interviews. Since I can type blindly, it was quite easy to make a

transcript of the recorded interviews. Afterwards, I checked for spelling errors. The interviews were

written down in the best possible way, without manipulation of some sentences. I tried to cope with

this overload of words by systematically organizing this data in a manner that allowed me to draw up

conclusions. My research covered several topics so, according to Miles & Huberman (1984), it was

more suitable to use some form of display that briefly summarized all my findings.

Displays should help to systematically present my findings to an interested audience. Miles &

Huberman (1984) noted that since there’s a lack of formalized data analysis set-ups for conducting

qualitative analysis, it should be the analyst’s task to generate a display that effectively promotes his

or her research. Like Cammaert (2014), I decided to make a case/topic matrix because this allowed

me to distill important fragments from the interviews per topic. I chose to quote my respondents

because it provided me a summary of their reflections in one or more sentences. Moreover, I used

some bullet points to briefly summarize my findings per topic. This kind of matrix beneficially

impacted my within-site analysis and my cross-site analysis (Miles & Huberman, 1984). Within-site

analysis refers to “methods for drawing and verifying conclusions about a single site” (p. 79) or

organization in this case (Miles & Huberman, 1984, pg.79).

Eventually, this display was set up in a manner that allowed me to do a within—and a cross-case

analysis (Miles & Huberman, 1984). This matrix also gave me the opportunity to do a cross-site

analysis since I could oversee the important findings per case. Since I conducted interviews with CEOs

or other people of different organizations, this graphical display was an efficient tool for me to

compare across industries.

37

Table 2: Case/Topic-matrix

Table 2 is an example of the matrix that I used to categorize and summarize my findings according to

each topic and organization. The columns represent the organizations of which I managed to

interview the CEO or another member of senior management. The rows represent the different

topics that I had selected in order to complement my research. Ultimately, this matrix was

established in a manner that supported my research questions, which is an important condition that

needs to be fulfilled in order to build an appropriate display (Miles & Huberman, 1984).

6.1. Within-site analyses

This type of analysis allowed me to make conclusions per organization. My conclusions were based

on the established case/topic matrix (see Attachment 10) and related to the topics displayed in this

matrix.

Table 3: List of interviewed people and the sector of the organizations

Table 3 represents the organizations that positively responded to my proposal. I managed to do four

interviews with CEOs of three publicly listed organizations and one private company. CEOs are very

busy people so I felt lucky to get in contact with four of them. Although my initial plan was to

interview CEOs or other members of the C-suite, I was frequently redirected to other people in the

organization. My initial targets were Belgian publicly listed organizations, but I thought it was also

very interesting to get in contact with a private company and a European listed organization to see if

there were any material differences relating to risk management and reporting. The organizations

were all active in different industries. Only two of the eight organizations gave me permission to use

CASE/TOPIC Company A Company B Company C Company D Company E Company …

Topic 1

Topic 2

Topic 3

Topic 4

Topic 5

Topic …

Interviewee Sector

Eandis CEO Electricity & Gas

Realdolmen Secretary-general ICT

Company A General manager Private equity

Company B CEO Payment industry

Company C CEO Fruit & Vegetables

Company D CEO Photo business

Company E Compliance officer Financial services

Company F Internal auditor Visualization Technology

38

their name in my master’s dissertation. Out of respect for my respondents, I marked the

organizations that wanted to stay anonymous with a letter.

Eandis

Company background:

Eandis offers network solutions for electricity, natural gas, heating, and public lighting in over 229

municipalities in Flanders, Belgium. More than 4000 employees are active in this organization to

make sure that natural gas and electricity are supplied to people’s home or workplace via a

distribution system. This organization isn’t publicly listed, but regardless of its listing, I thought it was

very interesting to interview such an important player in the Belgian energy market. Organizations in

the energy industry are heavily regulated (CREG, 2017) and this was repeatedly acknowledged by the

CEO of this company: “we have a lot of external stakeholders that keep a watchful eye on us”, so my

research wouldn’t be compromised by integrating this non-public company. The CEO explained me

everything concerning risk management and reporting and I can’t thank him enough for giving me an

extensive explanation about Eandis’ risk management framework. A folder of their ‘integrated risk

management framework’ was provided, and I got approval to use some figures in my master’s

dissertation.

Formalized ERM framework & Establishment of risk appetite/tolerance:

Eandis defines risk as “a vulnerable state or an unprecedented future happening that could impact

the operations and the achievement of corporate objectives”. The company has adopted an

integrated risk management process to find a perfect balance between corporate objectives and the

risks Eandis faces in realizing those corporate objectives.

39

Figure 5. Recurrent methodology for managing risks in Eandis (Eandis, s.d.)

Since 2014 the company uses a “recurrent methodology” to manage risks (as is displayed in figure 5):

it consists of five steps. First of all, a framework has to be set up. Secondly, risks must be identified.

Thirdly, identified risks must be analyzed and evaluated. Fourthly, implementation and optimization

of control mechanisms. The last step is monitoring and reporting. Step 2-5 is repeated on an annual

basis. This integrated risk management framework is set up in a more pro-active way and clearly

aligned with the strategy of the organization. They have strategic risks, governance risks, tactical risks

and process risks so everyone in the organization has knowledge about the risks in the organization.

KPIs are linked to their related risks, on each organizational level. This clearly indicates that a risk

philosophy has been installed in this organization. The alignment of risks and strategy is also

symbolized by the adoption of one common language to manage risks: the Eandis Risk Identification

Cart (ERIC). Risk management is firmly embedded in this organization. The creation of a heat map

helps the organization to answer the following question: “is it a big risk or not?”.

40

Risk management approach:

The CEO clearly indicated that everyone in the organization bears some risk responsibility. “Company

risks are being managed by the process owners”. Several domains exist in the organization: HR,

finance, and so on. Eandis has established three control mechanisms to cope with organizational risk.

“Everyone in the organizations bears responsibility regarding the achievement of objectives and their

related risks”. Senior business process owners are even expected to alert the management

committee when risks evolve. It sometimes happens that there’s a misalignment of interpretations

relating to risks: the HR manager could say that the process he or she is responsible for is free from

risks, while the finance manager could complain about the delay in hiring some new accountants.

When such matters occur, then the management committee tries to get to a consensus, where a

globally accepted vision is the ultimate purpose of those discussions.

“We start by looking at our strategic objectives…then we translate those objectives into strategic

actions that are linked to strategic risks…the same thing happens for tactical and operational

objectives”. “We let it seep through the entire organization”. The CEO also indicated that new hires of

the organization are obliged to indicate the main risk areas of Eandis. This resembles the attention

that has been given to risk and risk management. It feels like they are being heard and it incentivizes

them to think about risks that could occur while executing their job.

Internal risk reporting:

Business owners who are responsible for their line of business are the first line of defense in this

organization. The management committee of Eandis is being responsible for the second line of

defense, they have ultimate responsibility. The management committee must create an overview of

all operational risks in order to come up with some sort of list that represents the focal points or

matters where “things could go wrong”. The last and third line of defense are the ten internal

auditors in this organization. It’s sometimes the case that there’s a disagreement between these

three lines of defense. Arranging a mutual agreement is very important to create an aligned vision

around risks. Eandis is process-oriented so it has a “senior business process analyst” per process who

is required to improve his or her process on a continuous basis. Risks that could impact their process

must be signaled in a timely manner. Consequently, senior management must evaluate the findings

of the business process analysts in preparation of the management committee. On the basis of senior

management’s findings, the management committee determines the strategical actions that have to

be taken to cope with those identified risks.

The management committee has also committed itself to adhere to the recommendations of the

audit committee: based on a rating given by the AC, they are expected to set up an action plan. This

important interaction is also reflected in the payment structure of the management committee. Each

41

member of the management committee is being payed the same amount, based on the achievement

of global objectives including the set-up of appropriate action plans concerning the AC’s

recommendations.

The use of risk reporting tools:

Eandis has a tool that supports the identification of all risks: ERIC. Based on the use of colors, Eandis

can immediately see which risks require attention. Based on a heat map with six different categories

on the horizontal and vertical axis, they can determine the impact and probability of occurrence of

those identified risks. On top of that, Eandis has a specific system, QPR, that allows to “monitor and

log” detected risks. This system is the center of communication between the AC and the

management committee.

Function of risk reporting to the BoD:

The current status of the KPIs, the action plans and their related risks are all being reported by the

management committee. The risks that influence the organization’s KPIs are being reported to the

BoD four times a year. The CEO stated that this kind of reporting was often too detailed in the eyes of

the BoD, they are feeling less committed to such matters. Nonetheless the strategic risk reporting

process of Eandis, the CEO indicated that compliancy in the energy sector can be very demanding

and that his company devotes a lot of attention to it.

Opportunities for improvement regarding internal risk reporting:

“We have an extensive and very profound risk management framework…maybe it goes too much in

detail…I dream of an organization like Toyota with not more than four KPIs”. He indicated that KPIs in

Eandis aren’t always tangible, which makes it sometimes harder to find suitable performance

indicators for company risks.

Realdolmen

Company background:

Realdolmen is a Belgian publicly listed organization, with its headquarters located in Huizingen,

Belgium. This company focuses on delivering results to their customers by the use of technology.

With more than 1.250 employees, they provide ICT-services for more than 1.000 customers located

in the Benelux. Their mission is to make IT infrastructure, software and applications work for their

customers’ business. I thank Thierry de Vries, secretary-general of Realdolmen, for his time and for

the extensive input he has given me concerning the risk management in his organization.

42


Realdolmen has multiple processes in place to manage risks. There’s a process in place that identifies

the most significant risks in the different business processes. Heat maps and other graphical tools

allow this organization to assess and prioritize risks. A lot of organizational functions are involved in

this risk management process: internal audit, senior management, project management officers,

external audit, finance manager, and so on. The interviewee also indicated that a solid process is in

place to make sure that the accuracy of financial reports isn’t compromised. The risk management

process is rolled out throughout the entire organization by the use of “four lines of defense”.

“I’ve established a risk appetite model a few years ago…the use of colors (green-orange-red) are

really helpful”. The interviewee indicated that a classification of risks according to urgency was

established by a heat map with different colors. Those colors are indicators for employees to see

what is acceptable or not. He gave me an example: it’s frequently the case that customers from the

public sector require a payment period of 60 days, while Realdolmen requires payment within 30

days. That misalignment can be tolerated: “Our risk appetite permits us to allow such things”. That

risk appetite model is put in practice by a specific program on the organization’s portal: “Geronimo”.

The interviewee indicated that the program on the portal wasn’t sufficient. Moreover, he stated that

the use of training and personal coaching is also very relevant in putting the risk appetite model into

practice.


When I asked the interviewee to indicate who the central risk function in the organization was, he

said: “We all have the same job…we are all risk managers in our jobs”. A risk-adjusted mindset is very

important in this organization. Nonetheless, he also indicated that most of the risks are being

managed by senior management and the internal auditor.

The organization has installed “four lines of defense” to manage risks in an appropriate way. The AC,

‘Group Accounting’, CFO, Project Management Office, ‘Group Reporting’, and the compliance

department are organizational functions in place to address risk-related matters. The compliance

department helps Realdolmen to align its policies with a more risk aware culture. People from ‘legal’

help business owners to safeguard their ‘risk ratio’. This ratio is some sort of communication tool

between legal officers and business owners. Keeping a good balance between positive and negative

risks is an important element of communication between the two. Once a month, a list with the most

urgent matters is given to the management as a “preventive way of action”.

The distribution of the risk appetite model in the organization has helped to install a risk aware

culture. Through the program Geronimo, everyone in the organization knows what is acceptable or

43

not relating to daily operations. Although “a big part of the organization’s risk is managed by senior

management and the internal auditor”, it’s clear that risk is embedded in everyone’s job.


This organization has a “risk audit process” that is being done on an annual basis by sometimes

different people. This exercise or process is being held to identify the most significant risks relating to

the business processes in the organization. The person responsible for the exercise that year

interacts with the business owners to communicate his or her findings. This clear communication

reflects the importance that has been given to keep risk high on the agenda. Project Management

Office (PMO) is one important player in the organization’s “four lines of defense”. Together with the

‘Group Reporting’ they are required to follow-up ‘red areas’ in the outstanding projects. The

organization has a list with priorities concerning the projects, this is called “intensive care”. The

interviewee stressed the importance of human interaction as a contributor to successful

communication between these lines of defense: “you have a lot of bridges between these different

lines of defense”. Management is ultimately responsible for reporting to the BoD.


The use of tools is deemed very helpful for the organization’s reporting. “Our intensive care is

graphically displayed via a bubble chart”. The heat map is also a very valuable tool in identifying risk

priorities. Other matters that are considered as ‘tools’ in the eyes of the interviewee are: a good

collaboration between internal and external audit, and interviews. Ultimately, the interviewee

mentioned that tools are only useful for risk management when used with the right mentality.


The interviewee stressed the importance of compliance: it should actively help the organization in

building a more future-oriented process. He even admitted that without a compliance approach,

everything would be more reported at an ‘ad hoc basis’, instead of a more “high-level” reporting

process. He also briefly explained the difference between SOX and European regulation: SOX is more

strict and is written in an “ex post point of view”, while European regulation is softer, leaving room

for interpretations and a thorough thinking-process. This softer approach allowed Realdolmen to

actively think about the best approach to imposed regulations.

“Compliance is not the cornerstone of reporting to the board”. The most important risks are

estimated in function of the strategy, meaning that “functional” risks get more attention. Risk is

embedded in every meeting with the board, it doesn’t have a separate contribution, it is just present

during those meetings because members of the board should have proper insights into the current

44

status of organizational objectives and its correlated risks. “In any case, there has been talked about

risks…they ask a lot of ‘what-if’ questions”. Risk reporting is only a separate exercise for the AC

(during evaluation of reliability of financial statements).


“The disadvantage of tools is that they ought to be used with intelligence”. “A tool doesn’t replace

mentality”. The risk culture of an organization is very important for setting the tone for proper use of

tools.

Company A

Company background:

This investment company is listed on Euronext Brussels stock exchange. It’s main specialty is

acquiring and managing a diversified portfolio of investments, and especially private equity

investments. The investment company prefers later-stage investments where financial resources are

delegated to non-public organizations in order to let them grow and develop their products or

services with the ultimate aim of achieving a successful return on investment when exiting. Giving

financial resources to their investment portfolio organizations is one thing. The company is also very

active in managing its portfolio: advice and knowledge is provided to make sure that financial

resources are used in the best way possible. This publicly traded investment company has

approximately 1.370.000 shares outstanding. The interview was conducted with the general manager

of this organization.


This publicly listed investment company doesn’t have a formalized ERM framework, but this is mainly

the consequence of their line of business. Each investment carries different risks and as I quote the

interviewee: “Each investment has its own merits”. As this organization holds a diversified portfolio

of different investments, it’s quite hard to adhere to a pre-defined risk appetite statement because

each investment carries a different weight in the organization. The interviewee indicated that the

organizations gets a hold of risk by diversifying their portfolio. Investing in a more mature

organization consequently has less risk than investing in start-ups. A trade-off is made between risk

and reward in light of the organization’s current stance on risk-taking. Momentarily, they’re focusing

on sustaining their current portfolio by putting a stop to other investments. This indicates that their

main focus is currently on stabilizing the portfolio.

The lack of a formalized ERM process and a formally distributed risk appetite is somewhat surprising,

but given the organization’s circumstances it also indicates that risks are always different relating to

the investment.

45


The organization doesn’t have a central risk officer. Instead, everyone who has decision-rights

relating to particular investments can carry out their responsibilities within certain boundaries. The

rise of technology helps the functions that are held responsible for a particular investment to verify

or ‘double-check’ decisions, that could have a significant impact on the organization’s intrinsic value,

with its immediate peers that share knowledge of that investment. This interaction between these

different functions gives indications about the organization’s perception of risk. An open debate

about risks of certain projects with immediate peers shows a strong sense of risk awareness across

the entire organization.

First of all, the board must act as a controlling unit overseeing the organization’s operations. The

interviewee also mentioned that the possibility exists that a director from the board could decide to

co-manage a certain investment. Other parties that carry some kind of risk responsibility are the

external accountants, the external auditor, and the banking commission.

IFRS-specialists are responsible for making sure that the distributed financial statements adhere to

imposed requirements. The external auditor acts in the interest of external stakeholders, but has

also a more pro-active role regarding the exposure of risks. The appointed external auditor can give

advice to the organization regarding current procedures, but can also give some future-oriented

advice. The external auditor is also found to be vigilant regarding the exposure of fraudulent risks. In

this case, the interviewee mentioned that detecting fraud risks is very cumbersome for the

organization. Someone held responsible for a particular investment has always the urge to persuade

the board to accept his or her proposal, because there’s a possibility that he or she will make a

significant profit and thus act in his or her personal interest. So, the appointment of an external

auditor signals to the outside that due diligence is performed and recommendations are given.

The interviewee mentioned that those different people with sufficient knowledge about the firm

could interact with each other through the use of technology. This “checks and balances” procedure

indicates that the organization takes sufficient time to address issues that could have a long-term

impact on the “risk-financial” status of the organization.


Internal risk reporting in the organization is mainly centered around the organization’s biggest risk

factors. In its portfolio, the organization has more mature organizations, but it also has more risky

ventures like investments in start-ups. The interviewee indicated that risk reporting is a continuous

process used for making sure that changes in investments are highlighted in a timely manner.

46


When I asked the interviewee about the use of tools, he immediately said that this wasn’t the case in

his organization. Moreover, he stated that “risk reporting is integrated with the normal reporting”,

indicating that risks are automatically included during conversations about the organization’s

performance. He also mentioned that “one of the most important graphs is risk-reward”, indicating

that this important trade-off is of great importance for reporting on risks.

“Worst-case scenarios” are frequently used in the organization to simulate situations that could have

an adverse impact on the performance of the organization.


The impact of regulatory requirements on the risk reporting process is great in this organization. The

interviewee frequently mentioned the burden of compliance with several examples.

The payment of external IFRS-specialists is mainly to comply with IFRS requirements. He mentioned

that these requirements are the main causes of a decreasing interaction with their investors. The

description of an impairment test and the interpretation of revenue recognition are things that can

cause confusion among stakeholders. Consequently, it’s often the case that these stakeholders stop

asking questions because they are feeling alienated with these technical concepts. They don’t want

to make a fool out of themselves by asking ‘the wrong’ questions.

The organization is also currently occupied with putting women in the board of directors. The

interviewee mentioned that this is also a requirement imposed by regulations. According to him, this

is a “non-issue” because this shouldn’t have an impact on the organization’s operations or

performance.

Being compliant is something that has to be done in order to avoid an explanation on why they

deviate from requirements. He made an example: an organization can write 15 to 20 pages about

how risk is managed but if there’s one paragraph that shows deviation, then there’s a sudden

overload of emphasis placed on that one paragraph.

Still, the investments in their portfolio are their main priority. “The effect it will have on the

organization’s intrinsic value plays an important role”, the interviewee said. When I asked him if the

organization also took a closer look at the portfolio as a whole, he mentioned that this is also very

important, since the organization tries to maintain its current portfolio without expanding its

investment base. Investments in start-ups or new ventures require greater attention during board

meetings, but an overall assessment or evaluation is made to get a clearer perspective on the

organization’s risk exposure. This is a continuous process in the organization.

47


The interviewee showed some concern relating to the independence of external auditors. Nowadays,

organizations need to pay their external auditor with a fee. Consequently, if that external auditor

isn’t flexible in his task by being too strict, the organization will probably not extend his mandate.

The interviewee recommended that those external auditors were best selected through a governing

body. It would be best, according to him, to pay a fixed amount, in accordance with the nature and

complexity of the organization, to that governing body. That governing body should then eventually

be responsible for paying out those external auditors.

Company B

Company background:

This Belgian publicly listed organization positions itself as a leading network service provider and is

also very active in the area of electronic payment solutions. This organization specializes in numerous

activities relating to payment services: e-commerce, developing a payment transaction platform, and

everything concerning mobile payment terminals. This organization offers personalized and evolving

payment solutions to provide customers in every market segment with the best cost-efficient

payment solution. It has formed various partnerships with global players in the value chain of

electronic payment, and is considered a fast-growing profitable company.

The interview was conducted with the CEO of the organization.


The interviewee mentioned that risk is a broad concept, and especially in the payment industry. Risks

that are encountered are quite diverse in this industry: security risks, risks in the field of machine

failure, risks in the field of network failure, fraud risks, and risks related to personnel. An inventory of

all those risks and an approval of those risks by external parties is very important in our business. The

interviewee also indicated that a permanent monitoring is present to check and assess if certain

things go south. “Certifications are very important in our line of business…Without certifications, you

can’t do business!” When I asked the interviewee if the organization had installed some kind of risk

philosophy that clearly defines the risk appetite/tolerances, he responded in a clear way by saying

that a risk philosophy is surely present because of its alignment with its industry.


The central risk officer is the COO or the Chief Operating Officer of the organization. This person is

ultimately responsible for everything that has to do with certifications. Since the interviewee

mentioned multiple times that certifications are of great importance, the COO’s job is to make sure

that the business runs as intended and is in alignment with the many imposed regulatory

48

requirements. “You can’t work with terminals unless they are certified”.

The COO works in close collaboration with external consultants that are expected to do penetration

tests on a continuous basis. A penetration test is a test where those consultants try to breach the

organization’s network or servers through hacking. It happens on a continuous basis because security

is really important in the organization. Those external consultants are ultimately required to detect

any weak links in the security network of the enterprise.

The head accountant can’t even perform a banking transaction without the approval of people on

different organizational levels. The interviewee indicated that ultimately three people are being held

accountable for the organizational risks: the CEO, COO, and CFO. Those organizational functions must

sign or give approval for transactions that could occur during operations, and are also responsible for

making reports to the BoD. Of course, the interviewee’s notions resemble a clear centralized

approach that is adopted to cope with risk-related matters throughout the organization. The

interviewee indicated that most of his employees, and certainly employees in IT, surf on ‘dark’

websites in their leisure time. People with bad intentions are certainly present on those websites and

fora, so that’s why the organization adopted a centralized approach: employees could be lured by

shady characters to expose vital information of the organization, and that is something that surely

must be avoided. That’s why the interviewee clearly stated that a top-to-down approach is evident to

ensure independency, and to promote efficiency.


The appointed external consultants interact on an ongoing basis with the management team, and

especially the COO, to report any breaches that have occurred during their assessment. The

interviewee also clearly indicated that you have to be very careful with information flow related to

risk. Some information is strictly confidential and only known by a certain number of people in the

organization. There’s always someone on a higher hierarchical level that must approve transactions,

indicating that the risk information flow is rather restricted in this organization. The CEO rather

indicated that the information flow with external bodies, like ‘penetration testers’, is more

important. The organization receives a monthly or quarterly report, and they are obliged to respond

within a reasonable time frame to any recommendations formulated by the external consultants. It’s

safe to say that risk communication is within the management team’s responsibility. On top of that,

they have a meeting every three months with the board of directors to evaluate and redefine the

internal risks.

49


When I asked the interviewee about the use of tools to report on risk-related matters, he indicated

that the audit committee and the auditor are ‘tools’ that are in place to monitor security mechanisms

in place to detect fraud. The auditor is charged with the responsibility to do a 6-monthly or annual

assessment of all the internal procedures adopted by the organization. If the auditor detects some

inconsistencies in those procedures, then it’s the auditor’s responsibility to report his findings

directly to the audit committee. The organization negotiates contracts under SLAs. Those service

level agreements are integrated in the contracts to promote trust in relationships with its suppliers.

The main objective of SLAs is to make sure that suppliers are being held responsible for their actions

and to ensure a good working relationship. The penetration tests are also a valuable tool in detecting

security risks. Disaster-recovery plans are important to deal with unexpected events that could occur.

The output of those plans is very dependable on the capacity of the organization. There’s an obvious

peek of payment transactions during Christmas holidays, so it is important to have enough capacity

to avoid breakdowns or shutdowns during those extremely busy times.


The CEO made it perfectly clear that his organization is located in a “hyper-regulated environment”.

He also showed some pride by stating that his organization is momentarily the only one in Europe

that is fully compliant with official PCI security standards. He stated that his organization doesn’t wait

until due date to be compliant with regulation, indicating that compliance is of utmost importance.

The organization is required to be transparent about their figures to ensure that stakeholders have

sufficient information of the organization’s operations. “For a small business, we have to write more

than 180 pages in our annual report”. In spite of the great amount of regulatory requirements, the

interviewee made it clear that “you mustn’t fight it”. The need for certifications in this business is of

great importance because “if you have none, you can’t do business”. The organization is obliged to

respond in an appropriate amount of time to recommendations of its external consultants. If

external consultants manage to get a hold of important information during their continuous

assessment, then this must be put on the agenda of board meetings.

On top of that, the organization is currently having a conflict with UNIZO because it uses long-term

instead of short-term contracts. Although perfectly legal, such matters are of course reported during

a board meeting. Matters that carry too much detail, like a firewall with an ‘out-dated’ version that

has to be replaced by another one, are not reported because it’s too specific.

“Half of the board meetings have something to do with risk”. During conversations about figures and

revenue, its aligned risks are also integrated to make sure that risk is inherently present during board

50

meetings. They even have someone in the board that has an extensive knowledge of commercial law

so that legal advice can be given around capital increases and payment of dividends. The

organization has a lot of defense mechanisms to avoid mistakes: “As a publicly listed organization,

you can’t afford to make mistakes, otherwise you have to publish a press release”.

It seems that this organization has set out a dual function of risk reporting to the board of directors.

First of all, it’s integrated within performance: risks are always considered while discussing the

evolution of revenue or key figures in the annual reports. Secondly, compliance with imposed

regulatory requirements has also a strong presence in this particular organization.


Due to the CEO’s education (he’s an engineer), more emphasis is placed on technological risks. The

CEO himself indicated that another CEO could change the spotlight to other risks relating to the

business, but this is of course very dependable on the policy that is set up by the CEO and his

management team.

If a business is heavily reliant on its suppliers, it’s also self-evident that a good communication with

them is of vital importance. Having the ability to respond timely and adequately to unexpected

events is also deemed very important by the interviewee, especially in his line of business.

Company C

Company background:

This organization is listed on Euronext Brussels and is a global market leader in fruits and vegetables,

flowers and plants, and growing media. This organization has more than 8000 employees operating

in about 25 countries worldwide. This company has a solid customer base: their customers belong to

the Top EU-retailers, which allows the group to achieve an annual turnover of around 4 billion euros.

This group belongs to the top 3 of fruit & vegetables on a global scale.

I managed to do an interview with the CEO of the company.


The CEO of this organization indicated that an analysis of risk profiles is being conducted on a regular

basis. First of all, risks are identified. Secondly, the organization checks if there are options to manage

those identified risks. Still, the possibility exists that, although certain risks are identified, there aren’t

any options to respond to those certain risks. Since her organization is located in the fruit &

vegetables sector, it’s quite evident that bad summers are detrimental to the organization’s

operations. The impact of volatile exchange rates on financial results also has a considerable effect

on how the organization should manage those risks. “Being well-organized” is one thing that could

beneficially minimize those risks. She clearly indicated that there are two questions that needed to

51

be answered in order to come up with risk priorities: is it something that can be controlled and how

will it impact the business. “Risks that could severely impact our financial results, those risks need to

be prioritized”. She also stated that risk analysis is an “ongoing process”, meaning that it should

happen on a continuous basis.

“You always have to consider risks while executing activities”. When I asked the CEO if she had

installed some sort of risk philosophy, she immediately replied: “No, but we do check if risks impact

our ‘bottom-line’”. Safeguarding the REBITDA and assessing how identified risks will potentially

impact the bottom-line of the operations, are considered “key drivers” of the organization.


The CFO and the corporate finance director are the watchdogs of the organization’s processes. This

organization operates in a whole set of countries, so it has a lot of divisions scattered over the world.

Once processes and priorities are defined by the CFO and corporate finance director, then those

matters are rolled out throughout the entire organization. The CEO also indicated that the input of

those divisions is very important for the financial team during the establishment of processes and

setting of priorities. Policies and code of conduct must be followed by the divisions at all times to

control the daily operations and risk. With respect to ‘bigger risks’, divisions are expected to establish

an appropriate plan that first needs to be approved by the financial team. After a ‘green light’ has

been given by the CFO and the corporate finance director, divisions are expected to execute their

plans.

“In a sense, it’s a common exercise for the organization as a whole, but it’s safe to say that the

coordination and monitoring happens by the financial team”. While I asked her to give me some

suggestions for improvement regarding internal risk reporting, she stated that “currently, it’s more a

separate exercise executed by senior management”.


The senior management team is responsible for prioritizing risks and for setting up appropriate

action plans to deal with those prioritized risks. Consequently, they are expected to report their

biggest ‘risk factors’ on a regular basis to the audit committee. Moreover, the audit committee has

higher decision-power than the management team relating to the proposed prioritization of risks by

the senior management team. The chairman of the audit committee is ultimately responsible for

reporting to the board of directors. The CEO also stressed the importance of internal audit in her

organization. Internal auditors are not only useful for evaluating the processes adopted by the

organization, but also for helping management with risks that they aren’t sure of. She indicated that

the role of internal audit knew a strong evolution in their organization.

52

“Risk-related matters come to light in alignment with performance reporting”. The communication

between the divisions and the central risk function is centered around finding sufficient financial

resources to successfully execute “action plans”.


The CEO indicated that the organization didn’t make use of tools to report on risk-related matters.

She made it clear that there wasn’t any specific reporting form for this type of risk communication.

It’s integrated within the normal reporting.


When I asked the interviewee about the impact of compliance, she immediately made it clear that

“it’s a minimum to be compliant”. Compliance with regulation is critical, but is not a top priority since

it’s considered as “basic minimum to be compliant”. The focus of risk reporting to the board is to

provide them with the main organization’s risk areas, since it’s very critical that they receive this

information to perform their duties (“including risk management”) well. On top of that, the CEO of

this organization indicated another contribution of risk reporting to the board: “it helps to get more

pro-active insights”, and it should be able to support a more performant organization. It serves the

purpose to avoid harsh questions like: “If I just had done that…then”. Moreover, she stated that “it’s

more reported on a project basis, it’s not that we have a separate scorecard”.


The interviewee mentioned the possibility that a lack of attention could occur relating to internal risk

reporting. Setting up a risk management process demands a lot of effort and time, and “the

possibility exists that it is being postponed”. According to her, it remains really important to keep it

on the agenda. “We should make it a more structural exercise and integrate it with several

discussions, like budget meetings and business reviews”.

Company D

Company background:

The CEO, who I interviewed, made it clear that he would rather stay anonymous so the following

description will be short and to the point. This Belgian publicly listed organization is an important

player in personalized photo products in Europe. This organization operates in more than 10

countries in Europe and focuses not only on B2C, but also on B2B. Providing affordable high-quality

photo products to its customer base is their main business. The interviewee indicated the rapidly

changing environment where the organization operates in: the rise of e-commerce and other

developments demand a lot of flexibility.

53


When I asked the CEO of this organization if he had implemented a formalized process to manage

risks, he immediately started talking about the relevance of the audit committee: the organization

has processes to identify risks in the context of the audit committee. He also stated that the

organization has appointed an internal auditor who needs to report to the audit committee.

When I asked the interviewee about the installment of a risk philosophy in line with the achievement

of strategic objectives, he replied that the organization didn’t look at things that way. Instead, they

use a “bottom-up approach” where all the departments in the organization are obliged to perform a

risk-analysis of their daily operations. The main focus of this approach is to achieve some sort of risk

ranking: probability of occurrence and its potential impact are multiplied in order to gain some

insights into the prioritization of exposed risks. This “exercise” is being executed every two years.


The internal auditor holds the central risk function in this organization. Managing risks, quality and

human resources are all responsibilities delegated to the team managers: “It’s all integral in their

job”. Newly introduced projects are taken on by a team, and “the element of risk” is certainly

integrated during team discussions. “Our organization doesn’t have a lot of ‘layers’”. He even

indicated that, since they have a small number of employees (around 250), the lack of structure isn’t

a problem because most of his employees see each other on a regular basis during coffee breaks.

When I probed the interviewee to tell me more about the organizational approach to cope with risks,

he said that “there’s a mix”. A mixture is adopted to deal with the different risks: safety and IT risks

are being tackled in a more centralized way. “People try to hack us on a weekly basis, if we don’t do

this in a centralized way, then eventually some breaches will occur”. Financial risks are being

managed in a decentralized way.

Ultimately, the CEO stated the following: “We are organized in a compact manner and because of

this we use, concerning risks, a more central approach”. The turbulence of the environment the

organization is located in plays an important role during this trade-off: “Since we have to be very

flexible, you may be inclined to say that we should manage it in a more decentralized way...but since

we have to act fast in some circumstances, I think that it’s better to control it in a more centralized

way”. He also indicated that bigger organizations, with less turbulence, could be managed in a more

decentralized way concerning risks. “The context variables where the organization operates in have

an important influence on how risks are being managed”. Moreover, he stated the following:

“central-decentral isn’t a black-and-white picture”, indicating the relevance of contextual factors and

the dependency of those different approaches on the specific identified risks.

54


During the launch of new projects, a team is supposed to include risk elements in its team

discussions. The internal auditor is supposed to work in team with team managers to eventually

report her findings to the audit committee. It’s important that the internal auditor makes sure that

processes are evaluated on a continuous basis. Ultimately the audit committee reports to the board

of directors. Sometimes, the CFO participates in board meetings to shed some light on the presence

of “fraud risks” that could occur during the purchase of e.g. a new payment system.

Internal risk reporting isn’t something that happens on an ‘ad hoc’ basis, moreover it’s included in

team discussions and is an integral contributor to the continuity of the organization.


The organization doesn’t use tools to report on risk-related matters, but they do make an overview

of all risk exposures using an ‘Excel’ sheet. That ‘Excel’ sheet serves the purpose to indicate

probability of occurrence and the potential impact of identified risks.


Compliancy with regulatory requirements is an element that is certainly present during board

meetings. The introduction of the ‘GDPR code’ will certainly have an impact on the analyses of cyber-

security: those analyses will be performed in a more profound way.

Risks that could have an impact on the financial results are prioritized during board meetings. The

risks that could impact the continuity and financial aspects of the organization are being put on the

agenda. Risk reporting to the BoD is integrated into ‘the bigger picture’: “it isn’t a specific

contribution and it isn’t considered as a burden”. The CEO indicated the importance of looking ahead,

instead of focusing on what is happening today. This indicates that the organization perceives risk

reporting as a contributor to look at the continuity of the organization in a more pro-active way. “All

the important aspects are taken into consideration”.


“We try to do better, so there’s certainly space to grow”. Perfection isn’t possible and he relies on his

team to indicate areas where there’s still room for improvement.

Company E

Company background:

This is the only bank in my sample. The Belgian bank is a subsidiary of a French organization listed on

Euronext Paris. This large bank in Belgium supports more than 3.5 million customers by providing

55

financial services. Private individuals, families, wealthy individuals, and entrepreneurs are all

customers of this bank that tries to provide tailor-made solutions to their customers’ needs.

The interviewee was a compliance officer who has a broad knowledge of risk management in the

bank. His connections with the management team made sure that he was the right individual to

interview. Moreover, he has more than 10 years of experience in this particular bank, and was thus

the right person to help me. On top of that, besides his main job at the bank, he also fills the seat of

chairman at a local hospital.


The interviewee said the following: “For a bank, risks are extremely important, more important than

in regular organizations”. This clearly states that the broad concept of risk is highly prioritized in this

bank. The bank is active in more than 75 countries and each country has a “head of territory” that

prioritizes risks nowadays. Ten years ago this wouldn’t have been the case. Back then those heads of

territory were required to make business proposals relating to their strategy and/or make business

acquisitions, but nowadays their prioritization has shifted to risk.

The bank has 5 broad categories of risk (asset-liability management, credit risks, compliance risks,

operational risks and legal risks) that are being managed and controlled in a separate way.

The organization clearly has a top-down process that defines what risks should or shouldn’t be taken.

“It’s very important for a bank to determine which risks will be taken or not”. The risk appetite is

defined at the top of the organization and ends with the people on the lowest organizational levels.

It’s clearly a strategic choice in this company: defining the risk appetite clearly segregates them from

other banks. The bank is quite ‘conservative’ when it comes to compliance risks: transactions with

countries like Iran are excluded from their operations because the possibility exists that they

implicitly could finance terrorist activities. This strategic choice is translated in operational guidelines:

on an operational level you can’t close a documentary credit with Iran because it’s declared in the

risk appetite.


The interviewee clearly indicated that there wasn’t a central risk officer as such. The risk concept is

embedded in the entire organization, from the smallest to the biggest entities. Each entity has its

own committee where its relevant risks are being handled. Identified minor risks stay in the entity

where they were located, but the bigger major risks are being “escalated” to a higher organizational

level. Eventually, at the end of the escalation exercise, it may be possible that major identified risks in

even the smallest entity are still on the agenda. This organizational structure allows for a distillation

of top risks that the organization is facing. Local management of particular entities is certainly

56

allowed to perform risk management, but the organization also finds it very important to install

controlling bodies. First of all, the entities themselves have to be responsible for their operations.

Secondly, legal and compliance departments must perform a second line of control. The last line of

control in the organization is the internal auditor. Moreover, the interviewee indicated that external

controlling bodies are also present: the ECB is, according to the interviewee, the biggest regulator.

Risk management is a company-wide process: minor risks stay in local management, but major risks

are more centralized.


As already mentioned above, the organization is centered around managing risks in a structured way.

The escalation of major risks makes sure that a distillation of top risks is eventually provided. Internal

risk reporting is installed in a very structured way: each entity (from small to big) must use the same

templates for presentations which ultimately should promote better comparisons among entities.

The conclusions of the risk exercise are reported by two people of the entity’s committee to the

higher entity’s committee. Those two people also have a seat on that higher echelon committee,

which ultimately should serve the purpose of communicating their findings in a proper way.


The organization uses a heat map to capture all risk areas of the entire group. The aggregation of all

organizational risks is displayed in one page. This gives rise to “grey areas”. The major disadvantage

of the consolidation of organizational risks is that it could ‘blur’ some ‘red areas’. An example: the

consolidation of risks impacting one risk category could eventually lead to a ‘yellow color’. A mix of

green, orange or red areas could eventually lead to a consolidated ‘yellow color’, which may neglect

important risk areas in the entire organization.


Compliance risks are considered very important in this organization. Ten years ago, this wasn’t the

case. The interviewee indicated that when a loss is seen in a particular area, then there’s always a

tendency to shift the focus of attention to that area. Nowadays, compliancy is one of the biggest

factors in the organization. “The facts tell you where you need to invest”.

“I can’t testify about the reporting process to the BoD, but I’m quite sure that risks are prioritized”.

Management committees first talk about risks and secondly, they talk about commercial strategies.

The interviewee also indicated that the board should be seen as the highest management team,

meaning that the board also focuses its attention on risks, like the management committees do. This

emphasizes the focus on risks in this organization.

Given the interviewee’s notions on how the emphasis has shifted to compliance risks and on how

57

organizations shift their emphasis as a consequence of losses in a particular area, this clearly

indicates that compliancy has become a major topic on the agenda. The financial crisis and the loss of

investor confidence may be factors that have changed the organization’s attention to this particular

type of risk.


The interviewee indicated that the increased attention regarding risks could lead to a bureaucracy.

People in this organization must constantly “tick-the-box” by making sure that their daily tasks are

performed accordingly. The administrative burden (e.g. “lists of risks that need to be executed in a

day”) in a bureaucracy could overshadow more future-oriented risk management. “For a moment,

you should set all those rules aside, and take a closer look at the risks that could impact the company

in the next five years”.

Company F

Company background:

This global technology leader is listed on Euronext Brussels. It’s active in more than 90 countries

worldwide with more than 3,500 employees. It’s mainly active in three sectors: entertainment,

enterprise and healthcare. This organization develops networked visualization solutions for all these

sectors. Their solutions provide their customers with a visually beautiful entertainment experience,

or hospitals with state-of-the-art visualization tools that could enhance the doctors’ jobs during e.g.

surgery. At the enterprise level, the organization tries to make sure that meeting or control rooms

have everything in place to visually represent the data that needs to be discussed.

I managed to get an interview with the internal auditor of this organization.


The yearly risk assessment and compliance-gap analysis is considered to be the most important

exercise of the year in terms of risk management. This company-wide exercise gathers information

from all the local entities and the Core Leadership Team (CLT) by interviews and surveys. The internal

auditor and the risk & compliance manager of the whole group are expected to create a list of major

risks the organization is facing. The CLT is ultimately responsible for giving scores to the identified

risks, with the purpose of creating a top 10 of organizational risks. At the end of this exercise, a

graphical display is made to describe the inherent and residual risk. Ultimately, the CLT is expected to

give appropriate responses to those top 10 risks.

When I asked the interviewee about the installment of a risk appetite, he stated the following:

“That’s my own sales-talk because it’s in my line of business”. On top of that, he admitted that risk

appetite wasn’t a cultural thing in the organization, but he did say that they are working on

58

integrating risk appetite into their organizational culture. The yearly compliance quiz also makes sure

that the organization is aware of risks lying around the corner.


The internal auditor and the risk & compliance officer are the developers of the yearly risk

assessment compliance-gap analysis. They are central in the organization when it comes to

consolidating the data gathered from interviews. The organization has more than 60 local entities

with their own risk & compliance manager and has three divisions around the globe, which are led by

a division president. There’s always feedback to those presidents. The output of the yearly exercise

determines to which aspects of the organization those presidents must pay attention: there’s always

feedback concerning the output of the yearly risk assessment exercise.

Although input is used from all local risk & compliance managers during the yearly exercise, it’s still

the CLT that determines the top 10 risks. It may be the case that a local entity or division faces some

risks, but that those risks aren’t in the top 10 of the organization. Feedback mechanisms to local risk

& compliance managers or division presidents are more of a ‘one-way-street’: they’re expected to

set up appropriate plans to cope with the top 10 organizational risks.

When I asked the internal auditor of this organization to indicate which approach the organization

had adopted, he replied: “I would say it’s a centralized structure…we want to give more ownership to

local risk & compliance managers, but there’s still a long way to go”. “Everyone is busy with risk and

compliance at their organizational level, but the reporting structure is still more centralized”. The

reporting structure is more centralized because the management team and all other important

personnel are located in one building in Belgium.


Risk reporting is centralized in this organization: the CLT, risk & compliance manager and the internal

auditor are all located in the same building. Input from local entities and division presidents is used

to come up with a distillation of significant organizational risks. The internal auditor and the risk &

compliance manager work together in close collaboration to consolidate the input of interviews with

members of the organization. The output of the yearly exercise goes to the AC. The AC requires that

the CLT must find appropriate action plans to cope with the organization’s top 10 risks. The general

counsel of this organization works in close collaboration with the AC. The general counsel is expected

to interact with the AC concerning the risk-related matters that are noticed by the risk & compliance

manager. The AC interacts with different kinds of people: depending on the problem, they have the

right to invite whoever they want to a meeting to discuss specific things, e.g. when the inventory is

too high, the AC will probably invite someone of the working capital team to elaborate on the

matters at hand. The organization has adopted some specific risk reporting channels to ameliorate

59

the top-down and bottom-up information flow. Moreover, those reporting channels aren’t that

formalized: everyone knows with whom they should talk and the internal auditor even indicated that

he’s working on his visibility in the company: “I try to make sure that everyone knows who I am so

that they can contact me when necessary”.


The organization uses graphical displays to indicate its inherent risk and residual risk, after the yearly

exercise has been executed. This qualitative graphical display is quantified in order to come up with

some scores relating to the impact and likelihood of identified risks. The organization identified 3

distinct categories relating to the impact a risk can have: impact on EBITDA, impact on reputation,

and impact on stakeholders.


“Compliance is something that really got attention in this organization”. This is mainly the

consequence of the appointment of the new CEO. The BoD has delegated the risk oversight

responsibility to the AC. The AC is the highest organizational body when it comes to risk management

or oversight. If risk is on the agenda, then it’s always a separate topic. Risk reporting to the AC is

mainly centered around the figures of the organization. The first part of the meeting covers the

figures, “everything that comes after this discussion should be seen as a reflection of those figures”. If

risks are being discussed, then those risks should be aligned with matters that turn up during the

discussion of the yearly figures and results.


“We have to do risk exercises to make sure that everything is on the radar and that we make the right

calls”. “If we have to do better, then we must do it for ourselves, not for the outside”.

6.2. Cross-site analysis

The cross-site analysis was an interesting part of my master’s dissertation as it allowed me to

determine how risk was managed or reported within different organizations in different industries.

The eight interviews that I conducted were with organizations located in different industries, so a

cross-site analysis allowed me to find similarities and/or differences between those organizations.

The fact that I included a bank and a privately owned company in my sample also gave me the

opportunity to notice any differences in risk management practices between Belgian publicly listed

organizations and a Belgian private company and a bank. By summarizing my findings of the whole

60

set of organizations per topic, I could get a much clearer view on how organizations are

perceiving/managing/reporting risks. The case/topic matrix was really helpful in this analysis because

it allowed me to compare each organization in the scope of my investigation.

Formalized ERM framework

The interviewee of organization A indicated that there weren’t any formal procedures or written-

down rules to manage risks. Although publicly listed, the interviewee of organization A was the only

one who didn’t start to elaborate on his risk management process. He indicated that this was mainly

the consequence of the business they are operating in: managing a diversified portfolio of

investments. This line of business requires flexibility and a different approach per investment. The

established rules in this organization are mainly driven by corporate governance, but there aren’t any

formalized processes in place to capture the risks inherent in the investments.

Formalized risk management processes were certainly present in all the other organizations. The use

and application of those processes varied in some cases.

The CEO of organization B described this process as useful for a permanent monitoring of risks that

could hurt his business. Being active in the payment industry, this organization must closely monitor

and make an inventory of risks to ensure that the continuity of this organization isn’t jeopardized.

The need to be ‘certified’ in this organization is mainly the result of external parties that are keeping

a watchful eye on the organization’s operations and risks. The compliance officer of the only bank

(company E) that I had interviewed stressed that risks get a higher priority than achieving commercial

strategies. This bank uses different processes to independently manage its five categories of risk.

Determining the impact and likelihood of occurrence are important factors that came to the surface

in most of the organizations. The majority of the organizations clearly indicated the importance of

assessing impact and likelihood to get insights into the most critical risks the organization is exposed

to. The usefulness of this part of the risk management process was acknowledged by most of the

organizations since it allowed them to set risk priorities. These findings complement the findings of

Purdy (2010): the risk assessment phase was clearly present in all the organizations to make sure that

risks were properly identified, assessed for impact and likelihood, and eventually evaluated.

The CEO of Eandis, a non-publicly listed organization, indicated another advantage of the risk

management process implemented by the organization. The risk management process in this

organization is set up in alignment with its strategy. The risk management process in Eandis is clearly

established with the purpose of being aware of potential risks that may impact the achievement of

strategic objectives.

61

Most of the organizations use a risk management process to assess the most critical risks in the

organization. According to me, this acknowledges the fact that organizations are putting risk

management to the agenda in a more structured way. This process allows them to keep track of their

exposed risks and to react in an appropriate way to those identified risks. The increased attention

that has been given to the formalization of risk management processes may be due to the influence

of the audit committees. Multiple organizations like C & D mentioned that their risk management

process was set out in the context of the audit committee. This indicates the importance of the audit

committee’s responsibilities in publicly listed organizations and the increased attention that has been

given to this organizational body (e.g. The Belgian Code on Corporate Governance, 2009). This was

also reflected in the companies’ annual reports or corporate governance charters: the audit

committee has a large responsibility relating to internal control and risk management. Several

studies argued that the emphasis of ACs was primarily on financial reporting issues, while neglecting

the other organizational risks that could impact the companies’ operations (Sarens & De Beelde,

2006; Deloitte & Touche, 2014). The CEO of company C even said that risks with the biggest impact

on financial results were prioritized. This raises the question of how these companies are perceiving

risk management. Is it something that needs to be done in order to safeguard the financial figures, or

is it a process that can help organizations to determine the risks that could impact the continuity of

the organizations?

Establishment of risk appetite/risk tolerance

Organization F stated in its latest annual report that risks were prioritized using impact and likelihood

scales and that those scales were based on “the acceptable level of risk exposure that is determined

by the BoD”. This statement is in line with the definition of ‘risk appetite’ by Ittner & Oyon (2014).

During the interview with this organization, the internal auditor admitted that this statement in the

annual reports was more of a ‘sales-talk’. This clearly confirms Boghdadi’s (2015) research: this

author stated that the installment of a risk appetite statement could give assurance to external

stakeholders that risks are always considered in the organization. Risk isn’t a cultural thing in this

organization, but there seems to be a dramatic shift lurking around the corner: the CEO wants to

make his organization a more risk-minded one. This confirms the importance of top management

involvement in enterprise risk management (Brodeur, Buehler, Patsalos-Fox, & Pergler, 2010).

If you think about it: a risk appetite statement is pro-active because it defines an acceptable level of

risk exposure as a tool that can be used by employees or management to think about risk-related

decisions (AIRMIC, Alarm, & IRM, 2010; Ittner & Oyon, 2014). Company E indicated the importance of

a top-down communication of the risk appetite statement. This top-down communication must

62

ensure that people on every organizational level are aware of what is tolerated or not. This confirms

the findings of Fraser & Simkins (2007) regarding the usefulness of establishing risk tolerances. The

interviewee of this bank also indicated that a risk appetite is very important to distinguish itself from

other banks, making the installment of a risk appetite a strategic choice.

The secretary-general of Realdolmen installed a risk appetite to ensure that everyone in the

organization knows about risks that could arise during their daily operations. The risk appetite in this

company is established in close collaboration with the use of a heat map. The classification of risks in

colors (green-yellow-orange-red) are helpful in defining acceptable levels of risk-taking in the

organization: green is tolerated and red absolutely not. This classification of tolerable versus non-

tolerable risks is also displayed on a company portal, so that everyone in the company can have

immediate access to this information.

The use of technology and the installment of a ‘risk portal’ is something that can really help to create

a risk aware culture.

Other companies (C & D) had no risk appetite statement or risk philosophy in their organization.

Instead of a top-down communication, company D performs every 2 years a bottom-up analysis of all

potential risks that could reside in all the departments of this organization. That analysis should

ultimately lead to a prioritization of organizational risks. This is more backward-looking because the

acceptable level and amount of risk isn’t defined upfront. Company C also doesn’t have a risk

appetite, they rather take a closer look on how risks can impact their ‘bottom-line’ or REBITDA.

The pro-active approach of a risk appetite statement is also lacking in company A. The interviewee of

this company stated that, due to the specific company activities, the installment of a risk appetite

would have negative consequences. Every investment in this private equity company has its own

characteristics with its own correlated risks, so the definition of a risk appetite would be

unnecessary. The current stance on risk-taking in this private equity company varies as a result of

different external factors. This continuous shift in risk-taking is in contradiction with a decision to

implement a pre-defined risk appetite statement.

Not a single company in my sample has indicated the installment of a risk appetite in its annual

report. However, some companies have implemented a risk appetite model in order to increase risk

awareness in their organizations. This pro-active approach to risk management makes sure that risk-

taking behavior is limited to pre-defined levels within these organizations (Ittner & Oyon, 2014).

63

Risk management approach

A central risk function is assigned in all the companies, except for companies A and E. There’s great

deviation in who organizations choose to fulfill the central risk function role: management is

frequently being held responsible as ‘the central risk function’, but companies D & F indicated that

the internal auditor holds the central risk function.

The delegation of risk ownership throughout the organization is noticed in several companies.

Companies like Eandis, Realdolmen and Company E have installed a formalized controlling structure

to manage risks. These companies share the opinion that everyone, within their line of responsibility,

must be held accountable for risks that could occur while executing daily activities (Kinman, 2012).

However, although these companies indicated the benefits of delegating risk ownership, they also

stressed the importance of having some lines of defense in their organization. The benefits of these

‘lines of defense’ in organizations were already noticed by the IIA (2013 (b)). They released a position

paper that clearly stated the usefulness of implementing a three lines of defense model to effectively

manage risks in organizations. Eandis, Realdolmen and company E have made sure that everyone in

the organization bears some risk responsibilities. The role of their lines of defense is to implement a

risk aware culture within their organizations. The clear risk architecture (AIRMIC, Alarm, & IRM,

2010) in these companies enforces a risk-minded culture and the delegation of risk ownership down

to business units makes sure that risk is an integral part of everyone’s job.

The lines of defense vary in these companies. In Eandis and company E, the internal auditor is

considered to be the last line of defense, while this isn’t the case in Realdolmen. In Realdolmen and

company E, the legal and compliance department is included in their lines of defense model, which is

different from Eandis. This confirms the paper of IIA (2013) saying that all these lines of defense

should be implemented in a manner that suits the complexity or size of the organizations.

Company C, active as a global player in the food sector, has a lot of divisions. This company installed

a “matrix of authority” as a structure to cope with risks. Divisions and entities may manage risks that

occur in their daily operations, but when ‘bigger risks’ arise, they must develop a plan to manage

those ‘bigger risks’. An approval of the financial team is necessary before they can execute their plan.

The input of divisions is not only deemed important in company C, but also in company F. In company

F divisions are expected to provide input, but the prioritization of risks is being done by the

management team. The output of management’s assessment of company-wide risks is distributed to

the divisions. This difference between company C and F is quite subtle: company C’s divisions identify

risks and develop plans to manage those risks, while company F’s divisions also provide input about

their risks but the development of action plans to respond to those risks is the responsibility of the

management team.

64

The risk management approach of company E, the bank in my sample, is based on the

communication between the different committees of all entities. Risks are being prioritized in all

banks, according to the interviewee. An escalation of risk information is found in this company.

Entities in the organization have the responsibility to manage the ‘minor risks’, but ‘major risks’ are

being escalated to a higher committee. This continuous process provides the highest organizational

level with a distillation of all the major risks identified in the company.

The risk management approach in company D isn’t that straightforward. In this rather small

company, team managers are responsible for risk in their line of business. A formalized, pre-

determined structure isn’t suitable for this company. The CEO indicated that his organization isn’t

characterized by a lot of organizational ‘layers’, leaving room for discussion in the company’s

headquarters during e.g. coffee breaks. The management of certain types of risks is delegated to

business units (e.g. financial risks or security-on-site), but IT and cyber-security risks are being

managed in a more centralized way in order to create a flexible organization in a turbulent

environment. This finding in company D confirms the study by Heiligtag, Schlosser, & Stegemann

(2014). The authors stated that a trade-off has to be made between a decentralized and a centralized

approach according to the different types of risks.

Companies A & B are heavily reliant on external parties when it comes to managing risks. In company

A, IFRS specialists are hired to cope with requirements regarding their financial statements. Company

B interacts on a continuous basis with external consultants in order to prevent breaches in its

network servers. The inclusion of these external parties is very important to contain or prevent risks

in these companies.

Company B uses a top-down approach to manage risks. Every transaction that occurs during daily

operations needs to be signed off by three different people (CEO, CFO and COO). This centralized

approach is considered a necessity for managing risks in this company: employees are active on

‘dark’ websites where hackers are also active so the less they know or manage, the better are the

security mechanisms in place to prevent risk from materializing.

There seems to be a great variation in risk management approaches. Determining the most

appropriate approach to address risk management depends on a lot of factors. The types of risk and

the context of the organization’s operations seem to be two important factors when deciding what

approach to implement. Some organizations have delegated risk ownership down to the lowest

echelons, others keep risk-related matters at the top. Company B proved that trust in employees and

the burden of being compliant or certified demands a clear centralized approach where risks are only

managed by a handful of people. Companies like Eandis and Realdolmen believe that everyone

should carry some risk responsibilities while executing their job. Risk ownership is much broader in

65

these organizations when compared with company B. The secretary-general of Realdolmen

mentioned that the delegation of risk ownership was a natural consequence of employing more than

1.200 employees and having more than 1.000 contracts a year. In Realdolmen, the lines of defense

are considered to be a valuable tool for managing risks and delegating risk ownership. This implies

that a formalized risk management approach, like the ‘lines of defense model’ that was adopted by 3

large organizations2 in my sample, can be suitable for organizations with a substantial amount of

employees.

Impact of regulatory requirements on risk management

Eandis and companies A & E admitted that regulatory requirements have an impact on how they look

at risks. In Eandis, although not publicly listed, the influence of compliance within the energy sector is

great and can sometimes be a little overwhelming. Consequently, this company pays close attention

to compliancy. In company A, the imposed regulatory requirements are sometimes perceived as an

extra burden on its shoulders. This company demonstrated a somewhat negative attitude towards

the imposed regulatory requirements because of the decreasing interaction with its stakeholders.

The elaborate information that it needs to provide in its annual reports is sometimes too

overwhelming for its stakeholders, which explains why stakeholders have stopped asking questions

to this company. The interviewee of company E indicated the presence of a growing bureaucracy as a

consequence of the administrative burden that was placed on the employees. The increased external

focus on banks regarding their risk management has been the cause of ‘box-ticking’ exercises,

according to the interviewee. The backward-looking effect of ‘box-ticking’ exercises pushes away the

more future-oriented aspects of ERM in this bank. The interviewee’s statements about the impact of

regulatory requirements confirm Fraser & Simkins’ (2007) statements about the backward-looking

effect of compliancy. Altering compliance efforts into value-added services is an opportunity for

improvement, according to the interviewee of this company and Epstein & Rejc (2006).

The secretary-general of Realdolmen had a more positive attitude towards the impact of regulatory

requirements: according to him it is an incentive for organizations to report in a more holistic way

instead of reporting risks in an ‘ad hoc’ manner. He also mentioned the difference between American

and European regulation and stated that European regulation is more forward-looking than the very

strict SOX regulations. The European ‘comply or explain’ method leaves room for interpretation and

allows organizations to think in a more future-oriented way, according to the secretary-general of

Realdolmen. His positive attitude towards European regulatory requirements implies that

compliance efforts aren’t always backward-looking and that those efforts can even be an incentive

for organizations to report risks in a more systematic or holistic way. This may be the consequence of

2 Eandis, Realdolmen and Company E have more than 1.000 full-time equivalents.

66

the softer European approach: it’s based on principles rather than a rules-based approach

(Porbunderwalla, 2007).

In company B, it’s actually ‘comply or die’. The CEO of this company stated the absolute necessity of

being certified in his line of business because, otherwise, the company wouldn’t be in business.

Moreover, being compliant is something that they are used to: he was even proud to say that his

company is momentarily the only one in the European payment sector to be ‘full-compliant’.

Company C thinks that being compliant is just a minimum. Having the right policies and code of

conduct is being considered as an essential precursor to being compliant in this company.

In company F, serious attention has been paid to compliancy lately due to the influence of the newly

assigned CEO. Yearly compliance quizzes are installed in this company to make sure that

departments or divisions are being updated about compliancy in their business. The department with

the most correct answers wins a price. In this way, the company tries to be more compliance-

minded.

The 25th of May, 2018 will be the due date for European companies to fully comply with the ‘General

Data Protection Rule’, or abbreviated GDPR (EU GDPR, 2017). Companies D, E & F stated that the

introduction of this regulation will have a serious impact on how organizations will look at data and

cyber-security risks. Risk analyses in that area of the business will be executed in a more profound

way.

The impact of regulatory requirements on risk management is quite diverse. Smaller companies like

company A indicated the hardships that could arise while complying with applicable laws and

regulation. Other companies like D, E & F indicated the impact it could have on the emphasis being

placed on particular risks. With the GDPR lying around the corner, more emphasis is placed on IT-

security and protection of customers’ privacy data. In company B, the impact is so big that it could

endanger the continuity of the business. The bank in my sample, company E, experiences a growing

bureaucracy as a consequence of the well-defined processes and procedures that it has to use in

daily operations. As a consequence of the financial crisis, banks are being heavily regulated with the

ultimate purpose of restoring investors’ confidence (Härle, et al., 2010). Banks have been increasingly

in the spotlights in recent years, which has put this bank in a ‘compliance trap’ where risks that could

hurt the continuity of the business are often neglected because of the overflow of regulatory

requirements.

On the other hand, Realdolmen appreciated the impact of compliancy with regulatory requirements:

this organization believes that European regulation permits to look at risks in a more future-oriented

way.

67

Internal risk reporting

The CEO of company D stated that internal risk reporting isn’t formalized. The element of risk is

always included in team assignments or projects and is inherently integrated in daily operations. The

rather small number of employees (around 250) and the fact that everyone knows each other are

considered as reasons for this informal approach. In company A, risk communication is always

present due to the risk-language of its operations. Being a private equity company requires taking

risks into account on a continuous basis. Risk communication is also present during the preparation

of public reports.

Eandis, Realdolmen and company F perform an annual risk exercise as a part of their formalized risk

management process. The amount of risk responsibilities within these organizations requires a

formalized internal risk reporting structure where everyone in the organization knows what their

tasks are and to whom they should report. The main purpose of the annual risk exercises and the

related internal risk reporting is to define the organization’s top risk exposures and to come up with

suitable countermeasures.

A mix of bottom-up and top-down approaches was identified in the interviewed companies.

The CEO of company B indicated the lack of information flow regarding risk-related matters.

Employees of this company are considered to be very important factors but also the most dangerous

ones: as a consequence of employees’ presence on ‘dark’ websites, the information flow is heavily

restricted. Only three people know and control risk in this company. Keeping risk communication at

the top of the organization is central to the continuity of its operations. The lack of internal risk

reporting is replaced by a strong and continuous communication with external consultants.

The interviewee of company E indicated that committees of every entity are responsible for making a

distillation of ‘major’ risks. Every committee on every organizational level has two members that also

have a seat on a committee at a higher organizational level. By this means, this company tries to

provide bottom-up information all the way to the top. This kind of risk reporting ensures that the

highest level in the company has a summary of the greatest risks in all of its entities.

The other organizations in my sample use a mix of both approaches to communicate on risks. Global

players like companies C & F have a lot of divisions in multiple countries that must provide input to

the top management team. That management team must consolidate all that information.

Consequently, the management team has to provide feedback to the divisions concerning their

assessment of the received information.

It became clear that, in most of the companies, the management team reports to the audit

committee so that it can perform its oversight duties with great care. Company A was the only one

68

that didn’t mention the existence of an audit committee. The annual report of this company states

that the tasks of the audit committee are included in the board’s responsibilities.


Four out of eight companies use a heat map to graphically display the company’s exposure to risks

and to report risk information in an understandable way. The interviewees’ description of those heat

maps perfectly relates to Shenkir & Walker’s (2007) description of a risk map/heat map. Impact and

probability of occurrence are assessed in order to come up with a categorization of risks in colors. A

green color, for instance, doesn’t require a lot of attention and is quite tolerable. Yellow colors

require a little bit more attention and red colors are risks that require immediate attention and

should be prioritized. This was the most frequently used risk reporting tool in my sample and it’s

actually no surprise since Shenkir & Walker (2007) stated that many organizations use this tool.

The secretary-general of Realdolmen indicated that the use of a risk heat map helped him to set up

his risk appetite model. The colors in the heat map were used as indicators during the set-up of the

risk appetite model in the company. The colors green-yellow-orange-red are used as indicators for

employees to make sure that they know what level of risk-taking is tolerated during the execution of

their daily operations. Realdolmen also uses a bubble chart as a separate tool to keep track of

projects that require more attention. The interviewee even indicated that each business domain in

the organization uses tools to monitor risks that are inherent in their domain.

Company E also makes use of a heat map to visually display all risks per risk category. However, the

interviewee of this company stated that those tools should be used with great care. The heat map in

the company consolidates the results of a whole lot of entities and the consolidation happens per

risk category. This means that ‘green color’ risks could obscure ‘yellow’ or ‘red’ risks because of the

consolidation.

Realdolmen and company F also mentioned the usefulness of doing interviews in order to gather

risk-related information. Interviewing risk owners in these organizations leads to a better perspective

on risks per business domain.

Company A doesn’t use risk tools because risks form an integral part of its business (see company

background of company A – 6.1 Within-site analyses). That’s why this company has chosen to

integrate it with normal reporting without using specific tools for risk-monitoring. Company C has a

similar way of working: risk isn’t reported in a specific way but is more integrated with performance

reporting. Company D hasn’t got a specific form for graphically displaying risks, but it does appreciate

the usefulness of an ‘Excel-sheet’ that can show the consequences and probabilities of certain risks.

69

I can conclude that assessing the likelihood and impact of organizational risks is deemed very

important by most of the companies in this study. It also seems that risk maps or heat maps are the

best tools to visually display the impact and likelihood of risks. This tool helps organizations to

prioritize risks by looking at areas with high impact and/or high probability. Companies A, C & D don’t

use specific risk tools, but choose to elaborate on risks in their performance reporting.

The function of risk reporting to the BoD:

The function of risk reporting to the BoD was quite straightforward in the companies in this study.

Half of the companies in this study indicated that risk reporting to the BoD helps to get more pro-

active insights into their operations. Compliancy isn’t a priority in Eandis, Realdolmen and company

C. These companies focus on risks that could impact their strategy instead of looking at risks in a

retrospective way. The management committee of Eandis, for example, focuses on risks that could

impact its KPIs and the achievement of organizational objectives during board meetings. The

management of Realdolmen also discusses risks that could have an impact on the achievement of

organizational objectives. The BoD ask a lot of ‘what-if’ questions to get a clearer perspective on

factors that could potentially impact strategic objectives. This pro-active approach of risk reporting is

also found in company C. These companies discuss risk exposures in the context of their strategy.

Risk reporting in Eandis, Realdolmen and company C is in alignment with Slagmulder’s (2013) and

Marks’ (2015) recommendations about integrating risk and performance/strategy.

In companies B and F, the discussion of annual figures and the evolution of those figures over the

years is used as a starting point to discuss risk-related matters. The boards of these companies

require information on the evolution of the financial results and this ultimately leads to a discussion

of risks that could impact their results.

Compliancy has an important role in company B and this is clearly reflected in board discussions. As

already mentioned in the within-site analysis of this company, compliancy goes hand in hand with

survival for this company so that’s why this is of utmost importance to discuss these matters during

board meetings. The impact of compliancy on board meetings is also present in company A. The

interviewee of this company indicated that compliancy has too much presence in board meetings:

being compliant is something that has to be done in order to avoid an explanation on why they

deviate from requirements.

Risks are the main priority in company E. Although the interviewee has never been to a board

meeting of the whole group , he firmly believes that top risk exposures are being discussed during

board meetings. Still, the overload of internal regulation and pre-defined processes tends to put the

company in a ‘box-ticking’ exercise. The overemphasis that is placed on well-defined risk processes

70

and procedures leads to a neglect of strategy-driven risk reporting and implies that complying with

regulatory requirements is taking the upper-hand nowadays. This may be the consequence of the

financial crisis and the ongoing scrutiny of regulators concerning the risk management practices of

banks (Härle, et al., 2010).

The companies in this study clearly indicated that risks are integrated in board meetings. Three out of

eight companies indicated that risks are integrated in board meetings to keep track of the

achievement of organizational objectives. Asking what-if questions leads to more pro-active insights

and tends to give these organizations a clearer perspective on factors that could impact the

achievement of strategic objectives. Although compliancy plays an important role in board meetings

in three companies in this study, it seems that risks are also considered as a reflection of the

performance. This retrospective look at performance is to get a clearer picture on the underlying

drivers of their financial results.

Ultimately, the companies in this study report risk-related matters to the BoD in order to safeguard

the continuity of their operations.


Several opportunities for improvement came to the surface. The secretary-general of Realdolmen

indicated the importance of using risk tools with the right mentality, meaning that an appropriate

culture should be established at the top of the organization. Tools are only helpful if people who use

them have the right mindset, meaning that tools should be useful for people who want to do risk

management.

The CEO of company C admitted that, as a consequence of the time-consuming risk management

process, the discussion of risks is sometimes postponed. Risks should be more integrated with

business reviews and shouldn’t be a topic that is only discussed by senior management. Keeping risk

on the agenda, although it’s sometimes time-and energy-consuming, is important. Delegating risk

ownership to other organizational units is also considered as a possible improvement for internal risk

reporting: the possibility exists that some risks could be managed by others than the senior

management team.

The integrated risk management process of Eandis is perceived as very helpful to the organization in

order to better integrate risks and strategy, but its high level of detail is sometimes very difficult to

deal with. Finding an equilibrium between defining risks that could impact your strategic objectives

and defining key performance indicators is sometimes hard. Especially in a sector where KPIs aren’t

that tangible.

71

The CEOs of companies B & F have an important impact on which type of risk gets the most attention

during risk reporting. The education of company B’s CEO has an influence on the degree of detail that

has been given to compliance risks and is therefore an important part of the company’s stance on

compliancy with imposed regulations. According to the internal auditor of company F, the newly

assigned CEO is very compliance-driven. The mindset of the CEO has shifted the focus of this

organization to compliance risks. This implies that the tone should be set at the top and that the CEO

plays an important role in setting priorities relating to risk management.

The CEO of company D relies on his employees and team managers to signal or indicate areas for

improvement. The compliance officer of company E stated that too much internal regulation and

policies could have a detrimental impact on the future-oriented perspective of risk management. The

danger in having well-defined processes and procedures could ultimately lead to a bureaucracy. This

implies that the overload of regulation in the financial sector tends to lead banks in a ‘box-ticking’

exercise, instead of focusing on risks that could impact the continuity of operations.

72

7. Conclusions

All companies, except one, have established a risk management process to identify, assess and

evaluate risks. The established processes are mainly in place to make an inventory of risks that could

impact the organizations’ strategy or financial results. Most of the organizations clearly indicated the

importance of assessing impact and likelihood to get some insights into the most critical risks the

organization is exposed to. The usefulness of this part of the risk management process was

acknowledged by most of the organizations since it allowed them to set risk priorities. The influence

of audit committees on the adoption of risk management processes also came to the surface in some

of the organizations in this study. Some companies in this study indicated that risk management

processes were established in the context of audit committees. The Belgian Code on Corporate

Governance (2009) devoted a lot of attention to this organizational body and its risk responsibilities.

However, Sarens & De Beelde (2006) and Deloitte & Touche (2014) found that ACs placed too much

emphasis on the financial aspects of the organization. Some companies in this study stated that their

risk management process was installed in the context of audit committees and highlighted the

importance of identifying risks that could have an impact on the financial results. This confirms that

some organizations focus too much on the detrimental effect risks could have on their financial

figures, without taking strategic objectives into account. Still, some companies indicated that the

adoption of risk management processes was mainly to have an understanding of the risks that could

impact the achievement of strategic objectives. The implementation of a strategy-focused risk

management process in these companies aligns with Fraser & Simkins’ (2007) recommendations

regarding the installment of ERM systems that take the organizations’ strategy into account.

The usefulness of determining a risk appetite is noticed in several companies in this study. The risk

appetite in several organizations has the purpose to create a risk aware culture in order to make sure

that everyone in the organization knows what actions are tolerated or not. The risk appetite serves

as a guide for employees and management to effectively take risks into account during the execution

of their daily activities. A top-down communication of the risk appetite was noticed in the companies

that have implemented a risk appetite model. This reflects the importance of top management’s

involvement in setting out appropriate guidelines so that everyone in the organization knows what is

acceptable or not. Policies, codes of conduct and even tools like a heat map can help the

implementation of a risk appetite in organizations. Still, some companies don’t see the benefits of

implementing a pre-defined risk appetite statement. The specific line of business or the lack of

organizational levels in an organization are reasons that were brought up by companies that didn’t

73

choose to implement a risk appetite statement. I have the urge to be very careful in drawing up

conclusions, but it’s quite remarkable to see that companies that didn’t implement a risk appetite

were also companies that installed a risk management framework in the context of their audit

committees. On the other hand, companies that established a risk management process in function

of their strategy did make use of a risk appetite. This confirms that risk appetites are useful for better

strategic management and monitoring of enterprise-wide risks (Boghdadi, 2015).

There seems to be great variation in risk management approaches. Determining the most

appropriate approach to address risk management depends on a lot of factors. The types of risks and

the context of the organization’s operations seem to be two important factors when deciding what

approach to use. Certain types of risks may be managed in a centralized way, meaning that a

particular risk is being managed at the top of the organization. Still, the possibility exists that the

management of some risks is delegated to others in the organization. It was also noticed that many

companies have a central risk function in their organizations. The interaction between the central

risk function and the risk owners was quite varied. Some risk owners are being held responsible for

the development of suitable action plans to cope with their identified risks, while other risk owners’

responsibility is restricted to the identification of risks. Some organizations delegate risk ownership

down to the lowest echelons, others keep risk-related matters at the top.

It seems that organizations with a lot of employees (more than 1000) are using a more formalized

risk management approach, like the three lines of defense model. Delegation of risk ownership is

great in these organizations and seems to be a necessity because of the large amount of employees:

a well-defined risk architecture is certainly present in these companies. This implies that a formalized

risk management approach, like the ‘lines of defense model’ that was adopted by 3 large

organizations in my sample, can be suitable for organizations with a substantial amount of

employees.

The organizations with less employees and less organizational ‘layers’ don’t use this kind of

formalized risk management approach. Having trust in employees is also an important factor in

determining which risk management approach to adopt. It became clear that the attitude of

employees also plays an important role in determining a suitable risk management approach.

The companies in this study have experienced the impact of regulatory requirements on their risk

management practices. Being compliant with regulations demands a lot of time and effort and is

sometimes perceived as a burden. It was also observed that external parties like IFRS specialists or

other consultants are sometimes hired to help organizations to address the many regulatory

requirements. Moreover, it was noticed that the development of very detailed processes and

procedures as a consequence of compliancy requirements and the need to adhere to those

74

processes can push away more future-oriented risk management.

The introduction of the GDPR has incentivized companies to place their attention on IT and cyber-

security risks. Almost every investigated company has mentioned that this new rule will certainly

have an impact on how they will look at those particular risks.

On a more positive note, it also came to light that European regulatory requirements shouldn’t

always lead to ‘box-ticking’ exercises. Instead, companies could actively think about the

consequences and implications of those requirements and integrate them into their risk

management system.

Concerning the risk information flow, it became quite clear that this is highly dependable on the risk

management approach of the organizations. In some cases, risk-related information is only known by

a certain amount of people, but in most of the cases there’s a mix of top-down and bottom-up risk

information flow. A heat map was the most frequently used tool in the companies I investigated. The

colors in those heat maps are considered very useful in detecting risk priorities. Moreover, the

popularity of heat maps is mainly due to the fact that it allows to assess the likelihood and impact of

organizational risks. The usefulness of conducting interviews with risk owners also seems to be an

efficient tool for communicating on risk-related matters. Still, it became clear that not all

organizations see the benefits of using risk tools. Instead, some organizations integrate the

discussion of risks into their performance reporting. This study also showed some different functions

of risk reporting to the BoD. It became clear that a few companies have started to report risk

information in relation to the strategy, as recommended by Slagmulder (2013) and Marks (2015).

Board members ask a lot of ‘what-if’ questions in order to gain more pro-active insight into their

business. In some cases, the discussion of annual figures is used as a starting point to elaborate on

risks that have impacted these figures. This retrospective look at performance is to get a clearer

picture on the underlying drivers of their financial results. It was also noticed that compliancy doesn’t

take the upper-hand, but is always inherently present during board meetings. Still, companies in

heavily regulated industries focus much attention on being compliant since it’s the cornerstone of

their existence. Although risk reporting to the BoD isn’t always strategy-related, I can conclude that

most of the companies investigated are integrating risks in their board meetings in order to

safeguard the continuity of their operations.

75

8. Limitations and opportunities for future research

A possible disadvantage of my research is that my findings aren’t generalizable across other

organizations in Belgium. Notwithstanding the latter fact, it may provide some interesting insights

and understandings in the field of risk reporting in Belgian firms (Rowley, 2012).

Researcher bias may be present in this qualitative study. I tried to distance myself from this bias by

having an open mind during the interviews, without being prejudiced. The overload of information

was difficult to cope with, but by using the case/topic matrix I tried to draw up some conclusions by

finding similarities and differences across the different cases (King, Cassell, & Symon, 1994).

One interviewee in this study pointed out the different approaches of American versus European

regulation. He mentioned that American SOX regulation is much more strict than the European

‘comply or explain’ approach. It would be interesting to see if the impact of regulations on risk

management practices differs in these continents. Moreover, a comparative study between

American and European firms will allow researchers to address differences in risk reporting to the

BoD. It also became clear that banks are heavily regulated and that this could lead to a bureaucracy

where employees mainly ‘tick the box’ and lose sight on the more future-oriented aspect of risk

management. Therefore, it would surely be interesting to compare the impact of regulatory

requirements between banks and firms that aren’t active in financial services.

Some interviewees indicated that the education and mindset of CEOs could have an impact on which

types of risks get the most attention. This opens the way for future researchers to assess the impact

of those two determinants on the attention that has been given to particular types of risks.

It became clear that not every organization had implemented a risk appetite. Future researchers

could try to assess the relationship between the amount of employees and the installment of a risk

appetite. It may be the case that a risk appetite statement is mainly useful for installing a risk aware

culture and that this implementation of a risk appetite serves a greater purpose in organizations with

a large amount of employees.

X

9. Bibliography

Accountants for Business: Reporting Risk. (2014). ACCA.

Act, S. O. (2002). Sarbanes-Oxley Act. Washington D.C.

Ai, J., & Brockett, P. L. (2008). Enterprise risk management. Encyclopedia of Quantitative Risk Analysis

and Assessment.

AIRMIC, Alarm, & IRM. (2010). A structured approach to ERM and the requirements of ISO 31000.

BCBS. (2014). Corporate Governance Principles for Banks -- Consultative document. Bank for

International Settlements.

Beasley, M., Branson, B., & Hancock, B. (2014). Report on the current state of enterprise risk

oversight: Opportunities to strengthen integrating with strategy. ERM Initiative at North

Carolina State University.

Beasley, M., Chen, A., Nunez, K., & Wright, L. (2006 (a)). Working hand in hand: Balanced scorecards

and enterprise risk management. Strategic Finance, 87(9), 49.

Beasley, M., Clune, R., & Hermanson, D. (2005). Enterprise risk management: An empirical analysis of

factors associated with the extent of implementation. Journal of Accounting and Public

Policy, 24(6), 521-531.

Beasley, M., Clune, R., & Hermanson, D. (2006 (b), February). The Impact of Enterprise Risk

Management on the Internal Audit Function. Kennesaw, GA: DigitalCommons@ Kennesaw

State University.

Beasley, M., Pagach, D., & Warr, R. (2008, March). Information Conveyed in Hiring Announcements

of Senior Executives Overseeing Enterprise-Wide Risk Management Processes. Journal of

Accounting, Auditing & Finance, 23(3), 311-332.

Berg, T., & Westgaard, S. (2011). Risk Reporting to the Board of Directors - Field Study among

Norwegian Banks and Power Companies. Paper presented for the AAA 2012 Management

Accounting Section (MAS) Meeting.

Boghdadi, N. (2015). Risk Appetite Statement. Willis.

BPIT. (2017). General presentation. Retrieved from http://www.bipt.be/en/operators/bipt/general-

presentation

XI

Branson, B. (2015). Reporting key risk information to the Board of Directors: Top Risk Executives

share their practices. ERM Initiative in the Poole College of Management at North Carolina

State University.

Brodeur, A., Buehler, K., Patsalos-Fox, M., & Pergler, M. (2010). A board perspective on enterprise

risk management. McKinsey&Company, (18), 1-15.

Bruggeman, W., Hoozée, S., & Slagmulder, R. (2017). Textbook on management control systems -

Student edition. Intersentia Ltd.

Bugalla, J., Kallman, J., Mandel, C., & Narvaez, K. (2012). Best practice risk committees. Retrieved

from https://www.erm-strategies.com/blog/wp-

content/uploads/2012/06/1205BugallaKallmanMandelNarvaez.pdf

Cammaert, S. (2014). The Risk Management Role of The Board. (Masterproef, UGent, Gent, België).

Carmichael, A. (2014). The Chief Audit Executive: Understanding the Role and Professional

Obligations of a CAE.

Corporate Governance Committee. (2017). De Code 2009 wordt herzien in 2017. Retrieved from

http://www.corporategovernancecommittee.be/nl/actualiteit/nieuws/de-code-2009-wordt-

herzien-2017

COSO. (2004, September). Enterprise Risk Management - Integrated Framework. Executive Summary.

CREG. (2017). Presentation of CREG. Retrieved from http://www.creg.be/en/presentation-creg

De Pelsmaecker, P., & Van Kenhove, P. (2014). Marktonderzoek: methoden en toepassingen. Pearson

Benelux.

DeLoach, J. (2016, March 23). Six principles for improving board risk reporting. Retrieved from

https://blog.nacdonline.org/2016/03/six-principles-for-improving-board-risk-reporting/

Deloitte & Touche. (2014). Risk Committee Resource Guide. Retrieved from

https://www2.deloitte.com/content/dam/Deloitte/za/Documents/governance-risk-

compliance/ZA_RiskCommitteeResourceGuideOnline2014_22052014.pdf

Desender, K. A. (2007). On the Determinants of Enterprise Risk Management Implementation.

Eandis. (s.d.). Integraal risicobeheer. Provided to me by the CEO of Eandis.

Eisenhardt, K. M. (1989). Building theories from case study research. Academy of management

review, 14(4), 532-550.

XII

Epstein, M. J., & Buhovac, A. R. (2006). The Reporting of Organizational Risks for Internal and External

Decision-Making. The Society of Management Accountants of Canada and The American

Institute of Certified Public Accountants.

EU GDPR. (2017). GDPR Portal: Site Overview. Retrieved from

http://www.eugdpr.org/eugdpr.org.html

EY. (2013). The critical role of the board in effective risk oversight. Ernst & Young LLP.

FASFC. (2017). Home. Retrieved from http://www.afsca.be/home-en/

Financial Times. (2017, February 14). Definition of independent board. Retrieved from

http://lexicon.ft.com/Term?term=independent-board

Fraser, J. R., & Simkins, B. J. (2007). Ten Common Misconceptions about Enterprise Risk

Management. Journal of Applied Corporate Finance, 19(4), 75-81.

FSMA. (2017 (a)). Introductory Brochure. Retrieved from

http://www.fsma.be/en/About%20FSMA.aspx

FSMA. (2017 (b), April 3). Listed companies for which Belgium is the home Member State. Retrieved

from http://www.fsma.be/Site/Home/supervision/fm/gv/info/Issuers.aspx

Härle, P., Lüders, E., Pepanides, T., Pfetsch, S., Poppensieker, T., & Stegemann, U. (2010). Basel III and

European banking: Its impact, how banks might respond, and the challenges of

implementation. EMEA Banking, 16-17.

Heiligtag, S., Schlosser, A., & Stegemann, U. (2014). Enterprise-risk-management practices: where's

the evidence? A survey across two European industries. McKinsey Working Papers on Risk,

Number 53.

IBR. (2010). External versus Internal Assurance: How to create co-partnership? Retrieved from

https://www.ibr-

ire.be/fr/publications/series_actuelles/brochures/generalites/Documents/9204_External-

versus-Internal-Assurance-how-to-create-co-partnership.pdf

IIA. (2013 (a)). IIA Position Paper: The Role of Internal Auditing in Enterprise-wide Risk Management.

The Institute of Internal Auditors.

IIA. (2013 (b)). The Three Lines of Defense in Effective Risk Management and Control. The Institute of

Internal Auditors.

XIII

IRM. (2017, February 15). Risk appetite and tolerance. Retrieved from

https://www.theirm.org/knowledge-and-resources/thought-leadership/risk-appetite-and-

tolerance/

Ittner, C. D., & Oyon, D. (2014). The Internal Organization of Enterprise Risk Management.

Jacob, S. A., & Furgerson, S. P. (2012). Writing interview protocols and conducting interviews: Tips for

students new to the field of qualitative research. The Qualitative Report, 17(42), 1-10.

Jensen, M. C. (1993). The modern industrial revolution, exit, and the failure of internal control

systems. The Journal of Finance, 48(3), 831-880.

Kaplan, R. S. (2009). Risk management and the strategy execution system. Balanced Scorecard

Report, 11(6), 1-6.

Kaplan, R. S., & Mikes, A. (2012). Managing risks: a new framework.

Kashyap, A. K. (2010). Lessons from the financial crisis for risk management. Financial Crisis Inquiry

Commission.

King, N., Cassell, C., & Symon, G. (1994). Qualitative methods in organizational research: A practical

guide. The Qualitative Research Interview, 17.

Kinman, B. (2012). Building a risk-resilient organization. Retrieved from PwC:

https://www.pwc.com/gx/en/services/advisory/consulting/risk/resilience/publications/buildi

ng-a-risk-resilient-organisation.html

Lam, J. (2001). The CRO is here to stay. Risk Management, 48(4), 16.

Leech, T. (2013). Board Oversight of Management's Risk Appetite and Tolerance. EDPACS, 48(3), 1-

13.

Marks, N. (2015, December 16). Risk reporting to the Board. Retrieved from

https://iaonline.theiia.org/blogs/marks/2015/risk-reporting-to-the-board

Miles, M., & Huberman, A. M. (1984). Qualitative Data Analysis: A Sourcebook of New Methods.

SAGE Publications.

Nocco, B. W., & Stulz, R. M. (2006). Enterprise risk management: Theory and practice. Journal of

applied corporate finance, 18(4), 8-20.

Nottingham, L. (2014). Risk communication: aligning the Board and C-suite. Oliver Wyman; NACD;

AFP.

XIV

Ojha, N. (2012). The changing role of internal audit. Deloitte Touche Tohmatsu India Private Limited.

Porbunderwalla, K. F. (2007). Will Eurosox also be a regulatory overreach, as its American

counterpart SOX? GRCControllers.

Purdy, G. (2010). ISO 31000: 2009—setting a new standard for risk management. Risk analysis, 30(6),

881-886.

Ross, A. (2005). The Evolving Role of the CRO. The Economist Intelligence Unit, EIU.

Rowley, J. (2012). Conducting research interviews. Management Research review, 35(3/4), 260-271.

Roy, M.-J. (2011). Board information: meeting the evolving needs of corporate directors.

Management Research Review, 34(7),, 773-789.

Sarens, G., & De Beelde, I. (2006). Interaction between internal auditors and the audit committee: an

analysis of expectations and perceptions/G. Sarens, ID Beelde. Ghent University, Faculty of

Economics and Business, Belgium.

Shenkir, W. G., & Walker, P. L. (2007). Enterprise risk management: Tools and techniques for

effective implementation. Institute of Management Accountants, 1-31.

Slagmulder, R. (2013). Integrating risk into performance: reporting to the board of directors. CIMA

General Charitable Trust.

Steinberg, R. M. (2016, June 7). Risk reporting to the board -- The Steinberg board risk oversight

principles. Retrieved from Compliance Week:

https://www.complianceweek.com/blogs/richard-m-steinberg/risk-reporting-to-the-

board#.WSxUjJM3msY

Stroh, P. J. (2005, July). Enterprise risk management at UnitedHealth Group. Strategic Finance, 26-35.

The Belgian Code on Corporate Governance. (2009). Commissie Corporate Governance.

VBO. (2015). Risk Management: Praktische leidraad bij een duurzaam risicobeleid. Stefan Maes,

Ravensteinstraat 4, 1000 Brussel.

What is EuroSox -- Copenhagen Compliance. (n.d.). Retrieved from Copenhagen Compliance:

www.copenhagencompliance.com/eurosox/WhatisEuroSox.pdf

Yin, R. K. (1981). The case study crisis: Some answers. Administrative science quarterly, 26(1), 58-65.

76

10. Attachments

10.1. Attachment 1 -- Interviewing guide

Heeft het bedrijf een geformaliseerd proces om risico te kunnen managen?

Heeft het bedrijf een soort van risicofilosofie dat duidelijk definieert welke risico’s, en in

welke mate bepaalde risico’s, kunnen worden aangegaan om strategische doelstellingen te

kunnen behalen?

Is er iemand in het bedrijf die een centrale functie in verband met risico vervult?

Welke andere functies of organen in het bedrijf dragen risico-verantwoordelijkheden? (bv.

audit committee, internal control, risico committee, CEO, CFO,…)

Wat zijn die verantwoordelijkheden van die welbepaalde organen binnen het bedrijf?

Vervult deze centrale functie eerder een begeleidende rol voor andere

bedrijfsfuncties/departementen (bijvoorbeeld ondersteuning bieden aan andere business

units in verband met het beheer van risico’s), of eerder een rol die bepaalt hoe risico’s

moeten worden beheerd. Met andere woorden, hebben andere units binnenin het bedrijf

een vrijheid om risico’s, waar ze verantwoordelijk worden voor geacht, te kunnen managen

volgens hun eigen goeddunken of zijn ze verplicht om een proces te volgen dat duidelijk de

regels afbakent hoe risico’s moeten worden beheerd?

Hoe verloopt de informatieflow tussen deze verschillende units? Wat zijn belangrijke

aandachtspunten tijdens die communicatie?

Gebruikt het bedrijf tools om risico’s te rapporteren? Welke zijn deze tools en waarom werd

er gekozen te werken met die tools?

Wie is verantwoordelijk voor het rapporteren van risico-gerelateerde informatie aan de raad

van bestuur?

Aan welke risico-gerelateerde informatie wordt het meeste belang gehecht tijdens de

rapportering aan de Raad van Bestuur?

Wat is volgens u de functie van risico-rapportering aan de Raad van Bestuur?

Heeft bepaalde regelgeving een impact gehad op hoe risico’s worden beheerd in het bedrijf?

Indien ja, hoe heeft het bedrijf dit ervaren?

Speelt compliance met allerhande regelgeving een belangrijke rol tijdens het rapporteren

van risico aan de Raad van Bestuur?

Is er volgens u ergens ruimte voor verbetering op het vlak van interne risicorapportering?

77

10.2. Attachment 2 – Interview transcript: Eandis

Heeft het bedrijf een geformaliseerd process om risico’s te kunnen beheren of managen?

Ja, dat klopt: wij hebben een integraal risicobeheer. We moeten toch een goede balans hebben

tussen een aantal bedrijfsdoelstellingen. Dat kan zijn: bedrijfszekerheid naar onderbrekingsduur; ik

wil dat minimaal, risico’s dat ge neemt op asset cabines en dergelijke meer… Dat is 1 aspect. Wat is

daarnaast het risico dat daarbij loopt op het moment dat die bedrijfsdoelstellingen moeten

gerealiseerd worden? Wij hebben dus een geformaliseerd proces naar de raad van bestuur van

Eandis, ons bedrijf zelf; naar ons auditcomité, want die moeten een verklaring afleggen op het einde

van elk jaar dat het onder controle is. Dus die moeten een systeem hebben waarop ze zich kunnen

baseren. We hebben ook een managementcomité dat op geregelde tijdstippen informatie ontvangt.

Als we even kijken naar de historiek: wanneer zijn wij begonnen met integraal risicobeheer? Dat was

in 2008; toen hebben we het raamwerk opgezet en wij hebben daarvoor een consultant ingehuurd,

Deloitte, die een soort van risico-kaart had waarop wij ons dan gebaseerd hebben, maar dat was dan

ook wel toegepast op de specifieke activiteiten van ons.

In 2009 zijn we dan beginnen uitrollen in 3 piloot-domeinen: core-business, ondersteunende

bedrijfsdomeinen (zoals HR), ten slotte hebben we het ook uitgerold binnen specifieke programma’s

omdat we zagen dat naar de toekomst digitalisering zeer belangrijk zou worden.

We hebben eigenlijk 3 belangrijke programma’s. Slimme meters (in 2011) opgestart, in 2019 zullen

we starten met de uitrol van dit programma. Slimme netten: hoe stuurt ge bi-directionele stromen

tot de decentrale productie. En data-kwaliteit. Als we aan asset management deden, zagen we dat

het risico was dat je je baseert op data die niet betrouwbaar genoeg zijn. Typische voorbeelden: we

hebben enorm geïnvesteerd in elektriciteit en gas in de jaren 70 van de vorige eeuw… We hebben

toen al data gecapteerd, maar als je dat in 2010 herbekeek, kon je u vraagtekens stellen bij sommige

elementen die daarin zaten. Dat heeft te maken met fusies: bepaalde gegevens die geconverteerd

worden. Één van de zaken die men doet bij conversie: als je het niet goed weet, zet je het jaar 9999

(lacht), en dat passeert door het systeem, maar kan je daar nu echt asset management op doen? Kan

je nu risico beoordelen met installaties die te oud zijn of niet oud genoeg (lacht)?

Daarmee, dat we vaak over grote componenten rapporteren, bijvoorbeeld een cabine. In een cabine

vandaag zit er een vermogensschakelaar die misschien rapper versleten is dan de raille (dat is koper,

dat blijft). Dus die informatie had men niet en die informatie is men dan gaan verrijken in een

specifiek programma: datakwaliteit (vanaf 2011). Vanaf 2012 hadden we dat bedrijfswijd, dus over

alle processen van het bedrijf uitgerold. Vanaf 2014 is dat echt een ‘recurrente’ methodiek, waarbij

de eindverantwoordelijkheid nog altijd ligt bij het managementcomité; maar waar elk bedrijfsdomein

ook eigenaar is. Iemand die voor een bepaalde activiteit verantwoordelijkheid draagt, moet de

78

tweedelijnscontrole doen. Wij zeggen altijd op het terrein, operationele risico…dat is de man die

bezig is op het terrein. Een niveau hoger, moet er iemand een tweedelijnscontrole doen, waar er een

soort van uitval-lijsten komen die zeggen van ‘hier loopt het fout’. En de derdelijnscontrole is de

interne audit. Wij hebben een stevig uitgebouwde interne audit met 10 auditoren.

We kijken heel breed. Governance risico’s: we zijn een gereguleerde sector dus compliancy, zorgen

dat je volgt, dat is toch wel een ander punt. Strategische risico’s, onze strategie is operational

excellence…dan moet je zeggen af en toe: “er is vet op de soep” of “good is perfectly enough”… Je

kan blijven investeren en blijven verbeteren…ergens kom je op een lijn dat je zegt: “dit is niet meer

verantwoord”. Bedrijfsrisico’s, het operationele, interne en externe risico’s… We zijn een gereguleerd

bedrijf, wij hebben aandeelhouders uit de openbare sector, dus er zijn ook extern wel wat

stakeholders die bekijken hoe wij ageren. Vorig jaar was daar een goed voorbeeld van: als we de

Chinese privépartner wouden aantrekken… Dus dat zijn wel ook risico’s die we proberen te

identificeren.

Om dat integraal te maken, hebben we gezegd: “We moeten toch wel één gemeenschappelijke taal,

één gemeenschappelijke tool hebben”. Als ik vind dat dat een te groot risico is…wat betekent dat dan

precies? Vandaar dat we een Eandis Risico Identificatie Kaart (ERIK) gemaakt hebben, gebaseerd op

een eerste oefening van Deloitte. Wat is voor ons een risico? Dat is eigenlijk een kwetsbare toestand

of een onzekere gebeurtenis die negatieve invloed zou kunnen hebben op de werking en het behalen

van de doelstellingen.

De ERIK bevat toch een 100-tal risico’s, gaande van strategische risico’s, tactische risico’s en

operationele risico’s. Via deze manier kan je onmiddellijk inschatten van waar je op moet letten: wat

oranje staat, daar moet aandacht aan besteed worden; geel…; groen zegt dat alles onder controle is.

Wanneer zeggen we nu gemeenschappelijk in het bedrijf: “is dat nu een groot risico of niet?”.

Daarvan hebben we onmiddellijk een aantal criteria gedefinieerd: is er een impact op het

voortbestaan van het bedrijf; impact op personeelscompetenties; impact op onze procesbeheersing:

kan dat proces blijven lopen of niet als dat risico zich zou manifesteren?; impact op veiligheid: wij

werken op ‘fluida’, wij werken altijd onder spanning, zonder dat we de spanning wegkoppelen, dat

heeft wel gevolgen. Hoe ver kan je een proces gaan optimaliseren naar kosten toe en het risico voor

uw werknemer verhogen? Het impact op milieu, we hebben toch wel een aantal installaties die het

milieu kunnen impacteren. Impact op wetgeving.. impact op het naleven van cultuur en ethiek…dat is

een moeilijke. We werken met zeer veel aannemers en als die mannen werken in de ondergrond,

dan is er niemand van het bedrijf die daar toezicht op doet. Op het einde van het jaar krijgt die

aannemer een fles wijn. We hebben ethische regels, waar we in werkgroepen hebben afgesproken:

79

als je een fles wijn krijgt, kan dat ethisch of niet. Als je wordt uitgenodigd naar de voetbal in de loge,

kan dat of niet? Als je een abonnement krijgt voor het ganse seizoen, ja dat kan niet…maar soms is

dat moeilijk en de regel die nog al eens gevolgd wordt hier is: je krijgt een fles wijn…die komt in uw

gemeenschap…en als er eens een verjaardag is, dan gebruik je die fles wijn. Dat is niet persoonlijk

gebonden, maar af en toe wordt er iemand uitgenodigd naar een voetbalmatch. Dat is een moeilijke,

waar we toch wat last mee gehad hebben om het goed te definiëren.

Impact op het imago en de tevredenheid van de klant is ook belangrijk… Ook de impact op het

financiële.

Voor al die impacten hebben we bepaald wat klein is, matig, middelmatig, groot, zeer groot en

catastrofaal. Als je kijkt naar de catastrofale impact op het voortbestaan; als je meerdere

engagementen die in uw missie vertaald zijn, niet meer kunt naleven, ja dat is catastrofaal.

Dan kijken we naar de weging of waarschijnlijkheid (6 wegingen) van al die categorieën. Daaruit

volgt dan een matrix. De groene kleur is geen probleem, het gele is onder controle, oranje vereist

toch wat acties, en rood daar kan je niet mee wachten.

De tweede stap is het identificeren van risico’s. Dat is ook een beetje op de Deming-circle (plan-do-

check-act) gebaseerd, maar daar moet je toch altijd voor een risico even gaan denken: “hoe definieer

ik dat?”;”hoe classificeer ik dat?”; “Hoe capteer ik dat?”. Als we risico-maatregelen gaan doen voor

een bepaald risico…daar hoort een beheerstrategie bij: willen we dat risico absoluut vermijden,

willen we het delen met iemand anders, zeggen we dat we het aanvaarden, of willen we het

inperken. Voor elk risico wordt ook de strategie bepaald. Dan kijken we naar de maatregelen: willen

we preventief iets doen, detectief iets doen, of moeten we iets correctief doen. Ik weet dat wij

vermogensschakelaars hebben van een generatie die op een bepaald ogenblik defect gaat. Als het

kapot gaat dan moet het vervangen worden; dat is een voorbeeld van een correctieve maatregel.

Nu dat kadert bij ons wel volledig in ons volledig ‘organisatiebeheersmodel’. Hier bepalen we onze

KPIs, eigenlijk vertrekken we in het bedrijf van onze strategische doelstellingen. Die worden vertaald

naar strategische acties, maar zijn ook gekoppeld aan de strategische risico’s in het bedrijfsdomein.

Een niveau lager, daar gaan we naar tactische doelstellingen…zelfde systeem…daar zitten tactische

acties, daar zitten bedrijfsrisico’s met tweedelijnscontroles per bedrijfsproces per proces. Een nog

lager niveau, dat is het operationele…waar men operationeel risico voor een klein deelproces bekijkt.

Men zou kunnen zeggen: wat is het bedrijfsdomein financiën, wat is de manier waarop we facturen

beheren, dat is dan een deelproces… ge gaat lager en lager in de hiërarchie van het bedrijf.

Uiteindelijk kan dat leiden tot een individuele actie of een individuele doelstelling. Laten we zeggen:

80

die vermogenschakelaars…ze moeten er allemaal uit…wie gaat dat doen…dat zal een technische

agent zijn.

Binnen de risico’s hebben we strategische over het ganse bedrijf, maar ook tactische risico’s per

bedrijfsdomein, per proces zodanig dat wij tot op het laagste niveau weten wat de risico’s zijn.

De discussie: wat is een strategisch risico, een bedrijfsrisico, een operationeel risico en een

risicomelding…dat hebben we duidelijk gedefinieerd zodat dat voor iedereen hetzelfde is.

De vijfde stap is een opvolging van de risico’s.

De vraag is: wie beoordeelt dat dan allemaal? Op het hoogste niveau is dat het management comité

(MC), één keer per jaar. Dat zijn ook degenen die voor de grote processen verantwoordelijk zijn: de

uitbating, de aansluiting, investeringswerken, onderhoud, financiën voor het financiële, netbeheer

voor asset management, logistiek. Iedereen heeft zijn lijn. Daar doet men inschaling en dat gebeurt

door het globale MC. Het gebeurt al eens dat HR zegt: “ik vind dat mijn proces perfect onder controle

is”, en dat de collega zegt: “ik vind ik geen aanwerving, ik vraag dat al 6 maand”. Een globale visie van

verschillende mensen waar we proberen voor elk risico onze mening te zeggen. Wie mag dat nog

zeggen? Interne audit, maar enkel over de audit dat ze dat jaar gedaan hebben. Tijdens de audit

geven zij altijd een risico-inschatting van het proces. Ze kunnen bijvoorbeeld zeggen van het proces

‘aanwerven’: “het talent is niet binnengehaald, wij vinden dat dat ‘rood’ is”… HR kan zeggen dat het

oranje is… Daar probeert men dan toch een éénduidige visie te ontwikkelen.

Een niveau lager, de bedrijfsrisico’s die worden gecontroleerd door de proces eigenaars, dat zijn onze

senior managers.

Nog een niveau lager is dat dezelfde senior manager, maar met zijn ‘n-1’ medewerkers.

Iedereen in het bedrijf heeft risico-verantwoordelijkheid.

Ja, ja, ja! Die kan operationeel zijn: de uitvoerder; tactisch: lager kader; strategisch: dan komen we al

op niveau van senior managers. Wij laten het eigenlijk doordalen tot het diepste niveau in de

organisatie. Iedereen op zijn niveau zal zijn verantwoordelijkheid krijgen op basis van risico’s op zijn

niveau en de doelstellingen op zijn niveau.

In april gebeurt het volgende: we zijn proces-gestuurd en er zijn dus verschillende proces-eigenaars.

Permanent, voor elk proces is er, wat wij noemen, een senior business process analyst die

permanent zijn proces moet proberen te verbeteren. Er komen klachten binnen, er is schade

gevallen…we proberen dat proces te verbeteren. Zij zijn eigenlijk de eerste die een voorstel doen

van: “wij als senior proces eigenaars, wij vinden dat er een risico ontstaan is in ons proces”.

81

In mei-juni is het de business proces eigenaar die een risico-oefening doet op het operationele en

bedrijfsrisico. In juli is er een beoordeling door het senior management als voorbereiding voor het

MC; wij consolideren dan de resultaten. Wij hebben ook altijd een zomer-seminarie, dat is eind

augustus en op basis van die risico’s gaan wij dan de strategische acties gaan bepalen. Tussentijds is

het mogelijk dat er aan de hand van tweedelijnscontroles, wij wijzigingen doorvoeren. Een

tweedelijnscontrole is een soort van uitval-lijst waar we die altijd ook terug doorsturen naar de

mensen op het terrein. Als die tweedelijnscontrole altijd dezelfde fouten genereren, dan hebben we

een aparte dienst: DQCM (Data Quality Control Managers). Die doen dan de collectie, maar dan

zeggen we wel tegen de hiërarchie: “u heeft het niet zo goed gedaan”. We hebben ook een tactische

kwartaalrapportering.

Wij hebben een specifiek systeem: QPR, waar ,indien op basis van een risico-analyse een risico

gedetecteerd wordt, risico’s worden ‘gelogd’. Daar worden acties tegenover gezet. Dat wordt

gemonitored en gerapporteerd. En die rapportage gaat ook naar het auditcomité. Omdat in ons

auditproces, als auditoren in derdelijnscontrole vinden dat er fouten gebeuren, dan geven ze

aanbevelingen en dat kan zijn ‘vier sterren’ en dat stemt overeen met ‘hier loopt ge echt een risico

voor het bedrijf’… De ‘drie en vier sterren’ van het auditcomité, hebben we de verplichting

opgenomen ten opzichte van het auditcomité om daar een actieplan tegenover te hebben. Dat wordt

3-maandelijks beoordeeld door het auditcomité en is 1 van de elementen die opgenomen is in de LT-

incentives van het management comité. Als MC hebben wij globale indicatoren, waar we globaal

beoordeeld worden wat betekent dat we allemaal dezelfde beoordeling krijgen. Dat zijn indicatoren

die 3 jaar vooruit gevolgd worden om te vermijden dat ingrepen op één of andere parameter om

onze score naar boven te halen om dat jaar goed betaald te worden… dus we hebben

gemeenschappelijke indicatoren, waarvan die 3 en 4 sterren een onderdeel van zijn. Dat is kort

samengevat het systeem dat wij hebben samengevat, samen met Deloitte. Het is vrij

arbeidsintensief moet ik wel toegeven, maar het geeft toch wel, zeker aan de aandeelhouders, dat

geeft hen wel een indicatie of alles wel onder controle is. Het is ook een systeem dat goed

geapprecieerd wordt door onze revisoren. Ik heb al gezegd, we hebben een goed uitgebouwde

interne audit. Onze auditoren zijn allemaal gecertifieerd, vandaar dat wij ook aanvaard worden als

‘single-audit’. Dat betekent dat, als onze audit een audit doet op een proces, dan wordt dat gebruikt

door de revisoren. Dan wordt dat aanvaard als zijnde evengoed alsof zij het zelf zouden gedaan

hebben. Dat betekent wel dat de interne audit zeer onafhankelijk moet zijn, vandaar dat die

rechtstreeks aan mij, de CEO rapporteren, afgezonderd van de hele business, zodanig dat ze hun

onafhankelijkheid kunnen bewaren.

82

Hoe verloopt de rapportering aan de raad van bestuur? Jullie hebben een integraal risicobeheer

dus is het dan ook zo dat strategie en risico’s steeds in relatie met elkaar worden bekeken?

De tactische prestatie-rapportering gaat naar de raad van bestuur. Het MC bepaalt wat er moet

besproken worden. De stand van KPIs, de stand van actie, de stand van risico’s…wordt allemaal

gerapporteerd. De risico’s die de KPIs beïnvloeden worden driemaandelijks gerapporteerd aan de

raad van bestuur.

Eerlijk gezegd, geen populaire rapportering. Als ik daaraan moet beginnen, zijn er al een paar dat er

hun gsm bijnemen.. Het is soms iets te ver van hun bed. Dat gaat soms over zo’n gedetailleerde

elementen. De aandeelhouder, de bestuurder voelt er zich minder bij betrokken. Wij vinden het

belangrijk om het te detecteren, op te volgen en te rapporteren.

Heeft bepaalde regelgeving een impact gehad op hoe dat jullie naar risico’s kijken? Speelt

compliancy met regelgeving een rol tijdens risico-rapportering aan de raad van bestuur?

Iets wat wij ons niet kunnen permitteren is dat we iets doen tegen de wet. Ik zeg vaak: “ben ik

gelukkig met alle decreten in Vlaanderen…neen, maar zolang een decreet geldig is dan wordt dat hier

gevolgd”. Dat is toch wel 1 aandachtspunt, ik kijk dan naar de decreten die onze business sturen: wat

mogen we en wat mogen we niet. We zijn een bedrijf dat per jaar ongeveer 1 miljard aan aankopen

gegenereerd. Regels van Europese Aanbestedingen moeten correct gevolgd worden. Wij zijn toch

een niet-klein bedrijf en waar gaan ze eerste controles doen, dat is natuurlijk naar bedrijven zoals

ons. Een derde punt waar we momenteel aan werken is ‘sociale dumping’. Wanneer aanvaarden wij

een aannemer? Als hij voldoet aan de Belgische wetgeving. Vandaag is er veel discussie over allerlei

nationaliteiten die een klein bedrijfje oprichten…ze hebben dan geen werknemers, maar wel 7

vennoten..ze betalen te weinig sociale zekerheid.. Ik zeg: als ze voldoen aan de Belgische wetgeving,

mogen ze meedoen aan de aanbestedingen. Dat zijn toch 3 assen naar compliancy in de energie-

wetgeving, waar we als bedrijf veel aandacht aan geven.

Ik ga de vraag toch stellen: is er ergens ruimte voor verbetering op het vlak van interne risico-

rapportering in het bedrijf? Als ik kijk wat jullie allemaal…

Ja, zeer veel, zeer gedetailleerd… Te gedetailleerd of niet? Ik droom van een bedrijf zoals Toyota…die

volgden hun business op basis van 4 KPIs, maar dat is ook vrij gemakkelijk…dat is een

productieproces. Hoeveel wagens zijn er vandaag van die lijn van die band gerold? Dat is tastbaar. Bij

ons zijn onze KPIs niet altijd even tastbaar. Dat evenwicht vinden tussen mijn bedrijfsrisico’s goed

capteren, definiëren en meetbare performantie-indicators aanhechten en toch beheersbaar houden,

is moeilijk. Dat is de reden dat we dat oprollen naar onze 4 kleuren (rood, oranje, geel, groen). Want

83

onder elk item, hangen er misschien 50 operationele risico’s. Als je 50 operationele risico’s hebt en

die hangen onder een tactisch risico…dat is geen wiskunde.

Nog vragen?

Neen, al mijn andere vragen zijn reeds beantwoord.

Hoe was uw ervaring al bij andere bedrijven?

Zeer interessant om de literatuurstudie te vergelijken met hoe het er in de praktijk er aan toe gaat.

De literatuurstudie vertalen naar het veld… elk bedrijf heeft zijn ‘specialiteiten’. Bij ons staat

veiligheid erg bovenaan. Wij hebben liefst niet dat onze werknemers overlijden tijdens het uitvoeren

van activiteiten. Dat is ook een risico. Vorig jaar hebben we een dodelijk ongeval gehad. Maar als dat

frequent zou zijn, dan zou men zeggen: “onder spanning werken is onverantwoord”. Je moet uw

processen en procedures goed inschatten. Indien iemand toch een geleider aanraakt en hij heeft de

juiste manier van zijn persoonlijke beschermingsmiddel…dat zal erg zijn… maar dat zal nooit fatale

gevolgen hebben. Als je eens iets uitvoert op een gasleiding, ook al is het de duizendste keer dat je

het doet, maar dan moet je een brand-berschermende bivakmuts dragen. Ik zie in de zomer, als het

dertig graden is, dat er hier en daar iemand vindt dat het niet nodig is om het te dragen. Daar zijn we

zeer streng op, maar dat zijn ‘specifiteiten’ naar onze business. En elk bedrijf zal zo zijn specifieke

elementen hebben.

Dat lijkt me moeilijk te detecteren…

Ja, omdat… Daar is de vraag: heb je een beleid van sancties? Ge kunt dan zeggen: “ik heb daar

iemand gezien zonder muts op”…een maand thuis zonder wedde of ik ontsla hem…dat betekent dat

elk incident niet meer gemeld wordt. In een veiligheidsbeleid is het belangrijk dat mensen durven

zeggen…”oef, hier heb ik geluk gehad”…en dat ze dat dan komen zeggen. Dat kan soms een gebrek

aan kennis zijn. Gewoonte…”ahn, ik zie hier een kabel…dat zal wel laagspanning zijn”…maar dan is

het uiteindelijk middenspanning.. Daar mag je ook niet te streng zijn. Als mensen dat laten weten,

dan kunnen we nagaan en analyseren waarom hij dat heeft voorgehad? Waren onze plannen niet

duidelijk… Er gebeurt dan weer een risico-analyse. Iemand die hier komt werken moet eerst altijd

invullen wat voor hem of haar de risico’s zijn en wat hij inschat als risico’s.

84

10.3. Attachment 3 – Interview transcript: Realdolmen

Heeft het bedrijf een geformaliseerd proces om risico’s te kunnen managen?

Wij hebben meerdere processen. Misschien best eerst: “datum: 9 mei, Realdolmen, Thierry de Vries,

secretaris-generaal van de raad, vennootschapssecretaris (lacht)”. Wij hebben meerdere processen;

enerzijds een risk audit proces waarbij we de belangrijkste risico’s in kaart brengen. We hebben dat

al meermaals gedaan en het gebeurt meestal op dezelfde wijze maar niet altijd door dezelfde

personen. De laatste oefening is dat jaar gedaan door onze interne auditor; die doet dat aan de hand

van de belangrijkste bedrijfsprocessen: hij heeft er 33 uitgehaald dit jaar en heeft dit dan met

verschillende ‘business owners’ of proces-eigenaars besproken. De vorige oefening is al een paar jaar

oud en die is uitgevoerd geweest door Deloitte consultancy, niet door audit uiteraard. Op dezelfde

manier worden bepaalde processen geïdentificeerd, dan interviews…, en uiteraard kan er nog extra

materiaal toegevoegd worden aan die vragenlijst of antwoorden. Aan de hand van die antwoorden,

gaan wij over tot een eerste rangschikking. Men kijkt altijd naar dezelfde dingen, hé: wat is de

impact, wat is de likelihood? Dan zijn er uit hoofde van onze ‘maturity’ mitigating factors en zo kom

je uiteraard tot uw residueel risico. Dat geeft een bepaalde rangschikking waarbij je dan kan zeggen:

ok, interne auditor gaat nu verder werken in functie van de prioriteiten.

Je kan ook een heat map opstellen: uiteraard ga je dan focussen op de rode lijn. Dat is een eerste

belangrijk proces omdat dat aanleiding geeft tot een auditplan en nadien tot een systematische

rapportering aan het audit comité. Daarnaast heb je uiteraard risico-specifieke processen om het

risico te beheren, te volgen. Het algemene zijn al de processen die bestaan om de juistheid van de

rekeningen te waarborgen. De accuraatheid van onze financial statements is ook iets dat moet

onderzocht worden door het AC die instaan voor de juiste cijfers en de juiste aanpak. Zoals je weet,

staat er in de Code 2009 de aanbevelingen…dat staat trouwens ook in de wet over het AC. Zij moeten

de juiste cijfers waarborgen van het resultaat en de boekhouding. Daarvoor hebben we dan

processen bij ‘Group Accounting’: die hebben logische controles die in het pakket verwerkt zitten. Je

hebt het ‘four-eyes’ principle uiteraard. Mensen die in de leveranciers-boekhouding zitten, kunnen

geen projecten aangaan en wanneer ze een rekeningnummers ingeven, dan wordt dat

gecontroleerd. Er is een jaarlijkse of tweejaarlijkse controle met een tool van Deloitte, waarvan de

naam ik altijd vergeet, iets ingewikkeld. De bankrekeningen en andere identiteitsgegevens gaan ze

vergelijken met wat ze vinden in publieke databases om te zien of er geen gekke dingen uitkomen;

dat er geen betalingen zouden verricht worden aan belastingparadijzen of dat er geen rare namen

uitkomen bijvoorbeeld… Dat is een speciale tool die ze gebruiken. We zitten bij accounting, die doen

dus een hoop controles, met telkens een four-eyes principle. Dan komt de externe auditor daarop

auditen, dat is een andere manier om de financial statements te onderzoeken.

85

Volgende belangrijke niveau van het risicoproces, is het PMO: Project Management Office. Die

volgen in feite alle projecten op, dat is iets anders dan de verkoop van producten wat een

eenvoudige transactie is. Enerzijds heb je het product. Anderzijds hebben we ‘outsourcing’ als

activiteit waar we mensen verkopen, op oneerbiedige wijze gezegd, plaatsen: dat zijn ook vrij

eenvoudige contracten, waarvoor we een administratie hebben die zich bezig houdt met de

facturatie, enzoverder … Projecten is een combinatie van producten en diensten, dat is niet zo

straight-forward, vaak gecombineerd met onderhoud. Vandaag de dag komt het er op neer dat je

‘outsourct’. Wij hebben heel wat outsourcing, dat is een aparte tak in het bedrijf. Dus die projecten

worden opgevolgd door het PMO: zij volgen de ‘milestones’ op en ze gaan na of er een ‘overrun’ is of

niet, en ze gaan na of de inschatting naar behoren is gebeurd, zij geven ook aanbevelingen over de

contingency; welke risisco’s moet je gaan inschatten en wat staat daar tegen over: 1%, 2%, 3%, een

bepaald getal dat je aan een aantal projecten d’office gaat toevoegen in de kostprijsberekening om

mogelijk risico’s te kunnen betalen. Er zijn altijd onvoorziene omstandigheden en zij rapporteren

daarover naar de business owners en om de zoveel tijd naar de general manager en/of naar de CFO.

Samen met die projectopvolging met het PMO, hebben we ook een projectopvolging door de ‘Group

Reporting’, dus de controllers. Ja, ze heten controllers, maar eigenlijk doen die aan reporting. Die

hebben specifiek voor projecten tegen vaste prijs of fixed price, hebben die een overzicht van

projecten die in het rood gaan, waar er een probleem is. Ze noemen dat ‘intensive care’, een lijst van

projecten die ze persoonlijk gaan opvolgen, samen met de project manager om maandelijks een

inschatting te maken van het risico. Desnoods moet er een boekhoudkundige provisie genomen

worden die onze resultaten onder druk zet. Dat willen we uiteraard vermijden. Dat is dus wel een

belangrijke laag van risico management.

Dan de vierde, die zit meer op het niveau van compliancy in het algemeen. Je hebt beleid,

programma’s, procedures, processen, en uiteindelijk schriftelijke of mondelinge instructies. Die heb

je in allerlei vlakken, bijvoorbeeld rond ICT: bv. Hoe zit het met het gebruik van onze IT-omgeving?

Daar rond is er een beleid. Dat beleid resulteert dan in een aantal programma’s. Wij hebben,

specifiek rond IT-security, een apart beleid: dat komt erop neer dat je zeer voorzichtig moet omgaan

met de bescherming van het systeem, het netwerk en je back-up; er is een heel hoofdstuk over back-

ups. Naast dat specifiek beleid, is er ook nog een handboek dat nog meer in detail gaat en nadien

worden er processen uitgewerkt over… Ok, hoe zit het met het data-center? Wie mag daar binnen?

Wat gebeurt er als er iemand komt van de gerechtelijke politie met een mandaat van de

onderzoeksrechter om iets op te vragen, hoe gaan we daarmee om? Ja dan verwittigen we de

juridische dienst en verlenen we medewerking, maar we zorgen er altijd wel voor dat er iemand bij is

om te documenteren wat er gevraagd wordt en wat er gegeven wordt. Dat zijn dan die processen,

86

dat kan eventueel gepaard gaan met individuele instructies aan mensen. Dit wordt beperkt tot een

aantal mensen, zo beperkt mogelijk om hen admin-rechten te geven. Om te vermijden dat iedereen

via die rechten in onze boekhouding zou terechtkunnen, of in onze personeelsbestanden zou kunnen

terechtkomen. Het is de vierde lijn van onze ‘three lines of defense’.

Heeft het bedrijf een soort van risicofilosofie of een risk appetite dat duidelijk definieert welke

risico’s, en in welke mate bepaalde risico’s, kunnen worden aangegaan om strategische

doelstellingen te kunnen behalen?

Ik heb zelf een risk appetite model uitgewerkt een paar jaar geleden, met betrekking tot contracten.

Dat zit dan in de standaardovereenkomsten. Wij hebben niet altijd standaardovereenkomsten. Wij

hebben dus gezegd van kijk: bepaalde clausules zijn rood, bepaalde oranje, andere groen. Met

andere woorden: als het groen is, gaan we er vanuit dat alles in orde is. Die classificatie van groen-

oranje-rood kan helpen. Wat is groen? Groen is wanneer de klant zegt: we kopen bepaalde dingen,

maar we kopen ze enkel in uw vaste productengamma. Dat is in orde, want we zeggen altijd: als het

in ons gamma zit, dan beheersen we dat risico in feite. Wij onderhouden dat contract met die

leverancier. Of gaat die klant zeggen: ik wil een betalingstermijn van 60 dagen, waar dat onze

standaard 30 dagen factuurdatum is. Dat is een oranje clausule, wat betekent dat we zeggen: de

facto, we weten dat het toch vaak naar de 60 neigt en zeker in de openbare sector waar dat

standaard is. Weet je wat? Jij als business owner of de legal moet daarzelf over beslissen. Misschien

is het sommige gevallen dat we wat weerwerk bieden, maar in de meeste gevallen gaan we dat

aanvaarden. Onze risk appetite laat ons toe om dat te aanvaarden. Als een klant zegt van: sowieso, ik

betaal pas na 180 dagen, dat is duidelijk een rode clausule. Dat kan op geen enkele manier binnen

onze bestaande perken gebracht worden. Een rode clausule gaat alleen aanvaard worden, dus die

beperking dat verbod dat risico niet te nemen, kan alleen worden overruled door een directielid, en

daar zijn er niet te veel van. Dat houden we onder controle op die manier. Dat is een model van risk

appetite. Hoe hebben we dat dan in de praktijk gebracht? Wij hebben dat aangeleerd aan de mensen

die de contracten opmaken, contract support. Wij hebben dat op de portal van legal gezet en dat

noemen we geronimo. Ik weet niet meer waarom die naam; daar zit een hele afkorting achter met

risico-elementen in. We hebben een geronimo voor klanten; contract support, en we hebben ook

een geronimo voor sales. De sales mogen dit niet weten. Die kennen die tabel niet, want anders gaan

die automatisch zeggen: ”Ok, ’t is goed, we gaan direct naar het oranje opschuiven”. Dat willen we

vermijden en daarom hebben die geen toegang tot die tabel. Enkel de mensen van contract support

en die duwen altijd naar het groene. Wanneer ze het niet kunnen halen bij wijze van spreken, dan

halen ze de legal erbij om wat extra gewicht in de schaal te gooien. In de geronimo van sales staan er

andere dingen, bv.: begin niet zonder contract en denk eraan dat je op tijd en stond verslag moet

87

uitbrengen en als er problemen zijn, meldt die dan op tijd. Belangrijke informatie die moet helpen

om risico te kunnen beheren. Uiteraard volstaat het niet om dat op de portal te zetten, we moeten

daar ook trainingen rond geven, en wat nog het meeste efficiënte is: persoonlijke coaching.

Wat spijtig genoeg nog gebeurt is dat er iemand buiten de lijntjes kleurt. Afhankelijk van de zaak

wordt er een persoonlijk gesprek gevoerd met de bedrijfsjurist, of met mijzelf, of met de general

manager, of met general manager en mijzelf en dan is het niet goed (lacht).

Is er iemand in de organisatie die een centrale functie in verband met risico vervult?

Ik zeg altijd, dat is mijn slogan: we hebben allemaal dezelfde job, iedereen in het hele bedrijf. Van de

receptioniste tot de algemene directeur, wij zijn allemaal risk managers in onze eigen taken. Dat is

belangrijk, dat is dus de mindset die bij iedereen zou moeten leven. Dat is niet altijd natuurlijk. Voor

de rest: de risico’s worden voor een groot stuk beheerd door het senior management en de internal

auditor heeft zelfs een bepaalde vorm van coördinatie en uitvoerende

controle…verantwoordelijkheid.

Interne auditor moet niet enkel rapporteren aan de algemene directeur, maar ook aan het audit

comité.

U sprak van “four lines of defense” in Realdolmen… Risico’s worden dus niet centraal gedragen en

er gebeurt dus een delegatie van zogezegde ‘ownership’ naar andere functies binnen het bedrijf?

Ja, we zijn met 1200 mensen en we sluiten 1000en contracten per jaar. Uiteraard kan je dat niet

centraal beheren. We zijn toch wel verplicht om…vandaar het belang van die lines of defense. Die

vierde lijn helpt het beleidsprogramma en helpt ook om de cultuur binnen het bedrijf af te stemmen

op risico’s. Je mag daar niet in overdrijven: je mag niet constant lopen zwaaien met risico’s want dat

is cyclisch, dat gebeurt in veel bedrijven denk ik. Wanneer het dus echt heel erg slecht geweest is,

dan gaat iedereen in een kamp en dan worden er extra maatregelen, extra diensten en extra

aandacht besteed aan het risicobeheer. Dan worden mensen vaak een beetje te voorzichtig, dan krijg

je achterstand in je pipeline, in je resultaat, dan beetje bij beetje moet je dan weer lossen. Wat wij

als legal altijd zeggen is: wij helpen in de business in het realiseren van een goede risk ratio. Wat is

dat? Heel eenvoudig: de verhouding tussen positieve en negatieve risico’s. Wij helpen die te

bewaken. Er zijn heel veel positieve risico’s: je moet risico nemen, ondernemen is risico nemen, die

kunnen leiden tot opbrengsten en winst. Er zijn uiteraard ook heel wat negatieve risico’s. Je moet die

twee in balans brengen. Daar moet je bewust mee bezig zijn. Wij als business-partner, de

bedrijfsjusrist als business-partner, wij wijzen daarop. Wij kunnen bijvoorbeeld een vraag stellen: kan

je dat wel? En hoe ga je dat doen? Hoeveel kost dat? What if? Er komen altijd what-if vragen. We

proberen dus altijd, op voorhand, te zoeken naar evenwicht tussen die positieve en negatieve

88

risico’s. Als het kalf verdronken is, zoeken we naar de beste mogelijke oplossing. De mensen moeten

tijdig op de hoogte gebracht worden, dus zoeken wij constant naar mogelijke problemen en die

‘vlaggen’ we dan. Daar wordt dan een preventielijst voor ontwikkeld: eenmaal per maand geef ik,

samen met mijn collega’s van de directie, en houden we de aandacht preventief op dit of dat dossier

waar er iets verkeerd gebeurt. Die lijst wordt dan overgedragen aan het management en de directie

om risico’s op een preventieve manier te kunnen beheren. Dit is ook handig om de risk appetite te

wijzigen of te toetsen of te testen.

Wat zijn belangrijke aandachtspunten tijdens die communicatie tussen die 4 verschillende lines of

defenses?

Je komt natuurlijk heel vaak dezelfde mensen tegen in die lijn. Finance…het AC duikt ook regelmatig

op. PMO, daar zit die group reporting van finance weer tussen..internal auditor komt ook eens naar

boven. IT manager zal in het kader van projectwerk of in het kader van het auditplan aangesproken

worden… Je hebt te maken met een aantal bruggetjes tussen die verschillende lines of defense.

Ofwel is dat via de CFO of via de secretaris, mezelf, via de IT manager, via de internal auditor. Dat

gebeurt dus via mensen die betrokken zijn in die lines of defense.

Gebruikt het bedrijf tools om risico te rapporteren? U sprak daarnet al van een heat map…zijn er

nog andere?

We hebben onze ‘intensive care’ dat wordt weergegeven via een bubble-chart. Behalve die bubble

chart zijn er nog andere tabellen, je kan zoveel grafieken en modellen maken. Als je een ‘Excel’ hebt

met veel gegevens kan je veel leuke charts maken. Je mag je niet blindstaren op een chart. Een heat

map is ook maar een voorstelling, is maar een chart. De tools zijn in feitelijke de interviews, de

classificatie, het bevragen en het testen, samenwerking tussen interne en externe auditor is ook een

tool op zich. Die bijzondere tool van Deloitte, waarvan ik van sprak, die dus al die publieke gegevens

kan gebruiken om de bedrijfsgegevens te gaan controleren…dat is ook een speciale tool. Wat

projecten betreft, gebruiken ze de tijdsregistratietools. We hebben nog andere tools…SPARX, dat is

ook iets dat gebruikt wordt in de ‘project factory’ waar men software bouwt, dat is ook een

rapporteringstool.. Ja, iedereen heeft zowat zijn eigen tools, zowel de mensen van infrastructure als

internal IT..die hebben ook tools om bijvoorbeeld de firewalls en de performance te meten, zeer

technische dingen. Dat zijn allemaal IT-tools, maar die gebruiken ze omdat het hen toelaat om risico’s

te beheren.

Wie is er verantwoordelijk voor het rapporteren van risico-gerelateerde informatie aan de raad

van bestuur?

89

Het management.

Wordt risico in functie van strategie bekeken of wordt er voornamelijk toch nog gekeken naar

compliance tijdens het rapporteren aan de raad van bestuur?

Compliance is niet de toetssteen of het watermerk … Het proces van ijken gebeurt niet aan de hand

van compliance, het gebeurt aan de hand van de functionele risico’s. Dat is dus dat eerste proces: de

belangrijkste risico’s worden daar ingeschat in functie van de strategie. Bijvoorbeeld de eerste vraag

was: is er een afdoend proces om de strategie vast te leggen…dat op zich kan al een groot risico zijn

moest dat proces niet goed zitten.

Wat is volgens u de functie van risico rapportering aan de raad van bestuur?

Het is een verplichting van de raad om toe te zien op de uitvoering van de strategie en om toezicht

uit te oefenen. Wat is toezicht uitoefenen? Zien hoe het bedrijf de strategie uitvoert en omgaat met

de assets van het bedrijf. Uiteraard moet je rekening houden met de risico’s want in je

bedrijfsvoering moet je zorgen dat je strategische doelstellingen behaalt, moet je zorgen dat je geen

geld verkwanselt, en moet je zorgen dat je aan je toekomst bouwt. Dat zijn evenveel risico’s wanneer

je dat niet doet, en daar moeten zij op toezien. Dus dat is de reden waarom de raad zich in alles de

vraag stelt: waarom, hoe, verloopt dat goed?, what-if…zij stellen heel veel what-if vragen.

Dus risico-rapportering is niet echt een aparte oefening, maar behoort tot het bredere geheel?

Risico-rapportering is een apart onderdeel in onze, wat ik noem, de running agenda van de

periodieke onderwerpen van het audit comité waar dat we dan uiteraard de periodieke

resultaten…dan heb je de ruling agenda over nota bene de betrouwbaarheid van de cijfers en de

verslaggeving van de internal auditor. Elke keer als er een audit comité is, komt dat vast aan bod.

Maar wanneer wij een discussie voeren over het budget of de jaarresultaten… dat is een andere

meeting. In elk onderdeel wordt er gesproken over risico’s. Zoals ik eerder zei, ze stellen veel ‘what-

if’ vragen?

Heeft compliance met allerhande regelgeving een impact gehad op hoe jullie kijken naar risico’s?

Ja, ik denk het. Ik heb daar toch voor geijverd, dus ja het is moeilijk om tegen de compliance officier

te zeggen: denk je echt dat compliance iets bijdraagt, is dat wel belangrijk überhaupt? Dan zeg ik ja.

Zonder mij zou er hier niets gebeuren van risico, dat is een overdreven statement, dat is niet waar

(lacht). Zonder een compliancy-insteek gebeuren de zaken meer ‘ad hoc’ en minder ‘high-level’ of

systematisch…is er minder een holistische aanpak. Wij hebben in de tijd moeten ijveren om een

internal auditor te hebben en om daar een headcount aan te kunnen toewijzen. Ik werk hier al lang,

90

ja ik heb het begin gezien, hé. Met de eerste Code Lippens enzoverder, in navolging van Tabaksblad

in Nederland en de andere naam onstnapt mij in Engeland… Dat waren relatief nieuwe begrippen in

het begin van de 21e eeuw. Dat was niet evident, toen werd er ‘ad hoc’ en naar persoonlijke inzichten

aan risicobeheer gedacht.

In de literatuurstudie las ik dat compliance met regulation eerder backward-looking is en dat een

ERM eerder forward-looking is. Kan u dat verschil begrijpen?

Ja, ik kan dat verschil wel begrijpen, maar ik ben daar niet mee akkoord. Uiteraard, weet je dat is de

aanpak van compliance zoals de klassieke bedrijfsjuristen dat ook doen. “Geef mij een regeltje en ik

zal zien of dat het regeltje wordt nageleefd en dan zal ik zeggen of het nageleefd wordt of niet”, dat

is een ‘a posteriori’ aanpak, die meestal vrij logisch is omdat de regeltjes vrij steriel zijn… Het is

begonnen met SOX…de SOX-filosofie is heel snel verwaterd in een “check-the-box” oefening. Dat is

waar, maar je moet ook zien hoe SOX opgebouwd is. Daar stonden de gekste dingen in: enorm

uitgebreid, maar allemaal geschreven vanuit een ‘ex post point of view’, nooit vanuit een ‘ex ante

point of view’. Uiteraard krijg je dan een ‘check-the-box’ oefening. Dus wat heeft Europa gedaan,

Europa heeft gezegd: in plaats van die strenge SOX-aanpak, gaan wij hier aan ‘self-regulating’ doen.

We gaan ‘comply or explain’ invoeren. Dan moet je toch al eens gaan nadenken van: complyen

waarmee in feite en waarom zouden we dat doen en in feite wil ik dat niet doen omdat…en dan

begin je dat uit te leggen en daar kunnen best gegronde redenen voor zijn. Maar dan ben je al naar

de toekomst aan het projecteren, dat is ex ante en daar ga je dus anders mee omgaan. Hoe

zichtbaarder de finaliteit wordt, hoe beter je jezelf kan organiseren. Een voorbeeld was de lange

termijn die er was op vlak van compliance om de gender diversity in te voeren in de raad van

bestuur. 2017 was de termijn om te zorgen dat je 1/3 vrouwen in de raad kreeg. Door daar heel tijdig

aan te beginnen en dat bewustmakingsproces goed te voeren, zijn de meesten er wel in geslaagd om

op tijd te komen aan hun 33%; dat is perfect gelukt, omdat je dan forward-looking je risico kende,

kon inschatten, kon nadenken over redenen waarom je het niet zou doen, waarom je het nog niet

gedaan hebt… dat heeft perfect gewerkt. Die aanpak in Europa is op dat vlak behoorlijk geslaagd

denk ik.

Het is grappig dat u het geval van de vervrouwelijking van de raad van bestuur ook vermeld heeft.

Één van mijn interviewees zei: ‘hoe kan dat nu een impact hebben op ons resultaat?’. Kan u, zoals

die persoon, zich daar in vinden dat sommige compliance met regelgeving het doel soms wat

overstijgt? Wat is uw mening hierover?

Ik ben voorstander van bepaalde strikte doelstellingen, want anders gaat dat ‘change process’ nooit

echt gebeuren. De meeste mensen zijn conservatief: iemand die macht heeft, deelt dat niet

91

gemakkelijk. Je moet maar kijken naar bepaalde landen, werelddelen, bevolkingsgroepen, whatever,

waar de helft van de bevolking veel minder rechten heeft dan de andere helft. Dat wordt niet zomaar

opgegeven. Idem dito, als we die doelstelling niet gehad hebben om meer vrouwen in de raad te

krijgen, dan hadden we er ook nog niet zoveel gehad. Geeft dat een garantie op betere resultaten?

Volgens de literatuur, die altijd wordt aangehaald en die dus meestal uit de VS of uit Scandinavische

gebied komt, blijkt daar wel een correlatie te bestaan tussen die vorm van diversiteit en het

resultaat. Natuurlijk, je moet daar voorzichtig mee omgaan; we spreken nog altijd

beursgenoteerd…het is maar een vorm van diversiteit; het kan even nuttig zijn om binnen eenzelfde

gender-groep verschillende opinies en verschillende persoonlijkheden te hebben enzoverder. Daar

hoeft niet noodzakelijk een ander geslacht bij te zijn. Maar in onze ervaring hier, ben ik er toch vrij

van overtuigd dat de diversiteit op het vlak van geslacht absoluut een nieuwe kijk heeft gebracht,

niet noodzakelijk een betere, maar een nieuwe, frisse kijk. Het is heel moeilijk om in raden van

besturen vers bloed te krijgen. In elke groepsdynamiek is er veel conformisme; dat is het probleem.

De Code zegt gewoon: zoek naar mensen die hun mening geven, zoek naar echte onafhankelijke, dat

hangt niet met het geslacht samen maar je moet onafhankelijke denkers hebben. Onafhankelijkheid

geeft nieuwe inzichten en die zijn absoluut nodig. Die zullen de status quo bevragen; dat is belangrijk:

je moet challengen.

Is er ruimte voor verbetering op het vlak van interne risico-rapportering?

Naar tools toe? Er zijn altijd betere tools, natuurlijk. Ze zijn nuttig, maar…het nadeel van tools is dat

ze met verstand moeten gebruikt worden, hé. Het mag geen check-the-box oefening zijn. Een tool

vervangt geen mentaliteit, mentaliteit is het belangrijkste. De mindset is het belangrijkste. De tools

ondersteunen de mensen die aan risicobeheer willen doen. Mensen die niet aan risicobeheer willen

doen omdat ze zogezegd geen tijd hebben, die gaan ook blij zijn daarmee omdat ze er iets in kunnen

inzetten, ‘dan is er wel iets’. Hangt er vanaf wat de mindset is. Wat is de cultuur, zoals altijd wordt de

toon gezet aan de top, hé.

92

10.4. Attachment 4 – Interview transcript: Company A

Heeft het bedrijf een geformaliseerd proces om risico te kunnen managen?

Nee, er is niks van procedure of uitgeschreven regels. Ja, het is een beetje, denk ik, deel van de

corporate governance, het algemene, de regels die we hebben. En ook zoals bij corporate

governance weet je dat de mentaliteit en de ethiek het belangrijkste is, maar we hebben er eigenlijk

geen manifest of document over. Wat dat wel is, is dat we een aantal ‘checks and balances’ hebben

die in de praktijk risico-rapportering eigenlijk wel in de hand werken, of er in feite voor zorgen dat

dat eigenlijk wel in orde is.

En heeft het bedrijf dan een soort van risicofilosofie dat duidelijk afbakent welke risico’s, en in

welke mate deze kunnen aangegaan worden om strategische objectieven te behalen?

Dit bedrijf is een beetje, in vergelijking met andere beursgenoteerde bedrijven natuurlijk iets

verschillend omdat onze business nu eenmaal een risico-taal is. Je zal dat wel al gezien hebben, dat is

één van de belangrijkste grafieken die er zijn, risk-reward. Je kan geen rendement halen zonder dat

er risico genomen wordt. Uiteraard, als we zouden het ultieme doel hebben om geen risico te

hebben in onze business as such, dan zijn er ook geen investeringen. Dus elke investering draagt

risico in zich. Wat dat je daar in feite wel kunt proberen te beperken is door een spreiding. Dus je kan

verschillende zaken gaan doen en dus ook de levensfasen van het bedrijf waarin je investeert. Start-

ups…meer risico, mature bedrijven minder dus daar kan je wel een stuk uw risicoprofiel definiëren

op voorhand. Je kan gaan zeggen: we gaan niet investeren in start-ups, maar daardoor sluit je in feite

al een groot stuk risico uit. Of we gaan enkel die sectoren.. Het probleem is dat dat meestal een

negatieve keuze is: we gaan dat niet doen, we gaan geen biotech doen omdat we er niets van kennen

of geen start-ups.. Maar ok, elk dossier heeft zijn eigen merites en moet op zich opnieuw bekeken

worden, we hebben daar ook al van afgeweken van wat in feite een heel goede investering was. Dus

je kan het niet zo zwart-wit gaan stellen. Dat is één zaak. Dat is het risico in feite in uw business.

Maar dan heb je nog andere risico die speelt, dat is meer naar corporate governance agency

theory…hoe ga je dat risico naar fraude en verkeerde rapportering aanpakken… En daar kunnen we

enkel op reageren door in feite zoveel mogelijk functies te gaan ontdubbellen: controle, externe

boekhouder, auditor, natuurlijk de bankcommissie die ook altijd alles bekijkt. Dat zijn natuurlijk 2

verschillende waar dat we de meeste risico-categorieën hebben: de ene is nu eenmaal de business

en de andere is één meer gedreven door procedures. We proberen dit in te perken.

93

En is er dan iemand in de organisatie die een centrale functie vervult in verband met risico?

Neen, er is geen aparte functie as such aangewezen. In de praktijk zijn dat dus de voorzitter van de

raad van bestuur die mijn werk gaat gaan controleren en dan de raad van bestuur in zijn geheel als

controle-orgaan, externe boekhouder, auditor en bankcommissie. Er is dus eigenlijk een

wisselwerking, maar er is geen risk officer.

Welke andere organen of units in de organisatie dragen dan een soort van risico-

verantwoordelijkheid?

In feite iedereen die in de praktijk beslissingsrecht heeft om bepaalde zaken te gaan doen:

bankoverschrijving, investering, een beslissing binnen een investering, ja dat draagt een risico in zich.

Als u beslist om iets te gaan doen, kan dat een impact hebben op het financiële resultaat. Het is dus

wel zo dat de raad van bestuur een beslissing moet opvolgen, goedkeuren of tegenhoudt. Maar ook

bepaalde dossiers, waar we bijvoorbeeld werken met één bestuurder die dan ook nog eens in de

praktijk meekomt en de investering gaat opvolgen…die heeft natuurlijk zijn verantwoordelijkheid,

niet alleen wettelijk als bestuurdersaansprakelijkheid, maar ook gewoon als bestuurder die een

bepaalde beslissing van een welbepaalde vennootschap goedkeurt. Als het bedrijf failliet gaat, dan

heeft dat natuurlijk ook een impact naar het risico-financiële voor de rapportering van ons bedrijf.

Die verschillende mensen die verantwoordelijkheden hebben, mogen die risico managen volgens

hun eigen goeddunken?

Ja, binnen bepaalde perken, is dat zo, zeker bij kleine bedrijven, heb je daar een soort van vrijheid,

hé. Je kan niet voor alles terugkoppelen. In de praktijk is dat wel al verbeterd. Tuurlijk moderne

technologie helpt daar wel bij. Na 20 jaar zie je wel al dat dat veranderd is. Het is makkelijker om

iemand te bereiken en ook zeker als je bepaalde beslissingen op tafel moet leggen van waar je weet:

‘ok, dat gaat een LT impact of een aanzienlijk belang zijn’. Uiteraard is het dan maar ‘een kleintje’ om

te zeggen: ‘sorry ik ga even afchecken met de mensen die het ook kennen’. Dat is geen formele raad

van bestuur, maar er zijn wel mensen die het dossier goed kennen. Dat is dus direct al een check dat

je kan maken.

Hoe verloopt de informatieflow in het bedrijf rondom risico? Wat zijn bijvoorbeeld belangrijke

aandachtspunten?

Dat is terug niet zo strikt omlijnd. Onze rapportering dat we normaal doen gaat voornamelijk over

zaken in onze dossiers. Daar zijn onze grootste risico-punten. Dan is het eigenlijk pas meer, zouden

we zeggen, op vastgelegde tijdstippen. Wij doen om de 6 maand een publieke rapportering. Een

‘closing’ ook, waar natuurlijk ook een extra controle komt door de auditor, een commissaris-revisor

94

die aangesteld is, die ook nog een keer de procedures en in feite de manier waarop je werkt gaat

checken. Voor de rest is dat iets dat continue gebeurt en dat enkel naar boven komt als er iets mis

zou lopen.

Dus voornamelijk afhankelijk van de dossiers?

Ja, de dossiers zijn het belangrijkste in feite. Ok, het zijn ook de meest zichtbare, de grootste

potentiele problemen. Ik steel geld uit de kas, of iemand die bevoegdheid heeft om banktransacties

te gaan doen gaat geld overzetten van ons bedrijf naar zijn privé-rekening… Het duidelijk voorbeeld

van fraude is iets dat maar na een tijd gaat opkomen. Stel dat we verschillende bankrekeningen

hebben waar je dagelijkse transacties meedoet en andere waar je sporadische banktransacties

meedoet, ja dan ga je dat maar zien na een tijd, misschien is die ondertussen al verdwenen. Dan heb

je misschien meer moeilijk traceerbare of vindbare… ja fraude is risicovol. Iemand die in onze stiel

bijvoorbeeld in een investeringsdossier persoonlijk geïnvesteerd heeft en die stelt dat dan voor aan

de raad van bestuur…dan heeft die er alle belang bij om de investering te laten doorgaan omdat hij

er zelf kan cashen daardoor. Als je dat via verschillende vennootschappen afgeschermd hebt, of er

zijn afspraken gemaakt met side-letters… dat zijn zeer moeilijke dingen terug te vinden op KT, terwijl

dat dat 1 van de grootste risico’s zijn. Het verschil met theorie en praktijk, wat ik de voorbije jaren in

de bankencrisis heb gezien met off-balance transacties…die ga je niet zo makkelijk zien, het valt uit

uw procedure terwijl dat dat een fantastisch risico is. Het kan exploderen in feite, zeker als je met

afgeleide producten gaat werken. Kijk naar Dexia, Fortis, met hun hedgen, het potentiële risico is

enorm, terwijl het moeilijk terug te vinden is in de dagelijkse rapportering.

Gebruikt het bedrijf bijvoorbeeld tools om risico te rapporteren?

Nee, dat is eigenlijk in de gewone rapportering. We hebben geen specifieke tool of

rapporteringsvorm over, nee. Dat wordt geïntegreerd in de gewone rapportering.

Wie is er uiteindelijk verantwoordelijk voor de rapportering naar de raad van bestuur?

We zijn op verschillende niveaus verantwoordelijk. De RvB is collegiaal als 1 orgaan verantwoordelijk.

Als ik iets verkeerd zou voorstellen, en de raad van bestuur keurt het goed en het gaat naar buiten in

de vorm van een persbericht, dan gaat de raad van bestuur uiteraard eerst de verantwoordelijkheid

moeten opnemen. Zij gaan natuurlijk mij, tweede stap, aanvallen en procederen tegen mij, maar het

is uiteindelijk de raad van bestuur die collegiaal de verantwoordelijkheid draagt.

De externe IFRS-specialisten zijn een extra veiligheid, een risico-afdekking. Eerst rapporteert de

externe boekhouder aan de commissaris, en dan komen er dikwijls vragen ivm foutjes… Dat doet de

efficiëntie van de rapportering wel niet goed, omdat er achteraf wel bepaalde opmerkingen komen

95

in verband met fouten. Als de externe boekhouder rechtstreeks rapporteert aan de commissaris,

vermijdt je belangenvermenging en dat is wel een goede check. Als je bepaalde zaken laat checken

door externe partijen, dan ga je zaken kunnen checken waar je anders zelf overziet. Dat is een goede

extra ‘checks and balances’.

Aan welke risico-gerelateerde informatie wordt het meeste belang gehecht tijdens rapportering

aan de raad van bestuur?

Bij ons zijn dat de dossiers zelf – de investeringen. Je gaat kijken: hoe gaat het, zitten we op schema?

Naargelang de soort bedrijven waarin geïnvesteerd, zijn het bijvoorbeeld klassieke, mature

productiebedrijven, dan gaan de cashflows redelijk stabiel blijven.. Je gaat uiteraard hier geen

potential return op krijgen van maal 10. Dan heb je uiteraard ook investeringen die meer aandacht

vragen: jongere bedrijven, moeilijkere sectoren, of het ‘turnaround-verhaal’ waar we ook wel eens in

durven investeren. Dat is in bepaalde perioden zeker intensief, zelfs zover dat we er op zondag mee

bezig zijn. Dan ligt dit ook bovenaan de agenda en wordt er meer over gerapporteerd. Je mag ook

niet de denkfout maken om bijvoorbeeld 500.000 te investeren in een dossier dat heel veel vraagt

en in een ander 5.000.000 dat minder tijd vraagt… ja, het is soms een afweging dat je moet maken in

verband met prioriteiten stellen tijdens risico-rapportering naar de raad van bestuur. Het effect dat

het zal hebben op de totale intrinsieke waarde speelt een belangrijke rol, maar logischerwijze wordt

er eerst gerapporteerd over wat er ‘brandt’.

Het bedrijf heeft een gediversifieerde portefeuille van een verschillend aantal aandelen…

Ja, maar minder dan vroeger.

Wordt er dan ook gekeken naar de portefeuille in zijn geheel?

Jawel, eerst de grote lijn van zo’n pot: daar is nog zoveel cash en er is zoveel geïnvesteerd… Gaan we

meer naar exit van bepaalde bedrijven, dus meer cash, of is het de bedoeling om fully-invested te

gaan om meer druk te zetten op dossiers. Laatste tijd ligt de focus op wat we hebben, de portefeuille

safe stellen , uitbouwen dan echt nieuwe dossiers aan te gaan.

Wat is volgens u de functie van risico-rapportering aan de raad van bestuur?

Het is zeer nuttig, het is echt belangrijk dat dat ook gebeurt. Maar het is veel meer een soort extra

van: ‘ok, is de manier waarop de constellatie van het bedrijf: algemeen directeur, rvb, externe

boekhouder, comm-rev,… is dat genoeg ingedekt naar de manier waarop we werken?’. Procedures

en dergelijke, wordt niet noodzakelijk maandelijks aangehaald. Er gebeurt ook een evaluatie, wat ook

in de wetgeving voorkomt, wat niet slecht is. De inschatting van risico wordt bij ons heel frequent

96

gedaan omdat wij werken met risico-kapitaal. Zowel bestaande, als nieuwe dossiers worden continue

overlopen om na te gaan welke risico’s ze lopen. De belangrijkste regel bij investeringen is: iedereen

lijdt verliezen. Dat is logisch. De indekking van ‘worst case scenarios’ gaan we bekijken: wat als dat

verkeerd loopt… dat is belangrijk en daar wordt toch wel veel tijd aan besteed wordt hoor. De sector

waarin we werken heeft uiteraard ook een grote impact op de manier waarop en hoe risico wordt

gerapporteerd. Onze business brengt nu eenmaal risico met zich mee dus dat is toch wel belangrijk,

ja.

Heeft bepaalde regelgeving een impact gehad op hoe het bedrijf risico beheert? Ik denk

bijvoorbeeld aan the Belgian Code on Corporate Governance…

Ok, het is natuurlijk een beetje sarcastisch dat de persoon die de code geschreven heeft, betrokken is

in één van de grootste… je ziet dat dat een dode letter blijft als dat niet in de mentaliteit zit

uiteindelijk. Zeker kleinere bedrijven gelijk dat van ons zien dat eerder als een extra regeltje, een

extra last die erbij komt. Ok, het gaat zeker zijn nut hebben, maar het schiet zijn doel vaak voorbij

omdat het te zwaar wordt. Ik geef soms het voorbeeld: bij het begin als ons bedrijf moest

rapporteren als investeringsmaatschappij, deden we dat met 2 tot 3 pagina’s met kerncijfers en de

intrinsieke waarde van de portefeuille, wat belangrijk is voor de investeerder die een aandeel heeft

in een investeringsmaatschappij. Mensen kunnen dan vragen stellen: hoe zit het daarmee, etc… Dat

is begrijpbaar… Nu doen we IFRS/IRS opgelegd, met persberichten van 15 tot 20 pagina’s. Nu krijgen

we geen vragen meer, dat is dus in feite een overdondering. Die regels veranderen om de zoveel jaar,

interpretatie van IAS, … Mensen stellen gewoon geen vragen meer omdat ze zich niet willen

belachelijk maken of het gewoon niet begrijpen… Wie begrijpt wat een impairment test is… Mensen

hebben schrik om vragen te stellen, waardoor we de kans verminderen dat onze investeerders het

allemaal begrijpen. Het schiet zijn doel vaak voorbij. Ik ben wel akkoord dat het de moeite is, maar

het is moeilijk. De commissaris-rol is daar belangrijk in, externe aangestelde auditor die alles nakijkt

en dus handelt in belang van de kleine en grote aandeelhouders. Die rol is cruciaal. Zij moeten ook

risico inschatten buiten de wet, gaan proberen te interpreteren en opsporen; niet enkel wat er

voorgelegd wordt, maar pro-actief. Een stap verder denken, kan wel helpen. Een heel belangrijk

probleem, maar dat horen ze niet graag: de commissaris wordt betaald door de vennootschap; hij

heeft wel zijn codes, maar ok, hij wordt natuurlijk nog altijd wel betaald door de vennootschap.

Indien hij continue negatief oordeelt, wordt uw mandaat niet verlengd als je begrijpt wat ik wil

zeggen... Dat is natuurlijk een fundamenteel probleem. Mijn opinie en advies zou zijn om daaruit van

te werken vanuit de bankencommissie om het niet aan bedrijven over te laten om de commissaris te

kiezen, maar te laten aanstellen door een overheidsorgaan. Bijvoorbeeld de bankencommissie zou

commissarissen kunnen aanstellen en de vennootschap zou beter een algemene ‘pot’ moeten

97

betalen. De betaling van commissarissen en de link met onafhankelijkheid moet best gebroken

worden, want dat is een belangrijkere indekking van risico’s. Dat is belangrijker dan al die regeltjes

extra erbovenop. Uiteindelijk zijn wij bezig met IFRS-specialisten te betalen om te rapporteren aan de

commissaris-specialist IRS die bezig zijn met welke manier dat je revenue recognition moet doen. Je

kunt daar eindeloos over discussiëren. Het is soms een ivoren toren, waar je je moet naar schikken.

Uiteindelijk ben je bezig met een soort cirkeltje van mensen te betalen of te ambeteren. Die

onafhankelijkheid vind ik wel belangrijk.

Speelt compliance met regelgeving een belangrijke rol tijdens rapportering aan de raad van

bestuur?

Ja, het is ‘comply or explain’. Je moet in feite volgen, maar de ‘explain’ krijgt altijd extra aandacht.

Het is makkelijker om wat meer effort te doen om te complyen in plaats van ‘explain’ te kiezen en er

dus van afwijkt. Je mag 60 bladzijden schrijven en 1 paragraaf die zegt dat je ervan afwijkt, die zal

aandacht krijgen. Dat is precies een spotlight dat je er opzet. Bijvoorbeeld het fenomeen van

vrouwen in de raad van bestuur… je zou kunnen zeggen: ok, we zijn er aan bezig… maar we zitten

nog niet aan de 1/3. Maar dat krijgt de aandacht, terwijl dat dat eerlijk gezegd een non-issue is, dat

zal geen effect hebben op de waardering, risico, of procedurele werking van het bedrijf. Dat krijgt

een overwicht dat het eigenlijk niet verdient.

Is er uiteindelijk volgens u ruimte voor verbetering op het vlak interne risico-rapportering?

Bij ons specifiek? Of in het algemeen?

Specifiek, maar u mag ook algemene suggesties doen…

Daarnet heb ik die opmerking gemaakt van de commissaris. Dat zou nog meer onafhankelijk moeten

gemaakt worden. Ze zullen dat niet graag horen want ze zijn allemaal beroepsheer en ‘blablabla’.

Gelijk, als je moet kiezen. Iemand is zéér zéér streng en weinig flexibel om bepaalde interpretaties te

gaan doen, ja dan gaat hij nergens revisor benoemd worden. Die zal geen mandaten hebben en die

mannen van KPMG of PwC zullen het dan wel mogen uitleggen bij het verlies van een klant… Het is

een beetje inherent aan de constellatie van een bedrijf dat de commissaris-revisor betaalt. Als je die

delen zou kunnen doorknippen, lijkt het mij toch al veel beter.. Een bedrag zou moeten vastgesteld

worden naargelang de grootte van het bedrijf en dat zou in een algemene pot moeten komen die

dan de commissaris uitbetaalt.. Dit zou dan bijvoorbeeld kunnen gebeuren door een

overheidsinstantie.

Bedankt. Dat waren al mijn vragen.

98

10.5. Attachment 5 – Interview transcript: Company B

Heeft u een geformaliseerd proces om risico te kunnen managen?

Uiteraard, in de payment-industrie vanzelfsprekend. We zijn trouwens verplicht om een aantal

disaster-recovery plannen te hebben. Het woord risico is natuurlijk een zeer breed begrip, maar er

zijn zowel risico’s op het gebied van inbraak, op het gebied van machine-uitval, op het gebied van

netwerkuitval, stroomuitval, risico’s op het gebied van fraude dus externe factoren. Last, but not

least heb je risico ten aanzien van uw personeel. Uiteindelijk worden er transacties gedaan en kan er

een personeelslid geld overmaken naar zijn privé. Al die zaken worden geïnventariseerd en worden

met een plan apart, elk onafhankelijk, dat wordt goedgekeurd door bepaalde partijen zoals Visa en

Mastercard. Met hun goedkeuring verkrijg je certificaties. Zonder certificaties kan je geen business

doen. Een permanente monitoring is dus zeker aanwezig om risico’s permanent te controleren om te

kunnen checken wat er zou scheeflopen.

Heeft het bedrijf een soort van risicofilosofie dat duidelijk definieert welke risico’s, en in welke

mate bepaalde risico’s, kunnen worden aangegaan om strategische doelstellingen te behalen?

Aangezien we in de payment-industrie aanwezig zijn, hebben we automatisch in de bankenwereld,

want dat is allemaal gelieerd, een duidelijke risico-filosofie aanwezig.

Is er iemand in de organisatie die een centrale functie in verband met risico vervult?

Absoluut, dat is onze COO, Chief Operating Officer, Wim, die is verantwoordelijk voor al wat dat

certificaties zijn en voor de uitvoering en de nawerking. Binnen de sector zijn we zelfs verplicht om

onafhankelijke consultants te betalen die permanent trachten bepaalde zaken op die risico-vlakken

uit te voeren. Bijvoorbeeld: wij hebben een extern, Hollands bedrijf die een ‘pen-test’ of een

penetratietest doet op ons netwerk. Dus dat is een bedrijf dat continue, 7 op 7, 24 op 24, 365 op 365,

tracht ons netwerk binnen te treden om aan de servers te geraken om uiteindelijk aan kerngegevens

te geraken. Als je het even googelt, zal je vele ‘failures’ vinden. Een jaar of 5 geleden in een bedrijf in

Japan, hebben ze 40 miljoen kaartgegevens kunnen stelen en de dagen erna werden er meer dan 1

miljard euro aan transacties uitgevoerd met die gestolen gegevens. In dit geval waren dat

Russen…die via een Sony playstation netwerk kunnen binnengeraakt zijn en via daar een ganse

download gedaan hebben en miljoenen kaartgegevens van klanten gestolen. Volgens de SEPA-

normen en volgens de certificatie-normen in Europa althans, mogen we geen volledige

kaartgegevens genoteerd worden. PAN zijn die fameuze 16 cijfers op een kaart, en via de CVC code

heb je toegang tot het krediet van de mensen. Die bedrijven die betrokken zijn, daar is uiteraard

imago-verlies want al die klanten sturen een boodschap naar hun banken dat die transacties niet

99

uitgevoerd werden door henzelf. Dat moet allemaal gereversed worden. Hopen werk, dat moet

manueel gebeuren. In de payment-industrie verloopt alles elektronisch, daar komt geen mens bij

kijken, maar als er iets verkeerd gebeurt, dan heb je natuurlijk een leger nodig om al die transacties

terug recht te zetten. Dus het gebeurt allemaal automatisch zolang het goed draait. Van zodra er iets

verkeerd loopt, heb je een groot probleem. Het belangrijkste is het imago, is het vertrouwen. Als je

een kaart bij u hebt en je hebt die gebruikt en er gebeuren valse transacties, dan ga je die niet meer

gebruiken.

Alle transacties komen op onze server terecht, maar de gegevens zelf zijn bij ons binnengekomen.

Wij gaan die gegevens op een of andere manier stockeren. Bij een hacking, ga je die gegevens niet

zozeer gaan kunnen lezen. Bijkomend, wij gaan nooit de volledige PAN bewaren. Wij hebben ook een

kluis, waar er informatie wordt opgeslagen. Maar geloof mij, je gaat daar niets van begrijpen hoor.

Wij zien regelmatig dat Chinezen en Russen ons netwerk proberen binnen te treden, dat is normaal

voor ons, dat is de normale gang van zaken. Soms geraken ze wel tot ergens, maar dat mag nooit te

ver zijn uiteindelijk. Als die gasten kunnen onderzoeken hoe wij tewerk gaan, is dat zeer gevaarlijk.

Wij hebben in ons bestaan van 20 jaar geen enkele penetratietest die succesvol gebeurde. Niemand

is er toe in staat geweest om zelfs de gegevens te benaderen. Sommige informatie wordt ook

gerepliceerd om het veilig te stellen. Beveiliging gaat zeer ver bij ons.

De terminal is zo belangrijk. Betalingen via smartphone, daar gebeurt er veel reclame over, maar

daar gaat ook veel fraude rond komen. Ik heb bijvoorbeeld familie die in London woont. Mijn zuster

en schoonbroer zijn daar actief in de financiële wereld en zij hebben al 2 jaar dat zij dus weigeren om

een ‘contactless kaart’ te ontvangen van de bank. Hoe opener dat je ‘de boel’ maakt, hoe makkelijker

het is om te penetreren. In de financiële wereld, als je alles doet via een smartphone of via een

computer, daar kunnen miljoenen mensen die data gaan stelen. Een terminal is een apart toestel: je

kan daar niet aan, dat is geen computer, dat is zoals we noemen een ‘embedded toestel’. Alles wordt

geprogrammeerd in een embedded way. Dat is dus een aparte machine-taal, je kan dat niet

downloaden, je mag dat openvijzen, dat gaat allemaal niet werken. Als je het zou openvijzen, worden

er een soort van ‘slots’ geactiveerd die ervoor zorgen dat de software zichzelf gaat verwijderen. Je

kan aan die data niet aan. Wereldwijd is het nog nooit gelukt om een terminal te vervalsen. Valse

transacties kunnen wel gebeuren die fraude-gericht zijn, bv. een BTW-refund: je kan refunden

refunden en refunden en zeggen dat het BTW is, maar dan ben je als handelaar zelf verantwoordelijk.

Een terminal, as such, is in die mate vandaag, het hoogst beveiligde toestel: je steekt uw kaart daarin,

de versleuteling op uw chip van uw kaart gaat de data lezen, die informatie wordt versleuteld tussen

het lezen van en lezen naar. Dat is dus ‘hyperbeveiligd’. Je mag niet met terminals werken als die niet

gecertifieerd zijn. Je kan niet zomaar met een terminal op de markt komen en zeggen van: ‘ok, wij

100

hebben hier een terminal in elkaar gestoken…’ Eventjes dat addendum hier om te melden dat in de

financiële wereld risico een zeer breed begrip is en op zeer veel niveaus van toepassing is.

Zijn er, naast de centrale risico-verantwoordelijkheid van de COO, nog andere functies binnen het

bedrijf die een risico-verantwoordelijkheid dragen?

Risico van het bedrijf, is risico van de business – bijvoorbeeld het risico dat er extern iets gebeurt. Wij

zijn afhankelijk van derde partijen: als derde partijen iets meemaken, zullen wij daar automatisch ook

de gevolgen van meedragen. Dat is een ander type van risico. Wij hebben de echte business in onze

praktijken, onze day-to-day activities. De hoofdboekhouder kan zelfs geen overschrijving doen van 10

euro. Alle overschrijvingen of transacties die gebeuren, moeten door hem afgetekend worden en

moeten nog door 2 andere personen op verschillende niveaus afgetekend worden. Voor de rest:

gelden overschrijven naar klanten en dergelijke dat gebeurt allemaal automatisch. Daar mag

niemand zijn neus insteken of aankomen; dat is uitgesloten. Een echt risico comité hebben wij niet;

wij zijn wel met 3: CEO, CFO, COO, en we komen wel 1 keer om de 3 maand samen om een rapport

te maken naar de RvB die dan de interne risico’s gaat herbepalen. Bijvoorbeeld; evolutie van de

markten, etc… de business risico’s naar het bedrijf toe. Hoe gaat het bedrijf zich daar tegenover

wapenen of een antwoord geven.

Vervult deze centrale functie eerder een begeleidende rol voor andere

bedrijfsfuncties/departementen (bijvoorbeeld ondersteuning bieden aan andere business units in

verband met het beheer van risico’s), of eerder een rol die bepaalt hoe risico’s moeten worden

beheerd. Met andere woorden, hebben andere units binnenin het bedrijf een vrijheid om risico’s

te kunnen managen volgens hun eigen goeddunken of zijn ze verplicht om een proces te volgen dat

duidelijk de regels afbakent hoe risico’s moeten worden beheerd?

Dat kan je dus niet doen. Zoiets is ALTIJD gecentraliseerd; zoiets kan je niet doen. Als je zou

decentraliseren, dan moet het departement voldoende groot zijn. Wat ga je dan doen, dat is gewoon

alles simplificeren, dat is een kost die veel te hoog is voor telkens indicaties te gaan doen. Nee je

moet dat gecentraliseerd doen, top-to-down, dat is veel efficiënter en veel directer. Trouwens, je

moet altijd zien dat de mensen geen directe baat hebben bij iets. Je moet de onafhankelijkheid

toch… vandaar dat wij externe partijen hebben zoals ‘pen-testers’, server infrastructuur testers, en

heel ‘den boel’…dat zijn allemaal externe partijen. Die zijn verplicht elke maand of elke 3 maand een

rapport te laten en de activiteiten die ze overlopen hebben, die niet gelukt zijn… Ze moeten ze

identificeren en kwantificeren en ze moeten het aan ons rapporteren. Dus ze moeten melden dat ze

dat, dat, en dat gedaan hebben… en dat ze daartoe niet toe geslaagd zijn; op dat niveau is dat

gebeurd en dat gebeurd. Wij moeten daar uit leren: “ oej, ze zijn toch tot daar geraakt, dat hadden

101

we niet verwacht, dus we hebben een probleem, dat heeft toch gefaald” Vanaf de eerste barrière

moet eigenlijk alles in orde zijn. Je moet ervoor zorgen dat ze geen stappen kunnen zetten. Dat

vraagt dan toch wel een onderzoek: “hoe komt het dat ze tot daar geraakt zijn?”. Dat wordt door

onafhankelijke partijen dus getest en dat komt dus bij ons. Wij zijn verplicht te reageren op de

voorgestelde acties. Wij moeten dus een plan voorleggen, in sommige gevallen, als het erg is,

moeten we een gepast antwoord vinden binnen de 24 uur, soms 48uur, soms een maand. Bij

kritische zaken, hebben we 24 uur de tijd om dat probleem aan te kaarten. Moesten ze tot ergens

geraakt zijn dat toch kritisch is, hebben we 24 uur de tijd om er een respons op te geven. Het kan

bijvoorbeeld zijn dat een firewall op een bepaald moment juist ‘out-dated’ was. Dus een firewall had

een versie 2.20.65 om iets te zeggen en de versie 2.20.66 is uitgekomen en dat firewall bedrijf is

bijvoorbeeld Cymantics, een bekend bedrijf in software voor security te gaan doen… ok, dan ga je

gaan kijken bij Cymantics.. Dan moet je weeral de onafhankelijke partijen inschakelen om de firewall

te checken… We zijn natuurlijk afhankelijk van die derde partijen, moest er daar bij die

softwarebedrijven die firewalls maken malafide personen tussensteken … Je moet wel geen ‘wolfs’

inzetten..

Dat is een wereldwijd probleem; wij zijn klein hoor: wij doen een paar miljard euro in omzetten van

klanten, maar er zijn een paar Amerikaanse bedrijven die bijvoorbeeld honderden miljarden euros

aan omzet draaien en die zijn dan natuurlijk meer exposed.

Hoe verloopt de informatieflow tussen de verschillende units, wat zijn de belangrijkste

aandachtspunten?

Er is geen informatieflow, daar moet je zeer voorzichtig mee zijn. Dat ligt hier niet te grabbel, dat

staat hier niet op servers waar dat iedereen zomaar toegang tot kan hebben. Dus die informatie is

gekend door een aantal mensen en die wordt door een aantal mensen beheerd en daar stopt het.

Dus bepaalde zaken, gezien dat ze zo kritisch zijn, zijn zelfs niet gekend door bepaalde mensen. De

ITC mensen hebben geen zicht op al die problemen. En dus zorgen we ervoor dat bepaalde mensen

binnenin informatica zich mogen buigen over bepaalde problemen. Ze mogen dat één keer doen,

maar ze gaan die opdrachten niet altijd krijgen. We gaan andere mensen aanduiden om het vervolg,

om te kijken wat zij daarachter gedaan hebben en om te zien of ze het werk wel correct gedaan

hebben. Als we vaststellen dat iemand iets gedaan heeft en dat werd niet correct gedaan,

bijvoorbeeld: een bepaalde server opgesteld heeft en er moeten bepaalde stappen gevolgd worden

om die beveiliging op te zetten en hij heeft die stappen niet correct gevolgd, dan moeten we

uiteraard die persoon op de vingers tikken. Dat wordt dan intern opgevolgd. Vandaar dat er voor elk

werk dat er gebeurt 3 controle-niveaus zijn, dus elk werk dat er gebeurt, wordt eigenlijk door twee

andere mensen herdaan om te zien dat de uitvoering wel klopt. Er is altijd een hoger niveau die moet

102

aftekenen, dat is figuurlijk natuurlijk, die moet dus aftekenen voor de uitvoering van het werk.

Vorig jaar hebben wij bijvoorbeeld een nieuwe server farm opgezet, ja dat is natuurlijk iets dat niet in

één twee keer gebeurt. “Ja, doe maar, we zullen wel zien”, ja dat is een catalogus van zaken die

moeten gedaan worden… Bepaalde mensen mogen bepaalde zaken doen en anderen hebben totaal

geen toegang of zicht of weet over wat de andere mensen gedaan hebben.

Het gebeurt wel eens dat er een bedrijf geld betaalt aan één of andere informaticus voor informatie

vrij te geven. Als je die informatie niet volledig hebt van A tot Z.. dan ga je er nooit geraken. De mens

is altijd wel een belangrijke schakel, want hij moet het uitvoeren maar het is ook een zeer kritische

en gevaarlijke schakel. Vandaag kan je vertrouwen hebben in een persoon, maar morgen kan dat een

extern gegeven zijn… Men is daar soms zeer infantiel in hoor. De meeste mensen hier zijn allemaal

mensen die na hun uren ook met informatica bezig zijn. Die zitten op sites waar ze proberen dat te

hacken, dat te hacken. Wij weten dat, wij doen daar onze ogen voor dicht. Dat is natuurlijk ook

kennis voor hen. Ze zijn actief en ze blijven actief, ze zouden wel bijvoorbeeld zonder het te weten op

die fora vragen kunnen beantwoorden van :”hoe ga je dat doen en dat doen”… en dan gaat hij zijn

kennis vrijgeven van wat hij hier gaat gebruiken van tools en informatie en dan is er misschien een

partij daarachter die zegt van “ja, ik ga het netwerk van dat bedrijf aanvallen”.. De vragen worden zo

indirect gesteld aan die personen, waarvan ze weten van die persoon werkt bij dat welbepaald

bedrijf en die zit juist waar dat we willen binnen geraken.. Als die werknemer toch oppervlakkige

informatie vrijgeeft van bepaalde infrastructuur, etc…die voldoende is om de hackers een kans te

geven.. Wij zijn altijd voorzichtig: wij hebben vastgesteld dat je als werknemer actief bent op

bepaalde fora, maar daar zijn meer malafide personen dan correcte personen.. Wij willen niet dat

werknemers informatie geven over het bedrijf: hoe de zaken lopen in ons bedrijf, zo’n vragen

worden nooit beantwoord en daar moeten werknemers zich van onthouden. Stellen we vast, dat er

zoiets gebeurt, ja dan zullen ze wel snel hun C4 krijgen, onmiddellijk buiten, onverbiddelijk.

Gebruikt het bedrijf tools om risico te rapporteren? Welke zijn deze tools en waarom werd er

gekozen te werken met die tools?

Uiteraard, ik spreek over de tools van het operationele.. Die andere tools zijn het audit comité, en de

auditor. Die moeten weten wat dat dus alle veiligheidsmechanismen zijn die het bedrijf in gebruik

heeft om fraude te vermijden. Wie tekent er af? Wie mag er bestellen? Hoeveel mensen moeten er

aftekenen om te bestellen, waar gebeurt de keuring? Al die zaken, dat zijn allemaal processen die

allemaal uitgeschreven zijn en die de auditor allemaal kent. Halfjaarlijks en jaarlijks zal hij een analyse

doen of al die processen wel werden gevolgd en uitgevoerd. Men gaat bijvoorbeeld een factuur

nemen.. Waar is de bestelbon van die factuur. Is er een contract? Wie heeft dat contract

genegotieerd? Zijn er gelieerde partijen, is dat een familielid, op basis van wat werd dat gekocht?

103

Wij hebben twee computers gekocht aan het dubbele van de normale prijs… waarom? Dat gaat men

analyseren en indien nodig aan de bel trekken en dat gaat dan naar het audit comité. Dat gebeurt

nauwelijks, wij moeten zeer weinig occasionele bestellingen plaatsen… 99% van onze activiteiten zijn

lange termijn contracten. Dus al onze leveranciers lopen onder lange termijn contracten, dat zijn de

belangrijkste leveranciers… Dat zijn allemaal zeer LT contracten en die zijn verbonden aan SLA’s of

service level agreements en als die SLA’s op een dag of op een week niet halen, moet er ingegrepen

worden. Die zijn ook verbonden aan boetes, dus halen ze het niet en hebben ze het niet opgelost

binnen een bepaalde tijd, ja dan moeten ze een boete betalen. Dat wordt ook allemaal geanalyseerd

door de auditor. Dat is dan niet het business gedeelte, maar het gedeelte op het niveau van het

bedrijf zelf.

Wie is er verantwoordelijk voor het rapporteren van risico-gerelateerde informatie aan de raad

van bestuur?

Dat is het management. Ik zetel zelf, als CEO, in de raad van bestuur met andere woorden ben ik ook

een bestuurder. Ik ben voorzitter van een directiecomité dat bestaat uit 6 personen: we hebben

mezelf, Wim als COO, Alain als CFO, Joris als CCO, en dan hebben we een development team in Lyon,

en de manager in Duitsland. Ik rapporteer in principe het geheel van informatie aan de raad van

bestuur. En zijn er daar risico-gerelateerde zaken bij, dan komt dat er ook wel bij. Heb ik daar een

petje op van een bestuurder, dat doet er niet toe: je zit met onafhankelijke bestuurders in de RvB

ook. Die mensen moeten daarover oordelen wat er daarmee moet gebeuren.

Aan welke risico-gerelateerde informatie wordt het meeste belang gehecht tijdens de rapportering


Dat is heel simpel: dat is risico over het bedrijf. De RvB staat in voor het bedrijf en haar belangen. Dat

wij uiteraard op technologisch vlak bepaalde risico’s dragen, dat weet elke bestuurder door het feit

dat we de facto in die business actief zijn. Maar die detaillistische dingen, zoals een firewall met

versie 6.20.64…dat is een ‘ver van hun bed show’. De raad moet wel weten dat, als er een rapport

naar bovenkomt dat zegt dat ze tijdens een test aan één van onze servers zijn geraakt, dat rapport

gaat dan wel naar de raad van bestuur moeten gaan. Dan gaan we moeten aankondigen dat we daar

een probleem hebben en dus risico lopen. Ik zeg het, dat is in het ganse bestaan van ons bedrijf nog

nooit gebeurd. Het technisch gedeelte… ik ben ingenieur van opleiding, is makkelijker om onder

controle te hebben dan het commerciële gedeelte. Wat wij niet onder controle hebben zijn

bijvoorbeeld de akkefietjes van de UNIZO die ons een proces aandoet, daar heb je minder impact op.

Wij hebben nu eenmaal 5-jaar contracten dat we afsluiten, en dat zouden volgens UNIZO 1-jaar

contracten moeten zijn, terwijl dat perfect legaal is. Dus we sluiten nog altijd 5-jaar contracten af. Ze

104

mogen zij schreeuwen van elk dak, dat kan ons niet schelen. Ik heb liever 20.000 klanten met een 5-

jaar contract dan 50.000 klanten met een 1-jaar contract. Zo kan ik er verschillende opnoemen. We

zijn daarvoor in eerste aanleg veroordeeld geweest zijn. We zullen zien hoe het zal uitdraaien in het

hof van beroep. Dat zijn andere risico-profielen die wel op de raad van bestuur besproken worden,

zeker en vast.


Dat is belangrijk. De helft van de raad van bestuur gaat ergens iets met risico te maken hebben: is het

business risico of technologisch risico. Het gaat ergens wel altijd gelieerd zijn aan iets. De cijfers

worden besproken, en het gevolg van die cijfers: waarom is er groei of geen groei, waarom daalt of

stijgt de marge. Al die risico’s op het geheel van de business worden er zeker en vast vermeld. Wat is

het risico van een dividend uit te betalen en wat is het risico naar de FSMA toe? Wij moeten onze

cijfers rapporteren op vastgestelde momenten, de kalender ligt vast op voorhand. Dan zitten wij

regelmatig toch in contact met verschillende types van advocaten; dat zijn niet altijd litigation

advocaten, maar ook advocaten die bijvoorbeeld het handelsrecht volledig onder de knie hebben: we

gaan een kapitaalsverhoging doen,…wat zijn de risico’s daar rond? Al die elementen worden telkens

afgeschermd door literatuur die meegeleverd wordt aan de leden van de raad van bestuur. Zoiets is

permanent aanwezig. Als beursgenoteerd bedrijf kan je u niet permitteren een fout te maken want

dan moet je een persbericht maken van dat je ergens 2 weken geleden een fout gemaakt hebt. Elke

actie dat je denkt te doen, moet je volledig afschermen, en moet je zien dat je het voldoende hebt

bekeken. De kost van advocaten is vrij hoog in ons bedrijf, wij hebben trouwens permanente

advocaten ter beschikking. En in onze raad van bestuur zit er ook iemand die uit de advocatuur komt

en die trouwens hoofd legal is van een bank. Dan gaat hij met zijn ervaring ons advies geven. Hij gaat

zelf inbreng kunnen geven in de raad van bestuur.

Heeft bepaalde regelgeving een impact gehad op hoe risico’s worden beheerd in het bedrijf? Hoe

heeft het bedrijf dit ervaren?

Uiteraard, we zitten in een ‘hypergereguleerde omgeving’. Je doet niks zonder dat je gecertifieerd

bent. Er zijn certificaten op alle niveaus, het bedrijf moet gecertifieerd zijn. We zijn beursgenoteerd,

dus we zijn ook onderhevig aan de FSMA. Het FSMA controleert uiteraard de ganse activiteit van het

bedrijf naar de markt toe. Aangezien het publiek een deel van de aandelen in handen heeft, zijn we

verplicht tot openheid en informatie te geven; informatie over onze cijfers, onze risico’s, de risico’s

van de cijfers, etc.. etc.. Vandaar dat onze jaarverslagen, ook al zijn we een klein bedrijf, 180 pagina’s

lang zijn. Je staat dus in het blootje op het gebied van cijfers. Er zijn geen andere bedrijven die zo ver

informatie moeten geven, wij moeten niet alleen zeggen dat de omzet gevoelig is en we moeten ook

105

onderschrijven van waar dat dat komt en hoe dat dat komt. Je moet daar eigenlijk end-to-end een

volledige transparantie geven. De regelgeving voor dit bedrijf is zeer zeer groot. We zouden hier

anders niet zijn. Kom je er niet mee overeen, dan zit je niet in business! Is er morgen een probleem

waar dat ze ondervinden dat een bepaalde terminal niet-gecertifieerde software is, ja simpel dan

gaat de ‘boutique’ hier gewoon toe. Dat is onverbiddelijk.

Hoe percipieert u dat er zoveel belang wordt aan compliance met die regelgeving?

We zijn dat eigenlijk zeer gewoon. Je krijgt vele vragen, hé. Je moet daar trouwens niet tegen

vechten, als je het niet doet, dan mag je vergeten dat je nog lang business gaat doen. Dat is zeer

simpel, je gaat afgesloten worden van het netwerk. Als er een probleem is, gelijk bij Worldline

onlangs dat ze daar twee drie uur out zijn en dergelijke… Ik kan u verzekeren: achteraf gebeuren er

vergaderingen die niet evident zijn. De ‘root cause’ moet gevonden worden, rapporten worden

geschreven, mensen die zich intern gaan bezighouden met een probleem dat uiteindelijk al oud is. Je

gaat procedures moeten aanpassen zodat het zich niet meer kan voordoen. En dat moet snel

gebeuren.

Speelt compliance met allerhande regelgeving een belangrijke rol tijdens het rapporteren van

risico aan de raad van bestuur?

Het antwoord is hier al lang al gegeven, denk ik: anders zou het bedrijf gewoon niet bestaan.

Is er volgens u ergens ruimte voor verbetering op het vlak van interne risico-rapportering?

‘Smijt de CEO buiten en haalt een andere CEO binnen voor betere informatie’ (lacht). Men zal dat

alleen maar zien achteraf. Men heeft geen gelijk, maar men krijgt gelijk zeggen ze wel eens, hé. Dat is

het spreekwoord. Het is zo, het is zo, dat weet ik niet, we zullen wel zien of dat het zo is. Ik voer hier

een bepaald beleid, samen met een bepaald team, als CEO moet je knopen doorhakken.. Misschien

gaat een andere CEO meer belang hechten aan de risico van een betaling… Door mijn opleiding ga ik

mij veel meer focussen op technologie zodat wij de hoogste graad van compliance hebben, en dat

doen we ook. Je hebt 4 graden in Europa, en wij zitten op graad 1, dus wij hebben de hoogste graad

van compliance en security in ons netwerk. Bijvoorbeeld: je hebt de PCI DES en de PCI DSS. Al onze

software is PCIDSS-compliant. Er is vandaag geen enkel bedrijf in Europa waar de software PCIDSS-

compliant is, er gaat een datum komen binnen een jaar of 2, dat alles PCIDSS moet zijn! Wij wachten

niet totdat die due date er komt. In de payment-industrie is het ook zo dat er voldoende tijd is. Zo’n

mastodonten zoals Worldline… als die mensen aan hun systemen iets moeten doen.. Wij hebben

relatief kleine systemen, onze software is perfect onder controle door onze developers…

Sommigen zijn zelfs incapabel om hun architectuur van hun eigen software te gaan tonen. Als je

106

stukken zelf niet geschreven hebt, heb je er zelf geen controle over. Hoe moet je dat PCIDSS-

compliant maken? De complexiteit kan soms zeer zeer groot zijn. Wij kunnen dat vrij snel doen, ik

zou zeggen als er een nieuwe norm komt, dan weet ik dat we daar 3 of 4 maanden voor nodig

hebben om daaraan te ‘complyen’. Een middelmatig bedrijf heeft daar 1 tot anderhalf jaar voor

nodig. Een groot bedrijf 2 tot 3 jaar. Als wij gecertifieerd moeten worden, dan komen wij met al die

ingenieurs aan tafel met meer dan 60 vragen… Bij ons bedrijf is dat zo transparant, zo direct, zo

simpel. Andere bedrijven kunnen soms zelfs geen antwoorden geven, omdat ze het gewoon niet

weten. Er zijn bepaalde bedrijven die werken met software van bedrijven die failliet zijn gegaan, die

vandaag niet meer bestaan.

Dus eigenlijk afhankelijkheid van de complexiteit, de grootte..

Stel een software-bedrijf gaat failliet, waarvan je software gebruikt. Dan komen er vele vragen:

bijvoorbeeld werkt de software nog? Als er morgen er een probleem opduikt, kan je niet bellen naar

het bedrijf, hé. Dan komen er geen transacties meer binnen.. Dan hebt ge een groot probleem. Als er

een schakel uitvalt, heb je geen ketting meer! Wat gaan we daarmee doen? Is er een alternatief?

Nee, want ze hadden een monopolie.. De laatste 4 jaar hebben we niets moeten vervangen, eigenlijk

wilt dat zeggen dat uw risico zeer groot is. De kans dat er iets uitvalt is groter, want je hebt niets

vervangen.. Goed, risico-analyse.. je mag eender welke tabellen maken, Murphy zit achter de hoek.

Wat is de kans dat je 2x 365 lijnen 100% bezet hebt? Tussen kerst en nieuwjaar is er uiteraard een

piek.

Als je heel veel zaken hebt, waarvan je een afhankelijkheid hebt van derden, en je hebt dat niet

volledig onder controle, dan heb je een probleem. Er moet constant ‘renewal’ zijn, anders is er geen

business meer. Sommige softwares worden bijna elke week ge-update, maar wat doe je dan met de

versies ertussen? Hoe meer dat je externen gebruikt, hoe groter uw risico. Bij een technologische

risico-analyse wordt er bijvoorbeeld gekeken naar de verschillende software van de verschillende

bedrijven die we kunnen gebruiken. Zo’n analyses moeten constant gebeuren. Communicatie is een

vitaal gegeven, dat is een feit. Een paar weken terug is het netwerk van Proximus uitgevallen, de

GPRS-communicatie was een halfuur uitgevallen. Al onze GPRS-terminals hebben gedurende een

halfuur geen transacties kunnen doen. Iedereen belt dan. Ja, dat is niet leuk, maar een goede

communicatie en verstandhouding met externe partijen is belangrijk.

Die fameuze storm daar op dat festival...alle masten waren verzadigd. Dat zijn zo van die zaken die

men niet berekend heeft. Je moet eerst een disaster bepalen: bijvoorbeeld een hevige storm en

iedereen begint te bellen in een paniek… en dan uw recovery bepalen.. Capaciteit is enorm

belangrijk. Tijdens de kerstperiode zijn de transacties heel hoog. Dat vliegt door het dak, dan heb je

pieken die maar 10 minuten duren, maar je moet er dus voor zorgen dat uw servers voldoende

107

‘scalable’ zijn. Voor de rest van het jaar, heb je die scale niet nodig hé, maar toch is het belangrijk om

pieken te kunnen opvangen met voldoende capaciteit. Ook al gebruik je maar 20 % van uw capaciteit

de meeste tijd. Wij zitten met gigantische vrachtwagens, per manier van spreken… Vele dagen ga je

daar een pakje salami van 250 gram mee moeten vervoeren, maar soms kan het zijn dat je 200 ton

moet vervoeren.. ‘t Is niet dat je de week ervoor een paar servers er extra aanplakt, zo werkt het

niet. Snap je de vergelijking? De kostprijs moet je doen, je moet ervoor zorgen dat je dat kunt

opvangen.

108

10.6. Attachment 6 – Interview transcript: Company C

Heeft het bedrijf een soort van geformaliseerd proces om risico’s te kunnen beheren of managen?

Ja, ons risicobeheer gaat via het auditcomité. Wij hebben op geregelde tijdstippen dus een analyse

van onze risicoprofielen. Wat we doen is dan kijken naar welke risico’s dat er zijn, en dan kijken we of

we er iets aan kunnen doen of niet. Bijvoorbeeld: de veranderingen van de exchange rate heeft een

enorme invloed op ons resultaat, maar je hebt er zelf geen impact op. Je kan wel proberen dit soort

van risico te anticiperen door goed georganiseerd te zijn om dat welbepaald risico te minimaliseren.

Maar dusdanig kan je daar niets aan doen. We zitten in de fruit-en groententeelt… Ja, als er een

slechte zomer is…kan je er niets aan veranderen. Dus je hebt enerzijds het aspect: kan je er zelf iets

aan doen of niet; anderzijds hoe groot is de impact? Als er iets gebeurt met een kleine financiële

impact, dat is geen groot risico. Iets wat een grote impact kan hebben op de financiële resultaten, ja

daar moet dan meer naar gekeken worden. Die afwegingen maken we dan; dit doen we om de twee

drie jaar. Als we dan kijken: waar we impact hebben, waar de grote risico’s zijn… daar stellen we dan

onze prioriteiten. Met het senior team maken we die analyse. Dan stellen die hun prioriteiten en

actieplannen voor aan het auditcomité. De laatste keer hadden we 4 verschillende prioriteiten, waar

telkens weer aan actiepunt tegenover stond. Op geregelde tijden, bespreken we dan in het

auditcomité deze zaken; zoals de grote risico factoren waar we momenteel aan blootgesteld worden.

Dat is dus een gestructureerd proces. Daarnaast is het zo dat we bij grote projecten ook een risico-

analyse zullen uitvoeren: wat kan er misgaan, wat kan er een impact hebben? Dat is een ‘ongoing’

proces. Je moet altijd uw risico’s overwegen als je bepaalde activiteiten doet. Gestructureerd is

eigenlijk het proces.

Heeft het bedrijf een soort van risicofilosofie dat duidelijk afbakent welke risico’s, en in welke

mate bepaalde risico’s kunnen worden aangegaan om strategische doelstellingen te behalen?

Neen, we bekijken het eerder van: ‘Hoe zullen risico’s impact hebben op de bottom line. Dat is

eigenlijk de key driver. Bewaring van het REBITDA is belangrijk, maar ook wel de bescherming van de

business, in de zin dat als je zeer zwaar een impact zou kunnen hebben op de verkoop. Dat zijn dus

eigenlijk de twee key drivers waar we naar kijken.

Is er iemand in de organisatie die een centrale rol vervult in verband met risico; iemand dat daar

voornamelijk mee bezig is?

Enerzijds is het, vanuit het financiële, de CFO en de corporate finance director die de processen

moeten bewaken. Ene keer dat die projecten en prioriteiten zijn vastgelegd, dan gaat het naar de

divisies. Ook bij de opbouw van het model, komt de input van alle divisies. In dat opzicht is het een

109

gemeenschappelijke te dragen oefening, maar de coördinatie en de opvolging gebeurt vanuit het

financiële team.

Hebben die divisies dan een soort van autonomie om hun risico’s zelf te kunnen beheersen? Is er

een soort van vrijheid? Of wordt hen echt van bovenaf opgedragen hoe ze het moeten doen?

Enerzijds, iedereen moet onze gedragscodes en policies volgen… Daar zit uiteraard ook een deel

risico in. Maar we gaan er van uit dat we goede policies hebben met een goede ‘matrix of authority’.

Die zorgen er voor dat dagdagelijkse risico’s moeten gecontroleerd blijven. Op andere gebieden, met

grotere risico’s, is het de bedoeling dat de divisies er een plan voor maken, dat laten goedkeuren en

achteraf uitvoeren.

Hoe verloopt de informatieflow tussen die verschillende divisies en de centrale risico functie? Wat

zijn belangrijke aandachtspunten tijdens die communicatie?

Dat is afhankelijk van de risico’s waarover het gaat. Meestal maakt de divisie een plan; als er dan ook

financiële middelen nodig zijn, moet dit uiteraard eerst goedgekeurd worden. Eigenlijk is het op de

momenten dat we rapportering hebben van onze performance, van onze resultaten, dat die zaken

dan ook aan het licht komen.

Gebruikt het bedrijf bepaalde tools om risico te rapporteren? Ik denk bijvoorbeeld aan een heat

map of een balanced scorecard?

Neen.

Dat is dus eigenlijk meer geïntegreerd in de gewone rapportering?

Ja, we hebben daar geen specifieke rapporteringsvorm voor.

Wie is er verantwoordelijk voor de rapportering van risico-gerelateerde informatie aan de raad van

bestuur?

Via het auditcomité, via de voorzitter van het auditcomité. Die wordt ondersteund door de financiële

diensten.

Jullie rapporteren dan aan het auditcomité, zodat zij dan aan de RvB kunnen rapporteren?

Wij bereiden het auditcomité voor en die gaan dan een debriefing geven aan de raad van bestuur.



110

Bij ons is dat eigenlijk vooral gerelateerd aan de gebieden die we geïdentificeerd hebben als risico-

gebieden. In IT zien we toch heel wat risico’s. Dat wordt op projectbasis gerapporteerd. Het is niet

dat we daar een aparte scorecard voor hebben.

Afhankelijk van de prioriteiten…

Ja, er wordt in detail nagegaan met het auditcomité dat ze akkoord zijn. Wij maken inschattingen:

hoeveel invloed kunnen we hebben op dat risico, hoe beheersbaar is dat probleem, en wat is de

uiteindelijke impact? Die worden in detail, lijn per lijn, bekeken, zodat iedereen in het auditcomité

akkoord is met wat het management heeft voorgesteld. Daarop gebaseerd worden er prioriteiten

gesteld. De laatste keer was het zo dat het auditcomité een aantal prioriteiten hoger heeft gezet dan

het management had voorgesteld.


Het is heel belangrijk dat ze beseffen aan welke risico’s de onderneming is blootgesteld. Dat is dus

ook heel kritisch, dat is één van de key-redenen van de RvB: dat is risicobeheer. Het is dus heel

kritisch dat dat op de agenda staat. Ik denk vooral: het komt tegemoet aan hun

verantwoordelijkheden zodat ze hun functie correct kunnen uitvoeren. Het is natuurlijk ook zo dat als

je uw werk goed doet, ga je mogelijks zeer negatieve gevolgen voor de onderneming, voor zijn.

We hadden een probleem met servers zoals ze waren opgesteld: die waren onvoldoende veilig. Dat

risico werd toch hoog ingeschat. Op die servers draaien de SAP van de fabrieken, stel er loopt iets

fout, dan zou de productie stilvallen. Dat heeft een enorme impact. We hebben uiteindelijk de

servers ge-outsourced, maar dat was eigenlijk niet nodig. We hadden bijvoorbeeld onze eigen

infrastructuur kunnen herbekijken. Die risico-analyse werd dan uiteindelijk hoger op de agenda

geplaatst. Want anders gaat er niemand zich mee bezighouden. We moeten eerder nadenken: wat

kan er misgaan; dat helpt u om preventieve maatregelen te nemen. Het helpt u om performanter te

zijn als bedrijf, en om pro-actieve beslissingen te nemen zodat je niet in de problemen kunt komen

achteraf. In dat opzicht, is het een zeer belangrijke bijdrage. Het zijn zware oefeningen, maar zeer

kritische oefeningen zodat het bedrijf zijn resultaten kan blijven afleveren, zodat je niet met uw rug

tegen de muur staat. Het helpt u om te vermijden dat je u ooit zou moeten afvragen: ‘Had ik maar…’.

Het helpt u om er op een pro-actieve manier over na te denken.

Heeft bepaalde regelgeving een impact gehad op hoe het bedrijf risico’s percipieert of beheert?

In welke zin?

Ik denk bijvoorbeeld aan The Belgian Code on Corporate Governance of FAVV…

111

Die is opgenomen in onze statuten. Daarom hebben we policies, die statuten worden dus allemaal

vertaald in policies en we gaan er van uit dat die gevolgd worden. Afhankelijk van de topic heb je een

auditcomité, RvB,… iedereen in de lijn moet zijn verantwoordelijkheid hebben. Dat wordt ingedekt

door de juiste ‘code of conduct’ of de juiste policies te hebben.

Speelt compliance met allerhande regelgeving een belangrijke rol tijdens het rapporteren aan de

raad van bestuur?

We moeten gewoon compliant zijn. Dat vind ik een rare…ik begrijp wel dat dat een risico is, maar wij

gaan er gewoon vanuit dat we alle efforts doen dat alles compliant gedaan wordt. Indien dat niet zo

is, zal dat altijd de hoogste prioriteit krijgen. Dat is het minimum wat ge moet doen, dat is compliant

zijn. Ge hebt de code of conduct die compliant moet zijn met de regelgeving.

Dat is een redelijk basisgegeven, toch. We kijken toch naar risico’s op een ander niveau. We hebben

een volledige ‘matrix of authority’ gemaakt: wie kan wat beslissen… Ok, er kunnen nog altijd fouten

gebeuren, maar er is dan toch wel duidelijk gecommuniceerd.

Is er volgens u ergens ruimte op het vlak van interne risico-rapportering in het bedrijf? Algemene

suggesties zijn ook welkom.

Ik denk dat we er soms niet genoeg aandacht aan geven. We hebben nu wel een proces, maar dat

vraagt veel tijd en energie, dus dat wordt al eens makkelijk uitgesteld. Ik denk dat het vooral

belangrijk is dat je dat blijft op de agenda zetten. We zouden het meer moeten structureel opnemen

in een aantal discussies, bijvoorbeeld budgetbesprekingen, business reviews… Momenteel wordt het

eerder gedaan als een aparte oefening en met het senior management. Terwijl er waarschijnlijk ook

wel risico’s zijn die ook op een ander niveau kunnen ingevuld worden of aangedurfd worden.

Waar je natuurlijk moet voor opletten: als je niet oplet, durf je niks meer doen. Ondernemen is risico

nemen. Wat behoort nu tot het normale ondernemersrisico en wat valt daar buiten? In mijn vorig

leven, werden die oefeningen veel zwaarder ingezet, dat was ook een Amerikaans bedrijf, ik denk dat

die nog sterkere regulering hebben dan Europa. Dus dat was een heel zware oefening, daar werd er

ook gewerkt met consultants. Dat is dan uiteindelijk wel veel meer in detail uitgewerkt.

Wat wij doen is veel pragmatischer: als je kan werken met mensen die de business kennen, dan kan

je ook rekenen op die hun know-how. Dat was ik vergeten: we sturen ook onze interne audit aan.

Met andere woorden, je maakt altijd programma’s om uw interne audits te doen. Risico’s waar we

minder zeker van waren, lieten we dan op de lijst zetten van de interne audit om hen dat dan te laten

doen. Dat is wel een goede manier om uw risico in te schatten en te begrijpen. Interne audit heeft

dus een belangrijke functie ook in ons bedrijf. Zij gaan dus voornamelijk kijken of dat processen die je

112

hebt, dat je die ook op de correcte manier kunt hanteren. En of er daar geen fouten inzitten, in de zin

van fraude-zaken… Die rol van interne audit is dus door de loop der jaren sterk geëvolueerd.

113

10.7. Attachment 7 – Interview transcript: Company D

De eerste vraag: heeft het bedrijf een geformaliseerd proces om risico’s te beheren?

Ja, uiteraard. We zijn beursgenoteerd dus dat betekent dat we bijvoorbeeld een auditcomité hebben.

In het kader van dat auditcomité hebben we ook alle processen om risico’s in kaart te brengen of te

identificeren. We hebben een internal auditor die aan het auditcomité rapporteert. Je hebt van alle

soorten risico’s. We hebben business continuity plannen, disaster-recovery plannen, safety, dat

hebben we allemaal.

Heeft het bedrijf een soort van risico-filosofie dat duidelijk afbakent welke risico’s, en in welke

mate bepaalde risico’s kunnen aangegaan worden om strategische doelstellingen te behalen?

Neen, ik denk niet dat we daar op die manier naar kijken. Wat we wel gedaan hebben is ‘bottom-up’:

alle afdelingen hebben een risico-analyse moeten doen. Maar dat gaat dan over hun dagelijkse

operationele zaken. ‘Wat als dat zou gebeuren’, zo’n vragen worden dan gesteld. Er gebeurt dan een

volledige analyse die dan gebaseerd is op de waarschijnlijkheid dat zoiets voorvalt en de ernst ervan

inschat. Als je die twee factoren dan vermenigvuldigt, krijg je een soort van ranking van wat eerst

moet aangepakt worden enzoverder. Die oefening wordt elke 2 jaar opnieuw herhaald.

Is er iemand in de organisatie die een centrale rol vervult in verband met risico?

Ja, dat is mevrouw Van den Stock, die ook onze internal auditor is.

Zijn er andere functies in het bedrijf…

Je hebt onze veiligheidsverantwoordelijke, maar wij geloven eerder in wat in de lijn moet zitten, en

elke verantwoordelijke wordt daar op aangesproken. Dit doen we ook zo voor bijvoorbeeld kwaliteit

of personeelsbeleid. Al die taken zijn integraal deel van de verantwoordelijkheid van de team

manager.

U zegt dat de centrale functie in verband met risico wordt uitgeoefend door de internal auditor.

Wat zijn de belangrijkste aandachtspunten tijdens de communicatie met de internal auditor en

anderen?

Het belangrijkste is vooral de continue oefening om processen te evalueren; of als er nieuwe dingen

worden gelanceerd, dan wordt dat meestal in team gedaan en wordt het risico-element daarin

meegenomen. Voor de rest zijn wij een zeer klein team, die mensen zitten hier allemaal samen. Het

is niet omdat we met ongeveer 250 mensen zijn, dat we heel wat ‘lagen’ hebben. We hebben weinig

of geen organisatorische lagen. Die mensen drinken elke dag koffie samen bij wijze van spreken, dus

het is niet zo dat dat helemaal formalistisch moet georganiseerd worden.

114

Gebruikt het bedrijf tools om risico te rapporteren? Ik denk bijvoorbeeld aan een heat map of een

scorecard…

Neen, maar er wordt wel een overzicht gecreëerd: wat is de probabiliteit, wat zijn de consequenties.

Dat is op zich een tool, maar dat is eigenlijk niet meer als een ‘Excel’ eigenlijk.

Heeft bepaalde regelgeving een impact gehad op hoe het bedrijf risico’s beheert of percipieert? Ik

denk bijvoorbeeld aan ‘The Belgian Code on Corporate Governance’; heeft die regelgeving een

soort van impact gehad op hoe jullie naar risico’s kijken bijvoorbeeld?

Neen, dat denk ik niet. Natuurlijk, je hebt de ‘GDPR-code’. Tegen mei 2018… de ‘General Data

Protection Rule’, daar moet men kunnen aantonen dat men er mee bezig is. Het gaat over alle

mogelijke persoonlijke gegevens, of het nu gegevens zijn van klanten of medewerkers of gelijk wie,

die wij beheren. Daar wordt nu een analyse van gemaakt en een risico-inschatting van gemaakt, want

je moet alle mogelijke breaches en confidentialiteit in kaart kunnen brengen. Die regelgeving zal wel

een impact hebben: de analyses op het vlak van cyber-security en op het vlak van persoonlijke

gegevens zullen diepgaander gebeuren.

Wie doet risico-rapportering aan de raad van bestuur?

Het auditcomité.

Aan welke risico-gerelateerde informatie wordt het meeste belang gehecht tijdens die

rapportering? Welke risico’s krijgen bijvoorbeeld de meeste prioriteit.

Ik denk dat dat vooral financieel-gedreven is: de risico’s die een financiële impact kunnen hebben.

Op het resultaat dan eigenlijk?

Ja, op de vennootschap in het algemeen. De continuïteit en de financiële effecten daarvan zijn

belangrijk.

Speelt compliance met allerhande regelgeving een belangrijke rol tijdens de rapportering aan de

raad van bestuur?

Ja, we moeten met alles en nog wat compliant zijn natuurlijk. Dat zit continu op de achtergrond mee.

Dus dat komt wel zeker aan bod tijdens…

Dat we compliant zijn. Als we het niet zouden zijn, ja… Maar we zijn nog nooit niet-compliant

geweest. Vooraf is dat een element dat mee moet spelen natuurlijk.


115

Ik denk dat dat gewoon inherent deel uitmaakt van het geheel, dat dat niet speciaal een aparte

bijdrage zou moeten hebben. Maar het is gewoon ook belangrijker dat je niet enkel met vandaag

bezig bent, maar dat je ook de continuïteit van het bedrijf globaal gezien mee in rekening brengt. Het

is niet een aparte, specifieke bijdrage; het is ook geen last. Ik denk dat dat gewoon in het geheel

wordt bekeken.

Is er volgens u ergens ruimte voor verbetering op het vlak van interne risico-rapportering in het

bedrijf? U kan ook algemene suggesties doen…

We proberen elke dag beter te doen, dus er zal zeker ruimte zijn. Welke? Dat laat ik eerder over aan

het team die kijkt of er daar betere dingen kunnen gebeuren. Maar ja, er is zeker ruimte voor

verbetering, ’t zou maar erg zijn dat we perfect zijn (lacht).

In het kader van mijn onderzoek, probeer ik te achterhalen welke organisatiestructuur wordt

gehanteerd door de bedrijven om risico te kunnen beheren. Door uw vorige antwoorden, zou ik

vermoeden dat er eerder een decentrale structuur wordt gebruikt om risico’s te kunnen managen.

Gaat u hiermee akkoord?

Het zou kunnen dat bedrijven een ‘mix’ hebben. Voor alle veiligheidsrisico, de persoonlijke veiligheid

en de gezondheid van mijn medewerkers wordt centraal aangestuurd. Business-risico’s worden

eerder decentraal aangestuurd: je hebt financiële risico’s waar je ‘hedging’ op kan toepassen en dat

kan dus decentraal gebeuren. Beveiliging, wat niet hetzelfde is als veiligheid, is ook per site. Cyber-

security wordt bij ons helemaal centraal gedaan: IT-security en risico’s daarvan worden centraal

ingedekt. We krijgen elke week aanvallen en mensen die ons proberen te hacken; als je dat niet

centraal aanstuurt, gaat er ergens een breach optreden. Ik kan mij inbeelden dat er een mix is:

centraal-decentraal is niet zo zwart-wit. Op zich zijn wij een zeer compacte organisatie; compact om

snel te kunnen bewegen en wendbaar te kunnen zijn omdat wij opereren in een vrij turbulente

omgeving: e-commerce, photo business, digitalisering. We zijn dus heel compact georganiseerd

waardoor, wat het risico betreft, we toch eerder centraal aansturen.

Voor de efficiëntie te bewaren?

Efficiëntie, en ook vermits dat we zeer wendbaar moeten zijn, zou je kunnen zeggen om het

decentraal te managen. Maar omdat we tegelijkertijd in een turbulente omgeving zitten waar je

risico moet durven nemen…dat is dan weer een groter risico als je dat niet centraal zou aanpakken.

Als je groter bent, denk ik, en je hebt minder turbulentie rondom u, dan denk ik dat je meer kunt

gaan decentraliseren, omdat er minder risico zal genomen worden door de mensen om dingen wel of

niet te doen. Als je snel moet kunnen schakelen, dan denk ik toch dat je beter centraal moet

116

aansturen. De omgevingsfactoren waarin het bedrijf opereert heeft toch een grote impact op hoe dat

risico’s worden aangestuurd, opgevolgd, beheerd.

In ons geval, hebben we natuurlijk ook de laag van beursnotering daarop en gans de compliance die

daar rond hangt. Langs de andere kant zitten we niet in de chemie, de voeding, in gevaarlijke

omstandigheden waardoor natuurlijk dat element minder aan bod komt. We zitten ook sterk in de IT,

die dan ook andere risico’s met zich meebrengt. Er is weinig fysiek risico voor mensen, het gaat meer

over data en IT en business risico. Als je in de chemie zit of andere zware industrieën, dan heb je

natuurlijk een heel pak andere type risico’s.

Ik zou ook graag nog even verder willen uitbreiden over de functie van risico-rapportering aan de

raad van bestuur: wordt risico apart gerapporteerd of wordt er gekeken naar het bredere geheel?

Onze filosofie is dat het in de lijn moet liggen, wat wilt zeggen dat de verantwoordelijke van een

afdeling verantwoordelijk is voor zijn business-elementen, voor zijn HR-elementen. We hebben hier

anderhalve persoon voor Human Resources, dat is het. Wij vinden dat de verantwoordelijke van een

afdeling van 10, 15, 20 mensen ook zelf HR moet doen. Op tijd en stond met hun mensen overleggen

en feedback-sessies organiseren vallen bijvoorbeeld onder hun verantwoordelijkheden; we hebben

daar geen grote structuren voor.

Het helpt natuurlijk dat wij een compact team van 6 mensen zijn in de directie die alles aansturen,

elkaar continue zien en horen. Wij opereren echt als een soort start-up, kort bij mekaar. We doen dat

ook voor kwaliteitsaspecten, maar ook voor economische aspecten. Wij ‘targeten’ moeders met

kleine kindjes, dus al onze producten die gelanceerd worden, moeten kindvriendelijk zijn en vrij van

toxische stoffen. Dat is niet iemand apart die dat zit na te kijken; dat is inherent deel van de

productontwikkeling. De dames die productontwikkeling doen weten dat ze daarmee rekening

moeten houden. Ze moeten ook rekening houden met de kwaliteit van het product, maar ook de

economische werkbaarheid van het product. Al die elementen worden dus samengebracht. Als je dat

in ‘silos’ doet, dan krijgt je heel bizarre dingen en zeer trage processen. We hebben ook heel veel

manuele activiteiten in de productie: kan dat allemaal goed gemaakt worden zonder dat er een

enorme vermoeidheid bij mensen optreedt? Je krijgt al die elementen die worden samen bekeken, in

dat geval van productontwikkeling worden bekeken. De IT die de website ontwikkelt…om een ander

voorbeeld te nemen: betalingsfraude of dat soort risico’s. Als de mensen providers zoeken voor

betalingssystemen, dan weten ze dat daar een check is van ‘pas op, er is ook fraude in de wereld, hoe

kunnen we dat tegengaan’. Meestal wordt de CFO er dan bijgehaald om te kijken welke elementen er

aanwezig zijn, en om te kijken of er een fraude-element aanwezig is en dan gaat die persoon kijken

hoe er mee wordt omgegaan. Dat wordt niet enkel technisch bekeken worden. Het functionele risico:

117

bv. kunnen betalingen op een goede manier binnenstromen, wordt ook in rekening gebracht. User-

friendliness, hebben we een mooi platform, gaat de klant converteren op onze pagina? Die gaan al

die elementen samen bekijken. Het is niet zo dat er iemand zit van: ‘Ah technisch is dat goed,

afgevinkt, next’. Als we dat soort dingen doen, dan worden al de belangrijkste aspecten

meegenomen. Iedereen heeft de reflex om alles te bekijken, iedereen weet waar we naartoe willen;

of het nu een programmeur is of een boekhouder. Klant eerst, feedback vragen, dat zijn de zaken die

toch belangrijk zijn. Op dat vlak is dat ingebed in het dagdagelijkse, maar toch doen we elke 2 jaar

een structurele oefening om op die manier alles in kaart te brengen. Het is een beetje een mix, maar

voor ons: zowel het economische, kwalitatieve en klant, dat zit allemaal in ieder zijn job. We hebben

geen afdelingen naast elkaar, die heel lange meetings met elkaar hebben, daar zijn we geen grote

voorstander van.

118

10.8. Attachment 8 – Interview transcript: Company E

Heeft het bedrijf een geformaliseerd proces om risico’s te kunnen managen?

Ja! Voor een bank zijn risico’s extreem belangrijk, veel belangrijker dan in een gewoon bedrijf. Eerst

hebben we ons uitgesplitst in een type van risico’s. Voor een bank is dat het asset-liability

management risico: het funden van uw organisatie, de gelden aantrekken en zorgen dat er een

goede balans is tussen de gelden die we beschikbaar hebben en de gelden die we uitlenen. Zowel in

bedragen, maar belangrijker nog in duurtijden van engagementen. Dus dat is het grootste risico op

een bank managen: dat is zorgen dat de duurtijden van het beschikbaar zijn van het geld een beetje

matchen met de duurtijd van het uitgeleende geld. Waar we doelbewust niet perfect matchen: het

verschil in rente dat eigenlijk onze winst maakt. Tweede grote risico is natuurlijk het kredietrisico.

Dat is het risico dat je uitgeleende gelden niet meer terugkrijgt.

Het derde grote blok aan risico’s is alles wat met regelgeving te maken heeft; daar komt compliance

natuurlijk, voor een stuk, bij zitten, want dat is veel breder dan wat compliance echt doet. Er zijn heel

veel regels omtrent hoe dat je moet rapporteren in een financiële instelling; daar worden minimale

voorwaarden aan gekoppeld. Heel dat aspect is een belangrijk risico.

De vierde zijn de operationele risico’s: hoe kan je dat onder controle houden en de verliezen toch

binnen bepaalde perken houden. Dat zijn de vier grote brokken, die eigenlijk vrij losstaand van

mekaar beheerd worden, zelfs nog verder opgesplitst worden…zeker de regulatory is nog verder

opgesplitst in meerdere mensen die daar aan werken.

Eigenlijk is er nog een vijfde categorie; dat zijn alle juridische risico’s.

Er bestaat natuurlijk geen grote organisatie of centraal comité waar die risico’s besproken worden.

Met de heads van verschillende departementen die er aan werken en de CEO van de groep wordt er

gerapporteerd naar het directiecomité en naar de raad van bestuur. Voor elk van die grote blokken is

er een zeer uitgebreid pakket aan interne regelgeving met procedures en governance die daarrond

opgebouwd is. Met comités op alle mogelijke niveaus…dat gaat van de allerkleinste entiteit tot

groepen…volledig volgens consolidatie van business. Het start in het laagste niveau en dat wordt dan

altijd meer en meer gecentraliseerd waarbij dan altijd de major risks telkens een stapje hoger gaan

en de minor risks die blijven dan achter. Een kleine entiteit in een grote groep doet zijn eigen

risicobeheer, doet een risico-analyse, maakt dan ook de set-up die nodig is om die risico’s te beheren

en gaat daar dan uiteindelijk ook controles op uitvoeren, en opleidingen rondgeven en gaat daar ook

over rapporteren. Dat comité op de kleine entiteit gaat zijn huiswerk maken: wat minor risks zijn

blijft onder hun hoede, maar de major risks gaan een stapje hoger gaan. Daar gebeurt dan weer

hetzelfde: wat minor is voor dit geheel blijft achter, wat major is gaat wederom een stapje hoger… Zo

119

gaat dat dus geëscaleerd worden tot op het bovenste niveau: de major topics waar het zelf kan gaan

over de kleinste entiteit dat die stappen heeft overleefd. Een groot risico voor een kleine entiteit kan

dus zeker en vast de top halen. Het hoeft niet noodzakelijk alleen de risico’s van de grootste

entiteiten te zijn die worden besproken aan de top.

De risico’s aan de top zijn een distillatie van top priorities.

Op elk niveau kunnen er nieuwe dingen binnenschuiven, hé. Bijvoorbeeld het risico dat wij gehad

hebben met de Amerikaanse regulator…die zijn eigenlijk op het hoogste niveau behandeld geweest,

dus die komen eigenlijk niet aan bod tijdens die escalatie-oefening. Het is pas op het hoogste niveau

dat een zeer groot risico eigenlijk mee aanschuift.

Een heel moeilijk risico zit eigenlijk in al die poten, maar dat is het reputatierisico. Dat is een firma die

werkt met een retail-clienteel, B2C, zoals een bank hé: een bank is daar een goed voorbeeld van.

Reputatie risico’s zijn zeer moeilijk te beheren. Er komen plots op het hoogste niveau

reputatierisico’s binnen die op geen enkele manier in de organisatie vroeger besproken of behandeld

geweest zijn. Over wat kan dat gaan: de reputatie van de CEO is vaak een groot probleem voor de

reputatie van de onderneming. Dat ga je niet vinden in een lokaal entiteitje, maar dat komt er

helemaal op het einde bij als een groot probleem dat je van tevoren niet echt besproken hebt.

Het is dus gestructureerd opgebouwd, waar op elk niveau de minor risks worden achtergelaten voor

het lokaal management, de grote gaan verder voor gecentraliseerd management, maar op elk niveau

kunnen er risico’s bijkomen.

Die comités van de verschillende entiteiten dragen dus risico verantwoordelijkheid voor hun

risico’s.

Ja. Maar verantwoordelijkheid gaat altijd gepaard met controle. Een proces waar je alles gewoon

bent en waar je kan doen wat je denkt dat er moet gebeuren….daarnaast is er een proces van

controle met verschillende niveaus. Controls dat gaat uit van verschillende niveaus. Samengevat

heeft elk een eigen controlesysteem, het eerste niveau: je controleert jezelf. Businesses organiseren

hun eigen controle, dan heb je het tweede niveau van controle waar het controlefuncties zijn die

businesses gaan controleren. Controlefuncties zijn bij ons de juridische departementen, de

compliance-departement,…die controle uitoefenen op de commerciële activiteiten en de

beheersactiviteiten. Dan heb je het derde niveau: de interne audit. Dat zijn de drie interne poten.

Dan heb je de externe poten die bij financiële instellingen heel belangrijk zijn. Dan heb je het over de

verschillende externe bronnen van controle, externe auditor, lokale regulators, de internationale

regulators… Wat voor ons de belangrijkste regelgever is, is eigenlijk de Europese Centrale Bank die de

120

centrale regelgever is voor de systemische banken, voor de grote banken. In Europa is dat de finale

regelgever.

Je ziet dus: je hebt enorm veel niveaus van controles en het gaat tot het hoogste niveau. Je hebt

mensen van de ECB die dezer dagen in ons bedrijf bezig zijn met controleren van operationeel risico.

Op het hoogste niveau komen ze controle doen op een micro-onderwerp: hoe is de operational risk

in één entiteit beheerd? Ge hebt zeker zelfstandigheid, ge hebt management-verantwoordelijkheid

om dat te doen, maar je moet weten dat daarnaast een enorm uitgebreide controle-poot is om te

komen kijken van wat je doet. Dus die zelfstandigheid moet je een beetje tussen aanhalingstekens

zetten.

Heeft het bedrijf een soort van risk appetite, dat bijvoorbeeld duidelijk zegt welke risico’s kunnen

aangegaan worden en in welke bepaalde mate deze kunnen worden aangegaan?

Ja, zeer zeker. We hadden daarstraks het beheer van risico’s…bottom-up…en we hebben ook gezegd

dat er een interne regelgeving uitgebouwd wordt. Die interne regelgeving bepaalt onder andere onze

risk appetite. Op het hoogste niveau, top-down, wordt er gezegd van: kijk, dat is het type van risico

dat we willen nemen en dat wordt dan concreet vertaald naar de grote entiteiten…naar de business

lines…naar de kleine entiteiten. Dat wordt heel duidelijk gecommuniceerd. Het is heel belangrijk voor

een financiële instelling om aan te geven welke risico je wilt nemen of niet. Dat is een strategische

keuze die je maakt als bedrijf en dat maakt eigenlijk het verschil tussen financiële instelling A en

financiële B. De ene wilt een renterisico nemen, de andere niet. De ene wilt een risico nemen op

duurtijden, de andere wilt een risico nemen op iets anders.

In het compliance-domein zijn wij vrij conservatief op het nemen van compliance-risico’s op landen

waar er een groot risico is voor witwassen en terrorisme-financiering. We zijn daar vrij conservatief

in, sommige banken zijn daar minder conservatief in. Heel concreet: een bedrijf in België wilt een

transactie financieren op Iran…wij zijn gesloten op Iran. Dat is een appetijt die je als organisatie op

het hoogste niveau vastlegt en die dan doorsijpelt naar de verschillende werkorganisaties en daar

wordt er dan gezegd: op operationeel gebied kan je geen documentair krediet op Iran behandelen,

want dat past niet in onze risico appetijt. Je hebt dat voor alles, hé: hoeveel risico kan je nemen op

de Turkse Lira? Dat gebeurt aan de hand van cijfers: als groep willen wij ons financieel risico

maximaal in zoveel miljard euro omgerekend naar lire…

U zei dat er verschillende lagen zijn en dat het zo naar omhoog gaat. Wat zijn de belangrijkste

aandachtspunten op het vlak van risico tussen die verschillende lagen?

121

In onze organisatie verloopt dat vrij gestructureerd. Comités die op elk van die niveaus plaatsvinden,

de leden daarvan zijn dezelfde functies van die onderneming van die specifieke entiteit die daar

aanwezig zijn, die daar dezelfde onderwerpen bespreken, zoals vastgelegd door het hoogste niveau

in dat interne regelgevingskader. Vaak zelfs met dezelfde templates van presentaties. Dat maakt het

vrij makkelijk om te vergelijken met andere entiteiten binnen de groep, ook om die zaken naar boven

te laten sturen. Hoe doen wij dat? In de verschillende entiteiten zijn het dezelfde mensen die

dezelfde template gebruiken, zelfde onderwerp, op dezelfde manier wordt dat besproken. De

conclusies daarvan, worden door één of twee mensen uit dezelfde entiteit naar boven gestuurd. Die

zitten dan ook in het comité van het hoger niveau. De informatie die uit de kleinere entiteiten naar

boven komt, wordt daar samengevat voor het team samen en zo gaat het weer een niveau hoger…

Gebruikt het bedrijf risico tools om risico’s grafisch te kunnen rapporteren?

Ja, daar zijn veel systemen voor. (Haalde een heat map tevoorschijn). Dat is een heat map

bijvoorbeeld over compliance risico’s. Die worden aangeduid door middel van kleuren. Rood is het

slechtste, groen is OK. Voor de ganse groep komt dat op één pagina. Op één pagina staan de

verschillende métiers van de ganse groep en door middel van die kleuren kan je direct zien, op één

oogopslag: ik heb daar een rode… Het grote nadeel van die systemen is dat het uiteindelijk ‘grijs’

wordt.

Hoe bedoelt u?

Je consolideert natuurlijk, achter het gele zitten entiteiten achter die rood zijn en die groen zijn. Als

je begint te consolideren natuurlijk…wij hebben duizend juridische entiteiten en die ga je niet

allemaal op één pagina krijgen. Als je dat een beetje ga consolideren, dan krijg je ‘grijze’ zones.

Dat is zéér tof om aan het management of aan een regulator te tonen, maar wat is het gevaarlijke

hieraan? Je haalt daar niet de juiste boodschap uit. Dat is nu een heat map, maar we hebben

meerdere systemen hoor.

U zit in compliance; heeft compliance met regelgeving in de bankenwereld een impact gehad hoe

het bedrijf risico’s is gaan beheren. Ik denk aan de financiële crisis: de aandacht werd gevestigd op

de bankenwereld. Hoe is deze bank daarmee omgegaan?

Risico’s veranderen over de jaren: kredietrisico was lang geleden een zeer belangrijk risico voor

banken in België, vandaag zijn de kredietverliezen zeer miniem. Dan heb je uiteraard de tendens om

de opvolging van dat risico af te bouwen. Wat verkeerd is. Dezer jaren zijn er weinig kredietverliezen

in België, maar dat komt ooit nog terug. Binnen tien jaar zijn er terug betalingsrisico’s. Ofwel kan je

die afbouwen, ofwel laat je die bestaan. Dat is moeilijk. De tendens is om die af te bouwen want daar

122

is momenteel geen risico, wat uiteraard de verkeerde ingesteldheid is. Je moet daar blijven

investeren om goed voorbereid te zijn wanneer die risico’s terug naar boven komen. Omgekeerd:

een compliance risico was tien jaar geleden zo goed als onbestaande, maar vandaag de dag één van

de belangrijkste risico’s in onze organisatie. Hoe komt dat? Enerzijds door de internationale context,

maar anderzijds komt dat ook omdat je verliezen maakt; wanneer ga je investeren in

kredietwaardigheid en de opvolging van dat risico? Als je zware kredietverliezen maakt. Het is

publiek, dat heeft in alle kranten gestaan: wij hebben een boete betaald van meer dan 9 miljard

dollar. Als je een boete betaalt van 9 miljard dollar om een opschorting van vervolging te krijgen, niet

eens om het afkopen van het probleem, dan heb je een groot probleem. Dan ga je graag wat extra

miljarden investeren om dat risico op te volgen. De feiten zeggen u in welke risico’s u moet

investeren: de financiële feiten, de verliezen die je maakt. Maar dat mag niet de enige motivatie zijn

om te investeren in een risico-opvolging. Je moet over de hele lange termijn kijken naar wat de grote

risico’s zijn en daar blijven op investeren. Je moet ook aandacht geven aan de nieuwe risico’s die

naar boven komen. Een mooi voorbeeld daarvan is: data. Data-protectie is een risico voor de

toekomst, dat is in het verleden nooit bekeken geweest. Daar is zeer relatief weinig in geïnvesteerd

en relatief weinig aandacht aan besteed. Je voelt nu aan dat in 2019-2020 data-risico een belangrijk

product zal zijn.

Elk bedrijf heeft het over data; zij zien ook IT als een groot risico.

Wij hebben vandaag geen enkel verlies met claims, rechtbanken rond data. Maar toch voelt iedereen

aan dat dit een groot probleem zal vormen in de toekomst. We zijn vandaag volop aan het investeren

om een risico-opvolgingssysteem op te zetten om dat data-probleem te gaan beheren.

Ofwel is het omdat het op de LT een probleem is, ofwel is het omdat je verliezen hebt geleden die

jou dwingen, ofwel is het omdat je denkt dat het in de toekomst zal renderen.

Er zijn verschillende redenen om risico-systemen in te voeren in de organisatie.


aan de raad van bestuur? Wordt risico eerder ‘ad hoc’ gerapporteerd als een aparte oefening of

wordt risico geïntegreerd tijdens de gewone rapportering?

Dat is een standaardonderwerp. Het belangrijkste onderwerp voor het management, voor een

voorbeeld te geven: in een heel grote groep wordt met verschillende organisatiemethodes gewerkt

om die aan te sturen. We zijn actief in 75 landen, in elk land wordt er een lokale baas aangeduid, we

noemen dat de head of territory. Jaren geleden, als je keek wat naar de opdracht was van die head of

territory dat was business ontwikkelen, acquisities, synergiën, cross-selling, dat soort zaken. Meer

dan 5 jaar geleden is de verantwoordelijk van de figuur van head of territory helemaal omgekeerd:

123

zijn eerste prioriteit vandaag is risico’s. Sinds vele jaren is risicobeheer de prioriteit; het ontwikkelen

van business, acquisities is één van de laatste prioriteiten. In managementvergaderingen gaat het

enerzijds over het risicobeheer en daarna over de businessontwikkeling. Het zijn vaste punten op de

agenda: alles start met risicobeheer. Alles is gestandaardiseerd.

Dat is voor vele financiële instellingen. Dat vindt je waarschijnlijk niet in commerciële bedrijven. Of

vergis ik mij?

Bij de bedrijven die ik reeds geïnterviewd heb, wordt risico soms bekeken in lijn met de strategie.

Ik bedoel ‘in het bredere geheel’, niet als een aparte oefening zoals bij de banken zoals u net zei.

Ik heb het nu wel niet over de raad van bestuur gehad, ik had het eigenlijk over alle management

comités van de bedrijven. De hoogste raad van bestuur van de groep ben ik nooit naartoe geweest,

daar kan ik u niet zeggen wat ze daar bespreken. Ik zit wel in een aantal raden van bestuur van

werkmaatschappijen; of dat nu een management team is of de raad van bestuur…in de groep is de

raad van bestuur eigenlijk een management team. Dat zijn gewoon de managers, maar op het

allerhoogste niveau. Het verschil tussen het management team en de raad van bestuur is eigenlijk

quasi onbestaande. Er zijn een aantal formele zaken die je moet goedkeuren, maar eigenlijk is dat

hetzelfde als een management team. Het hoogste niveau, de raad van de bestuur van de groep, daar

kan ik niet over getuigen, dat weet ik niet maar ik ben er quasi zeker van dat die eerst zich ook met

risico-analyse bezighouden en pas daarna met de commerciële strategieën. Het omgekeerde zou mij

enorm verwonderen.

Is er volgens u ruimte voor verbetering op het vlak van interne risico-rapportering in het bedrijf?

Ja, zeker en vast er is altijd ruimte voor verbetering. Dat is een beetje het probleem, er komen alleen

maar risico’s bij, het wordt alleen maar veeleisender en veeleisender, er komen maar rapporteringen

bij. Je creëert zonder te beseffen een bureaucratie die zwaar gedragen wordt. Dat is in ons bedrijf

zeer zeker ook het geval. De administratieve lasten in de bureaucratie, het tick-the-box effect, dat

mensen kijken van ‘heb ik dat gedaan, heb ik dat gedaan’. De gezonde huisvaderreflex van ‘wat zijn

nu onze echte risico’s’, dat wordt soms vergeten omdat men een lijstje van risico’s heeft dat men

moet afwerken per dag: ‘heb ik dat bekeken, heb ik dat bekeken’… Af en toe moet je eens denken

van ‘ok, we gaan nu eens al die regeltjes opzij zetten en gewoon eens denken vanaf nul…wat is nu

voor de komende 5 jaar mijn grootste risico als entiteit in de groep’. Dat wordt soms eens

ondergesneeuwd omdat je een heel goed, uitgebouwd, gedetailleerd en voorschrijvend systeem

hebt. Dat wordt soms te bureaucratisch. Zoals in de interne regelgeving genoteerd staat…je moet

altijd eerst zelf kijken wat je risico’s zijn, maar dat raakt een beetje ondergesneeuwd in de massa aan

procedures en weet ik wat. Je komt inderdaad soms tot omstandigheden…gisteren was daar een

124

heel mooi voorbeeld van: risico dat al 6 maand loopt en niemand gezien heeft…een vrij belangrijk

risico in Italië. Ik zie dat het al 6 maand niet goed loopt en ’t is nu pas dat we dat merken.

Je steekt je tijd in het afwerken van al die rapporteringen en risico-analyses die je moet doen, maar

daarvoor is er eigenlijk te weinig tijd om u de basisvraag te stellen: ‘wat zijn nu eigenlijk mijn

risico’s?’. Iedereen kan daar beter in doen. We moeten ‘agile’ werken, we moeten spoedig kunnen

inspelen op marktveranderingen, op de manier van organisatie, de interne regelgeving daar

aanpassen. Wij zijn een grote tanker, hé. Een grote tanker doen bewegen dat duurt jaren, hé. Dat is

het fantastische aan fin-techs: die gasten zitten in een garage en die zijn enorm wendbaar en die

passen zich alle dagen aan. Bij hen duurt dat een week, bij ons duurt dat 5 jaar.

Ik las in de literatuurstudie dat compliance with regulation eerder backward-looking is en

enterprise risk management eerder forward-looking. Wat denkt u daarvan?

Ik vond dat vrij onterecht. Vanuit de externe wereld gezien denkt men dat men bij compliance moet

denken aan de regelgeving en regelgeving wordt nu eenmaal uitgebouwd nadat het probleem zich

gesteld heeft. Dat is typisch, de overheid gaat zeer zelden pro-actieve regelgeving maken; die data-

regulering is daar nu eens een uitzondering op, dat is nu eens pro-actieve regelgeving die er zit aan te

komen, maar de meeste regelgeving wordt gecreëerd wanneer men problemen detecteert.

Aangezien de regelgeving door compliance wordt geïmplementeerd, denkt men inderdaad dat

compliance bezig is met de problemen van gisteren; die redenering begrijp ik wel. Voor een groot

stuk werken we inderdaad daarrond, maar we proberen toch heel duidelijk te werken aan de

problemen van morgen. Ik moet zeggen: één van de nieuwe zaken die we gaan doen in 2017 zijn

onderwerpen rond het beschermen van klantenbelangen, de juiste producten verkopen en dergelijke

meer… er is geen enkele regelgeving die mij dat vraagt, geen enkele. Daar bestaan wel dingen in

retail-banking zoals MiFID en dergelijke, maar in mijn métier is daar geen enkele regelgeving rond.

Toch denk ik dat dat belangrijk is naar de toekomst toe voor klantentevredenheid, zodat je toch

informatie geeft en transparantie hebt, dat je geen abnormale hoge marges neemt… Dat is

belangrijk: dat heeft niets met regelgeving te maken vandaag, maar dat is een mogelijk probleem

voor de toekomst. Ja, ik begrijp de literatuur, maar ik denk dat de deftige bedrijven toch wel iets

verder kijken dan alleen naar de strikte regelgeving van de overheid, maar daar toch hun eigen extra

aandachtspunten aan toevoegen die veel meer naar de toekomst kijken.

125

10.9. Attachment 9 – Interview transcript: Company F

Ik ben internal auditor, ik rapporteer aan de CFO. Als interne audit zijn wij één van de schakels in de

risicobeheersingsketen, dus we voeren audit uit en we rapporteren naar de raad van bestuur; in ons

geval naar een sub-comité: het audit comité van de raad van bestuur. Het AC in ons bedrijf is

toegespitst op financiële rapportering, op risico-en compliance rapportering en op interne audit. Dat

is een beetje delegatie van de raad van bestuur naar het AC. We hebben een AC met drie

bestuurders in, de CEO, de VP van corporate finance en de CIO. Die zitten daar permanent. Tijdens

het AC worden mensen binnengeroepen om hun domein toe te lichten: externe auditor, interne

auditor en de legal counsel. Stuur mij gerust een andere richting uit als ik naast uw vragen

antwoordt.

Ik zag dat jullie een RM process geïnstalleerd hebben om jullie strategische doelstellingen te

bewaken of te controleren. Één van die goals is compliance met regelgeving. Heeft compliance met

regelgeving een impact gehad op hoe het bedrijf kijkt naar risico’s?

Eerst moet ik al zeggen dat ons bedrijf recent een grote wijziging heeft gekend in het management.

We hebben onze CEO, onze belangrijkste exponent en hij is heel erg compliance-gericht wat wilt

zeggen dat de focus de laatste maanden en jaren vooral ligt op compliance; wat wel belangrijk is in

dit domein. Om op uw vraag te antwoorden, ga ik iets anders toelichten los van wat ik u heb

doorgestuurd. Hier zie je het risk management process…je ziet de yearly risk assessment and

compliance-gap analysis. Wat doen we daar? We doen daar een company-broad exercise waar we

alle entiteiten gaan bevragen. Dat gebeurt door onze risk & compliance manager… Qua monitoring

activiteit in ons bedrijf spreken we over een aantal functies: de interne audit, maar ook onder de

paraplu van risk & legal hebben we de risk & compliance manager. Vaak is er wat overlap tussen wat

wij doen, maar we zitten dan ook fysiek naast elkaar; we vullen elkaar meer aan dan dat we in

elkanders vaarwater zitten. Daarnaast zijn er natuurlijk ook zaken die specifiek over productkwaliteit

en product-compliance gaan, dat is dan eerder in de divisies, dus niet in de ondersteunende functies,

maar echt in de business. Je hebt kwaliteitsdiensten die ook audits doen en daarover ook

rapporteren, daar zijn natuurlijk ook risico’s aan verbonden. Echte risico’s in de zin van product-

compliance: uw producten zijn niet gecertifieerd, maar worden op de markt gebracht. Dat soort

zaken zit echt in hun business. In een healthcare-omgeving moet je met heel veel dingen rekening

houden, hé. Je hebt in Amerika de FDA die heel strikt zijn, je kan daar niet zomaar uw product op de

markt brengen zonder dat er aan alle normen wordt voldaan: we hebben dedicated teams om die

zaken op te volgen en er ook over rapporteren indien het nodig wordt geacht. Nog maar eens om te

zeggen: de risico-noemer is zodanig breed om op een halfuur het hele plaatje te schetsen. Samen

met onze risk and compliance manager doen we die jaarlijkse risico-oefening en daarin gaan we

126

iedereen, het CLT (Core Leadership Team – dat zijn de top 12 van het bedrijf) interviewen, een uur

lang, rond alles wat zij zien als risico’s en we groeperen die dan zoveel mogelijk. Dit gebeurt samen

met een bevraging van de 60 – 70 lokale entiteiten die allemaal een risk and compliance manager

hebben. Al die informatie consolideren we dan, totdat we tot 22 risico’s gekomen zijn voor dit

jaar…daar kan altijd een beetje speling op zitten. Dan sturen we die risico’s terug naar het CLT met de

vraag om ook scores toe te kennen. En op basis van die scores, maken we naast een kwalitatieve ook

een kwantitatieve lijst waarbij we de top 10 risico’s bepalen van het jaar. De verhouding met vorige

jaren wordt ook bepaald. We mappen dit dan naar een soort van grafische weergave. Inherent risk

op basis van likelihood en impact is zo, maar als we denken van ‘hoe goed hebben we dit onder

controle’, dan kijken we naar residual risk (Interviewee liet mij een soort van heat map zien). Makes

sense? Heb je dit nog al gehoord?

Ja!

Ik weet niet of dit in andere bedrijven aan bod komt?

In sommige, het varieert, niet elk bedrijf hecht evenveel belang aan risk tools.

Dus dan komen we, zoals ik daarnet zei, tot een top 10. Wat we dan doen…ik spreek nog altijd over

het management hé… de 22 risico’s en de top 10 risico’s worden vergeleken met die van vorige jaren.

Hoe is de consensus onder het management team? Het kan zijn dat er iets door twee mensen

extreem belangrijk gevonden is en door tien helemaal niet, dat soort dingen proberen we dan te

rapporteren en dat is nu echt een rapport dat al naar de raad van bestuur en het AC gaat. Nog voor

dat er iets mee gebeurd is qua actieplannen, zeggen we gewoon: de oefening is gebeurd en dat is de

ouput. In April gaat dit altijd naar het AC, als een beetje retrospectie naar het vorige jaar en ook

alweer de outlook naar het volgende jaar. Wat waren de risico’s waarmee we geconfronteerd

werden en hoe gaan we die aanpakken naar het volgende jaar.

Wat er dan gebeurd is: ons management team krijgt dat dan terug op zijn bord met de vraag: wat ga

je daar nu in feitelijk aan doen? Dat is wat ze nu deze week gedaan hebben: ze zijn eigenlijk op off

site geweest, dan krijgen ze allemaal de vraag: wat zijn de gaps op deze top 10 risico’s, wat zijn de

dingen waar we tekort schieten? Welke acties hebben we allemaal lopen die deze zaken zullen

afdekken, maar wat zijn de dingen waar we nog te kort schieten? Daar proberen we nieuwe acties te

definiëren indien nodig. Ik bedoel je kan niet op alles schieten: sommige zaken worden effectief

geaccepteerd als risico.

Die verschillende divisies worden geleid door divisie-president, krijgt die zelf verantwoordelijk

voor mitigating actions op te stellen?

127

Veel zal afhangen van het type risico. Als we kijken naar de top 10. Het eerste nu: cyber-risk and

data protection. We zitten sowieso al overduidelijk in een IT-context. Dus voor IT…De IT-president

heeft de boodschap meegekregen om de cyber-security te versterken en dat risico beter onder

controle te hebben. Daarnaast maken we in de healthcare networked solutions waarbij je in een

operatiezaal centraal de data kunt verzamelen en visualiseren. Die data moet natuurlijk beschermd

worden. Ge wilt niet dat onze bedrijfsproducten gehackt worden in de kliniek waarbij dat er iemand

anders die confidentiële medische dossiers kan ophalen. Dat soort is ook cyber-risk en daar komen

we dan ook meer bij de divisies terecht. Daar gaan de 3 divisiepresidenten verantwoordelijk worden

geacht voor de goede beveiliging van hun producten; dat ze niet te hacken zijn; als je met cloud-

oplossingen werkt bijvoorbeeld dat je een oplossing hebt voor security-problemen.

Bijna elk bedrijf dat ik geïnterviewd heb, draagt data protectie en IT risico’s als één van de

belangrijkste risico’s in het bedrijf.

Dat is anderzijds geruststellend dat iedereen er mee bezig is en dat er iedereen ook wat hetzelfde

over denkt. Moesten er mensen zijn die zeggen: ‘ik lag daar niet van wakker’, dan kan je u de vraag

stellen of zij mis zijn of wij mis zijn.

Intellectual property… dan zal er eerder gekeken worden qua ownership naar bijvoorbeeld de

mensen van legal. Kunnen we meer doen om de business te ondersteunen rond de bescherming van

onze patenten? Maar er gaat altijd een terugkoppeling zijn voor de divisiepresidenten van: ‘we

moeten ons personeel goed op de hoogte stellen dat ze zeker geen infringement plegen ten opzichte

van een patent van iemand anders, en anderzijds dat we onze eigen patenten goed genoeg

beschermen’. Er gaat nooit een single risk ownership zijn voor risico. In risico, zeker op dat niveau, is

per definitie een company risico. Indien het ‘mitty gritty, my own little risk’ zou zijn, dan zou het ook

niet belangrijk genoeg zijn om in de top 10 te komen. In die optiek: er zijn altijd mensen die eerder

geimpacteerd zijn, maar in essentie spreken we over risico’s die veel mensen impacteren. Ook

kwaliteit, zowel voor als na de productrelease, we moeten productreleases uitstellen omdat we onze

vereiste kwaliteiten niet halen. Dat is een risico. Ethics, dat is ook iets heel algemeen maar goed, we

willen toch als globaal bedrijf dat er overal dezelfde standaarden gelden. We willen niet dat de

Russische maffia onze Russische boîte controleert, ik stel het nu zeer karikaturaal maar je snapt mijn

punt wel, hé. Dat zijn een aantal van die zaken… Staffing…we zitten in een technologie-bedrijf…het is

belangrijk om mee te blijven, hé. Het is gevaarlijk om in één keer de boot te missen omdat je niet de

juiste mensen aan boord hebt, omdat je zaken gemist hebt. Dus ook daar moeten we ook constant

op ons hoede zijn; het hoeft niet per se een probleem te zijn, maar het is een risico. Dat is eigenlijk

128

onze kapstok; die risk assessment is zeer nuttig omdat we op die manier belangrijke zaken zoals onze

werkrprogramma’s, rapporteringen, risico’s samen kunnen ‘mappen’.

Ik ga nog snel eens onze management structure tonen voor uw begrip. Dat is onze CEO en daaronder

hebben we het core management team. We hebben iemand voor operations, voor de enterprise

divisies, CFO, VP of IT… We hebben een matrix structuur. We hebben 3 divisies en 4 regio’s. Al die

mensen rapporteren aan de CEO en moeten verantwoording afleggen over hun business. Sales als

het gaat over de regio’s en al de rest als het gaat over divisies. Dan zijn er een aantal ondersteunende

zaken zoals HR, finance, legal counsel…die dan ook mee deel uitmaken van het core leadership team

en ook moeten rapporteren aan hen. Als er gevraagd wordt vanuit het AC dat er iemand zich moet

verantwoorden, dan gaan ze specifiek mensen op de agenda plaatsen van het AC. Als dat gaat over

risico’s zal het meestal onze general counsel zijn: hij rapporteert over de zaken die opgemerkt zijn

door onze risk and compliance manager. Op periodieke basis komt hij echt met de agenda rond risk

reporting, waarbij ook verzekeringen ter sprake komen. Maar nog eens: risk is een heel breed

gegeven. Als het gaat over sommige financiële risico’s, bijvoorbeeld working capital risk dat onze

inventory heel hoog staat…dan zal er gekeken worden of het ligt aan operations of dat accounts

receivable slecht… Zo’n zaken zijn zeer ‘ad hoc’ dat het AC daar de vraag gaat stellen naar die

bepaalde mensen. Vaak is dat een sub-delegatie waarbij dat de RvB zou zeggen aan het AC: ‘dat is nu

een projectje dat jullie nu verder moeten opvolgen’, waarbij dat dan een delegatie gebeurt vanuit

het AC naar het managementniveau die er dan uiteindelijk het meeste owner zijn.

Ik las in het document dat u mij had doorgestuurd dat het bedrijf gebruik maakt van impact en

likelihood om risico’s te kunnen ranken en ik las ook dat dat gebaseerd is op een “acceptable level

of risk exposure”. Het bedrijf heeft dus een risicofilosofie of appetite die duidelijk zegt welke

risico’s acceptabel zijn of niet?

Dat is mijn eigen sales-praatje omdat het mijn métier is. Ik durf niet te zeggen dat dat een

cultuurgegeven is, maar ik moet dan ook wel zeggen dat dat iets is dat we nu wel proberen. Nog

eens: met dat nieuwe management wordt daar veel aandacht aan gegeven.

Wacht ik ga eerst even antwoorden op uw vraag van die levels van impact en likelihood…want we

hebben dat in feite ook gekwantificeerd. We hebben daar ook bedragen opgeplakt: ebit of

ebitda…impact…zoveel…dat noemen wij acceptable, dat noemen wij high. De impactschalen die zijn

echt gekwantificeerd. Ik weet niet of je dat wilt zien?

Graag.

(Liet mij zien hoe likelihood en impact werden gekwantificeerd). Voor likelihood…hoe definiëren we

de verschillende niveaus: ‘happened already in a similar activity in the company’ is dan al een 4 qua

129

rating.. Voor impact kijken we naar 3 niveaus: ebitda, reputation en stakeholders. Het idee van dat er

een dode valt op uw werkvloer…heeft dat een financiële impact…nee, maar het reputatie risico is

dan niet te schatten, hé. Een employee is nog altijd een belangrijke stakeholder, dus dat kan je wel

een serious impact noemen. Over risk appetite ging het feitelijk, hé, ik zou graag nog eens een zijstap

nemen om terug te komen op de compliance vraag van daarnet.

Compliance is iets dat in het bedrijf heel wat meer aandacht gekregen heeft. We definiëren dat ook

heel ruim. Elk jaar doen we een compliance quiz, een grote quiz waar iedereen in het bedrijf aan

moet deelnemen, waar we iedereen in het bedrijf uitnodigen om te volgen, maar niet gewoon

uitnodigen maar eigenlijk aansporen tot. Een uur lang een presentatie met tussendoor een

interactieve quiz. Van elk domein wordt er dan één iets uitgelegd, op het einde krijg je 2 of 3

vraagjes, op het einde van de rit is er dan een prijs voor het departement dat de meeste juiste

antwoorden gegeven heeft. Dat gaat over product-compliance, export-compliance…waar we zeker

niet lichtzinnig mee mogen omgaan… je hebt net zo een control room gezien…als dat gebruikt wordt

voor een nucleaire site in Iran…is dat toch al niet meer de bedoeling waarschijnlijk, hé. Dat soort

zaken wordt niet gemonitord, maar daar moeten wel wat ‘weides’ rond gecreëerd worden. Mensen

van traffic, mensen van sales, weten dat als er een order binnenkomt van Iran dat ze daar zeer

omzichtig mee moeten omgaan. Pas op dat order komt hier niet zomaar uit de lucht gevallen, hé.

Allemaal gewoon maar om te zeggen dat we hier een jaarlijkse grote awareness campagne hebben.

Ook revenue recognition bijvoorbeeld…dat is een financial policy…wat is de impact op de

business…wanneer mogen we iets herkennen als revenue? Order recognition juist hetzelfde…de

klant heeft op een servetje geschreven dat hij 2 projectors wilt hebben, maar dat is geen order…

Iedereen moet op dezelfde lijn zitten.

Hoe zou u de structuur beschrijven die jullie hanteren voor risico’s te beheren?

Dat is een redelijk centrale structuur zou ik zeggen; we willen daar wat meer ownership geven aan de

lokale risk and compliance managers, maar daar is nog een lange weg… Ik denk dat we voornamelijk

nog vrij centraal zitten. We zitten hier ge-headquartered, het balangrijkste deel van het personeel zit

hier, de managementfuncties zitten ook grotendeels hier, en zeker als je spreekt over

rapporteringslijn naar de raad van bestuur…is heel sterk van hier.

Iedereen is bezig met risico en compliance op zijn eigen niveau, maar de rapportering daarrond is

centraal gedreven.

Ik las : ”Timely, complete, and accurate information flow – top down and bottom up – is the

cornerstone of effective risk management”… Hoe verloopt die information flow tussen al diegenen

130

die verantwoordelijk zijn voor risk management. Wat zijn belangrijke aandachtspunten tijdens die

communicatie?

Dat moet opgesplitst worden naar de verschillende domeinen, het is moeilijk om dat in zijn geheel te

zien. Vanuit de audit zit ge altijd met een duidelijk stramien: er wordt iets op middle management

niveau geïdentificeerd, doorgesproken en dat escaleert of niet. Die escalatie is zeer klassiek. We

hebben ook rapporteringskanalen. Voor ethics hebben we een specifieke mailbox om te zeggen: ‘alle

risico’s die je ziet rond onethisch gedrag, kun je escaleren door een mail te sturen’. Er zijn 3 mensen

die in de mailbox kunnen en die zullen dat altijd overleggen. Verzekeringsrisico’s en plant risks zijn

dan een andere escalatie. Het is zowel top-down als bottom-up… Bijvoorbeeld: er kan een

personeelslid nu net per ongeluk betrokken zijn in een jaarlijkse stocktelling maar die ziet dat dat

magazijn veel risico op brandgevaar heeft… Op die manier wordt dat geëscaleerd, dus zowel van

bottom-up als top-down. Allemaal heel afhankelijk van welk type risico er wordt gerapporteerd. Dat

is ook niet allemaal geformaliseerd, hé. De meeste van die kanalen zijn informeel. Omdat de mensen

weten bij wie ze moeten zijn. We zijn niet zo groot dat we een anoniem bedrijf zijn. De mensen van

legal zijn genoeg gekend, ik probeer voor mijzelf ook te zorgen dat mensen weten wie ik ben zodat ze

mij kunnen contacteren. Hetzelfde geldt voor product-compliance: als er mensen zijn met vragen

daarrond, dan weten ze bij wie ze moeten gaan… Integrated assurance zie ik in de literatuur…we

moeten daar nog aan werken, maar we doen ons best.

U zei daarnet dat het AC het hoogste orgaan is voor risicobeheer. Dat dat gedelegeerd werd door

de RvB aan het AC. Wat is de functie van risk reporting aan het AC? En wordt risico gerapporteerd

als een ‘ad hoc’ oefening of wordt er gekeken naar het ‘bredere geheel’?

Het is sowieso altijd apart geagendeerd voor het AC. Als er over risico gepraat wordt, ik bedoel

letterlijk, niet in de periferie van…dan is dat een apart punt voor mezelf, voor audit om toelichtingen

te geven bij die risk assessment oefening of bij alle legal liabilities… Dat is altijd wel company-wide,

dat neemt niet weg dat er altijd ingezoomd kan worden rond één specifiek risico. Als het op de

agenda staat, dan staat het erop als een afzonderlijke topic, en niet mee in de flow van… Het eerste

deel van het AC wordt er gesproken over de cijfers zodanig dat iedereen weet waar we staan, wat de

outlook is en wat we het voorbije kwartaal hebben gedaan. Alles wat daarachter komt is een logische

reflectie ten opzichte van die cijfers… Als we bijvoorbeeld zeggen: we zien risico’s in China want we

hebben een kwaliteitsprobleem en we kunnen een bepaald product niet uitleveren… dan is dat

hopelijk al iets dat in de cijferbespreking ter sprake is gekomen.

Ik las ook in de literatuur dat compliance with regulation eerder backward-looking is en ERM

eerder forward-looking is. Hoe staat u tegenover die uitspraak?

131

Compliance is inderdaad voor een groot deel backward-looking omdat dat altijd reactief is op

problemen uit het verleden. Dat klopt wel, en er is een zekere inertie, hé. Als men op het gebied van

regelgeving zegt dat er iets moet veranderen, dan duurt het meestal nog 2 jaar vooraleer het echt

regelgeving wordt. We zitten nu met GDPR. GDPR is een groot programma bij ons, we kunnen niet

echt zeggen dat Europa een voorloper is, maar we doen tenminste iets. Een bedrijf heeft natuurlijk

de tijd nodig om een programma in ontwikkeling te brengen en om compliant te geraken. A priori

heb je al een backward-looking effect want tegen dat je live moet zijn, mei 2018, heb je al veel uit het

verleden opgekuist maar eigenlijk is risico-management per definitie forward-looking. Het verleden is

niet relevant meer, hé. Het is goed om uw lessons learned te hebben, maar er is weinig statistische

relevantie in het verleden en er is weinig voorspellende kwaliteit uit de zaken van het verleden. In die

optiek, onderschrijf ik dat verschil tussen compliance en ERM.

U zei dat door het nieuwe management team veel aandacht werd gevestigd op compliance… Hoe

zit dit in de raad van bestuur?

Ja, maar als ik terug mag grijpen naar die risk assessment-oefening. Daar zie je dat er een paar

tangible risks tussenzitten. Maar market competition risk is al een veel breder risico: dat is een risico

dat zegt: hoe gaan we ons bedrijf positioneren ten opzichte van de concurrentie en hoe zorgen we

ervoor dat we het goed doen in nieuwe technologieën… Ook het business-model is niet onbelangrijk:

de tendens is om iets te verkopen als een service in plaats van een product. Omdat je meer revenue

genereert, ge gaat in het begin misschien iets minder genereren, maar wel gegarandeerd voor een

zekere periode… Als Proximus morgen zijn sales staff ontslaat, gaan ze nog de volgende 3 jaar op

hetzelfde niveau verkopen…omdat dat gewoon recurring business is. Die re-positionering, dat is een

goeie buffer tegen risico. Als ge uzelf in een recurring model kunt krijgen, dan buffert ge heel wat

risico: ge zijt ineens niet meer afhankelijk van de kwaliteit van uw sales, van een probleem dat je

hebt in de field, uw reputatie valt of staat niet meer meteen met één failure op kwaliteitsniveau,

want ge zit embedded in een proces van uw klanten. Dat is een strategische keuze die iedereen

probeert te maken, maar de conversie is niet zo evident.

Is er volgens u ruimte voor verbetering op het vlak van interne risico-rapportering in het bedrijf?

We kunnen daar nog veel in verbeteren door consolidatie denk ik… We zijn natuurlijk ook een bedrijf

dat niet heel erg geformaliseerd is en we moeten dat gelukkig ook niet zijn. We zijn klein vergeleken

met global players, we zijn niet-Amerikaans beursgenoteerd, we zitten niet in de financiële

sector…dus we zijn eigenlijk daar flexibel in en ook niet door te veel regulation gebonden. We

moeten dus niet wakker liggen van de formalisatie van die oefening. We moeten die oefening doen

om te zorgen dat we alles goed op de radar hebben en de juiste acties nemen. We moeten de

132

oefening niet meer doen om te formaliseren of om te zorgen dat we er proper over rapporteren. Als

we het beter moeten doen, dan doen we het voor onszelf, niet voor de buitenwereld. In dat opzicht

is er altijd ruimte voor verbetering, maar we moeten dat niet per se als een agendapunt opnemen als

zijnde: ‘we moeten hier het komende jaar beter rapporteren over risico’… We moeten het gewoon

beter onder controle hebben.

Bedankt, dat waren al mijn vragen.

133

10.10. Attachment 10 – Case/Topic matrix

CASE/TOPIC Eandis Realdolmen Company A Company B Company C Company D Company E Company F

Formalized ERM

framework

• Integrated risk management

• The aim of integrated risk

management in the organization is

to find an optimal balance between

corporate objectives and the risks

that Eandis faces while realizing

those objectives

• Since 2014, Eandis has a

‘recurrent’ methodology

• Defined risk as “a vulnerable state

or an unprecedented future

happening that could impact the

operations and the achievement of

corporate objectives”

• Organization has multiple

processes

• Risk audit process brings all the

important risks together

• “Four l ines of defense”

• Multiple actors active in risk

management on different

organizational levels

• "No, but we do have rules that comply

with corporate governance"

• "We make use of 'checks and

balances' that complement our risk

reporting"

• CEO indicated that this was evident,

and especially in his l ine of business:

the payment industry

• A permanent monitoring to “check

where things could go wrong”

• “All those risks are inventorized”

• Analysis of risk profiles on a regular

basis

• “We don’t have an impact on the

exchange rate…being well-organized

helps to anticipate and minimalize those

risks”

• Risks with a big impact on financial

results are prioritized

• Risk analysis is an “ongoing process”

• Processes to identify risks are

inherent in the business

• “Bottom-up” analyses are conducted

to assess the probability of occurrence

and its impact

• Risk rankings are established to set

priorities

• “For a bank, risks are extremely

important, more important than

in regular organizations”

• Five broad categories of risk

that are managed in a separate

way

• Yearly risk assessment and

compliance-gap analysis is a big

part of the organization’s risk

management process

• A company broad-exercise where

all entities are being surveyed

Risk appetite/tolerance • KPIs are l inked to its related risks,

on each level of the organization;

this indicates that a clear risk

philosophy is established in Eandis.

• Risk management is firmly

embedded in this organization; the

creation of a heat map helps to set

up clear boundaries in relation to

the potential impact risks could

have on certain processes

• “Yes, I’ve established a risk appetite

model a few years ago”

• Classification of green-orange-red

can really helped in developing risk

appetite model

• “Our risk appetite permits to take

on ‘orange risks’”

• “Geronimo” used to get risk appetite

model into practice; getting it into

practice by training & personal

coaching

• A trade-off is made between risk and

reward in l ight of the organization’s

current stance on risk-taking

• Their business is one "risk language"

• “Each investment has its own merits”

• Establishing a risk appetite would

lead to a "negative choice"

• “We are in the payment industry, so

yes, there’s a presence of a clear risk

philosophy”

• Safeguarding the REBITDA and

assessing how identified risks will

impact the bottom-line, are the two most

important “key drivers”

• “No, I don’t think we look at risks that

way”

• “Internal regulation determines

our risk appetite”

• It’s a top-down process that

starts at the top of the

organization and ends in even

the smallest entities

• “It’s very important for a bank

to determine which risks will be

taken or not”

• Interviewee also indicated that

the risk appetite is a strategic

choice

• “That’s my own sales-talk

because it’s in my line of business”

• “I won’t say it is a cultural given,

but we’re working on that”

• A yearly risk awareness campaign

Central risk function • Management committee has

ultimate responsibil ity

• Interviewee’s slogan: “We all have

the same job…we are all risk

managers in our jobs”

• The mindset is important

• Nonetheless, interviewee also

indicated that a big part of the risks

are being managed by senior

management and internal auditor

• It’s more of an interplay between

different organizational functions, but

there’s no assigned risk officer

• COO is responsible for everything

concerning the certifications and plays

an important role

• CFO and corporate finance director are

the watchdogs of the processes

• Internal auditor • “There’s no central committee

where risks are being managed”

• Risk & Compliance manager and

internal auditor are the developers

of the yearly risk assessment

exercise

Other risk

responsibilities

• Establishment of three control

mechanisms: first there are the

people on the terrain who are

expected to be responsible for

operational risks; Management

committee is responsible for second

control; Internal audit is

responsible for third control.

• Senior managers are also

responsible for their l ine of

business; senior business process

analysts are expected to make

propositions concerning their l ine of

business.

• “Data Quality Control Managers”

also play an important role in

safeguarding the processes

• “A big part of the risks is being

managed by senior management and

the internal auditor”

• AC required to check financial

statements and safeguard correct

figures

• “‘Group Accounting’…four-eyes

principle”

• PMO

• ‘Group Reporting’ have an overview

of all the projects that are currently

‘red’

• Compliance department which is

very important for the installment of

a risk aware culture

• “Everyone who has decision-rights…,

the board as a control unit,external

accountant, external auditor...who can

also play a more pro-active role,

banking commission…"

• Directors that come into practice

could also have an impact on the risk-

financial status of the organization

• All the transactions that occur, must

be signed off by the head accountant

and two other people on different

organizational levels

• “We are with three: CEO, CFO, and

COO”

• “Audit committee and auditor must

know what security mechanisms are in

place”

• Management is responsible for risk

reporting to the board

• Leadership team is responsible for

keeping the audit committee up-to-date

• Audit committee is responsible for

evaluating the risk management process

of management team. The audit

committee ultimately reports to the

board of directors.

• “The internal auditor has a very

important function in our organization”

• Internal auditor helps to manage risks,

but also evaluates processes in place

• Risk management, HR and quality are

all aspects that are on team managers’

agenda

• Internal auditor reports to audit

committee

• Audit committee is responsible for

(risk) reporting to the board of directors

• CFO responsible for detecting fraud

risks

• A small entity in a big

organization performs its own

risk assessment

• There are committees on every

organizational level

• It’s organized in a structured

way: minor risks are left behind

and major risks are being

reported to a higher

organizational level

• CEO strongly focused on

compliancy

• Product-and quality compliancy

also very important. Dedicated

teams are in place to address these

important aspects of the business

• CLT responsible for giving scores

to top risks that the company is

facing

• 60 -70 local entities with local

risk & compliance manager

• Three division presidents are

responsible for cyber-risk in their

division

• General counsel reports the

findings of the risk and compliance

manager to the AC

134


Delegation of risk

ownership

• “We let it seep through the entire

organization”

• Everyone, on his or her level, bears

responsibil ity related to risks and

the objectives

• “We try to get a global vision of

risks; a vision of risks where there

has been reached a consensus”

• “Of course, you can’t manage it in a

centralized way”

• Indicated the importance of the

organization’s fourth line of defense

as a promotor of the installment of a

risk culture

• Member of executive committee

have ultimate decision-right to

accept a “red proposal”

• A certain autonomy, within certain

boundaries

• The use of modern technology is very

helpful… It’s more easy to check with

peers who share knowledge of

particular investment

• Interviewee indicated the importance

of a centralized approach to managing

risks,

• “You have to do it centralized, top-to-

down, it’s more efficient and direct”

• “You have to maintain independence…”

• “Everyone needs to follow our policies

and code of conduct…those policies

make sure that daily risks are being

controlled”

• Priorities and projects, once defined by

central risk function, are being

distributed to divisions

• With respect to ‘bigger risks’, divisions

are being expected to set up a plan that

needs to be approved by a higher

organizational level. If approved, then

the divisions need to execute the plan

• The input of divisions is important, but

coordination and evaluation is being

done by the financial team

• “Central-decentral isn’t black-and-

white”

• A mix of centralized and decentralized

approaches are present in this

organization

• Security & IT risks (personal safety

and health of employees) are being

managed in a centralized way; Financial

risks can be ‘hedged’, so that can be

done in a more decentralized manner

• A centralized approach supports

efficiency and is recommended in a

turbulent environment

• “If you need to react to sudden

changes, then I think a centralized

approach would be more suitable”

• "There’s autonomy, but

autonomy always goes hand in

hand with controls”

• Three lines of control in the

organization; also presence of

external controls

• Management responsibil ity is

certainly present but a huge

controlling body hovers over

those who can manage risks

• “There’s never single ownership

for risk”

• “Dependable on the type of risk”

• Cyber-security risk is

momentarily a priority, division

presidents are expected to be

responsible for a good protection

of their products

• “We want to give some more risk

ownership to our local risk &

compliance managers, but there’s

stil l a long way to go”

Internal risk reporting • Audit committee give

recommendations concerning ‘high-

profile risks’, management

committee should set up actions to

respond to those recommendations

• Internal audit reports directly to

CEO

• Tactical three-monthly reporting to

the board of directors

• Clear communication between

person responsible for detecting

most important risks and the

business process owners

• The use of tools is deemed very

helpful to report on risk-related

matters

• PMO reports to business owners,

CFO or the general manager.

• PMO works together with ‘Group

Reporting’ in order to follow-up the

projects

• Communication between four l ines

of defense happens by the people

involved: “you have a lot of bridges

between these different l ines of

defense”

• Management responsible for risk

reporting to the BoD

• “Risk reporting mainly depends on the

investments, our biggest risk factors”

• “Fraud risk… is hard to trace, hard to

detect in daily reporting”

• “There’s no information flow, you have

to be very careful with that”

• Human interaction is considered to be

a necessary part of the whole process...,

but also the most dangerous one

• In alignment with reporting of

performance

• Priorities and risk action plans are

being presented to audit committee by

the senior management team

• “The most important thing is the

continuous effort to evaluate processes”

• Risk is taken into consideration during

the launch of new projects; this happens

in a team

• Lack of "organizational layers"

• “In a sense, all our employees drink

coffee together…a formal organization

isn’t required”

• It all starts in the lower

echelons of the organization

• A distil lation of major risks is

reported to the top of the

organization

• Organized in a structured way:

committees on every

organizational level are

organized in the same way. This

promotes comparison between

different entities

• Everything is discussed in a

way that is set at the top

• Yearly risk assessment by risk &

compliance manager and internal

audit

• They interview the CLT and local

risk & compliance managers

• A consolidation of data leads to a

certain number of risks

• CLT team must assign scores to

the identified risks; this leads to a

top 10 of risks

• CLT finds consensus among each

other and determines suitable

action plans

• Clear communication with

division presidents

• AC determines in an ‘ad hoc’

manner which person to invite for

risk reporting

• Top-down and bottom-up

escalation

• Informal reporting channels

Risk reporting tools • Eandis Risk Identification Card

(ERIC)

• Heat map with 6 categories on

horizontal and vertical axis

• QPR, a program that supports

monitoring and reporting on a daily

basis

• “Our intensive care is graphically

displayed via a bubble-chart”

• “If you have an ‘Excel’ sheet with a

lot of different data, you can create

nice charts and graphs”

• Interviewee indicated that other

tools are: interviews, classification,

asking and testing, and the

collaboration between internal and

external auditor

• Time-registration tools for the

follow-up of projects

• “Everyone has its own tools”

• Heat map helps to set priorities

• No tools, it’s being integrated in the

“normal” reporting

• “Worst case scenarios… what if

something goes wrong… it’s important

to spend much time on these matters”

• “Those tools are the audit committee

and the auditor…who have to know what

security mechanisms are in place to

prevent fraud”

• SLAs

• External consultants perform a

‘penetration-test’ on a continuous basis

• “We don’t have a specific form of risk

reporting”

• Integrated with performance reporting

• No, but there’s a creation of an

overview via ‘Excel’

• Probability of occurrence and its

potential consequences are presented in

an ‘Excel’-sheet; CEO considered this as

a tool

• A heat map is used to display

all relevant risks of the group on

one page

• Major disadvantage: it all gets

‘grey’ as a consequence of

consolidation

• Organization uses a heat map

that graphically displays the

inherent risk and residual risk

• Impact on EBITDA, reputation and

stakeholders and likelihood based

on scores

135


Impact of regulatory

requirements

• “We can’t allow it to do something

against the law”

• “We are a ‘not-small’ organization,

where do you think that they will do

their first check?”

• We dedicate a lot of attention to

compliancy in the energy sector

• “Without a compliancy approach

matters are being reported at an ‘ad

hoc’ basis, instead of ‘high-level’”

• “We had to strive for arranging an

internal auditor within our

organization”

• “SOX quickly became a check-the-

box exercise…it’s written in an ‘ex

post point of view’”

• Interviewee indicated that Europe

had a ‘softer’ approach, more ‘ex

ante’/’comply or explain’, which

allowed Realdolmen to be more

future-oriented…”Europe’s approach

is successful in those aspects”

• “It remains a dead letter if it isn’t

embedded in the mentality”

• “It exceeds its aim most of the time…,

hard to understand by our

stakeholders”

• “It’s l ike an ivory tower”

• CEO indicated the “hyper-regulated

market” in which the organization

operates

• “You do nothing without being

certified, it’s that simple…otherwise we

wouldn’t be here”

• “Our annual reports, although we are

a small company, are sometimes 180

pages long”

• There’s a necessity to provide “end-to-

end transparency”

• Company is used to be compliant;

Compliancy very present in this

company

• “We don’t wait until due date”

• Regulation is integrated in their

statutes. They derive policies from those

statutes and expect that those policies

are followed.

• “Being compliant…that’s just a

minimum”

• CEO stated that compliance with

regulation hadn’t any impact on how the

organization manages risks

• He said that the introduction of GDPR

will have an impact: more profound

analyses of cyber-security risks will

probably be a consequence of that

regulation

• “Risks change over the years”

• “Ten years ago compliance

risks were almost non-existent,

but today it’s one of our biggest

risks”

• The bank heavily invests in risk

control systems concerning data

protection

• “There are different reasons to

implement risk systems in the

organization”

• Compliance-minded CEO

• FDA in U.S.

• “Compliance is something that

really got attention in this

organization”

• Compliance quiz

Function of risk

reporting to the BoD

• Strategic risk management is

present in Eandis

• “The current status of our KPIs and

their related risks are all reported to

the board”

• “Risks that affect our KPIs are

being reported 4 times a year”

• “I have to say, it’s not a popular

reporting…lot of directors take their

phone when I start discussion of

risks related to KPIs…it’s so

detailed, directors have less

commitment to those matters”

• “Compliance is not the cornerstone

of reporting to the board”

• The process is dependable on

functional risks, not compliance

• The most important risks are

estimated in function of the strategy

• Interviewee indicated that the

organization’s board asks a lot of

‘what-if questions’

• “Risk reporting is only a separate

exercise with the audit

committee…other meetings all have

risk elements in them”

• Investments are their biggest priority

and the effect of those investments on

the organization’s intrinsic value

• “Lately, our focus is on what we have

by maintaining and managing our

current portfolio”

• “It’s ‘comply or explain’…, but

‘explain’ always gets more

attention…it’s l ike a spotlight”

• “Take the example of putting more

women in the BoD…it always gets

attention, while it’s actually a ‘non-

issue’ relating to daily operations”

• “That’s very simple: that’s the risk of

the company”

• “The technical part is easier to control

than the commercial part”

• All those risks that have an impact on

the whole business are mentioned

• Mainly dependable on identified risk

areas

• Audit committee reports the main risk

priorities

• Compliance with regulation is deemed

important, but is not a top priority since

it’s considered as a basic minimum to be

compliant

• It’s very critical that the board can

perform its responsibil ities with great

care, including risk oversight and

management

• It helps to get a pro-active insight into

the whole business

• It helps to avoid stupid questions l ike:

“If I just had done that…then…”

• It’s integrated within ‘the bigger

picture’

• “I don’t think it should have a separate

contribution”

• The continuity of the entire

organization is deemed very important

• “I’ve never been to board

meetings of the whole group, so I

can’t testify”

• Like with management

committees, there’s a great

possibil ity that the board also

prioritizes risks. “Otherwise, I

would be really surprised”

• “If it’s on the agenda, then it’s a

separate topic”

• The first part of the meeting

covers the figures, “everything that

comes after this discussion should

be seen as a reflection of those

figures”

Opportunities for

improvement regarding

internal risk reporting

• “We have an extensive and very

profound risk management

framework…maybe it goes too much

in detail”

• “I dream of an organization like

Toyota with not more than four KPIs”

• Acknowledging the usefulness of

tools, the interviewee indicated that

tools should support people who

want to do risk management.

• “A tool doesn’t replace mentality”

• Stressed the importance of a risk

aware culture

• Interviewee showed some concern

relating to the independency of external

auditors

• “The external auditor gets paid by the

organization… The payment of these

auditors and the link with

independency needs to be broken”

• “Due to my education, I will dedicate

more time on the technical part in order

to assure full compliance”

• “If you’re dependent on external

parties, your risks will be bigger”

• “Capacity is very important”

• “Good communication is a vital part,

that’s a fact”

• “I think that we, sometimes, don’t spend

enough time on those matters”

• Established risk management process

demands a lot of time and

energy…possibil ity exists that it’s being

postponed.

• Very important to keep risk on the

agenda

• Integration of risk in business reviews

or budget meetings could also be

beneficial

• “Our approach is more pragmatic: if

you can work with people who know the

business, then you can also rely on their

know-how”

• “Sure, there’s room for improvement, it

would be crazy if we were perfect”

• “Risks are pil ing up…it all gets

more demanding”

• “Without realizing, you’re

creating a bureaucracy”

• The ‘tick-the-box’ effect

sometimes overshadows the

risks that should be addressed

• Well-defined procedures push

away the question that needs to

be asked: “What are actually our

risks?”

• “We’re not bound by a lot of

regulation”

• “If we should do better, then we

must do it for ourselves, not for the

outside”