ANALYSIS OF INFORMATION FLOW
AND CONTENT IN ERM
Word count: 29.786
Simon De Block Student number : 01107612
Supervisor: Prof. dr. Regine Slagmulder
Master’s Dissertation submitted to obtain the degree of:
Master of Science in Business Economics
Academic year: 2016 - 2017
ANALYSIS OF INFORMATION FLOW
AND CONTENT IN ERM
Word count: 29.786
Simon De Block Student number : 01107612
Supervisor: Prof. dr. Regine Slagmulder
Master’s Dissertation submitted to obtain the degree of:
Master of Science in Business Economics
Academic year: 2016 - 2017
II
I
Confidentiality agreement
PERMISSION
I declare that the content of this Master’s Dissertation may be consulted and/or reproduced,
provided that the source is referenced.
Name student: Simon De Block
I
I
II
Abstract
The aim of this study is to examine how risks are internally reported in Belgian firms. Moreover, this
study also investigates the function of risk reporting to the board of directors. Lastly, this study also
focuses on the approaches adopted by Belgian organizations in order to deal with the increased
emphasis that is being placed on risk management.
By conducting in-depth interviews with members of the C-suite (and especially CEOs) in Belgian
firms, I gathered some interesting findings relating to my research questions.
I find that ERM processes are adopted for two purposes. First of all, risk management processes are
established in order to safeguard the financial figures. Secondly, and more importantly in the light of
ERM, I also observe that risk management processes are laid out in order to complement the
achievement of strategic objectives. The implementation of a risk appetite is mainly found in
companies that have established a risk management process in alignment with their strategy.
Determining the most appropriate approach to address risk management depends on a lot of factors.
The types of risks and the context of the organization’s operations, including the number of full-time
equivalents seem to be important factors when deciding what approach to use.
Concerning the impact of regulatory requirements on risk management practices, I find that this
certainly has an impact on how organizations look at risks. I find that being compliant is sometimes
perceived as a burden, while it can also lead to a more integrated approach to risk management. I
also observe that, in some cases, being compliant is a necessary condition to survive as an
organization. A mix of both bottom-up and top-down risk information flow is observed. A heat map is
the most used tool to report risk information. Conducting interviews with employees is also a ‘tool’
that is used to gather risk-related information. I find two functions of risk reporting to the BoD. First
of all, risks are reported in relation to the achievement of strategic objectives. Secondly, risks come
up during the discussion of financial figures, indicating that not every organization integrates risks
and strategy.
II
III
Acknowledgements
Writing a master’s dissertation was a completely new task that was laid upon me. I had no idea what
challenges I was about to face. Like many of my student colleagues, I’ve heard numerous stories
about the struggle of this responsibility, good and bad, but ultimately I have to say that it was all
worth it. It was very satisfying to gradually see a progress being made, but it was equally frustrating
to revisit some of my findings in order to improve my master’s dissertation.
I thank the many people I could count on. First of all, I would like to thank my supervisor Prof.Dr.Ir.
Regine Slagmulder for her continuous feedback and support. She really helped me by taking
sufficient time to reflect on my updates that I sent to her, which is greatly appreciated.
Furthermore, I would like to thank my family and especially my parents for the chance they’ve given
me to go to university. I thank them for their patience and support. It was great to see how my family
supported me during my empirical research. My father, mother, aunt and girlfriend read my master’s
dissertation multiple times in order to find spelling and grammatical errors. I thank them for their
time!
Many thanks to the people I have been able to interview. Your time is greatly appreciated. During the
last months, I learned a lot by going into the field and by listening to people who have great
responsibility in their organizations. I thank them for sharing their knowledge with me.
Lastly, I would like to thank Amelie Verbeken. I’m thankful for the relevant help she gave me and her
continuous effort to motivate me during hard times.
IV
Table of Content
Confidentiality agreement................................................................................................................ I
Abstract ........................................................................................................................................... II
Acknowledgements ........................................................................................................................ III
Table of Content ............................................................................................................................. IV
Abbreviations ................................................................................................................................ VII
List of figures .................................................................................................................................. IX
List of tables.................................................................................................................................... IX
1. Introduction ..................................................................................................................................... 1
2. ERM ................................................................................................................................................. 4
2.1. Definition ................................................................................................................................. 4
2.2. ERM framework ....................................................................................................................... 5
2.3. Categorization of risks ............................................................................................................. 6
2.4. Tools for internal risk reporting .............................................................................................. 8
2.5. Risk appetite and Risk tolerance ........................................................................................... 12
2.6. ERM and compliance with current regulation ...................................................................... 13
SOX ................................................................................................................................................ 13
EuroSox .......................................................................................................................................... 13
The Belgian Code 2009 on Corporate Governance ....................................................................... 14
Other Belgian regulation ............................................................................................................... 14
Basel regulation & corporate governance principles for financial services .................................. 15
Rating agencies .............................................................................................................................. 16
Alignment of ERM and compliance ............................................................................................... 16
2.7. Key findings ........................................................................................................................... 17
3. Organizational approaches and responsibilities regarding ERM................................................... 18
3.1. Risk Architecture ................................................................................................................... 18
3.2. Risk management approach .................................................................................................. 18
Decentralized approach ................................................................................................................ 18
Centralized approach .................................................................................................................... 18
Delegation of risk ownership ......................................................................................................... 19
3.3. The Board’s role and responsibilities in ERM ........................................................................ 19
Board’s composition and its impact on ERM ................................................................................ 20
3.4. Organizational units’ involvement in risk management ....................................................... 21
Audit committee ............................................................................................................................ 21
V
Internal audit ................................................................................................................................. 22
CEO ................................................................................................................................................ 22
CFO ................................................................................................................................................ 23
Senior management ...................................................................................................................... 23
Risk committee .............................................................................................................................. 23
CRO ................................................................................................................................................ 24
3.5. Key findings ........................................................................................................................... 25
4. Risk reporting to the Board of Directors ....................................................................................... 26
4.1. Importance of internal risk reporting to the Board of Directors ........................................... 26
4.2. Functions of risk reporting to the Board of Directors ........................................................... 26
4.3. Board-management interaction regarding risk ..................................................................... 27
4.4. Content of risk reports provided to the Board ...................................................................... 28
Context of risk reporting to the Board .......................................................................................... 28
Preparation of risk reports to the Board ....................................................................................... 29
4.5. Key findings ........................................................................................................................... 29
5. Empirical study .............................................................................................................................. 31
5.1. Research questions................................................................................................................ 31
5.2. Goal of research .................................................................................................................... 31
5.3. Research methodology .......................................................................................................... 32
5.4. Sampling ................................................................................................................................ 32
5.5. Interviewee’s profile.............................................................................................................. 34
5.6. Securing access to interviewees ............................................................................................ 34
6. Analysis .......................................................................................................................................... 36
6.1. Within-site analyses .............................................................................................................. 37
Eandis ............................................................................................................................................ 38
Realdolmen .................................................................................................................................... 41
Company A .................................................................................................................................... 44
Company B..................................................................................................................................... 47
Company C ..................................................................................................................................... 50
Company D .................................................................................................................................... 52
Company E ..................................................................................................................................... 54
Company F ..................................................................................................................................... 57
6.2. Cross-site analysis .................................................................................................................. 59
Formalized ERM framework .......................................................................................................... 60
Establishment of risk appetite/risk tolerance ............................................................................... 61
Risk management approach .......................................................................................................... 63
VI
Impact of regulatory requirements on risk management ............................................................. 65
Internal risk reporting.................................................................................................................... 67
7. Conclusions .................................................................................................................................... 72
8. Limitations and opportunities for future research ........................................................................ 75
9. Bibliography ..................................................................................................................................... X
10. Attachments .............................................................................................................................. 76
10.1. Attachment 1 -- Interviewing guide .................................................................................. 76
10.2. Attachment 2 – Interview transcript: Eandis..................................................................... 77
10.3. Attachment 3 – Interview transcript: Realdolmen ............................................................ 84
10.4. Attachment 4 – Interview transcript: Company A............................................................. 92
10.5. Attachment 5 – Interview transcript: Company B ............................................................. 98
10.6. Attachment 6 – Interview transcript: Company C ........................................................... 108
10.7. Attachment 7 – Interview transcript: Company D .......................................................... 113
10.8. Attachment 8 – Interview transcript: Company E ........................................................... 118
10.9. Attachment 9 – Interview transcript: Company F ........................................................... 125
10.10. Attachment 10 – Case/Topic matrix ................................................................................ 133
VII
Abbreviations
AAA The American Accounting Association
AICPA The American Institute of Certified Public Accountants
AC Audit Committee
ACCA Association of Chartered Certified Accountants
AIRMIC Association of Insurance and Risk Managers
Alarm The Public Risk Management Association
B2B Business – to – business
B2C Business – to – consumer
BCBS Basel Committee on Banking Supervision
BIPT Belgian Institute for Postal services and Telecommunications
BoD Board of Directors
BSC Balanced Scorecard
C-suite Members of an organization’s top management
CAE Chief Audit Executive
CEO Chief Executive Officer
CFO Chief Financial Officer
CLT Core Leadership Team
COO Chief Operating Officer
COSO Committee of Sponsoring Organizations of the Treadway Commission
CREG Commission for Electricity and Gas Regulation
CRO Chief Risk Officer
EBITDA Earnings Before Interest, Taxes, Depreciation & Amortization
ECB European Central Bank
VIII
ERIC Eandis Risk Identification Cart
ERM Enterprise Risk Management
EU European Union
FASFC Federal Agency for the Safety of the Food Chain
FEI Financial Executives International
FSMA Financial Services and Markets Authority
GDPR General Data Protection Rule
IBR Instituut van de Bedrijfsrevisoren
ICT Information and Communication Technology
IFRS International Financial Reporting Standards
IIA The Institute of Internal Auditors
IMA The Institute of Management Accounts
IRM Institute of Risk Management
ISO International Organization for Standardization
IT Information Technology
KPI Key Performance Indicator
KRI Key Risk Indicator
NBB Nationale Bank van België
PCI Payment Card Industry
PMO Project Management Office
REBITDA Recurring Earnings Before Interest , Taxes, Depreciation & Amortization
SLA Service Level Agreement
SOX Sarbanes-Oxley Act
U.S. The United States of America
VBO Verbond der Belgische Ondernemingen
IX
List of figures
Figure 1: Risk Management Process from ISO 31000………………………………………………………………………….5
Figure 2: A heat map…………………………………………………………………………………………………………………………..9
Figure 3: Example of a tornado chart………………………………………………………………………………………………….9
Figure 4: Example of a Balanced Scorecard…………………………………………………………………………………….…11
Figure 5: Recurrent methodology for managing risks in Eandis…………………………………………………………39
List of tables
Table 1: List of judgement sample…………………………………………………………………………………………………….33
Table 2: Case/Topic-matrix……………………………………………………………………………………………………………….37
Table 3: List of interviewed people and the sector of the organizations……………………………………………37
1
1. Introduction
The global financial crisis in 2008 demonstrated the importance of adequate risk management in
organizations (Kashyap, 2010). On a more positive note, the Association of Chartered Certified
Accountants (ACCA) (2014) posited that the crisis was an incentive for companies to devote attention
to Enterprise Risk Management (ERM) and risk reporting, meaning that these important matters
should be more included in daily operations. As a consequence of corporate scandals before and
during the crisis, governing bodies have placed more emphasis on transparency and disclosure of the
organization’s activities and its internal controls (Epstein & Buhovac, 2006).
Nowadays, organizations are expected to disclose lots of information regarding their operations and
their correlated risks. Compliance with regulatory requirements mandates that sufficient information
relating to the organization’s operations and its correlated risk must be disclosed in a transparent
way to its stakeholders (e.g. The Belgian Code on Corporate Governance, 2009). The increased
attention that was placed on transparency and disclosure was an incentive for organizations to install
an efficient and effective ERM process that was suitable for safeguarding the expanding disclosure
expectations of their stakeholders (Beasley, Pagach, & Warr, 2008). To that end, organizations are
adopting ERM just to make sure that they are compliant with regulatory requirements (Ai & Brockett,
2008). Still, ERM is better established in a manner that complements strategy, indicating that ERM
should be installed in order to execute strategy and objectives in a more risk-adjusted way (Fraser &
Simkins, 2007). The impact of compliance with all these imposed requirements raises the question of
which function of risk reporting to the board of directors is adopted. Berg & Westgaard (2011)
already examined the different functions of risk reporting to the board of directors in a Norwegian
context. Risk reporting can be set out to give assurance to the board regarding compliance with
imposed regulatory requirements, but more importantly in the light of ERM, it can also be useful for
strategic purposes. Unfortunately, Berg & Westgaard’s (2011) results highlighted the absence of
strategy-driven risk reporting to the Board of Directors, indicating that compliance takes the upper
hand during risk reporting to the board. I would like to extend their research by examining the
influence of compliance with regulations and ultimately the function of risk reporting to the Board of
Directors in Belgian organizations.
Many studies have been conducted regarding the use of tools to identify and assess risks (Epstein &
Buhovac, 2006; Shenkir & Walker, 2007; AIRMIC, Alarm, & IRM, 2010), but the use of tools to report
on risk-related matters is often neglected. The usefulness of tools, which support risk reporting in
relation to performance, is already examined by several authors (Beasley, Chen, Nunez, & Wright,
2
2006 (a); Slagmulder, 2013). Those authors raised awareness of the potential integration of risk and
performance through the use of tools, such as balanced scorecards. I would like to build on their
research by examining the existence and use of tools that support risk reporting in organizations. It
would surely be interesting to discover how Belgian firms are trying to link performance and risk
through the use of tools or other techniques.
The literature study also revealed some interesting insights regarding different organizational
approaches to ERM and the risk responsibilities delegated to organizational functions. Organizations
can adopt different organizational approaches in order to conduct an effective ERM program
(Heiligtag, Schlosser, & Stegemann, 2014). Different organizational functions or business units can be
held responsible for a particular type of risk that is related to their operations and for which they
should assume responsibility (Kinman, 2012), but this raises the question of how those different
organizational functions communicate on risk-related matters. I will explore which organizational
approaches are adopted by Belgian firms to address risk management in their organization, and how
risk-related information is communicated.
The literature review is established in a manner that complements my research questions.
The first section introduces ERM in an elaborate way. It furthermore provides a brief overview of
tools that organizations can adopt to report on risk-related topics. Important concepts, like risk
appetite and tolerance, are also defined in order to understand the impact that these concepts can
have on risk reporting in the organization. Lastly, it gives a summary of regulation that hovers over
organizations and that could affect the organization’s perspective of risk reporting.
The second section of the literature review addresses risk architecture and the different
organizational approaches that are used to cope with risk management throughout the organization.
It further gives an indication of the broad responsibilities of the Board of Directors and other
organizational functions regarding risk management. The last section of the literature review
elaborates on the importance of risk reporting in the organization, and specifically to the Board of
Directors. Two different functions of risk reporting to the Board of Directors are identified. This
section concludes by giving an indication of the many possibilities regarding the content of risk
reports provided to the Board.
A qualitative approach was adopted to conduct my research. I tried to address my research questions
by interviewing CEOs or other members of the C-suite. Due to the nature of my research, I focused
on Belgian publicly listed organizations. I imagine that the impact of regulatory requirements on the
function of risk reporting is greater in publicly listed organizations. Notwithstanding this
consideration, I also included a privately owned firm and a European publicly listed organization in
3
order to assess if there are any differences in risk management or the reporting process. The
empirical study also elaborates on my judgement sample and my approach for getting into contact
with the interviewees. Consequently, a within-and cross-case analysis of the interviews is provided in
order to come up with conclusions about my research. Lastly, I give my general conclusions about
this research and give some recommendations for future research.
4
2. ERM
2.1. Definition
COSO (2004) applies the following definition of Enterprise Risk Management (ERM): “Enterprise risk
management is a process, effected by an entity’s Board of Directors, management and other
personnel, applied in strategy setting and across the enterprise. It is designed to identify potential
events that may affect the entity, and manage risk to be within the entity’s risk appetite, to provide
reasonable assurance regarding the achievement of entity objectives” (COSO, 2004, p.4).
Stroh (2005) defined ERM on a more positive note. He argued that organizations should, after they
have identified and assessed the risk factors, make sure that the risk exposures that could be harmful
to the organization are mitigated. Organizations should also be able to grasp the benefits of upside
opportunities that arise while doing enterprise-wide risk management, since an ERM process should
be established in a manner that supports the execution of strategic objectives (Fraser & Simkins,
2007; Stroh, 2005). Stroh (2005) argued that the implementation of an ERM process is an essential
precursor to survival for companies.
Ittner & Oyon (2014) argued that a key contributor to a successful ERM implementation is the
delegation of decision rights and the assignment of accountability (risk ownership). Kinman (2012)
described risk owners as people in the organization that are being held accountable for risks that are
associated with the achievement of their business results. Ittner & Oyon (2014) determined four
main factors to assess the implementation of effective ERM processes by organizations. According to
them, the first two key components of ERM are the establishment of a common risk management
framework and the communication of the organization’s risk appetite and tolerance. They defined
the third key characteristic of ERM as the use of tools and processes for identifying, evaluating,
managing, and monitoring risks. The last key contributor to ERM is the extent of cross-functional
enterprise risk management activities, which means that more emphasis should be placed on cross-
functional contributions of different functions and a movement away from functional silos where
risks are not being managed in an enterprise-wide approach.
Beasley, Pagach, & Warr’s (2008) study approached ERM in a more careful manner, since they
suggested that the costs and benefits of implementing an ERM program are very firm-specific. They
assessed equity market reactions to announcements of appointments of senior executive officers
overseeing the enterprise-wide risk management. Their results indicated that the positive association
between the hiring of Chief Risk Officers who would oversee ERM and equity market reactions was
5
dependent on firm-specific variables like leverage, firm size, cash on hand, and volatility of prior
reported earnings.
On a more positive note, Fraser & Simkins (2007) argued that future-oriented and integrated ERM
systems should focus on managing risks in a cohesive way. This means that risk management should
be focused on interdependencies of risks and the implications of those risks on the achievement of
strategic objectives. Their thoughts on effective ERM programs stressed the importance of strategy-
related risk management. According to them, “ERM programs must be designed and carried out in
the context of the overall strategic and business planning activities of the organization” (Fraser &
Simkins, 2007, p.78).
2.2. ERM framework
Ittner & Oyon (2014) shared the opinion that a risk management framework or process should be
perceived as a key contributor to a successful implementation of ERM. It should basically help the
organization to manage their risks in a formalized manner.
Figure 1 provides a simplified version of the risk management process from ISO 31000. Purdy (2010)
stated that the introduction of ISO 31000:2009 was primarily to promote a standardization of risk
and risk management. ISO issued this globally accepted standard for risk management with the aim
of achieving “consistency and reliability in risk management” (Purdy, 2010, p. 881). This standard is
also established in a way that it is applicable to all international organizations.
Figure 1. Risk management process from ISO 31000 (Purdy, 2010)
6
The process starts by establishing the context. Defining the organization’s objectives and identifying
the external and internal factors that may impact the achievement of those objectives are essential
steps in establishing the context in which the organization operates. Purdy also stated that this step
is considered to be an “essential precursor” to risk identification (Purdy, 2010, p.884).
Risk assessment under ISO 31000 consists of the following three consecutive steps: risk
identification, risk analysis, and risk evaluation (Purdy, 2010). Risk identification is set up to expose
the risks and uncertainties the organization is facing. This initial step of the risk assessment phase
requires extensive knowledge of the critical success factors and should make sure that risks related
to these critical success factors are well defined (AIRMIC, Alarm, & IRM, 2010).
Risk analysis is all about getting a clear perspective on the identified risks. Assessing the potential
impact and the likelihood that those risks will eventually materialize are the main purposes of risk
analysis. Purdy also mentioned the fact that ISO 31000 recognizes the advantages of both
quantitative and qualitative approaches to risk analysis. Moreover, risk analysis should be done in a
flexible way, meaning that risk analysis should be performed in a manner that suits the risks that are
being analyzed (Purdy, 2010). The final step of the risk assessment phase is risk evaluation. In this
final phase, management is required to prioritize risks while keeping the established context in mind
(Purdy, 2010).
ISO 31000 presented risk treatment as the selection and implementation of control measures that
are established in order to cope with the risk. ISO 31000 makes a distinction between four distinctive
risk treatments: tolerate, treat, transfer, and terminate (AIRMIC, Alarm, & IRM, 2010).
ISO 31000 acknowledges the importance of two feedback mechanisms. Monitoring and review of
performance, and communication and consultation are considered to be two important feedback
mechanisms. These feedback mechanisms allow the organization to monitor the performance of the
established risk management process, and to learn from past mistakes regarding the management of
risk (AIRMIC, Alarm, & IRM, 2010).
2.3. Categorization of risks
Nocco & Stulz (2006) argued that the first step in implementing ERM is to get a clearer picture of all
the risks the organization is exposed to. Ittner & Oyon (2014) identified nine risks that could impact
an organization: compliance risk, financial fraud risk, reputation risk, IT risk, credit risk, market risk,
liquidity risk, catastrophic risk, and supply chain disruptions. Ultimately, Nocco & Stulz (2006) pointed
out that a typology of risks is often industry-specific, indicating that organizations should use their
7
own taxonomy of risks, and that they should spend sufficient time to identify all relevant
organizational risks.
According to Kaplan & Mikes (2012), organizations must understand the distinctions between the
different types of risks they face, in order to set up an effective enterprise risk management
program. They eventually managed to distill all possible organizational risks into three different
categories.
They identified the first category of risks as ‘preventable risks’ or internal risks that should be
monitored and controlled. Guidelines, codes of conduct and the implementation of a risk aware
culture should help to reduce the materialization of avoidable outcomes. Undesired behavior of
employees is a preventable risk and is essentially controllable. Consequently, these risks should be
avoided. The authors recommended managing this category of risks by closely monitoring the
organization’s processes and aligning employees’ behavior with the organization’s values and
strategy (Kaplan & Mikes, 2012).
The second category of risks is ‘strategy risk’. The authors stressed the importance of managing
strategy risks. The impact that those risks could have on the achievement of strategic objectives
requires the organization to closely monitor those assumed risks. Distributed guidelines or a code of
conduct aren’t appropriate to manage such risks since these risks require open debate about
possible risk exposures. Strategy risks shouldn’t be managed through rules-based risk management.
Instead, they recommended installing a risk management system designed to reduce the negative
impact risks could have on the achievement of strategic objectives (Kaplan & Mikes, 2012).
‘External risks’ are the last category of risks. These are risks that the organization can’t control or are
beyond their reach (e.g. natural and political disasters) (Kaplan & Mikes, 2012).
To conclude, Kaplan & Mikes (2012) stated that companies should adapt their ERM processes to
these three different categories of risk. A compliance or rules-based approach is only desirable for
managing preventable risks, while it’s not suitable for strategy and external risks because these risks
require open debate about risk exposure to eventually reduce the probability of occurrence.
8
2.4. Tools for internal risk reporting
Each organization can develop a combination of techniques and supporting tools to identify risks,
and assess their consequences and probability of occurrence (Shenkir & Walker, 2007).
Shenkir & Walker (2007) argued that, with the aid of a cross-functional team, brainstorming could be
useful in identifying risks. On top of that, they argued that scenario analysis could be a very useful
and relevant tool for identifying strategic risks. This tool is pro-active and incentivizes managers to
think more future-oriented. By asking ‘what-if’ questions, management can explore risk events that
probably will not materialize. However, if those risks eventually materialize, then it will have a
serious impact on the continuity of the company’s operations. The use of technology can also
support the identification of risks (e.g., via intranet) (Shenkir & Walker, 2007). War-gaming is also
perceived as a valuable tool for identifying risks as it allows the organization to simulate a situation
where their immediate competitors could change their strategy in an unfavorable way to the
organization (Kaplan & Mikes, 2012).
“Within the ‘risk assessment step’, all risks identified as potentially important should be assessed for
magnitude and probability of occurrence” (Epstein & Buhovac, 2006, p. 8).
Shenkir and Walker (2007) stated that many organizations see the advantage of using risk maps that
graphically display impact and probability of occurrence. The major advantage of risk maps is that
this aggregation provides an easy-to-understand overview of risks faced by the organization.
Although risk maps provide meaningful risk-related information (impact and probability of
occurrence), their one important weakness is that they do not show the interdependency among
risks. It’s sometimes the case that one risk has little to no impact on the organization, but when this
particular risk is seen in correlation with other risks then this could lead to a bigger impact1. This
means that risk maps are best used in an organization-wide approach, meaning that users should be
able to grasp the information in an understandable way, but that those users should also be aware of
potential disadvantages of this tool (Shenkir & Walker, 2007).
1 A particular risk exposure may have no impact on the financial results of an organization when it’s being isolated from other risks. However, when we look at the risk in an integrated manner, then the possibility exists that it may impact customer satisfaction which consequently could lead to decreasing financial results in the long-term. Seeing risk exposures in a company-wide lens is very important when using risk maps (Shenkir & Walker, 2007).
9
Figure 2. A heat map (Kaplan R. S., 2009)
Figure 2 illustrates the usefulness a risk heat map. This tool allows managers to have an oversight of
risk exposures. The darkest colors in this heat map resemble the top risk priorities that require
immediate managerial attention. The identified risk exposures are assessed for likelihood and
magnitude of consequences. In figure 2, the management has used a rating scale from 1-5 for each
factor (likelihood and magnitude of consequences). By multiplying these ratings, management can
set priorities for risks with a score higher than fifteen, for example (Kaplan R. S., 2009).
Kaplan’s (2009) description of a heat map relates to the description of a risk map by Shenkir &
Walker (2007). A heat map is also useful in prioritizing the key risks that need to be presented to the
board of directors (Branson, 2015).
Tornado charts are also considered practical tools for assessing the impact of risks on a particular
performance measure (such as revenue and earnings per share). A tornado chart allows managers or
members of the board to see which risks have the greatest impact on revenue, for instance (Shenkir
& Walker, 2007).
Figure 3. Example of a tornado chart (Shenkir & Walker, 2007)
10
Figure 3 provides an example of the potential use of a tornado chart. It shows all identified risks and
their impact on earnings variability. The guide ‘A structured approach to ERM and the requirements
of ISO31000’ by AIRMIC, Alarm, & IRM (2010) stated the usefulness of recording risk assessments in a
risk register. The risk register should be viewed as a “risk action plan” that is pro-active and future-
oriented instead of “a static record of the significant risks faced by the organization”. It should serve
as a vehicle for management to constantly look for improvements regarding the existing controls in
place (AIRMIC, Alarm, & IRM, 2010, p. 15).
As stated above in the introduction of this paper, Beasley, Branson, & Hancock’s (2014) study
showed that there was a lack of reporting organizational risk exposures that could affect the
company’s strategy. Tools that can shed light to the latter problem are a strategy map and a
balanced scorecard.
A strategy map is a visual representation of all the objectives organizations want to achieve. It
visually displays the interdependency between factors that are critical to the organization’s success
or key drivers of future performance. A balanced scorecard can be derived from a strategy map
(Bruggeman, Hoozée, & Slagmulder, 2017).
A balanced scorecard (or BSC) should be set up to increase the probability that both financial and
non-financial objectives are realized in an integrated manner (Beasley, Chen, Nunez, & Wright, 2006
(a)). Organizations should use this instrument to translate their missions and visions into measurable
performance indicators. The factors that are critical to the organization’s success should be
economically measured by key performance indicators or KPIs. The ultimate purpose of this
scorecard is to give managers or other users the chance to monitor the achievement of corporate
objectives through the implementation of KPIs (Bruggeman, Hoozée, & Slagmulder, 2017).
11
Figure 4. Example of a BSC (Bruggeman, Hoozée, & Slagmulder, 2017).
Figure 4 shows the practical convenience of a BSC. Innovation and learning objectives are
implemented to enhance employee involvement and to develop a strategic mindset so that internal
business processes are efficiently and effectively carried out. Consequently, a better performance of
internal business processes should be appreciated by the organization’s customers. Ultimately,
customer satisfaction leads to an improved financial performance of the organization (Beasley, Chen,
Nunez, & Wright, 2006 (a); Bruggeman, Hoozée, & Slagmulder, 2017).
Determining appropriate KPIs and performance targets for these four perspectives should make sure
that the organization could track the achievement of its strategy in a measurable way (Bruggeman,
Hoozée, & Slagmulder, 2017). Ultimately, Bruggeman et al. (2017) indicated the importance of
strategic risk management, which they described as a continuous process of identifying, assessing,
and managing risks in alignment with the organization’s strategy. Linking Key Risk Indicators (KRIs)
with Key Performance Indicators (KPIs) should ultimately lead to a better integration of strategy and
risks.
The BSC, a performance management system that is aligned with the organizational strategy, should
be integrated with an enterprise-wide view of risk management. The enterprise-wide view of both a
BSC and ERM should be linked to each other so that management can broaden its attention not only
to the achievement of strategic objectives, but also to the risks that could impact the achievement of
12
those objectives (Beasley, Chen, Nunez, & Wright, 2006 (a)). The authors provided an important
notion regarding the mutual beneficial interplay between balanced scorecards and ERM. “Balanced
scorecards measure an organization’s evolution toward achieving strategic goals, while ERM helps
company leaders think through positive and negative factors that can affect the achievement of their
goals. The combination strengthens the likelihood of achieving strategic objectives. Thus, the two go
hand in hand” (Beasley, Chen, Nunez, & Wright, 2006, p. 50). Their (Beasley, Chen, Nunez, & Wright,
2006 (a); Bruggeman, Hoozée, & Slagmulder, 2017) findings are in alignment with Fraser and Simkins’
(2007) statements about setting up a strategy-focused ERM process.
2.5. Risk appetite and Risk tolerance
The definition of ERM by COSO (2004) highlighted the importance of managing risks within the
organization’s risk appetite. On top of that, Marks (2015) denoted that risk owners and those
responsible for risk oversight need periodic risk reports to make sure that the level of risk is still
within the organization’s risk appetite. It’s therefore useful to explain this important concept and its
relevance for internal risk reporting.
The Institute of Risk Management (IRM, 2017) defined risk appetite as “the amount and type of risk
that an organization is willing to take in order to meet their strategic objectives”. Shenkir and Walker,
in close alignment with the definition of IRM (2017), argued that risk appetite should be seen as “the
overall level of risk an organization is willing to accept given its capabilities and the expectations of its
stakeholders” (Shenkir & Walker, 2007, p.27). IRM (2017) highlighted the importance of a properly
communicated risk appetite statement, because it can actively contribute to the achievement of
organizational objectives or goals. The guide ‘A structured approach to ERM and the requirements of
ISO 31000’ posited that organizations could install a risk appetite statement. This statement should
serve as a basis for organizations to think about risk-related decisions (AIRMIC, Alarm, & IRM, 2010).
The implementation of a risk appetite statement could lead to better strategic management and
better monitoring of enterprise-wide risks. The installment of a risk appetite statement also gives
some assurance to external stakeholders that the organization is committed to pursue its objectives
while keeping risk always in its mind (Boghdadi, 2015).
Ittner and Oyon clarified the difference between ‘risk appetite’ and ‘risk tolerance’ by defining risk
appetite as “the level of risk considered acceptable for the organization”, and risk tolerance as “the
specific risk limits or thresholds to be used when selecting which risks should or should not be taken”
(Ittner & Oyon, 2014, p.19-20). To conclude, Fraser and Simkins (2007) denoted that establishing risk
13
tolerances has the single purpose to ensure that the Board, management, and employees have a
clear understanding of what is deemed acceptable or unacceptable to the organization.
2.6. ERM and compliance with current regulation
Compliance actually describes what a person or entity should do to be in alignment with current
regulations. Corporate failures, like Ahold, Enron and Worldcom., were the basis of the installment of
compliance. The ultimate aim of compliance is preventing organizations from breaking the law,
otherwise they would have to pay large amounts of fines and their stakeholders would hold them
accountable. Organizations should make sure that there are procedures in place that can tackle and
comply with demanding regulatory requirements (VBO, 2015).
SOX
The Sarbanes-Oxley Act (SOX) of 2002 is a United States federal law enacted on July 30, 2002. The bill
was installed as a consequence of the many corporate frauds and failures that took place around that
time. Section 404 of the SOX Act places emphasis on the assessment of internal control. This part of
the bill requires management to have adequate internal controls in place that support financial
reporting. For many U.S. firms, this was an incentive to adopt the COSO framework. The
independence of audit committees also seems to be an important factor in the SOX Act of 2002. The
main purpose of the SOX Act is to restore confidence in U.S. financial markets (Act, 2002).
EuroSox
Porbunderwalla (2007) addressed the concept of EuroSox and its implications for publicly traded
companies in the EU. The EuroSox requirements promote an increased risk management disclosure
among European companies. Management is expected to disclose a report that gives clear
information about the current situation of an organization, including elements of the risk
management system and the process of implementing internal control initiatives.
EuroSox is primarily linked to the following three directives issued by the EU (Porbunderwalla, 2007):
4th directive 78/660/EEC
7th directive 83/349/EEC
8th directive 84/253/EEC
Eventually, these three directives require assurance regarding effective corporate governance,
internal controls and risk management. Audit committees also have to be established and an
increased emphasis on internal audit is also a consequence of the introduction of EuroSox. The
14
ultimate purpose of these directives is to restore investor confidence in markets (What is EuroSox --
Copenhagen Compliance).
The Belgian Code 2009 on Corporate Governance
Belgian publicly listed companies are obliged to comply with the Belgian Code on Corporate
Governance. Corporate leaders in Belgium have established this Code in order to create more
transparency. Eventually, the increased requirements regarding transparency should be an incentive
to comply with the provisions, guidelines, and principles of this Code. In fact, the Code is established
in a manner that complements existing regulation so that legal initiatives and compliance with the
Code go hand in hand (The Belgian Code on Corporate Governance, 2009).
This Code is built around nine principles that are considered to be very important for good
governance. Many of those principles clearly define the Boards’ responsibilities regarding risk
management. For instance, the Board should decide on the organization’s risk appetite, and should
approve an internal control and risk management framework set up by the executive management.
The importance of board-management interaction is also highlighted by the Code. The organization’s
strategy, risk appetite and key policies established by the Board, should be taken into account by
senior management to perform their duties with great care. Senior management is expected to put
efficient and effective internal controls in place to ensure that risks are properly managed.
Audit committees are required to review and monitor the internal control and risk management
systems, and they should do this at least once a year (The Belgian Code on Corporate Governance,
2009).
Thomas Leysen, the chairman of the Corporate Governance Committee, announced that the Code of
2009 will be reviewed in 2017, indicating that an updated version of this Code lies around the corner
(Corporate Governance Committee, 2017).
Other Belgian regulation
There are numerous regulatory requirements in Belgium, but the extent of compliance varies
according to the industry and the nature of the organization’s operations. Some supervisory
authorities that hover over Belgian organizations are (VBO, 2015):
NBB
FSMA
CREG
BIPT
FASFC
15
The FSMA and NBB are being held responsible for a continuous oversight of financial markets and
publicly listed organizations. The FSMA and NBB are established to make sure that investors get
reliable information in a timely manner. The FSMA’s ultimate goal is to give assurance to the public
that its supervised organizations provide sufficient information for their stakeholders (FSMA, 2017
(a)).
CREG is the abbreviation of ‘Commission for Electricity and Gas Regulation’. This supervisory
authority makes sure that organizations in the energy or gas industry operate according to law.
Continuous monitoring of the functioning of organizations in these sectors is obviously on the agenda
of this independent and autonomous body (CREG, 2017). BIPT is the abbreviation of ‘Belgian Institute
for Postal services and Telecommunications’, and is considered to be the regulator of electronic
communications markets, media and postal markets. Making sure that organizations in these sectors
comply with legislation is one of the main tasks of this independent body (BPIT, 2017).
FASFC is the abbreviation of ‘Federal Agency for the Safety of the Food Chain’. Their main mission is
to “preserve the safety and the quality of our food in order to protect humans, animals and plants”
(FASFC, 2017).
Basel regulation & corporate governance principles for financial services
The Basel regulation focuses on the banking sector, and it ultimately aspires to make the banking
system more safe by addressing many factors that were considered to be the foundation of the
financial crisis. This regulation aims to improve the quality of capital and it also introduces new
standards to cope with short-term and long-term funding (Härle, Lüders, Pepanides, Pfetsch,
Poppensieker, & Stegemann, 2010).
The Basel Committee published a consultative version of the corporate governance principles for
banks in 2014. This guideline was established with the purpose of ensuring effective corporate
governance among European banks (BCBS, 2014). A bank’s risk governance framework should
include three important elements that will eventually form ‘the three lines of defense’ (BCBS, 2014).
First of all, business unit managers or operational management should assume ownership over risks
they have control over. They should assume full accountability and responsibility for managing risks
in their day-to-day operations, while keeping the bank’s risk appetite in mind (BCBS, 2014).
The second line of defense is necessary to monitor the risk management activities of operating
management. An independent risk management function (e.g. CROs) and a compliance function
should contribute to effective risk oversight. Ultimately, CROs are being held responsible for ensuring
that risk management practices in the organization are in alignment with the pre-defined risk
appetite statement. They should be able to aggregate and assess material and emerging risks and
measure the organization’s exposure to those risks. The independent compliance function should be
16
able to monitor the bank’s compliance with applicable laws and regulations. The independency of
these functions is important for the effective monitoring of risk management practices throughout
the organization (BCBS, 2014). The internal audit function constitutes the last line of defense. To
conclude, audit committees and risk committees are required for systematically important banks and
these committees should be separated from each other (BCBS, 2014).
The Guideline (BCBS, 2014) also addressed the importance of embedding a robust risk culture to
ensure an ongoing risk dialogue between the Board and senior management.
Banks may use stress testing and scenario analyses in order to explore risk exposures that may arise
during adverse economic circumstances. This will give them the opportunity to broaden their
perception of all potential risks the organization may encounter (BCBS, 2014).
Rating agencies
Fraser & Simkins (2007) denoted that credit rating agencies, like Standard and Poor’s or Moody’s, are
a driving force for organizations to implement ERM systems. The implementation of ERM processes
could signal an increased attention that has been given to risk and risk management. Consequently,
this could potentially lead to a better credit rating and thus a lower cost of capital or more access to
capital markets. If organizations signal to their stakeholders that they’re effectively managing risk,
then this could lead to an increased confidence of their stakeholders, which is ultimately beneficial
for both parties.
Alignment of ERM and compliance
Ai & Brockett (2008) denoted that regulatory pressures are often perceived as the foundation for
ERM. The authors mentioned that the proliferation of ERM was mainly a consequence of the need to
be compliant with regulatory requirements. To this end, ERM is perceived as an efficient tool useful
to comply with imposed requirements (Ai & Brockett, 2008).
Still, several authors addressed the interconnectivity between ERM and regulatory pressures in a
more positive way by acknowledging the possibility that ERM can be useful for organizations’
processes by taking a more future-oriented perspective.
Fraser & Simkins (2007) made notice of the difference between SOX requirements and ERM
programs. The authors described ERM as a future-oriented process that is mainly concerned with
risks that could jeopardize the execution of strategic objectives. Compliance with regulation like SOX
is mainly backward looking and focused on adhering to reporting requirements. They recommended
that ERM programs and SOX should be seen as two completely different processes.
Epstein & Rejc (2006) and Stroh (2005) postulated that organizations should alter compliance efforts.
Organizations should try to stay ahead of the imposed mandatory requirements by building a risk
17
management and risk reporting system that incentivizes significant business value.
Kaplan and Mikes (2012), consistent with Fraser & Simkins (2007), Epstein & Rejc (2006), and Stroh
(2005), identified that risk management is too often treated as a compliance issue, and
recommended to executives that rules-based risk management shouldn’t be seen as a plausible
solution to every type of risk. This is consistent with Kaplan & Mikes’ (2012) notions on how
organizations should adapt their ERM process to capture all three different organizational risks.
2.7. Key findings
Several authors cling on to different definitions of ERM, but in a sense, they all agree that ERM
should be aligned with the organizational strategy. Delegating risk ownership (Ittner & Oyon, 2014)
throughout the entire organization and keeping a strategy-focused mindset (Fraser & Simkins, 2007)
seem to be two important factors when implementing an ERM system. Establishing an ERM
framework and communicating risk appetite and/or tolerance also are two important factors for
effective implementation (Ittner & Oyon, 2014). The framework presented by ISO 31000 offers a
comprehensive overview of all relevant factors that need to be considered when implementing an
ERM system (AIRMIC, Alarm, & IRM, 2010). Even though organizations face different risks according
to their context, Kaplan and Mikes (2012) provided a relevant categorization of risks and motivate
organizations to tailor their ERM processes in alignment with their three different categories of risk.
The use of tools for monitoring and reporting risks and the cross-functional contributions of the
entire organization toward risk are also examples of key components required for establishing a
successful ERM program (Ittner & Oyon, 2014).
Several authors (Bruggeman, Hoozée, & Slagmulder, 2017; Beasley, Chen, Nunez, & Wright, 2006 (a))
mentioned the possibility of combining risk and performance in light of achieving strategic objectives.
Strategic risk management should beneficially contribute to the realization of strategic objectives
since it also takes risks into account that could impact the achievement of those objectives.
A clear distinction has also been made between the concepts of risk appetite and risk tolerance. This
is of great importance since, as you shall see later on, the Board of Directors is actually responsible
for communication on risk appetite (Epstein & Buhovac, 2006).
To conclude, requirements of governing bodies regarding compliance with current regulation should
be seen as a completely different process than ERM. Although both useful in their own way, ERM
distinguishes itself by promoting a broader horizon of risks on the organizations’ radar, rather than
focusing on compliance-based reporting (Epstein & Buhovac, 2006; Fraser & Simkins, 2007; Stroh,
2005).
18
3. Organizational approaches and responsibilities regarding ERM
3.1. Risk Architecture
The Guideline ‘A structured approach to ERM and the requirements of ISO 31000’ (AIRMIC, Alarm, &
IRM, 2010) mentions the concept of ‘risk architecture’. An organization’s risk architecture is
established in order to clarify the “roles, responsibilities, communication and risk reporting
structure”(p.7) that should be in place to address risk management properly.
3.2. Risk management approach
Heiligtag, Schlosser, & Stegemann (2014) made a distinction between two different approaches to
ERM: the decentralized approach and a centralized approach. Still, the authors mentioned that
determining a suitable approach was highly dependable on the types of risks, meaning that a trade-
off has to be made between both approaches to risk management.
Decentralized approach
In a decentralized approach the central risk function is responsible for developing the risk
management framework, and for setting out guidelines for the use of the risk management
framework. However, business units and functions are free to apply the provided framework in a
local manner that supports their operations. Consequently, a continuous communication process
between the central risk management function and business units is critical to make sure that the
established risk management framework is effectively applied (Nottingham, 2014).
This approach allows greater autonomy in the execution of risk management practices since business
departments can use different tools and models to capture their business unit risks. An increased
communication of risk information flow could be another advantage of a decentralized approach
(Heiligtag, Schlosser, & Stegemann, 2014). A strong risk culture has to be embedded into the entire
organization since business unit managers are held responsible for risks that occur in their line of
business (Heiligtag, Schlosser, & Stegemann, 2014).
Centralized approach
In a centralized approach, the entity responsible for the organization’s risk management closely
“controls and owns most of the risks” (p.5). The central risk function is expected to closely supervise
the organization’s business units’ risks through the use of risk-related models and processes. These
risk-related models and processes are typically distributed throughout the entire organization.
Eventually, the central risk function must enter into a thorough discussion with all the business units’
19
managers in order to review and discuss the assumptions made by them. Ultimately, a centralized
approach should contribute to the efficiency and effectiveness of risk management because it allows
the central risk function to constantly update and refine their ‘best risk management practices’
(Heiligtag, Schlosser, & Stegemann, 2014).
In the centralized model, the central risk management function should be led by a CRO or a central
risk function that should provide risk management initiatives across the entire organization. The CRO
is ultimately accountable for the creation and application of the risk management framework, and
the aggregation of reported results regarding risk management. The aggregated results should be
reported to the Board or a Board committee. A reduced risk management responsibility and
awareness across the organization could be a potential downside of implementing a centralized
approach (Nottingham, 2014).
A report from the Economist Intelligence Unit (2005) provided some benefits of appointing a Chief
Risk Officer (CRO) who would centralize risk management. An increased understanding of
relationships between risks within separate business units could be achieved by using a
comprehensive risk matrix, which would allow CROs to identify enterprise-wide risk exposures.
Delegation of risk ownership
COSO identified some benefits with assigning authority or accountability to lower echelons – the
people who are closest to the daily operations. Delegation of authority is sometimes useful for
“flattening” the organization, because it aims to create creativity among the entity’s personnel.
Taking initiatives and being able to respond in a faster way to changing circumstances are also
examples of the potential outcomes of delegating risk ownership (COSO, 2004, p.32).
Kinman (2012) stressed the importance of building a ‘risk-resilient organization’. In order to have a
‘risk-resilient organization’, organizations must draw upon the knowledge of several risk owners
throughout the entire organization, by delegating risk ownership down to business units and other
important functional areas. Kinman’s (2012) thoughts on the benefits of delegating risk ownership
confirm Fraser & Simkins’ (2007) recommendations. Fraser & Simkins (2007) argued that all
functional areas within an organization should provide efficient information and input relating to
ERM.
3.3. The Board’s role and responsibilities in ERM
Lam (2001) pointed out that the decision to implement ERM is made by the Board of Directors rather
than by the CEO. The Guideline ‘A Structured Approach to ERM and the Requirements of ISO31000’
20
(AIRMIC, Alarm, & IRM, 2010) indicated the importance of the exemplary role that boards must fulfill
in order to promote an organizational culture that acknowledges the importance and implications of
risks in daily operations. In order to install a culture that takes risks into account, boards are
expected to deliver leadership and commitment with the sole purpose of becoming a “risk aware
culture” (p. 6). COSO (2004) made notice of the responsibilities of the Board, by saying that the Board
of Directors should provide important oversight to enterprise risk management, and that it should be
aware of the organization’s risk appetite. The latter reason is consistent with Epstein & Rejc’s (2006)
recommendations that the Board should “originate risk appetite and risk tolerance” (p.14). The board
is expected to assume full responsibility regarding the risk management and risk reporting processes
in the organization. Moreover, evaluating and monitoring the effectiveness of internal controls, if not
delegated to other committees like the audit committee, should also be on the board’s agenda
(Epstein & Buhovac, 2006). In order to execute their responsibility for overall effective risk
management and reporting, boards need to make sure that there’s an effective risk management
process installed. This means that they should get assurance from management that solid practices
are in place to identify and manage risks throughout the entire organization (Steinberg, 2016).
Cammaert (2014) conducted a Belgian qualitative study regarding the risk management role of the
Board of Directors. He concluded that the Board always bears ultimate responsibility concerning
decisions that have to be taken in the pursuit of effective risk management.
To conclude, Tim Leech (2013) recommended that the Board also should take responsibility for
maintaining a ‘risk aware culture’. A common organizational terminology to discuss and report the
current risk status and tools that sustain appropriate risk assessment and reporting are important
elements that constitute a ‘risk aware culture’.
Board’s composition and its impact on ERM
Beasley, Clune, & Hermanson (2005) found that the composition of the Board also plays a crucial role
in successful ERM implementation. They concluded their study by stating that the stage of ERM
implementation is positively related to board independence.
The Financial Times (2017) defined an independent board as a board that consists mostly of
independent directors. Those independent directors should act as watchdogs by maintaining an
independent attitude towards the organization’s executives.
Desender’s (2007) study approached the results of Beasley et al. (2005) in a more detailed manner.
He concluded his study by stating that Board independence is only significantly related to ERM when
there’s also a separation of CEO and chairman. Jensen (1993) pointed out that it’s important to
ensure that CEOs don’t fill the seat of chairman of the board. Evaluating the CEO is one of the main
21
topics that are on the chairmen’s agenda. This, of course, won’t work as smoothly it the CEO fills the
position of chairman. CEOs who fill the position of chairman are contradictive to the main function of
chairmen, since they probably are incentivized to act in their own personal interest.
3.4. Organizational units’ involvement in risk management
Epstein & Rejc (2006) believe that everyone in the organization should have some responsibility for
ERM. The Board may delegate its oversight and reporting duties to certain committees or other
organizational units. Below, you’ll find recommendations of several authors regarding the specific
roles of different organizational units involved in risk management.
Audit committee
An important responsibility of the audit committee (AC) is to monitor the financial reporting
processes adopted by an organization. This means that the AC must review the truthfulness of the
financial figures. Overseeing the financial reporting process mainly coincides with reviewing the
accounting standards that are utilized by organizations (The Belgian Code on Corporate Governance,
2009).
Besides the monitoring of the financial reporting process, audit committees are also responsible for
keeping an eye on the effectiveness of internal control and for making sure that established risk
management systems operate accordingly. Audit committees are supposed to act as a watchdog over
the effectiveness of internal control, which means that they should make sure that there are control
measures in place that can address identified risks in a proper manner (The Belgian Code on
Corporate Governance, 2009).
In Deloitte & Touche’s (2014) ‘Risk Committee Resource Guide’ it became quite clear that audit
committees still focus too strongly on the financial aspects of the organization, while risk
management should be treated as a process that deals with all relevant organizational risks. The
main focus of the audit committees investigated in the Belgian case study by Sarens and De Beelde
(2006) was also on financial results and reporting issues. More surprisingly, the authors discovered
that Belgian audit committees sometimes neglected their other responsibilities regarding the
effectiveness of internal control. Notwithstanding Sarens and De Beelde’s (2006) results, Cammaert
(2014) concluded by stating that most of his surveyed organizations indicated that the audit
committee was responsible for risk reporting to the Board. He also pointed out the strong interaction
between the audit committee and internal audit by arguing that it’s the audit committees’
responsibility to aggregate the information acquired from internal audit, since it’s the audit
committees’ task to make a clear and aggregate report for the Board.
22
The audit committee must also evaluate and monitor the independency of the external auditor (VBO,
2015). External auditors or statutory auditors must do an annual assessment of the truthfulness of
the organization’s financial statements. The appointed external auditor must ensure that the
financial statements of the organization are compliant with regulatory requirements. While
executing this important responsibility, external auditors are expected to maintain total
independence. Reporting on certain transactions (e.g. capital increases, mergers, liquidation) are also
on the external audit’s agenda (IBR, 2010)
Internal audit
Evaluating the effectiveness of the enterprise-wide risk management should be the main priority on
the internal audit’s agenda (COSO, 2004). The internal audit function is expected to provide
‘objective assurance’ regarding the adopted ERM processes to the board of directors or the audit
committee. This means that they should report on the appropriateness and adequacy of installed risk
management practices in the organization. Moreover, they are also required to monitor the
processes in place to manage important risks. Ultimately, in the light of ERM, internal auditors should
monitor the organization’s risk management processes and should keep a watchful eye on the
effectiveness of those processes (IIA, 2013 (a)) Ojha’s (2012) findings on the role and responsibilities
of internal auditors indicated that the internal audit function is mainly concerned with making sure
that the entity has procedures in place that can cope with, for instance, prevention of fraud.
Beasley, Clune, & Hermanson’s (2006 (b)) findings highlighted the importance of top management
and board-level support for internal audit’s active involvement in ERM. This is of great importance
since the internal audit function is expected to report improvements or recommendations regarding
the enterprise-wide risk management to these organizational units. On top of that, Beasley et al.
(2006 (b)) found that the tenure of the organization’s chief audit executive (CAE) is also positively
related to the internal audit’s involvement in ERM. The Chief Audit Executive (CAE) is the leader of
the internal audit function who should be ultimately responsible for the internal audit’s performance
(Carmichael, 2014). Audit committees should at least meet twice a year with the internal audit
function to discuss the current situation of the risk management process adopted by the organization
(The Belgian Code on Corporate Governance, 2009).
CEO
Ittner & Oyon (2014) found that an extensive communication of the organization’s risk appetite and
tolerance, together with risk monitoring and reporting were two important factors that constituted
the responsibilities of CEOs, suggesting that CEOs also fulfill a risk oversight role.
In order to fulfill their oversight role (Ittner & Oyon, 2014), CEOs must meet at least periodically with
senior managers responsible for their respective functional areas. Furthermore, by meeting
23
periodically with the senior management, CEOs should be able to gain an extensive knowledge of the
organization’s risk management. By increasing the interaction with senior management, CEOs should
be able to effectively monitor risks in relation to the entity’s risk appetite (COSO, 2004).
Preparing risk reports for the Board is also a responsibility that CEOs need to fulfill in order to allow
the Board to perform its risk monitoring activities. On top of that, risk reports provided to senior
management should serve the purpose of aiding the responsible managers in achieving risk
management objectives (Epstein & Buhovac, 2006).
CFO
Epstein & Rejc (2006) stipulated that CFOs often take responsibility for risk functions because of the
broad knowledge they have gained through their position in the organization. Besides managing the
traditional financial risks, like for instance compliance or credit risk, Ittner & Oyon (2014) found that
CFOs who have been granted risk ownership are more likely to expand their focus on other
organizational risks like operational and strategic risks.
COSO (2004) also stipulated some benefits of incorporating financial executives into enterprise-wide
risk management. It’s frequently the case that financial executives, like CFOs, are given the
responsibility to track and analyze performance across a wide range of functions. Budgeting and
developing financial plans for the entire organization puts them in the position of having an
enterprise-wide vision on risk management.
Senior management
Senior managers in charge of functional areas throughout the organization should have responsibility
for managing risks that they have control over – risks that have the potential to have an impact on
the established goals and objectives of their operations. Furthermore, each member of senior
management should act as a CEO of his or her department by making sure that actions undertaken
are consistent with the established risk appetite (COSO, 2004).
Risk committee
It’s important to make a distinction between board-level risk committees and executive-level risk
committees.
Bugalla, Kallman, Mandel, & Narvaez (2012) stated that a board-level risk committee must keep a
watchful eye on the adequacy of adopted risk management practices and processes. On top of that, a
board-level risk committee must ensure that identified risk exposures align with the risk appetite of
the organization. Its main responsibility is risk oversight and assistance to the board regarding risk
oversight. Historically, many firms delegated risk oversight responsibilities to audit committees. The
organizations surveyed by Bugalla et al. (2012) indicated that their audit committees’ primary
24
purpose was to ensure the integrity of financial statements, and making sure that the organization
complies with legal and regulatory requirements. However, the formation of a board-level risk
committee could signal a broader approach regarding risk oversight. It seems that shifting risk
oversight responsibility to a board-level risk committee shows a more pro-active vision towards risk
oversight by capturing all corporate risks (Bugalla, Kallman, Mandel, & Narvaez, 2012).
Bugalla et al. (2012) also gave indications for establishing an executive-level risk committee.
Board-level risk committees are responsible for risk oversight, not management. One key task of a
board-level risk committee is to set up appropriate risk appetites and tolerances. The authors made
clear that risk appetites and tolerances are often perceived as a constraint by business units. The
formation of an executive risk management committee and a partnership between a board-level risk
committee could solve these misconceptions of risks by business units. This committee should
consist of a team that is capable of keeping the entity’s risk exposures within reasonable boundaries.
The establishment of an executive risk committee should ultimately lead to better cross-functional
collaboration across the entire organization. The team’s corporate-wide responsibilities should give
more insights into correlations of risk exposures across business units, and should ultimately lead to
better management of corporate-wide risks. The manifestation of risks at executive level should
serve as a model for other managers and employees to perceive risk management as an essential
contributor to organizational success.
CRO
COSO (2004) recommended that CROs should work in close collaboration with other managers in
order to promote effective risk management in their spheres of responsibility. CROs should act as a
staff function by providing support and facilitations to business unit managers so that they can
manage risks accordingly in their area of responsibility. CROs should also be able to provide advice
and assistance regarding the alignment of business units’ risk-taking with the organization’s risk
tolerances. Ittner & Oyon (2014) clarified the current role of Chief Risk Officers or CROs. The authors
found, in consistency with COSO’s (2004) recommendations, that CROs are mainly concerned with
the coordination of risk management activities across the organization, suggesting that these
functions rather play a coordinating role. The execution of that coordinating role can be supported
by the use of comprehensive risk matrices that serve the purpose of centralizing all risk activity of the
organization. The use of these matrices would enhance the understanding of relationships between
risks within separate business. This would allow CROs to identify risk interdependencies across the
different business units (Ross, 2005).
25
3.5. Key findings
Establishing an appropriate risk architecture is paramount for an effective implementation of the
ERM process and risk reporting (AIRMIC, Alarm, & IRM, 2010). The Board should assume full
responsibility for the entire risk management process (Cammaert, 2014; Epstein & Buhovac, 2006).
However, it may delegate risk responsibilities to other organizational units, like the CFO, CEO, CRO,
audit committee, internal audit, senior management, or even risk committees.
First, In order to determine what to include in risk reports to the Board, organizations must draw
upon an effective risk management approach that supports internal risk reporting. A distinction can
be made between a decentralized and a centralized approach, although the differences are quite
subtle (Heiligtag, Schlosser, & Stegemann, 2014; Nottingham, 2014). It seems that both risk
management approaches are led by a central risk function, but the responsibilities of this central risk
function differs according to the adopted approach.
In a centralized approach, the central risk function is expected to closely supervise the organization’s
business units’ risks through the use of risk-related models and processes. These risk-related models
and processes are typically rolled out throughout the entire organization. Eventually, the central risk
function must enter into a thorough discussion with all the responsible managers in order to review
and discuss the assumptions made by them while applying the entity’s risk management framework
(Heiligtag, Schlosser, & Stegemann, 2014).
In a decentralized approach, business units’ managers own all the risks they have control over and a
central risk department or function is responsible for providing support and coordination as needed.
Business unit managers are free to adhere to the established risk management framework in a more
local manner. This approach allows greater autonomy in the execution of risk management practices
since business departments can use different tools and models to capture their business unit risks.
Consequently, a strong risk culture has to be embedded into the entire organization since business
unit managers are held responsible for risks that occur in their line of business (Heiligtag, Schlosser,
& Stegemann, 2014; Nottingham, 2014).
26
4. Risk reporting to the Board of Directors
4.1. Importance of internal risk reporting to the Board of Directors
Slagmulder (2013) did research on how risk-related information could be integrated into
performance reporting to the board of directors. She found that members of the board are
perceiving risks not only in a negative manner but also in a more positive manner, indicating that
risks are increasingly becoming an important instrument for strategic decision-making. This holistic
approach, where both the downside and upside of risks are taken into account, ultimately makes
sure that not only compliance requirements are considered. Moreover, this approach allows for
greater contributions regarding the strategy process. The integration of risk and performance in
board meetings should be perceived as a prerequisite to strategic oversight.
Berg & Westgaard (2011) pointed out that boards are expected to being informed about the
organization’s risks and to have a clear understanding about those risks.
Members of the board should focus their attention on finding an optimal equilibrium between
meeting regulatory requirements and achieving strategic goals. By doing this, they can devote more
attention on the aspects that could jeopardize the achievement of strategic objectives (EY, 2013).
4.2. Functions of risk reporting to the Board of Directors
Berg & Westgaard (2011) and Slagmulder (2013) identified two different functions of risk reporting
to the Board of Directors. First of all, internal risk reporting to the Board serves the purpose of
assuring the Board that sound or legal financial practices are exercised (Berg & Westgaard, 2011).
‘Separate risk reporting’ takes a closer look on the operational risk aspects of the business, and it has
the tendency to be much more compliance-driven. This type of risk reporting is mainly done in order
to meet regulatory requirements and has the tendency to isolate risk from other relevant
information (e.g. performance) (Slagmulder, 2013). This could ultimately lead to putting risk
management into a “box-ticking exercise” (Slagmulder, 2013, p.4). Secondly, and more importantly in
the light of ERM, risk reporting can also be used for strategic purposes (Berg & Westgaard, 2011).
The integration of risk into performance enhances the probability that the board will get ‘the bigger
picture’ and that the Board gets a clearer understanding of the business. Through the connection of
risk information with other types of information on performance and strategy, integrated risk reports
can contribute to gaining a broader perspective of the organization’s objectives and goals
(Slagmulder, 2013). Marks (2015), in alignment with Slagmulder (2013), also stressed the importance
of ‘objective-based risk reporting’. This kind of reporting will enable the board to assess their
27
progress in terms of achieving organizational objectives. The major advantage of this type of
reporting is the focus on achieving strategic objectives, while taking its risks into account.
Unfortunately, Berg and Westgaard’s (2011) results highlighted the neglect of strategy-driven risk
reporting to the Board of Directors. This finding is in alignment with the study conducted by Beasley,
Branson, & Hancock (2014). A majority of their respondents admitted that there was a lack of risk
integration in the context of strategic discussions. Moreover, they also found that more than 66% of
their respondents didn’t have a risk appetite installed that could complement strategic risk reporting
(Beasley, Branson, & Hancock, 2014).
4.3. Board-management interaction regarding risk
Brodeur, Buehler, Patsalos-Fox, & Pergler (2010) stressed the importance of board-management
interaction because they share the opinion that this will strengthen the enterprise-wide risk
management. They believe that an increase in risk interaction between both parties could potentially
lead to a better awareness of risk management in the organization.
Nottingham (2014) introduced some important elements to improve risk communication between
the board of directors and senior executives. First of all, boards should ensure that, in order to fulfill
their oversight function, adequate measures are in place so that management can carry out its risk
management practices. Defining risk governance roles are paramount and establishing risk charters
can help to clarify the roles and responsibilities of senior management or committees. The delegation
of risk responsibilities throughout the company aims to increase accountability among employees
when it comes to risks. Secondly, boards are expected to have a broad knowledge of potential factors
that could alter the established strategy. On top of that, they’re expected to keep a watchful eye on
the strategy of the organization and the risks that could prevent the organization from achieving this
strategy.
Lastly, a written risk appetite statement should be used by management as a tool that helps to
discuss risk-related matters with the board of directors. The most important advantage of a risk
appetite statement is that it has been set up with the main purpose of integrating risk, strategy and
performance. The installation of a risk appetite statement should serve as the cornerstone for
effective risk reporting between board of directors and the management team: it should be used as a
basis to discuss strategy.
28
4.4. Content of risk reports provided to the Board
The content of risk reports should help members of the board to make risk-adjusted decisions
(Epstein & Buhovac, 2006). Brodeur et al. (2010) argued that the board’s risk report should include
the following: a clear prioritization of the organization’s top risk exposures and the assessment,
carried out by management, of those key risks. The report should be presented in an integrated
manner, meaning that it should provide an aggregate view of all the risks the different business units
are exposed to. Roy (2011) stated that this aggregate representation of the top risk exposures is
helpful in preventing an overload of information. The top risks that can negatively impact the
organization’s strategy should consequently be included in the board risk report (DeLoach, 2016).
Kinman (2012) made notice of the use of risk appetite as a benchmark for providing risk reports to
the board of directors. The alignment of risk tolerances with the organization’s risk appetite is an
important element that should be addressed in board risk reports. Fraser & Simkins (2007) already
pointed out that the establishment of (business unit) risk tolerances is mainly to give assurance to
the board that the different business units of the organization have a clear understanding of what is
allowed or not allowed regarding risk-related decisions.
DeLoach (2016) also gave some important recommendations in light of risk reporting to the board of
directors. According to the author, risk reports should focus on the top risks that could jeopardize the
achievement of strategic objectives. That’s why he also mentioned the usefulness to integrate risk
reporting with performance reporting. An increased understanding of risks that could impact the
achievement of organizational objectives and strategy are potential advantages of this integration.
Separating risk reporting and performance reporting could lead to an overwhelming emphasis on
performance by the Board.
Context of risk reporting to the Board
Epstein & Rejc (2006) denoted that risk-related information should be presented in a context that
facilitates the recipient’s understanding of the risks disclosed in the report. The authors
recommended to combine written explanations with graphical tools (e.g. tornado charts, balanced
scorecards, heat maps) with the ultimate purpose of increasing the explanatory power of the risk
reports.
As already mentioned, there are multiple tools available to report to the board on risk-related
matters. It seems that organizations should start making use of tools that support the combination of
performance and risk, if they want to make ERM more strategy-focused (Beasley, Chen, Nunez, &
29
Wright, 2006 (a); Fraser & Simkins, 2007; Slagmulder, 2013; Bruggeman, Hoozée, & Slagmulder,
2017).
Preparation of risk reports to the Board
The organizations assessed by Berg and Westgaard (2011) indicated that their CFO was usually the
person responsible for preparing risk reports for the board of directors.
Branson denoted that the audit committee frequently serves an intermediate function between the
risk management function and the board of directors. CROs, CEOs, and CAEs are also frequently
tasked with the preparation of risk reports (Branson, 2015).
Cammaert (2014) also concluded his qualitative study by stating that audit committees frequently
bear the risk reporting responsibility.
4.5. Key findings
Board of directors are increasingly becoming aware of their risk responsibilities in a more complex
business environment (Slagmulder, 2013). Risk-related information presented to the board of
directors can serve two different purposes (Berg & Westgaard, 2011; Slagmulder, 2013).
Firstly, risk reporting to the Board can serve the purpose to assure the Board that sound legal
practices are exercised (Berg & Westgaard, 2011). Secondly, and even more importantly, risk
reporting should contribute to strategic oversight by providing a summary of all top-tier risks the
organization is facing (DeLoach, 2016). By linking or integrating risk and performance, boards should
see ‘the bigger picture’ in light of the organization’s strategy (Marks, 2015; Slagmulder, 2013).
Ultimately, boards should try to balance these two different functions of risk reporting in light of
their decision-making (EY, 2013). Board-management interaction is an important condition that
needs to be in place in order to effectively report on risk-related matters. A risk appetite statement
could be used by management as a tool that helps the discussion of risk-related matters with the
board of directors (Nottingham, 2014). DeLoach (2016) denoted that risk reports provided to board
of directors must be concise by only mentioning the top-tier risks faced by the entity. This distillation
and aggregation of risks is necessary to avoid an overload of information (Roy, 2011).
Ultimately, risk reports should be provided to the board in a manner that allows the board to act
upon the risk information disclosed. The relevance of risk reports depends on a lot of factors that
definitely require some consideration. Narrative descriptions, the use of graphical displays, and risk
reporting tools are all relevant factors that are useful for increasing the users’ comprehension
(Epstein & Buhovac, 2006). It’s frequently the case that audit committees are responsible for the
preparation of risk reports (Branson, 2015; Cammaert, 2014), but eventually multiple possibilities
30
exist regarding the preparation of risk reports to the Board (Berg & Westgaard, 2011).
31
5. Empirical study
5.1. Research questions
“What’s the function of risk reporting to the Board of Directors in Belgian companies?”
“What organizational approaches are adopted to deal with the increased emphasis on risk
management?”
“How is risk reported throughout the entire organization?”
5.2. Goal of research
The main focus of my research is to explore how internal risk reporting is perceived within the entire
organization, and specifically by the board of directors. As already mentioned in the literature study,
the abundancy of regulations have prompted organizations to adopt a risk management process to
cope with their imposed requirements. To this end, ERM is rather seen as an efficient tool to comply
with imposed regulatory requirements (Ai & Brockett, 2008). Still, ERM can also be used in a more
forward-looking way by reporting on strategy-related matters (Slagmulder, 2013; Marks, 2015). I
want to investigate which function of internal risk reporting takes the upper hand in Belgian
companies. The impact of regulatory requirements on risk management practices will also be a point
of discussion.
The second goal is to assess which organizational approaches are used to cope with the increasing
risk management efforts. The literature review described the difference between a decentralized and
a centralized approach. Different organizational units can carry different responsibilities regarding
risk management. The goal is to explore which units, and how these units communicate on risk-
related matters, and how eventually risks are reported to the board of directors (or abbreviated:
BoD).
Another goal of my study is to assess how risk reporting is conducted within the organization. As
already mentioned in the literature review, there are a lot of tools available to report on risk-related
matters. I will investigate which risk tools are popular in Belgium organizations and assess their
benefits for internal risk reporting.
32
5.3. Research methodology
I’ve chosen to conduct this research via in-depth interviews. A semi-structured interview allowed me
as a novice researcher to apply some flexibility while asking my questions (Rowley, 2012). This
qualitative approach opened up the way for me to capture the respondents’ attitudes and
perceptions regarding risk reporting throughout the organization.
An interviewing guide (see Attachment 1) is established in a manner that will help me to gather
information on all relevant topics in order to come up with a conclusion about this research (De
Pelsmaecker & Van Kenhove, 2014). Rowley (2012) warned that interview questions might deviate
from your research question. This is often the case when the interviewer wants to gather information
around a specific topic the interviewee doesn’t like to talk about. I can only imagine that a few of my
respondents will be reluctant to admit that they installed an enterprise-wide risk management
process just to be compliant with current regulation. Furthermore, I already mentioned in the
literature review that the difference between a decentralized and a centralized approach is quite
subtle. This implied that I couldn’t just ask my respondents to indicate which organizational approach
they had adopted. I needed to take all these different considerations into account, while setting up
my interviewing guide. You can find my interviewing guide in attachment 1.
Although interviewing might be more time-consuming than distributing online surveys, I firmly
believed that potential interviewees could be more receptive to participate in this qualitative type of
research (Rowley, 2012). Rowley (2012) also mentioned the possibility that managers or people with
a significant responsibility within an organization are reluctant to participate in online
questionnaires.
5.4. Sampling
The nature of my research demanded that I should focus on Belgian publicly listed organizations
since these types of companies are often more regulated than private companies. Listed companies
are subject to regulatory requirements and in that manner more suitable respondents for my
research. Still, the inclusion of a private firm and a European publicly listed organization allowed me
to find possible differences between these different types of firms.
The website of FSMA (2017 (b)) provided a list of companies for which Belgium is the home Member
State. More than 150 publicly listed Belgian organizations were found. A sampling frame can thus be
provided.
33
I concluded that a judgement sample was most appropriate to conduct my research.
This type of sample is often used for conducting in-depth interviews. A judgement sample is
characterized by imposing restrictive conditions in order to come up with a suitable sample (De
Pelsmaecker & Van Kenhove, 2014). Due to time constraints, I imposed 2 restrictions for my sample.
First of all, I wanted most of the organizations to be publicly listed. Due to the nature of my research
and the impact of regulatory requirements on the function of risk reporting, I choose to focus on
publicly listed organizations, preferably in Belgium. Although I mainly focused on Belgian publicly
listed organizations (due to the nature of my research), I didn’t want to exclude private companies
that are also heavily regulated or publicly listed companies in other European countries. By including
these organizations in my sample, I could potentially assess if there were any differences in how
organizations are managing or reporting risks. Secondly, the organizations that I contacted were
located in Flanders in Belgium. I checked the website of NBB to explore which organizations were
located in Flanders, and which organizations had handed in their annual report in Dutch. Below,
you’ll find a list of organizations that complied with the imposed conditions.
Table 1: List of judgement sample
Table 1 provides a list of my judgement sample. Fourteen organizations were selected as potential
interviewees. The lines of business are provided to give a perspective of their operations. I also made
a column to indicate whether the interviewees were members of the board or not. I included this
column because it had an important impact on my interview approach. The addresses of members of
the board are displayed in the annual reports. This allowed me to send them a postal letter to their
home address. The last column of the table indicates the approach I used to get into contact with the
people I wanted to interview. To respect the possibility that some interviewees would prefer to stay
anonymous, I replaced the organizations’ real name with letters ranging from A to N. Below, you’ll
find more information on the interviewees’ profile. It’s safe to say that this sample was not randomly
chosen. I’ve developed my sample in a way that it supported my theory building. In order to come up
with conclusions about the perception of compliance with current regulation in Belgian
Location Line of business Interviewee Member of BoD Interview approach
Company A Kortrijk Visualization Technology CEO No Postal letter
Company B Leuven Biopharmaceutical CEO Yes Postal letter
Company C Mechelen Biotechnology CEO Yes Postal letter
Company D Sint-Katelijne-Waver Fruit & Vegetables CEO Yes Postal letter
Company E Wetteren Digital photo CEO Yes Postal letter
Company F Gentbrugge Hydropneumatic components CEO Yes Postal letter
Company G Zaventem Network Service Provider CEO Yes Postal letter
Company H Lembeke Production of cookies CEO Yes Postal letter
Company I Aalst Non-residential development CEO Yes Postal letter / e-mail
Company J Aalst Private equity General manager No Postal letter / e-mail
Company K Melle Electricity & Gas CEO No Postal letter
Company L Waregem Healthcare CEO Yes Postal letter
Company M Huizingen ICT General manager No Postal letter
Company N Ardooie Industrial textile CEO Yes Postal letter
34
organizations, I had to make sure that the chosen sample matched my theory building (Eisenhardt,
1989).
5.5. Interviewee’s profile
In determining suitable respondents for my research, I had to make sure that the interviewees had
sufficient ‘authority’ regarding the risk reporting topic so that the interview could go as intended.
People in the organization that fulfill a significant leadership role, like CEOs, CFOs or even CROs, are
more likely to have a better understanding of risk management in their organization than an
employee with less organizational responsibilities. Finding people in the C-suite was my primary
objective in order to find suitable respondents for my research. Ultimately, I preferred to interview
CEOs since they are expected to have sufficient knowledge of the organization they are leading
(COSO, 2004; Epstein & Buhovac, 2006). These types of respondents allowed me to provide another
perspective of risk reporting to the BoD. Cammaert (2014) already investigated the risk management
role of the BoD in a Belgian context by interviewing members of the Board. By selecting members of
the C-suite, like for instance CEOs, as potential interviewees, I could get a clearer picture on how they
perceive the interaction with the BoD regarding the organization’s risk exposure.
5.6. Securing access to interviewees
Approaching potential interviewees was one of the biggest challenges of this master’s dissertation.
The websites of the selected organizations provided relevant contact details to approach CEOs or
other members of the management team. Some organizations even provided a telephone number of
the CEO and management team, but it seemed to me that contacting people in this way was quite
intrusive. It didn’t give the person time to think about my proposal to do an interview with them.
That’s why I’ve chosen to send letters by mail. The annual reports of the organizations in my sample
displayed the addresses of members of the Board. Most of the organizations in my sample have CEOs
that also fulfill a role within the Board which allowed me to directly send them a letter. I believed
that this approach made sure that they received my request in a direct and proper manner. There’s
always a possibility that an e-mail to the organizations’ headquarters remains unnoticed and that
was something I wanted to avoid. I really wanted to make sure that they at least read my proposal.
Two organizations even provided the e-mail of the CEO on their website. This gave me the
opportunity to directly send them an e-mail on top of a postal letter.
35
As I wanted to increase my response rate, I tried to maintain a professional attitude while
approaching potential respondents. According to Rowley (2012), I needed to keep the following in
mind while approaching potential interviewees:
I have to indicate who I am and why I’m conducting this research
Give respondents an indication of how much time the interview will consume
Assure them confidentiality in order to make them more at ease
Give my contact details while asking if they’re available over the next two weeks
In order to give my interviewees an indication of the duration of the interview, I first needed to pilot
test my interviewing guide. This was also performed in order to check whether the questions made
sense to the audience or not (Jacob & Furgerson, 2012). I chose a family member who gained a great
deal of understanding regarding finance and risk throughout his career. His leadership role and his
close collaboration with the CEO of the organization he’s working for made him a suitable candidate
for pilot testing the interviewing guide. Although he’s working in a Belgian subsidiary of a UK publicly
listed organization, it’s safe to say that regulation will have a similar impact on the organization’s risk
information flow (Porbunderwalla, 2007). Choosing a family member for a pilot test may lead to
biased conclusions, but his desire for me to graduate in business economics goes hand in hand with
his scrutiny regarding my master’s dissertation.
I thought that it was more appropriate to do the interviews in Dutch since I conducted this research
in a Belgian context. This allowed the interviewee to properly communicate his or her motivations in
a more relaxed manner. The removal of the language barrier made sure that the interviewer and the
interviewee could communicate in their mother tongue. Jacob and Furgerson (2012) also
recommended to use some type of recording device because memorizing all the information
acquired during the interview would have been impossible. A recording device allowed me to
maintain eye-contact during the interview. It further gave me the opportunity to actually have a
conversation with the interviewees without being obliged to take notes during the interview.
36
6. Analysis
Eisenhardt (1989) and Yin (1981) made notice of the potential stumbling blocks that could arise while
analyzing the data from conducted interviews. Yin (1981) found that analysts often spend too much
time on writing down all their findings gathered from case studies or interviews. Conducting
interviews often produce a lot of data that has to be analyzed in a proper manner. This overload of
data has to be aggregated in a way that allows the researcher to cope with his or her research
questions.
Miles & Huberman (1984) gave some more insights into the scientific analysis of qualitative data.
Qualitative analysis consists of 3 scientifically important elements that have to be considered: data
reduction, data display, and drawing up conclusions (Miles & Huberman, 1984).
It’s quite cumbersome to constantly rewind or fast forward the recorded conversation, so that’s why
I’d chosen to write down all the interviews. Since I can type blindly, it was quite easy to make a
transcript of the recorded interviews. Afterwards, I checked for spelling errors. The interviews were
written down in the best possible way, without manipulation of some sentences. I tried to cope with
this overload of words by systematically organizing this data in a manner that allowed me to draw up
conclusions. My research covered several topics so, according to Miles & Huberman (1984), it was
more suitable to use some form of display that briefly summarized all my findings.
Displays should help to systematically present my findings to an interested audience. Miles &
Huberman (1984) noted that since there’s a lack of formalized data analysis set-ups for conducting
qualitative analysis, it should be the analyst’s task to generate a display that effectively promotes his
or her research. Like Cammaert (2014), I decided to make a case/topic matrix because this allowed
me to distill important fragments from the interviews per topic. I chose to quote my respondents
because it provided me a summary of their reflections in one or more sentences. Moreover, I used
some bullet points to briefly summarize my findings per topic. This kind of matrix beneficially
impacted my within-site analysis and my cross-site analysis (Miles & Huberman, 1984). Within-site
analysis refers to “methods for drawing and verifying conclusions about a single site” (p. 79) or
organization in this case (Miles & Huberman, 1984, pg.79).
Eventually, this display was set up in a manner that allowed me to do a within—and a cross-case
analysis (Miles & Huberman, 1984). This matrix also gave me the opportunity to do a cross-site
analysis since I could oversee the important findings per case. Since I conducted interviews with CEOs
or other people of different organizations, this graphical display was an efficient tool for me to
compare across industries.
37
Table 2: Case/Topic-matrix
Table 2 is an example of the matrix that I used to categorize and summarize my findings according to
each topic and organization. The columns represent the organizations of which I managed to
interview the CEO or another member of senior management. The rows represent the different
topics that I had selected in order to complement my research. Ultimately, this matrix was
established in a manner that supported my research questions, which is an important condition that
needs to be fulfilled in order to build an appropriate display (Miles & Huberman, 1984).
6.1. Within-site analyses
This type of analysis allowed me to make conclusions per organization. My conclusions were based
on the established case/topic matrix (see Attachment 10) and related to the topics displayed in this
matrix.
Table 3: List of interviewed people and the sector of the organizations
Table 3 represents the organizations that positively responded to my proposal. I managed to do four
interviews with CEOs of three publicly listed organizations and one private company. CEOs are very
busy people so I felt lucky to get in contact with four of them. Although my initial plan was to
interview CEOs or other members of the C-suite, I was frequently redirected to other people in the
organization. My initial targets were Belgian publicly listed organizations, but I thought it was also
very interesting to get in contact with a private company and a European listed organization to see if
there were any material differences relating to risk management and reporting. The organizations
were all active in different industries. Only two of the eight organizations gave me permission to use
CASE/TOPIC Company A Company B Company C Company D Company E Company …
Topic 1
Topic 2
Topic 3
Topic 4
Topic 5
Topic …
Interviewee Sector
Eandis CEO Electricity & Gas
Realdolmen Secretary-general ICT
Company A General manager Private equity
Company B CEO Payment industry
Company C CEO Fruit & Vegetables
Company D CEO Photo business
Company E Compliance officer Financial services
Company F Internal auditor Visualization Technology
38
their name in my master’s dissertation. Out of respect for my respondents, I marked the
organizations that wanted to stay anonymous with a letter.
Eandis
Company background:
Eandis offers network solutions for electricity, natural gas, heating, and public lighting in over 229
municipalities in Flanders, Belgium. More than 4000 employees are active in this organization to
make sure that natural gas and electricity are supplied to people’s home or workplace via a
distribution system. This organization isn’t publicly listed, but regardless of its listing, I thought it was
very interesting to interview such an important player in the Belgian energy market. Organizations in
the energy industry are heavily regulated (CREG, 2017) and this was repeatedly acknowledged by the
CEO of this company: “we have a lot of external stakeholders that keep a watchful eye on us”, so my
research wouldn’t be compromised by integrating this non-public company. The CEO explained me
everything concerning risk management and reporting and I can’t thank him enough for giving me an
extensive explanation about Eandis’ risk management framework. A folder of their ‘integrated risk
management framework’ was provided, and I got approval to use some figures in my master’s
dissertation.
Formalized ERM framework & Establishment of risk appetite/tolerance:
Eandis defines risk as “a vulnerable state or an unprecedented future happening that could impact
the operations and the achievement of corporate objectives”. The company has adopted an
integrated risk management process to find a perfect balance between corporate objectives and the
risks Eandis faces in realizing those corporate objectives.
39
Figure 5. Recurrent methodology for managing risks in Eandis (Eandis, s.d.)
Since 2014 the company uses a “recurrent methodology” to manage risks (as is displayed in figure 5):
it consists of five steps. First of all, a framework has to be set up. Secondly, risks must be identified.
Thirdly, identified risks must be analyzed and evaluated. Fourthly, implementation and optimization
of control mechanisms. The last step is monitoring and reporting. Step 2-5 is repeated on an annual
basis. This integrated risk management framework is set up in a more pro-active way and clearly
aligned with the strategy of the organization. They have strategic risks, governance risks, tactical risks
and process risks so everyone in the organization has knowledge about the risks in the organization.
KPIs are linked to their related risks, on each organizational level. This clearly indicates that a risk
philosophy has been installed in this organization. The alignment of risks and strategy is also
symbolized by the adoption of one common language to manage risks: the Eandis Risk Identification
Cart (ERIC). Risk management is firmly embedded in this organization. The creation of a heat map
helps the organization to answer the following question: “is it a big risk or not?”.
40
Risk management approach:
The CEO clearly indicated that everyone in the organization bears some risk responsibility. “Company
risks are being managed by the process owners”. Several domains exist in the organization: HR,
finance, and so on. Eandis has established three control mechanisms to cope with organizational risk.
“Everyone in the organizations bears responsibility regarding the achievement of objectives and their
related risks”. Senior business process owners are even expected to alert the management
committee when risks evolve. It sometimes happens that there’s a misalignment of interpretations
relating to risks: the HR manager could say that the process he or she is responsible for is free from
risks, while the finance manager could complain about the delay in hiring some new accountants.
When such matters occur, then the management committee tries to get to a consensus, where a
globally accepted vision is the ultimate purpose of those discussions.
“We start by looking at our strategic objectives…then we translate those objectives into strategic
actions that are linked to strategic risks…the same thing happens for tactical and operational
objectives”. “We let it seep through the entire organization”. The CEO also indicated that new hires of
the organization are obliged to indicate the main risk areas of Eandis. This resembles the attention
that has been given to risk and risk management. It feels like they are being heard and it incentivizes
them to think about risks that could occur while executing their job.
Internal risk reporting:
Business owners who are responsible for their line of business are the first line of defense in this
organization. The management committee of Eandis is being responsible for the second line of
defense, they have ultimate responsibility. The management committee must create an overview of
all operational risks in order to come up with some sort of list that represents the focal points or
matters where “things could go wrong”. The last and third line of defense are the ten internal
auditors in this organization. It’s sometimes the case that there’s a disagreement between these
three lines of defense. Arranging a mutual agreement is very important to create an aligned vision
around risks. Eandis is process-oriented so it has a “senior business process analyst” per process who
is required to improve his or her process on a continuous basis. Risks that could impact their process
must be signaled in a timely manner. Consequently, senior management must evaluate the findings
of the business process analysts in preparation of the management committee. On the basis of senior
management’s findings, the management committee determines the strategical actions that have to
be taken to cope with those identified risks.
The management committee has also committed itself to adhere to the recommendations of the
audit committee: based on a rating given by the AC, they are expected to set up an action plan. This
important interaction is also reflected in the payment structure of the management committee. Each
41
member of the management committee is being payed the same amount, based on the achievement
of global objectives including the set-up of appropriate action plans concerning the AC’s
recommendations.
The use of risk reporting tools:
Eandis has a tool that supports the identification of all risks: ERIC. Based on the use of colors, Eandis
can immediately see which risks require attention. Based on a heat map with six different categories
on the horizontal and vertical axis, they can determine the impact and probability of occurrence of
those identified risks. On top of that, Eandis has a specific system, QPR, that allows to “monitor and
log” detected risks. This system is the center of communication between the AC and the
management committee.
Function of risk reporting to the BoD:
The current status of the KPIs, the action plans and their related risks are all being reported by the
management committee. The risks that influence the organization’s KPIs are being reported to the
BoD four times a year. The CEO stated that this kind of reporting was often too detailed in the eyes of
the BoD, they are feeling less committed to such matters. Nonetheless the strategic risk reporting
process of Eandis, the CEO indicated that compliancy in the energy sector can be very demanding
and that his company devotes a lot of attention to it.
Opportunities for improvement regarding internal risk reporting:
“We have an extensive and very profound risk management framework…maybe it goes too much in
detail…I dream of an organization like Toyota with not more than four KPIs”. He indicated that KPIs in
Eandis aren’t always tangible, which makes it sometimes harder to find suitable performance
indicators for company risks.
Realdolmen
Company background:
Realdolmen is a Belgian publicly listed organization, with its headquarters located in Huizingen,
Belgium. This company focuses on delivering results to their customers by the use of technology.
With more than 1.250 employees, they provide ICT-services for more than 1.000 customers located
in the Benelux. Their mission is to make IT infrastructure, software and applications work for their
customers’ business. I thank Thierry de Vries, secretary-general of Realdolmen, for his time and for
the extensive input he has given me concerning the risk management in his organization.
42
Formalized ERM framework & Establishment of risk appetite/tolerance:
Realdolmen has multiple processes in place to manage risks. There’s a process in place that identifies
the most significant risks in the different business processes. Heat maps and other graphical tools
allow this organization to assess and prioritize risks. A lot of organizational functions are involved in
this risk management process: internal audit, senior management, project management officers,
external audit, finance manager, and so on. The interviewee also indicated that a solid process is in
place to make sure that the accuracy of financial reports isn’t compromised. The risk management
process is rolled out throughout the entire organization by the use of “four lines of defense”.
“I’ve established a risk appetite model a few years ago…the use of colors (green-orange-red) are
really helpful”. The interviewee indicated that a classification of risks according to urgency was
established by a heat map with different colors. Those colors are indicators for employees to see
what is acceptable or not. He gave me an example: it’s frequently the case that customers from the
public sector require a payment period of 60 days, while Realdolmen requires payment within 30
days. That misalignment can be tolerated: “Our risk appetite permits us to allow such things”. That
risk appetite model is put in practice by a specific program on the organization’s portal: “Geronimo”.
The interviewee indicated that the program on the portal wasn’t sufficient. Moreover, he stated that
the use of training and personal coaching is also very relevant in putting the risk appetite model into
practice.
Risk management approach:
When I asked the interviewee to indicate who the central risk function in the organization was, he
said: “We all have the same job…we are all risk managers in our jobs”. A risk-adjusted mindset is very
important in this organization. Nonetheless, he also indicated that most of the risks are being
managed by senior management and the internal auditor.
The organization has installed “four lines of defense” to manage risks in an appropriate way. The AC,
‘Group Accounting’, CFO, Project Management Office, ‘Group Reporting’, and the compliance
department are organizational functions in place to address risk-related matters. The compliance
department helps Realdolmen to align its policies with a more risk aware culture. People from ‘legal’
help business owners to safeguard their ‘risk ratio’. This ratio is some sort of communication tool
between legal officers and business owners. Keeping a good balance between positive and negative
risks is an important element of communication between the two. Once a month, a list with the most
urgent matters is given to the management as a “preventive way of action”.
The distribution of the risk appetite model in the organization has helped to install a risk aware
culture. Through the program Geronimo, everyone in the organization knows what is acceptable or
43
not relating to daily operations. Although “a big part of the organization’s risk is managed by senior
management and the internal auditor”, it’s clear that risk is embedded in everyone’s job.
Internal risk reporting:
This organization has a “risk audit process” that is being done on an annual basis by sometimes
different people. This exercise or process is being held to identify the most significant risks relating to
the business processes in the organization. The person responsible for the exercise that year
interacts with the business owners to communicate his or her findings. This clear communication
reflects the importance that has been given to keep risk high on the agenda. Project Management
Office (PMO) is one important player in the organization’s “four lines of defense”. Together with the
‘Group Reporting’ they are required to follow-up ‘red areas’ in the outstanding projects. The
organization has a list with priorities concerning the projects, this is called “intensive care”. The
interviewee stressed the importance of human interaction as a contributor to successful
communication between these lines of defense: “you have a lot of bridges between these different
lines of defense”. Management is ultimately responsible for reporting to the BoD.
The use of risk reporting tools:
The use of tools is deemed very helpful for the organization’s reporting. “Our intensive care is
graphically displayed via a bubble chart”. The heat map is also a very valuable tool in identifying risk
priorities. Other matters that are considered as ‘tools’ in the eyes of the interviewee are: a good
collaboration between internal and external audit, and interviews. Ultimately, the interviewee
mentioned that tools are only useful for risk management when used with the right mentality.
Function of risk reporting to the BoD:
The interviewee stressed the importance of compliance: it should actively help the organization in
building a more future-oriented process. He even admitted that without a compliance approach,
everything would be more reported at an ‘ad hoc basis’, instead of a more “high-level” reporting
process. He also briefly explained the difference between SOX and European regulation: SOX is more
strict and is written in an “ex post point of view”, while European regulation is softer, leaving room
for interpretations and a thorough thinking-process. This softer approach allowed Realdolmen to
actively think about the best approach to imposed regulations.
“Compliance is not the cornerstone of reporting to the board”. The most important risks are
estimated in function of the strategy, meaning that “functional” risks get more attention. Risk is
embedded in every meeting with the board, it doesn’t have a separate contribution, it is just present
during those meetings because members of the board should have proper insights into the current
44
status of organizational objectives and its correlated risks. “In any case, there has been talked about
risks…they ask a lot of ‘what-if’ questions”. Risk reporting is only a separate exercise for the AC
(during evaluation of reliability of financial statements).
Opportunities for improvement regarding internal risk reporting:
“The disadvantage of tools is that they ought to be used with intelligence”. “A tool doesn’t replace
mentality”. The risk culture of an organization is very important for setting the tone for proper use of
tools.
Company A
Company background:
This investment company is listed on Euronext Brussels stock exchange. It’s main specialty is
acquiring and managing a diversified portfolio of investments, and especially private equity
investments. The investment company prefers later-stage investments where financial resources are
delegated to non-public organizations in order to let them grow and develop their products or
services with the ultimate aim of achieving a successful return on investment when exiting. Giving
financial resources to their investment portfolio organizations is one thing. The company is also very
active in managing its portfolio: advice and knowledge is provided to make sure that financial
resources are used in the best way possible. This publicly traded investment company has
approximately 1.370.000 shares outstanding. The interview was conducted with the general manager
of this organization.
Formalized ERM framework & Establishment of risk appetite/tolerance:
This publicly listed investment company doesn’t have a formalized ERM framework, but this is mainly
the consequence of their line of business. Each investment carries different risks and as I quote the
interviewee: “Each investment has its own merits”. As this organization holds a diversified portfolio
of different investments, it’s quite hard to adhere to a pre-defined risk appetite statement because
each investment carries a different weight in the organization. The interviewee indicated that the
organizations gets a hold of risk by diversifying their portfolio. Investing in a more mature
organization consequently has less risk than investing in start-ups. A trade-off is made between risk
and reward in light of the organization’s current stance on risk-taking. Momentarily, they’re focusing
on sustaining their current portfolio by putting a stop to other investments. This indicates that their
main focus is currently on stabilizing the portfolio.
The lack of a formalized ERM process and a formally distributed risk appetite is somewhat surprising,
but given the organization’s circumstances it also indicates that risks are always different relating to
the investment.
45
Risk management approach:
The organization doesn’t have a central risk officer. Instead, everyone who has decision-rights
relating to particular investments can carry out their responsibilities within certain boundaries. The
rise of technology helps the functions that are held responsible for a particular investment to verify
or ‘double-check’ decisions, that could have a significant impact on the organization’s intrinsic value,
with its immediate peers that share knowledge of that investment. This interaction between these
different functions gives indications about the organization’s perception of risk. An open debate
about risks of certain projects with immediate peers shows a strong sense of risk awareness across
the entire organization.
First of all, the board must act as a controlling unit overseeing the organization’s operations. The
interviewee also mentioned that the possibility exists that a director from the board could decide to
co-manage a certain investment. Other parties that carry some kind of risk responsibility are the
external accountants, the external auditor, and the banking commission.
IFRS-specialists are responsible for making sure that the distributed financial statements adhere to
imposed requirements. The external auditor acts in the interest of external stakeholders, but has
also a more pro-active role regarding the exposure of risks. The appointed external auditor can give
advice to the organization regarding current procedures, but can also give some future-oriented
advice. The external auditor is also found to be vigilant regarding the exposure of fraudulent risks. In
this case, the interviewee mentioned that detecting fraud risks is very cumbersome for the
organization. Someone held responsible for a particular investment has always the urge to persuade
the board to accept his or her proposal, because there’s a possibility that he or she will make a
significant profit and thus act in his or her personal interest. So, the appointment of an external
auditor signals to the outside that due diligence is performed and recommendations are given.
The interviewee mentioned that those different people with sufficient knowledge about the firm
could interact with each other through the use of technology. This “checks and balances” procedure
indicates that the organization takes sufficient time to address issues that could have a long-term
impact on the “risk-financial” status of the organization.
Internal risk reporting:
Internal risk reporting in the organization is mainly centered around the organization’s biggest risk
factors. In its portfolio, the organization has more mature organizations, but it also has more risky
ventures like investments in start-ups. The interviewee indicated that risk reporting is a continuous
process used for making sure that changes in investments are highlighted in a timely manner.
46
The use of risk reporting tools:
When I asked the interviewee about the use of tools, he immediately said that this wasn’t the case in
his organization. Moreover, he stated that “risk reporting is integrated with the normal reporting”,
indicating that risks are automatically included during conversations about the organization’s
performance. He also mentioned that “one of the most important graphs is risk-reward”, indicating
that this important trade-off is of great importance for reporting on risks.
“Worst-case scenarios” are frequently used in the organization to simulate situations that could have
an adverse impact on the performance of the organization.
Function of risk reporting to the BoD:
The impact of regulatory requirements on the risk reporting process is great in this organization. The
interviewee frequently mentioned the burden of compliance with several examples.
The payment of external IFRS-specialists is mainly to comply with IFRS requirements. He mentioned
that these requirements are the main causes of a decreasing interaction with their investors. The
description of an impairment test and the interpretation of revenue recognition are things that can
cause confusion among stakeholders. Consequently, it’s often the case that these stakeholders stop
asking questions because they are feeling alienated with these technical concepts. They don’t want
to make a fool out of themselves by asking ‘the wrong’ questions.
The organization is also currently occupied with putting women in the board of directors. The
interviewee mentioned that this is also a requirement imposed by regulations. According to him, this
is a “non-issue” because this shouldn’t have an impact on the organization’s operations or
performance.
Being compliant is something that has to be done in order to avoid an explanation on why they
deviate from requirements. He made an example: an organization can write 15 to 20 pages about
how risk is managed but if there’s one paragraph that shows deviation, then there’s a sudden
overload of emphasis placed on that one paragraph.
Still, the investments in their portfolio are their main priority. “The effect it will have on the
organization’s intrinsic value plays an important role”, the interviewee said. When I asked him if the
organization also took a closer look at the portfolio as a whole, he mentioned that this is also very
important, since the organization tries to maintain its current portfolio without expanding its
investment base. Investments in start-ups or new ventures require greater attention during board
meetings, but an overall assessment or evaluation is made to get a clearer perspective on the
organization’s risk exposure. This is a continuous process in the organization.
47
Opportunities for improvement regarding internal risk reporting:
The interviewee showed some concern relating to the independence of external auditors. Nowadays,
organizations need to pay their external auditor with a fee. Consequently, if that external auditor
isn’t flexible in his task by being too strict, the organization will probably not extend his mandate.
The interviewee recommended that those external auditors were best selected through a governing
body. It would be best, according to him, to pay a fixed amount, in accordance with the nature and
complexity of the organization, to that governing body. That governing body should then eventually
be responsible for paying out those external auditors.
Company B
Company background:
This Belgian publicly listed organization positions itself as a leading network service provider and is
also very active in the area of electronic payment solutions. This organization specializes in numerous
activities relating to payment services: e-commerce, developing a payment transaction platform, and
everything concerning mobile payment terminals. This organization offers personalized and evolving
payment solutions to provide customers in every market segment with the best cost-efficient
payment solution. It has formed various partnerships with global players in the value chain of
electronic payment, and is considered a fast-growing profitable company.
The interview was conducted with the CEO of the organization.
Formalized ERM framework & Establishment of risk appetite/tolerance:
The interviewee mentioned that risk is a broad concept, and especially in the payment industry. Risks
that are encountered are quite diverse in this industry: security risks, risks in the field of machine
failure, risks in the field of network failure, fraud risks, and risks related to personnel. An inventory of
all those risks and an approval of those risks by external parties is very important in our business. The
interviewee also indicated that a permanent monitoring is present to check and assess if certain
things go south. “Certifications are very important in our line of business…Without certifications, you
can’t do business!” When I asked the interviewee if the organization had installed some kind of risk
philosophy that clearly defines the risk appetite/tolerances, he responded in a clear way by saying
that a risk philosophy is surely present because of its alignment with its industry.
Risk management approach:
The central risk officer is the COO or the Chief Operating Officer of the organization. This person is
ultimately responsible for everything that has to do with certifications. Since the interviewee
mentioned multiple times that certifications are of great importance, the COO’s job is to make sure
that the business runs as intended and is in alignment with the many imposed regulatory
48
requirements. “You can’t work with terminals unless they are certified”.
The COO works in close collaboration with external consultants that are expected to do penetration
tests on a continuous basis. A penetration test is a test where those consultants try to breach the
organization’s network or servers through hacking. It happens on a continuous basis because security
is really important in the organization. Those external consultants are ultimately required to detect
any weak links in the security network of the enterprise.
The head accountant can’t even perform a banking transaction without the approval of people on
different organizational levels. The interviewee indicated that ultimately three people are being held
accountable for the organizational risks: the CEO, COO, and CFO. Those organizational functions must
sign or give approval for transactions that could occur during operations, and are also responsible for
making reports to the BoD. Of course, the interviewee’s notions resemble a clear centralized
approach that is adopted to cope with risk-related matters throughout the organization. The
interviewee indicated that most of his employees, and certainly employees in IT, surf on ‘dark’
websites in their leisure time. People with bad intentions are certainly present on those websites and
fora, so that’s why the organization adopted a centralized approach: employees could be lured by
shady characters to expose vital information of the organization, and that is something that surely
must be avoided. That’s why the interviewee clearly stated that a top-to-down approach is evident to
ensure independency, and to promote efficiency.
Internal risk reporting:
The appointed external consultants interact on an ongoing basis with the management team, and
especially the COO, to report any breaches that have occurred during their assessment. The
interviewee also clearly indicated that you have to be very careful with information flow related to
risk. Some information is strictly confidential and only known by a certain number of people in the
organization. There’s always someone on a higher hierarchical level that must approve transactions,
indicating that the risk information flow is rather restricted in this organization. The CEO rather
indicated that the information flow with external bodies, like ‘penetration testers’, is more
important. The organization receives a monthly or quarterly report, and they are obliged to respond
within a reasonable time frame to any recommendations formulated by the external consultants. It’s
safe to say that risk communication is within the management team’s responsibility. On top of that,
they have a meeting every three months with the board of directors to evaluate and redefine the
internal risks.
49
The use of risk reporting tools:
When I asked the interviewee about the use of tools to report on risk-related matters, he indicated
that the audit committee and the auditor are ‘tools’ that are in place to monitor security mechanisms
in place to detect fraud. The auditor is charged with the responsibility to do a 6-monthly or annual
assessment of all the internal procedures adopted by the organization. If the auditor detects some
inconsistencies in those procedures, then it’s the auditor’s responsibility to report his findings
directly to the audit committee. The organization negotiates contracts under SLAs. Those service
level agreements are integrated in the contracts to promote trust in relationships with its suppliers.
The main objective of SLAs is to make sure that suppliers are being held responsible for their actions
and to ensure a good working relationship. The penetration tests are also a valuable tool in detecting
security risks. Disaster-recovery plans are important to deal with unexpected events that could occur.
The output of those plans is very dependable on the capacity of the organization. There’s an obvious
peek of payment transactions during Christmas holidays, so it is important to have enough capacity
to avoid breakdowns or shutdowns during those extremely busy times.
Function of risk reporting to the BoD:
The CEO made it perfectly clear that his organization is located in a “hyper-regulated environment”.
He also showed some pride by stating that his organization is momentarily the only one in Europe
that is fully compliant with official PCI security standards. He stated that his organization doesn’t wait
until due date to be compliant with regulation, indicating that compliance is of utmost importance.
The organization is required to be transparent about their figures to ensure that stakeholders have
sufficient information of the organization’s operations. “For a small business, we have to write more
than 180 pages in our annual report”. In spite of the great amount of regulatory requirements, the
interviewee made it clear that “you mustn’t fight it”. The need for certifications in this business is of
great importance because “if you have none, you can’t do business”. The organization is obliged to
respond in an appropriate amount of time to recommendations of its external consultants. If
external consultants manage to get a hold of important information during their continuous
assessment, then this must be put on the agenda of board meetings.
On top of that, the organization is currently having a conflict with UNIZO because it uses long-term
instead of short-term contracts. Although perfectly legal, such matters are of course reported during
a board meeting. Matters that carry too much detail, like a firewall with an ‘out-dated’ version that
has to be replaced by another one, are not reported because it’s too specific.
“Half of the board meetings have something to do with risk”. During conversations about figures and
revenue, its aligned risks are also integrated to make sure that risk is inherently present during board
50
meetings. They even have someone in the board that has an extensive knowledge of commercial law
so that legal advice can be given around capital increases and payment of dividends. The
organization has a lot of defense mechanisms to avoid mistakes: “As a publicly listed organization,
you can’t afford to make mistakes, otherwise you have to publish a press release”.
It seems that this organization has set out a dual function of risk reporting to the board of directors.
First of all, it’s integrated within performance: risks are always considered while discussing the
evolution of revenue or key figures in the annual reports. Secondly, compliance with imposed
regulatory requirements has also a strong presence in this particular organization.
Opportunities for improvement regarding internal risk reporting:
Due to the CEO’s education (he’s an engineer), more emphasis is placed on technological risks. The
CEO himself indicated that another CEO could change the spotlight to other risks relating to the
business, but this is of course very dependable on the policy that is set up by the CEO and his
management team.
If a business is heavily reliant on its suppliers, it’s also self-evident that a good communication with
them is of vital importance. Having the ability to respond timely and adequately to unexpected
events is also deemed very important by the interviewee, especially in his line of business.
Company C
Company background:
This organization is listed on Euronext Brussels and is a global market leader in fruits and vegetables,
flowers and plants, and growing media. This organization has more than 8000 employees operating
in about 25 countries worldwide. This company has a solid customer base: their customers belong to
the Top EU-retailers, which allows the group to achieve an annual turnover of around 4 billion euros.
This group belongs to the top 3 of fruit & vegetables on a global scale.
I managed to do an interview with the CEO of the company.
Formalized ERM framework & Establishment of risk appetite/tolerance:
The CEO of this organization indicated that an analysis of risk profiles is being conducted on a regular
basis. First of all, risks are identified. Secondly, the organization checks if there are options to manage
those identified risks. Still, the possibility exists that, although certain risks are identified, there aren’t
any options to respond to those certain risks. Since her organization is located in the fruit &
vegetables sector, it’s quite evident that bad summers are detrimental to the organization’s
operations. The impact of volatile exchange rates on financial results also has a considerable effect
on how the organization should manage those risks. “Being well-organized” is one thing that could
beneficially minimize those risks. She clearly indicated that there are two questions that needed to
51
be answered in order to come up with risk priorities: is it something that can be controlled and how
will it impact the business. “Risks that could severely impact our financial results, those risks need to
be prioritized”. She also stated that risk analysis is an “ongoing process”, meaning that it should
happen on a continuous basis.
“You always have to consider risks while executing activities”. When I asked the CEO if she had
installed some sort of risk philosophy, she immediately replied: “No, but we do check if risks impact
our ‘bottom-line’”. Safeguarding the REBITDA and assessing how identified risks will potentially
impact the bottom-line of the operations, are considered “key drivers” of the organization.
Risk management approach:
The CFO and the corporate finance director are the watchdogs of the organization’s processes. This
organization operates in a whole set of countries, so it has a lot of divisions scattered over the world.
Once processes and priorities are defined by the CFO and corporate finance director, then those
matters are rolled out throughout the entire organization. The CEO also indicated that the input of
those divisions is very important for the financial team during the establishment of processes and
setting of priorities. Policies and code of conduct must be followed by the divisions at all times to
control the daily operations and risk. With respect to ‘bigger risks’, divisions are expected to establish
an appropriate plan that first needs to be approved by the financial team. After a ‘green light’ has
been given by the CFO and the corporate finance director, divisions are expected to execute their
plans.
“In a sense, it’s a common exercise for the organization as a whole, but it’s safe to say that the
coordination and monitoring happens by the financial team”. While I asked her to give me some
suggestions for improvement regarding internal risk reporting, she stated that “currently, it’s more a
separate exercise executed by senior management”.
Internal risk reporting:
The senior management team is responsible for prioritizing risks and for setting up appropriate
action plans to deal with those prioritized risks. Consequently, they are expected to report their
biggest ‘risk factors’ on a regular basis to the audit committee. Moreover, the audit committee has
higher decision-power than the management team relating to the proposed prioritization of risks by
the senior management team. The chairman of the audit committee is ultimately responsible for
reporting to the board of directors. The CEO also stressed the importance of internal audit in her
organization. Internal auditors are not only useful for evaluating the processes adopted by the
organization, but also for helping management with risks that they aren’t sure of. She indicated that
the role of internal audit knew a strong evolution in their organization.
52
“Risk-related matters come to light in alignment with performance reporting”. The communication
between the divisions and the central risk function is centered around finding sufficient financial
resources to successfully execute “action plans”.
The use of risk reporting tools:
The CEO indicated that the organization didn’t make use of tools to report on risk-related matters.
She made it clear that there wasn’t any specific reporting form for this type of risk communication.
It’s integrated within the normal reporting.
Function of risk reporting to the BoD:
When I asked the interviewee about the impact of compliance, she immediately made it clear that
“it’s a minimum to be compliant”. Compliance with regulation is critical, but is not a top priority since
it’s considered as “basic minimum to be compliant”. The focus of risk reporting to the board is to
provide them with the main organization’s risk areas, since it’s very critical that they receive this
information to perform their duties (“including risk management”) well. On top of that, the CEO of
this organization indicated another contribution of risk reporting to the board: “it helps to get more
pro-active insights”, and it should be able to support a more performant organization. It serves the
purpose to avoid harsh questions like: “If I just had done that…then”. Moreover, she stated that “it’s
more reported on a project basis, it’s not that we have a separate scorecard”.
Opportunities for improvement regarding internal risk reporting:
The interviewee mentioned the possibility that a lack of attention could occur relating to internal risk
reporting. Setting up a risk management process demands a lot of effort and time, and “the
possibility exists that it is being postponed”. According to her, it remains really important to keep it
on the agenda. “We should make it a more structural exercise and integrate it with several
discussions, like budget meetings and business reviews”.
Company D
Company background:
The CEO, who I interviewed, made it clear that he would rather stay anonymous so the following
description will be short and to the point. This Belgian publicly listed organization is an important
player in personalized photo products in Europe. This organization operates in more than 10
countries in Europe and focuses not only on B2C, but also on B2B. Providing affordable high-quality
photo products to its customer base is their main business. The interviewee indicated the rapidly
changing environment where the organization operates in: the rise of e-commerce and other
developments demand a lot of flexibility.
53
Formalized ERM framework & Establishment of risk appetite/tolerance:
When I asked the CEO of this organization if he had implemented a formalized process to manage
risks, he immediately started talking about the relevance of the audit committee: the organization
has processes to identify risks in the context of the audit committee. He also stated that the
organization has appointed an internal auditor who needs to report to the audit committee.
When I asked the interviewee about the installment of a risk philosophy in line with the achievement
of strategic objectives, he replied that the organization didn’t look at things that way. Instead, they
use a “bottom-up approach” where all the departments in the organization are obliged to perform a
risk-analysis of their daily operations. The main focus of this approach is to achieve some sort of risk
ranking: probability of occurrence and its potential impact are multiplied in order to gain some
insights into the prioritization of exposed risks. This “exercise” is being executed every two years.
Risk management approach:
The internal auditor holds the central risk function in this organization. Managing risks, quality and
human resources are all responsibilities delegated to the team managers: “It’s all integral in their
job”. Newly introduced projects are taken on by a team, and “the element of risk” is certainly
integrated during team discussions. “Our organization doesn’t have a lot of ‘layers’”. He even
indicated that, since they have a small number of employees (around 250), the lack of structure isn’t
a problem because most of his employees see each other on a regular basis during coffee breaks.
When I probed the interviewee to tell me more about the organizational approach to cope with risks,
he said that “there’s a mix”. A mixture is adopted to deal with the different risks: safety and IT risks
are being tackled in a more centralized way. “People try to hack us on a weekly basis, if we don’t do
this in a centralized way, then eventually some breaches will occur”. Financial risks are being
managed in a decentralized way.
Ultimately, the CEO stated the following: “We are organized in a compact manner and because of
this we use, concerning risks, a more central approach”. The turbulence of the environment the
organization is located in plays an important role during this trade-off: “Since we have to be very
flexible, you may be inclined to say that we should manage it in a more decentralized way...but since
we have to act fast in some circumstances, I think that it’s better to control it in a more centralized
way”. He also indicated that bigger organizations, with less turbulence, could be managed in a more
decentralized way concerning risks. “The context variables where the organization operates in have
an important influence on how risks are being managed”. Moreover, he stated the following:
“central-decentral isn’t a black-and-white picture”, indicating the relevance of contextual factors and
the dependency of those different approaches on the specific identified risks.
54
Internal risk reporting:
During the launch of new projects, a team is supposed to include risk elements in its team
discussions. The internal auditor is supposed to work in team with team managers to eventually
report her findings to the audit committee. It’s important that the internal auditor makes sure that
processes are evaluated on a continuous basis. Ultimately the audit committee reports to the board
of directors. Sometimes, the CFO participates in board meetings to shed some light on the presence
of “fraud risks” that could occur during the purchase of e.g. a new payment system.
Internal risk reporting isn’t something that happens on an ‘ad hoc’ basis, moreover it’s included in
team discussions and is an integral contributor to the continuity of the organization.
The use of risk reporting tools:
The organization doesn’t use tools to report on risk-related matters, but they do make an overview
of all risk exposures using an ‘Excel’ sheet. That ‘Excel’ sheet serves the purpose to indicate
probability of occurrence and the potential impact of identified risks.
Function of risk reporting to the BoD:
Compliancy with regulatory requirements is an element that is certainly present during board
meetings. The introduction of the ‘GDPR code’ will certainly have an impact on the analyses of cyber-
security: those analyses will be performed in a more profound way.
Risks that could have an impact on the financial results are prioritized during board meetings. The
risks that could impact the continuity and financial aspects of the organization are being put on the
agenda. Risk reporting to the BoD is integrated into ‘the bigger picture’: “it isn’t a specific
contribution and it isn’t considered as a burden”. The CEO indicated the importance of looking ahead,
instead of focusing on what is happening today. This indicates that the organization perceives risk
reporting as a contributor to look at the continuity of the organization in a more pro-active way. “All
the important aspects are taken into consideration”.
Opportunities for improvement regarding internal risk reporting:
“We try to do better, so there’s certainly space to grow”. Perfection isn’t possible and he relies on his
team to indicate areas where there’s still room for improvement.
Company E
Company background:
This is the only bank in my sample. The Belgian bank is a subsidiary of a French organization listed on
Euronext Paris. This large bank in Belgium supports more than 3.5 million customers by providing
55
financial services. Private individuals, families, wealthy individuals, and entrepreneurs are all
customers of this bank that tries to provide tailor-made solutions to their customers’ needs.
The interviewee was a compliance officer who has a broad knowledge of risk management in the
bank. His connections with the management team made sure that he was the right individual to
interview. Moreover, he has more than 10 years of experience in this particular bank, and was thus
the right person to help me. On top of that, besides his main job at the bank, he also fills the seat of
chairman at a local hospital.
Formalized ERM framework & Establishment of risk appetite/tolerance:
The interviewee said the following: “For a bank, risks are extremely important, more important than
in regular organizations”. This clearly states that the broad concept of risk is highly prioritized in this
bank. The bank is active in more than 75 countries and each country has a “head of territory” that
prioritizes risks nowadays. Ten years ago this wouldn’t have been the case. Back then those heads of
territory were required to make business proposals relating to their strategy and/or make business
acquisitions, but nowadays their prioritization has shifted to risk.
The bank has 5 broad categories of risk (asset-liability management, credit risks, compliance risks,
operational risks and legal risks) that are being managed and controlled in a separate way.
The organization clearly has a top-down process that defines what risks should or shouldn’t be taken.
“It’s very important for a bank to determine which risks will be taken or not”. The risk appetite is
defined at the top of the organization and ends with the people on the lowest organizational levels.
It’s clearly a strategic choice in this company: defining the risk appetite clearly segregates them from
other banks. The bank is quite ‘conservative’ when it comes to compliance risks: transactions with
countries like Iran are excluded from their operations because the possibility exists that they
implicitly could finance terrorist activities. This strategic choice is translated in operational guidelines:
on an operational level you can’t close a documentary credit with Iran because it’s declared in the
risk appetite.
Risk management approach:
The interviewee clearly indicated that there wasn’t a central risk officer as such. The risk concept is
embedded in the entire organization, from the smallest to the biggest entities. Each entity has its
own committee where its relevant risks are being handled. Identified minor risks stay in the entity
where they were located, but the bigger major risks are being “escalated” to a higher organizational
level. Eventually, at the end of the escalation exercise, it may be possible that major identified risks in
even the smallest entity are still on the agenda. This organizational structure allows for a distillation
of top risks that the organization is facing. Local management of particular entities is certainly
56
allowed to perform risk management, but the organization also finds it very important to install
controlling bodies. First of all, the entities themselves have to be responsible for their operations.
Secondly, legal and compliance departments must perform a second line of control. The last line of
control in the organization is the internal auditor. Moreover, the interviewee indicated that external
controlling bodies are also present: the ECB is, according to the interviewee, the biggest regulator.
Risk management is a company-wide process: minor risks stay in local management, but major risks
are more centralized.
Internal risk reporting:
As already mentioned above, the organization is centered around managing risks in a structured way.
The escalation of major risks makes sure that a distillation of top risks is eventually provided. Internal
risk reporting is installed in a very structured way: each entity (from small to big) must use the same
templates for presentations which ultimately should promote better comparisons among entities.
The conclusions of the risk exercise are reported by two people of the entity’s committee to the
higher entity’s committee. Those two people also have a seat on that higher echelon committee,
which ultimately should serve the purpose of communicating their findings in a proper way.
The use of risk reporting tools:
The organization uses a heat map to capture all risk areas of the entire group. The aggregation of all
organizational risks is displayed in one page. This gives rise to “grey areas”. The major disadvantage
of the consolidation of organizational risks is that it could ‘blur’ some ‘red areas’. An example: the
consolidation of risks impacting one risk category could eventually lead to a ‘yellow color’. A mix of
green, orange or red areas could eventually lead to a consolidated ‘yellow color’, which may neglect
important risk areas in the entire organization.
Function of risk reporting to the BoD:
Compliance risks are considered very important in this organization. Ten years ago, this wasn’t the
case. The interviewee indicated that when a loss is seen in a particular area, then there’s always a
tendency to shift the focus of attention to that area. Nowadays, compliancy is one of the biggest
factors in the organization. “The facts tell you where you need to invest”.
“I can’t testify about the reporting process to the BoD, but I’m quite sure that risks are prioritized”.
Management committees first talk about risks and secondly, they talk about commercial strategies.
The interviewee also indicated that the board should be seen as the highest management team,
meaning that the board also focuses its attention on risks, like the management committees do. This
emphasizes the focus on risks in this organization.
Given the interviewee’s notions on how the emphasis has shifted to compliance risks and on how
57
organizations shift their emphasis as a consequence of losses in a particular area, this clearly
indicates that compliancy has become a major topic on the agenda. The financial crisis and the loss of
investor confidence may be factors that have changed the organization’s attention to this particular
type of risk.
Opportunities for improvement regarding internal risk reporting:
The interviewee indicated that the increased attention regarding risks could lead to a bureaucracy.
People in this organization must constantly “tick-the-box” by making sure that their daily tasks are
performed accordingly. The administrative burden (e.g. “lists of risks that need to be executed in a
day”) in a bureaucracy could overshadow more future-oriented risk management. “For a moment,
you should set all those rules aside, and take a closer look at the risks that could impact the company
in the next five years”.
Company F
Company background:
This global technology leader is listed on Euronext Brussels. It’s active in more than 90 countries
worldwide with more than 3,500 employees. It’s mainly active in three sectors: entertainment,
enterprise and healthcare. This organization develops networked visualization solutions for all these
sectors. Their solutions provide their customers with a visually beautiful entertainment experience,
or hospitals with state-of-the-art visualization tools that could enhance the doctors’ jobs during e.g.
surgery. At the enterprise level, the organization tries to make sure that meeting or control rooms
have everything in place to visually represent the data that needs to be discussed.
I managed to get an interview with the internal auditor of this organization.
Formalized ERM framework & Establishment of risk appetite/tolerance:
The yearly risk assessment and compliance-gap analysis is considered to be the most important
exercise of the year in terms of risk management. This company-wide exercise gathers information
from all the local entities and the Core Leadership Team (CLT) by interviews and surveys. The internal
auditor and the risk & compliance manager of the whole group are expected to create a list of major
risks the organization is facing. The CLT is ultimately responsible for giving scores to the identified
risks, with the purpose of creating a top 10 of organizational risks. At the end of this exercise, a
graphical display is made to describe the inherent and residual risk. Ultimately, the CLT is expected to
give appropriate responses to those top 10 risks.
When I asked the interviewee about the installment of a risk appetite, he stated the following:
“That’s my own sales-talk because it’s in my line of business”. On top of that, he admitted that risk
appetite wasn’t a cultural thing in the organization, but he did say that they are working on
58
integrating risk appetite into their organizational culture. The yearly compliance quiz also makes sure
that the organization is aware of risks lying around the corner.
Risk management approach:
The internal auditor and the risk & compliance officer are the developers of the yearly risk
assessment compliance-gap analysis. They are central in the organization when it comes to
consolidating the data gathered from interviews. The organization has more than 60 local entities
with their own risk & compliance manager and has three divisions around the globe, which are led by
a division president. There’s always feedback to those presidents. The output of the yearly exercise
determines to which aspects of the organization those presidents must pay attention: there’s always
feedback concerning the output of the yearly risk assessment exercise.
Although input is used from all local risk & compliance managers during the yearly exercise, it’s still
the CLT that determines the top 10 risks. It may be the case that a local entity or division faces some
risks, but that those risks aren’t in the top 10 of the organization. Feedback mechanisms to local risk
& compliance managers or division presidents are more of a ‘one-way-street’: they’re expected to
set up appropriate plans to cope with the top 10 organizational risks.
When I asked the internal auditor of this organization to indicate which approach the organization
had adopted, he replied: “I would say it’s a centralized structure…we want to give more ownership to
local risk & compliance managers, but there’s still a long way to go”. “Everyone is busy with risk and
compliance at their organizational level, but the reporting structure is still more centralized”. The
reporting structure is more centralized because the management team and all other important
personnel are located in one building in Belgium.
Internal risk reporting:
Risk reporting is centralized in this organization: the CLT, risk & compliance manager and the internal
auditor are all located in the same building. Input from local entities and division presidents is used
to come up with a distillation of significant organizational risks. The internal auditor and the risk &
compliance manager work together in close collaboration to consolidate the input of interviews with
members of the organization. The output of the yearly exercise goes to the AC. The AC requires that
the CLT must find appropriate action plans to cope with the organization’s top 10 risks. The general
counsel of this organization works in close collaboration with the AC. The general counsel is expected
to interact with the AC concerning the risk-related matters that are noticed by the risk & compliance
manager. The AC interacts with different kinds of people: depending on the problem, they have the
right to invite whoever they want to a meeting to discuss specific things, e.g. when the inventory is
too high, the AC will probably invite someone of the working capital team to elaborate on the
matters at hand. The organization has adopted some specific risk reporting channels to ameliorate
59
the top-down and bottom-up information flow. Moreover, those reporting channels aren’t that
formalized: everyone knows with whom they should talk and the internal auditor even indicated that
he’s working on his visibility in the company: “I try to make sure that everyone knows who I am so
that they can contact me when necessary”.
The use of risk reporting tools:
The organization uses graphical displays to indicate its inherent risk and residual risk, after the yearly
exercise has been executed. This qualitative graphical display is quantified in order to come up with
some scores relating to the impact and likelihood of identified risks. The organization identified 3
distinct categories relating to the impact a risk can have: impact on EBITDA, impact on reputation,
and impact on stakeholders.
Function of risk reporting to the BoD:
“Compliance is something that really got attention in this organization”. This is mainly the
consequence of the appointment of the new CEO. The BoD has delegated the risk oversight
responsibility to the AC. The AC is the highest organizational body when it comes to risk management
or oversight. If risk is on the agenda, then it’s always a separate topic. Risk reporting to the AC is
mainly centered around the figures of the organization. The first part of the meeting covers the
figures, “everything that comes after this discussion should be seen as a reflection of those figures”. If
risks are being discussed, then those risks should be aligned with matters that turn up during the
discussion of the yearly figures and results.
Opportunities for improvement regarding internal risk reporting:
“We have to do risk exercises to make sure that everything is on the radar and that we make the right
calls”. “If we have to do better, then we must do it for ourselves, not for the outside”.
6.2. Cross-site analysis
The cross-site analysis was an interesting part of my master’s dissertation as it allowed me to
determine how risk was managed or reported within different organizations in different industries.
The eight interviews that I conducted were with organizations located in different industries, so a
cross-site analysis allowed me to find similarities and/or differences between those organizations.
The fact that I included a bank and a privately owned company in my sample also gave me the
opportunity to notice any differences in risk management practices between Belgian publicly listed
organizations and a Belgian private company and a bank. By summarizing my findings of the whole
60
set of organizations per topic, I could get a much clearer view on how organizations are
perceiving/managing/reporting risks. The case/topic matrix was really helpful in this analysis because
it allowed me to compare each organization in the scope of my investigation.
Formalized ERM framework
The interviewee of organization A indicated that there weren’t any formal procedures or written-
down rules to manage risks. Although publicly listed, the interviewee of organization A was the only
one who didn’t start to elaborate on his risk management process. He indicated that this was mainly
the consequence of the business they are operating in: managing a diversified portfolio of
investments. This line of business requires flexibility and a different approach per investment. The
established rules in this organization are mainly driven by corporate governance, but there aren’t any
formalized processes in place to capture the risks inherent in the investments.
Formalized risk management processes were certainly present in all the other organizations. The use
and application of those processes varied in some cases.
The CEO of organization B described this process as useful for a permanent monitoring of risks that
could hurt his business. Being active in the payment industry, this organization must closely monitor
and make an inventory of risks to ensure that the continuity of this organization isn’t jeopardized.
The need to be ‘certified’ in this organization is mainly the result of external parties that are keeping
a watchful eye on the organization’s operations and risks. The compliance officer of the only bank
(company E) that I had interviewed stressed that risks get a higher priority than achieving commercial
strategies. This bank uses different processes to independently manage its five categories of risk.
Determining the impact and likelihood of occurrence are important factors that came to the surface
in most of the organizations. The majority of the organizations clearly indicated the importance of
assessing impact and likelihood to get insights into the most critical risks the organization is exposed
to. The usefulness of this part of the risk management process was acknowledged by most of the
organizations since it allowed them to set risk priorities. These findings complement the findings of
Purdy (2010): the risk assessment phase was clearly present in all the organizations to make sure that
risks were properly identified, assessed for impact and likelihood, and eventually evaluated.
The CEO of Eandis, a non-publicly listed organization, indicated another advantage of the risk
management process implemented by the organization. The risk management process in this
organization is set up in alignment with its strategy. The risk management process in Eandis is clearly
established with the purpose of being aware of potential risks that may impact the achievement of
strategic objectives.
61
Most of the organizations use a risk management process to assess the most critical risks in the
organization. According to me, this acknowledges the fact that organizations are putting risk
management to the agenda in a more structured way. This process allows them to keep track of their
exposed risks and to react in an appropriate way to those identified risks. The increased attention
that has been given to the formalization of risk management processes may be due to the influence
of the audit committees. Multiple organizations like C & D mentioned that their risk management
process was set out in the context of the audit committee. This indicates the importance of the audit
committee’s responsibilities in publicly listed organizations and the increased attention that has been
given to this organizational body (e.g. The Belgian Code on Corporate Governance, 2009). This was
also reflected in the companies’ annual reports or corporate governance charters: the audit
committee has a large responsibility relating to internal control and risk management. Several
studies argued that the emphasis of ACs was primarily on financial reporting issues, while neglecting
the other organizational risks that could impact the companies’ operations (Sarens & De Beelde,
2006; Deloitte & Touche, 2014). The CEO of company C even said that risks with the biggest impact
on financial results were prioritized. This raises the question of how these companies are perceiving
risk management. Is it something that needs to be done in order to safeguard the financial figures, or
is it a process that can help organizations to determine the risks that could impact the continuity of
the organizations?
Establishment of risk appetite/risk tolerance
Organization F stated in its latest annual report that risks were prioritized using impact and likelihood
scales and that those scales were based on “the acceptable level of risk exposure that is determined
by the BoD”. This statement is in line with the definition of ‘risk appetite’ by Ittner & Oyon (2014).
During the interview with this organization, the internal auditor admitted that this statement in the
annual reports was more of a ‘sales-talk’. This clearly confirms Boghdadi’s (2015) research: this
author stated that the installment of a risk appetite statement could give assurance to external
stakeholders that risks are always considered in the organization. Risk isn’t a cultural thing in this
organization, but there seems to be a dramatic shift lurking around the corner: the CEO wants to
make his organization a more risk-minded one. This confirms the importance of top management
involvement in enterprise risk management (Brodeur, Buehler, Patsalos-Fox, & Pergler, 2010).
If you think about it: a risk appetite statement is pro-active because it defines an acceptable level of
risk exposure as a tool that can be used by employees or management to think about risk-related
decisions (AIRMIC, Alarm, & IRM, 2010; Ittner & Oyon, 2014). Company E indicated the importance of
a top-down communication of the risk appetite statement. This top-down communication must
62
ensure that people on every organizational level are aware of what is tolerated or not. This confirms
the findings of Fraser & Simkins (2007) regarding the usefulness of establishing risk tolerances. The
interviewee of this bank also indicated that a risk appetite is very important to distinguish itself from
other banks, making the installment of a risk appetite a strategic choice.
The secretary-general of Realdolmen installed a risk appetite to ensure that everyone in the
organization knows about risks that could arise during their daily operations. The risk appetite in this
company is established in close collaboration with the use of a heat map. The classification of risks in
colors (green-yellow-orange-red) are helpful in defining acceptable levels of risk-taking in the
organization: green is tolerated and red absolutely not. This classification of tolerable versus non-
tolerable risks is also displayed on a company portal, so that everyone in the company can have
immediate access to this information.
The use of technology and the installment of a ‘risk portal’ is something that can really help to create
a risk aware culture.
Other companies (C & D) had no risk appetite statement or risk philosophy in their organization.
Instead of a top-down communication, company D performs every 2 years a bottom-up analysis of all
potential risks that could reside in all the departments of this organization. That analysis should
ultimately lead to a prioritization of organizational risks. This is more backward-looking because the
acceptable level and amount of risk isn’t defined upfront. Company C also doesn’t have a risk
appetite, they rather take a closer look on how risks can impact their ‘bottom-line’ or REBITDA.
The pro-active approach of a risk appetite statement is also lacking in company A. The interviewee of
this company stated that, due to the specific company activities, the installment of a risk appetite
would have negative consequences. Every investment in this private equity company has its own
characteristics with its own correlated risks, so the definition of a risk appetite would be
unnecessary. The current stance on risk-taking in this private equity company varies as a result of
different external factors. This continuous shift in risk-taking is in contradiction with a decision to
implement a pre-defined risk appetite statement.
Not a single company in my sample has indicated the installment of a risk appetite in its annual
report. However, some companies have implemented a risk appetite model in order to increase risk
awareness in their organizations. This pro-active approach to risk management makes sure that risk-
taking behavior is limited to pre-defined levels within these organizations (Ittner & Oyon, 2014).
63
Risk management approach
A central risk function is assigned in all the companies, except for companies A and E. There’s great
deviation in who organizations choose to fulfill the central risk function role: management is
frequently being held responsible as ‘the central risk function’, but companies D & F indicated that
the internal auditor holds the central risk function.
The delegation of risk ownership throughout the organization is noticed in several companies.
Companies like Eandis, Realdolmen and Company E have installed a formalized controlling structure
to manage risks. These companies share the opinion that everyone, within their line of responsibility,
must be held accountable for risks that could occur while executing daily activities (Kinman, 2012).
However, although these companies indicated the benefits of delegating risk ownership, they also
stressed the importance of having some lines of defense in their organization. The benefits of these
‘lines of defense’ in organizations were already noticed by the IIA (2013 (b)). They released a position
paper that clearly stated the usefulness of implementing a three lines of defense model to effectively
manage risks in organizations. Eandis, Realdolmen and company E have made sure that everyone in
the organization bears some risk responsibilities. The role of their lines of defense is to implement a
risk aware culture within their organizations. The clear risk architecture (AIRMIC, Alarm, & IRM,
2010) in these companies enforces a risk-minded culture and the delegation of risk ownership down
to business units makes sure that risk is an integral part of everyone’s job.
The lines of defense vary in these companies. In Eandis and company E, the internal auditor is
considered to be the last line of defense, while this isn’t the case in Realdolmen. In Realdolmen and
company E, the legal and compliance department is included in their lines of defense model, which is
different from Eandis. This confirms the paper of IIA (2013) saying that all these lines of defense
should be implemented in a manner that suits the complexity or size of the organizations.
Company C, active as a global player in the food sector, has a lot of divisions. This company installed
a “matrix of authority” as a structure to cope with risks. Divisions and entities may manage risks that
occur in their daily operations, but when ‘bigger risks’ arise, they must develop a plan to manage
those ‘bigger risks’. An approval of the financial team is necessary before they can execute their plan.
The input of divisions is not only deemed important in company C, but also in company F. In company
F divisions are expected to provide input, but the prioritization of risks is being done by the
management team. The output of management’s assessment of company-wide risks is distributed to
the divisions. This difference between company C and F is quite subtle: company C’s divisions identify
risks and develop plans to manage those risks, while company F’s divisions also provide input about
their risks but the development of action plans to respond to those risks is the responsibility of the
management team.
64
The risk management approach of company E, the bank in my sample, is based on the
communication between the different committees of all entities. Risks are being prioritized in all
banks, according to the interviewee. An escalation of risk information is found in this company.
Entities in the organization have the responsibility to manage the ‘minor risks’, but ‘major risks’ are
being escalated to a higher committee. This continuous process provides the highest organizational
level with a distillation of all the major risks identified in the company.
The risk management approach in company D isn’t that straightforward. In this rather small
company, team managers are responsible for risk in their line of business. A formalized, pre-
determined structure isn’t suitable for this company. The CEO indicated that his organization isn’t
characterized by a lot of organizational ‘layers’, leaving room for discussion in the company’s
headquarters during e.g. coffee breaks. The management of certain types of risks is delegated to
business units (e.g. financial risks or security-on-site), but IT and cyber-security risks are being
managed in a more centralized way in order to create a flexible organization in a turbulent
environment. This finding in company D confirms the study by Heiligtag, Schlosser, & Stegemann
(2014). The authors stated that a trade-off has to be made between a decentralized and a centralized
approach according to the different types of risks.
Companies A & B are heavily reliant on external parties when it comes to managing risks. In company
A, IFRS specialists are hired to cope with requirements regarding their financial statements. Company
B interacts on a continuous basis with external consultants in order to prevent breaches in its
network servers. The inclusion of these external parties is very important to contain or prevent risks
in these companies.
Company B uses a top-down approach to manage risks. Every transaction that occurs during daily
operations needs to be signed off by three different people (CEO, CFO and COO). This centralized
approach is considered a necessity for managing risks in this company: employees are active on
‘dark’ websites where hackers are also active so the less they know or manage, the better are the
security mechanisms in place to prevent risk from materializing.
There seems to be a great variation in risk management approaches. Determining the most
appropriate approach to address risk management depends on a lot of factors. The types of risk and
the context of the organization’s operations seem to be two important factors when deciding what
approach to implement. Some organizations have delegated risk ownership down to the lowest
echelons, others keep risk-related matters at the top. Company B proved that trust in employees and
the burden of being compliant or certified demands a clear centralized approach where risks are only
managed by a handful of people. Companies like Eandis and Realdolmen believe that everyone
should carry some risk responsibilities while executing their job. Risk ownership is much broader in
65
these organizations when compared with company B. The secretary-general of Realdolmen
mentioned that the delegation of risk ownership was a natural consequence of employing more than
1.200 employees and having more than 1.000 contracts a year. In Realdolmen, the lines of defense
are considered to be a valuable tool for managing risks and delegating risk ownership. This implies
that a formalized risk management approach, like the ‘lines of defense model’ that was adopted by 3
large organizations2 in my sample, can be suitable for organizations with a substantial amount of
employees.
Impact of regulatory requirements on risk management
Eandis and companies A & E admitted that regulatory requirements have an impact on how they look
at risks. In Eandis, although not publicly listed, the influence of compliance within the energy sector is
great and can sometimes be a little overwhelming. Consequently, this company pays close attention
to compliancy. In company A, the imposed regulatory requirements are sometimes perceived as an
extra burden on its shoulders. This company demonstrated a somewhat negative attitude towards
the imposed regulatory requirements because of the decreasing interaction with its stakeholders.
The elaborate information that it needs to provide in its annual reports is sometimes too
overwhelming for its stakeholders, which explains why stakeholders have stopped asking questions
to this company. The interviewee of company E indicated the presence of a growing bureaucracy as a
consequence of the administrative burden that was placed on the employees. The increased external
focus on banks regarding their risk management has been the cause of ‘box-ticking’ exercises,
according to the interviewee. The backward-looking effect of ‘box-ticking’ exercises pushes away the
more future-oriented aspects of ERM in this bank. The interviewee’s statements about the impact of
regulatory requirements confirm Fraser & Simkins’ (2007) statements about the backward-looking
effect of compliancy. Altering compliance efforts into value-added services is an opportunity for
improvement, according to the interviewee of this company and Epstein & Rejc (2006).
The secretary-general of Realdolmen had a more positive attitude towards the impact of regulatory
requirements: according to him it is an incentive for organizations to report in a more holistic way
instead of reporting risks in an ‘ad hoc’ manner. He also mentioned the difference between American
and European regulation and stated that European regulation is more forward-looking than the very
strict SOX regulations. The European ‘comply or explain’ method leaves room for interpretation and
allows organizations to think in a more future-oriented way, according to the secretary-general of
Realdolmen. His positive attitude towards European regulatory requirements implies that
compliance efforts aren’t always backward-looking and that those efforts can even be an incentive
for organizations to report risks in a more systematic or holistic way. This may be the consequence of
2 Eandis, Realdolmen and Company E have more than 1.000 full-time equivalents.
66
the softer European approach: it’s based on principles rather than a rules-based approach
(Porbunderwalla, 2007).
In company B, it’s actually ‘comply or die’. The CEO of this company stated the absolute necessity of
being certified in his line of business because, otherwise, the company wouldn’t be in business.
Moreover, being compliant is something that they are used to: he was even proud to say that his
company is momentarily the only one in the European payment sector to be ‘full-compliant’.
Company C thinks that being compliant is just a minimum. Having the right policies and code of
conduct is being considered as an essential precursor to being compliant in this company.
In company F, serious attention has been paid to compliancy lately due to the influence of the newly
assigned CEO. Yearly compliance quizzes are installed in this company to make sure that
departments or divisions are being updated about compliancy in their business. The department with
the most correct answers wins a price. In this way, the company tries to be more compliance-
minded.
The 25th of May, 2018 will be the due date for European companies to fully comply with the ‘General
Data Protection Rule’, or abbreviated GDPR (EU GDPR, 2017). Companies D, E & F stated that the
introduction of this regulation will have a serious impact on how organizations will look at data and
cyber-security risks. Risk analyses in that area of the business will be executed in a more profound
way.
The impact of regulatory requirements on risk management is quite diverse. Smaller companies like
company A indicated the hardships that could arise while complying with applicable laws and
regulation. Other companies like D, E & F indicated the impact it could have on the emphasis being
placed on particular risks. With the GDPR lying around the corner, more emphasis is placed on IT-
security and protection of customers’ privacy data. In company B, the impact is so big that it could
endanger the continuity of the business. The bank in my sample, company E, experiences a growing
bureaucracy as a consequence of the well-defined processes and procedures that it has to use in
daily operations. As a consequence of the financial crisis, banks are being heavily regulated with the
ultimate purpose of restoring investors’ confidence (Härle, et al., 2010). Banks have been increasingly
in the spotlights in recent years, which has put this bank in a ‘compliance trap’ where risks that could
hurt the continuity of the business are often neglected because of the overflow of regulatory
requirements.
On the other hand, Realdolmen appreciated the impact of compliancy with regulatory requirements:
this organization believes that European regulation permits to look at risks in a more future-oriented
way.
67
Internal risk reporting
The CEO of company D stated that internal risk reporting isn’t formalized. The element of risk is
always included in team assignments or projects and is inherently integrated in daily operations. The
rather small number of employees (around 250) and the fact that everyone knows each other are
considered as reasons for this informal approach. In company A, risk communication is always
present due to the risk-language of its operations. Being a private equity company requires taking
risks into account on a continuous basis. Risk communication is also present during the preparation
of public reports.
Eandis, Realdolmen and company F perform an annual risk exercise as a part of their formalized risk
management process. The amount of risk responsibilities within these organizations requires a
formalized internal risk reporting structure where everyone in the organization knows what their
tasks are and to whom they should report. The main purpose of the annual risk exercises and the
related internal risk reporting is to define the organization’s top risk exposures and to come up with
suitable countermeasures.
A mix of bottom-up and top-down approaches was identified in the interviewed companies.
The CEO of company B indicated the lack of information flow regarding risk-related matters.
Employees of this company are considered to be very important factors but also the most dangerous
ones: as a consequence of employees’ presence on ‘dark’ websites, the information flow is heavily
restricted. Only three people know and control risk in this company. Keeping risk communication at
the top of the organization is central to the continuity of its operations. The lack of internal risk
reporting is replaced by a strong and continuous communication with external consultants.
The interviewee of company E indicated that committees of every entity are responsible for making a
distillation of ‘major’ risks. Every committee on every organizational level has two members that also
have a seat on a committee at a higher organizational level. By this means, this company tries to
provide bottom-up information all the way to the top. This kind of risk reporting ensures that the
highest level in the company has a summary of the greatest risks in all of its entities.
The other organizations in my sample use a mix of both approaches to communicate on risks. Global
players like companies C & F have a lot of divisions in multiple countries that must provide input to
the top management team. That management team must consolidate all that information.
Consequently, the management team has to provide feedback to the divisions concerning their
assessment of the received information.
It became clear that, in most of the companies, the management team reports to the audit
committee so that it can perform its oversight duties with great care. Company A was the only one
68
that didn’t mention the existence of an audit committee. The annual report of this company states
that the tasks of the audit committee are included in the board’s responsibilities.
The use of risk reporting tools:
Four out of eight companies use a heat map to graphically display the company’s exposure to risks
and to report risk information in an understandable way. The interviewees’ description of those heat
maps perfectly relates to Shenkir & Walker’s (2007) description of a risk map/heat map. Impact and
probability of occurrence are assessed in order to come up with a categorization of risks in colors. A
green color, for instance, doesn’t require a lot of attention and is quite tolerable. Yellow colors
require a little bit more attention and red colors are risks that require immediate attention and
should be prioritized. This was the most frequently used risk reporting tool in my sample and it’s
actually no surprise since Shenkir & Walker (2007) stated that many organizations use this tool.
The secretary-general of Realdolmen indicated that the use of a risk heat map helped him to set up
his risk appetite model. The colors in the heat map were used as indicators during the set-up of the
risk appetite model in the company. The colors green-yellow-orange-red are used as indicators for
employees to make sure that they know what level of risk-taking is tolerated during the execution of
their daily operations. Realdolmen also uses a bubble chart as a separate tool to keep track of
projects that require more attention. The interviewee even indicated that each business domain in
the organization uses tools to monitor risks that are inherent in their domain.
Company E also makes use of a heat map to visually display all risks per risk category. However, the
interviewee of this company stated that those tools should be used with great care. The heat map in
the company consolidates the results of a whole lot of entities and the consolidation happens per
risk category. This means that ‘green color’ risks could obscure ‘yellow’ or ‘red’ risks because of the
consolidation.
Realdolmen and company F also mentioned the usefulness of doing interviews in order to gather
risk-related information. Interviewing risk owners in these organizations leads to a better perspective
on risks per business domain.
Company A doesn’t use risk tools because risks form an integral part of its business (see company
background of company A – 6.1 Within-site analyses). That’s why this company has chosen to
integrate it with normal reporting without using specific tools for risk-monitoring. Company C has a
similar way of working: risk isn’t reported in a specific way but is more integrated with performance
reporting. Company D hasn’t got a specific form for graphically displaying risks, but it does appreciate
the usefulness of an ‘Excel-sheet’ that can show the consequences and probabilities of certain risks.
69
I can conclude that assessing the likelihood and impact of organizational risks is deemed very
important by most of the companies in this study. It also seems that risk maps or heat maps are the
best tools to visually display the impact and likelihood of risks. This tool helps organizations to
prioritize risks by looking at areas with high impact and/or high probability. Companies A, C & D don’t
use specific risk tools, but choose to elaborate on risks in their performance reporting.
The function of risk reporting to the BoD:
The function of risk reporting to the BoD was quite straightforward in the companies in this study.
Half of the companies in this study indicated that risk reporting to the BoD helps to get more pro-
active insights into their operations. Compliancy isn’t a priority in Eandis, Realdolmen and company
C. These companies focus on risks that could impact their strategy instead of looking at risks in a
retrospective way. The management committee of Eandis, for example, focuses on risks that could
impact its KPIs and the achievement of organizational objectives during board meetings. The
management of Realdolmen also discusses risks that could have an impact on the achievement of
organizational objectives. The BoD ask a lot of ‘what-if’ questions to get a clearer perspective on
factors that could potentially impact strategic objectives. This pro-active approach of risk reporting is
also found in company C. These companies discuss risk exposures in the context of their strategy.
Risk reporting in Eandis, Realdolmen and company C is in alignment with Slagmulder’s (2013) and
Marks’ (2015) recommendations about integrating risk and performance/strategy.
In companies B and F, the discussion of annual figures and the evolution of those figures over the
years is used as a starting point to discuss risk-related matters. The boards of these companies
require information on the evolution of the financial results and this ultimately leads to a discussion
of risks that could impact their results.
Compliancy has an important role in company B and this is clearly reflected in board discussions. As
already mentioned in the within-site analysis of this company, compliancy goes hand in hand with
survival for this company so that’s why this is of utmost importance to discuss these matters during
board meetings. The impact of compliancy on board meetings is also present in company A. The
interviewee of this company indicated that compliancy has too much presence in board meetings:
being compliant is something that has to be done in order to avoid an explanation on why they
deviate from requirements.
Risks are the main priority in company E. Although the interviewee has never been to a board
meeting of the whole group , he firmly believes that top risk exposures are being discussed during
board meetings. Still, the overload of internal regulation and pre-defined processes tends to put the
company in a ‘box-ticking’ exercise. The overemphasis that is placed on well-defined risk processes
70
and procedures leads to a neglect of strategy-driven risk reporting and implies that complying with
regulatory requirements is taking the upper-hand nowadays. This may be the consequence of the
financial crisis and the ongoing scrutiny of regulators concerning the risk management practices of
banks (Härle, et al., 2010).
The companies in this study clearly indicated that risks are integrated in board meetings. Three out of
eight companies indicated that risks are integrated in board meetings to keep track of the
achievement of organizational objectives. Asking what-if questions leads to more pro-active insights
and tends to give these organizations a clearer perspective on factors that could impact the
achievement of strategic objectives. Although compliancy plays an important role in board meetings
in three companies in this study, it seems that risks are also considered as a reflection of the
performance. This retrospective look at performance is to get a clearer picture on the underlying
drivers of their financial results.
Ultimately, the companies in this study report risk-related matters to the BoD in order to safeguard
the continuity of their operations.
Opportunities for improvement regarding internal risk reporting:
Several opportunities for improvement came to the surface. The secretary-general of Realdolmen
indicated the importance of using risk tools with the right mentality, meaning that an appropriate
culture should be established at the top of the organization. Tools are only helpful if people who use
them have the right mindset, meaning that tools should be useful for people who want to do risk
management.
The CEO of company C admitted that, as a consequence of the time-consuming risk management
process, the discussion of risks is sometimes postponed. Risks should be more integrated with
business reviews and shouldn’t be a topic that is only discussed by senior management. Keeping risk
on the agenda, although it’s sometimes time-and energy-consuming, is important. Delegating risk
ownership to other organizational units is also considered as a possible improvement for internal risk
reporting: the possibility exists that some risks could be managed by others than the senior
management team.
The integrated risk management process of Eandis is perceived as very helpful to the organization in
order to better integrate risks and strategy, but its high level of detail is sometimes very difficult to
deal with. Finding an equilibrium between defining risks that could impact your strategic objectives
and defining key performance indicators is sometimes hard. Especially in a sector where KPIs aren’t
that tangible.
71
The CEOs of companies B & F have an important impact on which type of risk gets the most attention
during risk reporting. The education of company B’s CEO has an influence on the degree of detail that
has been given to compliance risks and is therefore an important part of the company’s stance on
compliancy with imposed regulations. According to the internal auditor of company F, the newly
assigned CEO is very compliance-driven. The mindset of the CEO has shifted the focus of this
organization to compliance risks. This implies that the tone should be set at the top and that the CEO
plays an important role in setting priorities relating to risk management.
The CEO of company D relies on his employees and team managers to signal or indicate areas for
improvement. The compliance officer of company E stated that too much internal regulation and
policies could have a detrimental impact on the future-oriented perspective of risk management. The
danger in having well-defined processes and procedures could ultimately lead to a bureaucracy. This
implies that the overload of regulation in the financial sector tends to lead banks in a ‘box-ticking’
exercise, instead of focusing on risks that could impact the continuity of operations.
72
7. Conclusions
All companies, except one, have established a risk management process to identify, assess and
evaluate risks. The established processes are mainly in place to make an inventory of risks that could
impact the organizations’ strategy or financial results. Most of the organizations clearly indicated the
importance of assessing impact and likelihood to get some insights into the most critical risks the
organization is exposed to. The usefulness of this part of the risk management process was
acknowledged by most of the organizations since it allowed them to set risk priorities. The influence
of audit committees on the adoption of risk management processes also came to the surface in some
of the organizations in this study. Some companies in this study indicated that risk management
processes were established in the context of audit committees. The Belgian Code on Corporate
Governance (2009) devoted a lot of attention to this organizational body and its risk responsibilities.
However, Sarens & De Beelde (2006) and Deloitte & Touche (2014) found that ACs placed too much
emphasis on the financial aspects of the organization. Some companies in this study stated that their
risk management process was installed in the context of audit committees and highlighted the
importance of identifying risks that could have an impact on the financial results. This confirms that
some organizations focus too much on the detrimental effect risks could have on their financial
figures, without taking strategic objectives into account. Still, some companies indicated that the
adoption of risk management processes was mainly to have an understanding of the risks that could
impact the achievement of strategic objectives. The implementation of a strategy-focused risk
management process in these companies aligns with Fraser & Simkins’ (2007) recommendations
regarding the installment of ERM systems that take the organizations’ strategy into account.
The usefulness of determining a risk appetite is noticed in several companies in this study. The risk
appetite in several organizations has the purpose to create a risk aware culture in order to make sure
that everyone in the organization knows what actions are tolerated or not. The risk appetite serves
as a guide for employees and management to effectively take risks into account during the execution
of their daily activities. A top-down communication of the risk appetite was noticed in the companies
that have implemented a risk appetite model. This reflects the importance of top management’s
involvement in setting out appropriate guidelines so that everyone in the organization knows what is
acceptable or not. Policies, codes of conduct and even tools like a heat map can help the
implementation of a risk appetite in organizations. Still, some companies don’t see the benefits of
implementing a pre-defined risk appetite statement. The specific line of business or the lack of
organizational levels in an organization are reasons that were brought up by companies that didn’t
73
choose to implement a risk appetite statement. I have the urge to be very careful in drawing up
conclusions, but it’s quite remarkable to see that companies that didn’t implement a risk appetite
were also companies that installed a risk management framework in the context of their audit
committees. On the other hand, companies that established a risk management process in function
of their strategy did make use of a risk appetite. This confirms that risk appetites are useful for better
strategic management and monitoring of enterprise-wide risks (Boghdadi, 2015).
There seems to be great variation in risk management approaches. Determining the most
appropriate approach to address risk management depends on a lot of factors. The types of risks and
the context of the organization’s operations seem to be two important factors when deciding what
approach to use. Certain types of risks may be managed in a centralized way, meaning that a
particular risk is being managed at the top of the organization. Still, the possibility exists that the
management of some risks is delegated to others in the organization. It was also noticed that many
companies have a central risk function in their organizations. The interaction between the central
risk function and the risk owners was quite varied. Some risk owners are being held responsible for
the development of suitable action plans to cope with their identified risks, while other risk owners’
responsibility is restricted to the identification of risks. Some organizations delegate risk ownership
down to the lowest echelons, others keep risk-related matters at the top.
It seems that organizations with a lot of employees (more than 1000) are using a more formalized
risk management approach, like the three lines of defense model. Delegation of risk ownership is
great in these organizations and seems to be a necessity because of the large amount of employees:
a well-defined risk architecture is certainly present in these companies. This implies that a formalized
risk management approach, like the ‘lines of defense model’ that was adopted by 3 large
organizations in my sample, can be suitable for organizations with a substantial amount of
employees.
The organizations with less employees and less organizational ‘layers’ don’t use this kind of
formalized risk management approach. Having trust in employees is also an important factor in
determining which risk management approach to adopt. It became clear that the attitude of
employees also plays an important role in determining a suitable risk management approach.
The companies in this study have experienced the impact of regulatory requirements on their risk
management practices. Being compliant with regulations demands a lot of time and effort and is
sometimes perceived as a burden. It was also observed that external parties like IFRS specialists or
other consultants are sometimes hired to help organizations to address the many regulatory
requirements. Moreover, it was noticed that the development of very detailed processes and
procedures as a consequence of compliancy requirements and the need to adhere to those
74
processes can push away more future-oriented risk management.
The introduction of the GDPR has incentivized companies to place their attention on IT and cyber-
security risks. Almost every investigated company has mentioned that this new rule will certainly
have an impact on how they will look at those particular risks.
On a more positive note, it also came to light that European regulatory requirements shouldn’t
always lead to ‘box-ticking’ exercises. Instead, companies could actively think about the
consequences and implications of those requirements and integrate them into their risk
management system.
Concerning the risk information flow, it became quite clear that this is highly dependable on the risk
management approach of the organizations. In some cases, risk-related information is only known by
a certain amount of people, but in most of the cases there’s a mix of top-down and bottom-up risk
information flow. A heat map was the most frequently used tool in the companies I investigated. The
colors in those heat maps are considered very useful in detecting risk priorities. Moreover, the
popularity of heat maps is mainly due to the fact that it allows to assess the likelihood and impact of
organizational risks. The usefulness of conducting interviews with risk owners also seems to be an
efficient tool for communicating on risk-related matters. Still, it became clear that not all
organizations see the benefits of using risk tools. Instead, some organizations integrate the
discussion of risks into their performance reporting. This study also showed some different functions
of risk reporting to the BoD. It became clear that a few companies have started to report risk
information in relation to the strategy, as recommended by Slagmulder (2013) and Marks (2015).
Board members ask a lot of ‘what-if’ questions in order to gain more pro-active insight into their
business. In some cases, the discussion of annual figures is used as a starting point to elaborate on
risks that have impacted these figures. This retrospective look at performance is to get a clearer
picture on the underlying drivers of their financial results. It was also noticed that compliancy doesn’t
take the upper-hand, but is always inherently present during board meetings. Still, companies in
heavily regulated industries focus much attention on being compliant since it’s the cornerstone of
their existence. Although risk reporting to the BoD isn’t always strategy-related, I can conclude that
most of the companies investigated are integrating risks in their board meetings in order to
safeguard the continuity of their operations.
75
8. Limitations and opportunities for future research
A possible disadvantage of my research is that my findings aren’t generalizable across other
organizations in Belgium. Notwithstanding the latter fact, it may provide some interesting insights
and understandings in the field of risk reporting in Belgian firms (Rowley, 2012).
Researcher bias may be present in this qualitative study. I tried to distance myself from this bias by
having an open mind during the interviews, without being prejudiced. The overload of information
was difficult to cope with, but by using the case/topic matrix I tried to draw up some conclusions by
finding similarities and differences across the different cases (King, Cassell, & Symon, 1994).
One interviewee in this study pointed out the different approaches of American versus European
regulation. He mentioned that American SOX regulation is much more strict than the European
‘comply or explain’ approach. It would be interesting to see if the impact of regulations on risk
management practices differs in these continents. Moreover, a comparative study between
American and European firms will allow researchers to address differences in risk reporting to the
BoD. It also became clear that banks are heavily regulated and that this could lead to a bureaucracy
where employees mainly ‘tick the box’ and lose sight on the more future-oriented aspect of risk
management. Therefore, it would surely be interesting to compare the impact of regulatory
requirements between banks and firms that aren’t active in financial services.
Some interviewees indicated that the education and mindset of CEOs could have an impact on which
types of risks get the most attention. This opens the way for future researchers to assess the impact
of those two determinants on the attention that has been given to particular types of risks.
It became clear that not every organization had implemented a risk appetite. Future researchers
could try to assess the relationship between the amount of employees and the installment of a risk
appetite. It may be the case that a risk appetite statement is mainly useful for installing a risk aware
culture and that this implementation of a risk appetite serves a greater purpose in organizations with
a large amount of employees.
X
9. Bibliography
Accountants for Business: Reporting Risk. (2014). ACCA.
Act, S. O. (2002). Sarbanes-Oxley Act. Washington D.C.
Ai, J., & Brockett, P. L. (2008). Enterprise risk management. Encyclopedia of Quantitative Risk Analysis
and Assessment.
AIRMIC, Alarm, & IRM. (2010). A structured approach to ERM and the requirements of ISO 31000.
BCBS. (2014). Corporate Governance Principles for Banks -- Consultative document. Bank for
International Settlements.
Beasley, M., Branson, B., & Hancock, B. (2014). Report on the current state of enterprise risk
oversight: Opportunities to strengthen integrating with strategy. ERM Initiative at North
Carolina State University.
Beasley, M., Chen, A., Nunez, K., & Wright, L. (2006 (a)). Working hand in hand: Balanced scorecards
and enterprise risk management. Strategic Finance, 87(9), 49.
Beasley, M., Clune, R., & Hermanson, D. (2005). Enterprise risk management: An empirical analysis of
factors associated with the extent of implementation. Journal of Accounting and Public
Policy, 24(6), 521-531.
Beasley, M., Clune, R., & Hermanson, D. (2006 (b), February). The Impact of Enterprise Risk
Management on the Internal Audit Function. Kennesaw, GA: DigitalCommons@ Kennesaw
State University.
Beasley, M., Pagach, D., & Warr, R. (2008, March). Information Conveyed in Hiring Announcements
of Senior Executives Overseeing Enterprise-Wide Risk Management Processes. Journal of
Accounting, Auditing & Finance, 23(3), 311-332.
Berg, T., & Westgaard, S. (2011). Risk Reporting to the Board of Directors - Field Study among
Norwegian Banks and Power Companies. Paper presented for the AAA 2012 Management
Accounting Section (MAS) Meeting.
Boghdadi, N. (2015). Risk Appetite Statement. Willis.
BPIT. (2017). General presentation. Retrieved from http://www.bipt.be/en/operators/bipt/general-
presentation
XI
Branson, B. (2015). Reporting key risk information to the Board of Directors: Top Risk Executives
share their practices. ERM Initiative in the Poole College of Management at North Carolina
State University.
Brodeur, A., Buehler, K., Patsalos-Fox, M., & Pergler, M. (2010). A board perspective on enterprise
risk management. McKinsey&Company, (18), 1-15.
Bruggeman, W., Hoozée, S., & Slagmulder, R. (2017). Textbook on management control systems -
Student edition. Intersentia Ltd.
Bugalla, J., Kallman, J., Mandel, C., & Narvaez, K. (2012). Best practice risk committees. Retrieved
from https://www.erm-strategies.com/blog/wp-
content/uploads/2012/06/1205BugallaKallmanMandelNarvaez.pdf
Cammaert, S. (2014). The Risk Management Role of The Board. (Masterproef, UGent, Gent, België).
Carmichael, A. (2014). The Chief Audit Executive: Understanding the Role and Professional
Obligations of a CAE.
Corporate Governance Committee. (2017). De Code 2009 wordt herzien in 2017. Retrieved from
http://www.corporategovernancecommittee.be/nl/actualiteit/nieuws/de-code-2009-wordt-
herzien-2017
COSO. (2004, September). Enterprise Risk Management - Integrated Framework. Executive Summary.
CREG. (2017). Presentation of CREG. Retrieved from http://www.creg.be/en/presentation-creg
De Pelsmaecker, P., & Van Kenhove, P. (2014). Marktonderzoek: methoden en toepassingen. Pearson
Benelux.
DeLoach, J. (2016, March 23). Six principles for improving board risk reporting. Retrieved from
https://blog.nacdonline.org/2016/03/six-principles-for-improving-board-risk-reporting/
Deloitte & Touche. (2014). Risk Committee Resource Guide. Retrieved from
https://www2.deloitte.com/content/dam/Deloitte/za/Documents/governance-risk-
compliance/ZA_RiskCommitteeResourceGuideOnline2014_22052014.pdf
Desender, K. A. (2007). On the Determinants of Enterprise Risk Management Implementation.
Eandis. (s.d.). Integraal risicobeheer. Provided to me by the CEO of Eandis.
Eisenhardt, K. M. (1989). Building theories from case study research. Academy of management
review, 14(4), 532-550.
XII
Epstein, M. J., & Buhovac, A. R. (2006). The Reporting of Organizational Risks for Internal and External
Decision-Making. The Society of Management Accountants of Canada and The American
Institute of Certified Public Accountants.
EU GDPR. (2017). GDPR Portal: Site Overview. Retrieved from
http://www.eugdpr.org/eugdpr.org.html
EY. (2013). The critical role of the board in effective risk oversight. Ernst & Young LLP.
FASFC. (2017). Home. Retrieved from http://www.afsca.be/home-en/
Financial Times. (2017, February 14). Definition of independent board. Retrieved from
http://lexicon.ft.com/Term?term=independent-board
Fraser, J. R., & Simkins, B. J. (2007). Ten Common Misconceptions about Enterprise Risk
Management. Journal of Applied Corporate Finance, 19(4), 75-81.
FSMA. (2017 (a)). Introductory Brochure. Retrieved from
http://www.fsma.be/en/About%20FSMA.aspx
FSMA. (2017 (b), April 3). Listed companies for which Belgium is the home Member State. Retrieved
from http://www.fsma.be/Site/Home/supervision/fm/gv/info/Issuers.aspx
Härle, P., Lüders, E., Pepanides, T., Pfetsch, S., Poppensieker, T., & Stegemann, U. (2010). Basel III and
European banking: Its impact, how banks might respond, and the challenges of
implementation. EMEA Banking, 16-17.
Heiligtag, S., Schlosser, A., & Stegemann, U. (2014). Enterprise-risk-management practices: where's
the evidence? A survey across two European industries. McKinsey Working Papers on Risk,
Number 53.
IBR. (2010). External versus Internal Assurance: How to create co-partnership? Retrieved from
https://www.ibr-
ire.be/fr/publications/series_actuelles/brochures/generalites/Documents/9204_External-
versus-Internal-Assurance-how-to-create-co-partnership.pdf
IIA. (2013 (a)). IIA Position Paper: The Role of Internal Auditing in Enterprise-wide Risk Management.
The Institute of Internal Auditors.
IIA. (2013 (b)). The Three Lines of Defense in Effective Risk Management and Control. The Institute of
Internal Auditors.
XIII
IRM. (2017, February 15). Risk appetite and tolerance. Retrieved from
https://www.theirm.org/knowledge-and-resources/thought-leadership/risk-appetite-and-
tolerance/
Ittner, C. D., & Oyon, D. (2014). The Internal Organization of Enterprise Risk Management.
Jacob, S. A., & Furgerson, S. P. (2012). Writing interview protocols and conducting interviews: Tips for
students new to the field of qualitative research. The Qualitative Report, 17(42), 1-10.
Jensen, M. C. (1993). The modern industrial revolution, exit, and the failure of internal control
systems. The Journal of Finance, 48(3), 831-880.
Kaplan, R. S. (2009). Risk management and the strategy execution system. Balanced Scorecard
Report, 11(6), 1-6.
Kaplan, R. S., & Mikes, A. (2012). Managing risks: a new framework.
Kashyap, A. K. (2010). Lessons from the financial crisis for risk management. Financial Crisis Inquiry
Commission.
King, N., Cassell, C., & Symon, G. (1994). Qualitative methods in organizational research: A practical
guide. The Qualitative Research Interview, 17.
Kinman, B. (2012). Building a risk-resilient organization. Retrieved from PwC:
https://www.pwc.com/gx/en/services/advisory/consulting/risk/resilience/publications/buildi
ng-a-risk-resilient-organisation.html
Lam, J. (2001). The CRO is here to stay. Risk Management, 48(4), 16.
Leech, T. (2013). Board Oversight of Management's Risk Appetite and Tolerance. EDPACS, 48(3), 1-
13.
Marks, N. (2015, December 16). Risk reporting to the Board. Retrieved from
https://iaonline.theiia.org/blogs/marks/2015/risk-reporting-to-the-board
Miles, M., & Huberman, A. M. (1984). Qualitative Data Analysis: A Sourcebook of New Methods.
SAGE Publications.
Nocco, B. W., & Stulz, R. M. (2006). Enterprise risk management: Theory and practice. Journal of
applied corporate finance, 18(4), 8-20.
Nottingham, L. (2014). Risk communication: aligning the Board and C-suite. Oliver Wyman; NACD;
AFP.
XIV
Ojha, N. (2012). The changing role of internal audit. Deloitte Touche Tohmatsu India Private Limited.
Porbunderwalla, K. F. (2007). Will Eurosox also be a regulatory overreach, as its American
counterpart SOX? GRCControllers.
Purdy, G. (2010). ISO 31000: 2009—setting a new standard for risk management. Risk analysis, 30(6),
881-886.
Ross, A. (2005). The Evolving Role of the CRO. The Economist Intelligence Unit, EIU.
Rowley, J. (2012). Conducting research interviews. Management Research review, 35(3/4), 260-271.
Roy, M.-J. (2011). Board information: meeting the evolving needs of corporate directors.
Management Research Review, 34(7),, 773-789.
Sarens, G., & De Beelde, I. (2006). Interaction between internal auditors and the audit committee: an
analysis of expectations and perceptions/G. Sarens, ID Beelde. Ghent University, Faculty of
Economics and Business, Belgium.
Shenkir, W. G., & Walker, P. L. (2007). Enterprise risk management: Tools and techniques for
effective implementation. Institute of Management Accountants, 1-31.
Slagmulder, R. (2013). Integrating risk into performance: reporting to the board of directors. CIMA
General Charitable Trust.
Steinberg, R. M. (2016, June 7). Risk reporting to the board -- The Steinberg board risk oversight
principles. Retrieved from Compliance Week:
https://www.complianceweek.com/blogs/richard-m-steinberg/risk-reporting-to-the-
board#.WSxUjJM3msY
Stroh, P. J. (2005, July). Enterprise risk management at UnitedHealth Group. Strategic Finance, 26-35.
The Belgian Code on Corporate Governance. (2009). Commissie Corporate Governance.
VBO. (2015). Risk Management: Praktische leidraad bij een duurzaam risicobeleid. Stefan Maes,
Ravensteinstraat 4, 1000 Brussel.
What is EuroSox -- Copenhagen Compliance. (n.d.). Retrieved from Copenhagen Compliance:
www.copenhagencompliance.com/eurosox/WhatisEuroSox.pdf
Yin, R. K. (1981). The case study crisis: Some answers. Administrative science quarterly, 26(1), 58-65.
76
10. Attachments
10.1. Attachment 1 -- Interviewing guide
Heeft het bedrijf een geformaliseerd proces om risico te kunnen managen?
Heeft het bedrijf een soort van risicofilosofie dat duidelijk definieert welke risico’s, en in
welke mate bepaalde risico’s, kunnen worden aangegaan om strategische doelstellingen te
kunnen behalen?
Is er iemand in het bedrijf die een centrale functie in verband met risico vervult?
Welke andere functies of organen in het bedrijf dragen risico-verantwoordelijkheden? (bv.
audit committee, internal control, risico committee, CEO, CFO,…)
Wat zijn die verantwoordelijkheden van die welbepaalde organen binnen het bedrijf?
Vervult deze centrale functie eerder een begeleidende rol voor andere
bedrijfsfuncties/departementen (bijvoorbeeld ondersteuning bieden aan andere business
units in verband met het beheer van risico’s), of eerder een rol die bepaalt hoe risico’s
moeten worden beheerd. Met andere woorden, hebben andere units binnenin het bedrijf
een vrijheid om risico’s, waar ze verantwoordelijk worden voor geacht, te kunnen managen
volgens hun eigen goeddunken of zijn ze verplicht om een proces te volgen dat duidelijk de
regels afbakent hoe risico’s moeten worden beheerd?
Hoe verloopt de informatieflow tussen deze verschillende units? Wat zijn belangrijke
aandachtspunten tijdens die communicatie?
Gebruikt het bedrijf tools om risico’s te rapporteren? Welke zijn deze tools en waarom werd
er gekozen te werken met die tools?
Wie is verantwoordelijk voor het rapporteren van risico-gerelateerde informatie aan de raad
van bestuur?
Aan welke risico-gerelateerde informatie wordt het meeste belang gehecht tijdens de
rapportering aan de Raad van Bestuur?
Wat is volgens u de functie van risico-rapportering aan de Raad van Bestuur?
Heeft bepaalde regelgeving een impact gehad op hoe risico’s worden beheerd in het bedrijf?
Indien ja, hoe heeft het bedrijf dit ervaren?
Speelt compliance met allerhande regelgeving een belangrijke rol tijdens het rapporteren
van risico aan de Raad van Bestuur?
Is er volgens u ergens ruimte voor verbetering op het vlak van interne risicorapportering?
77
10.2. Attachment 2 – Interview transcript: Eandis
Heeft het bedrijf een geformaliseerd process om risico’s te kunnen beheren of managen?
Ja, dat klopt: wij hebben een integraal risicobeheer. We moeten toch een goede balans hebben
tussen een aantal bedrijfsdoelstellingen. Dat kan zijn: bedrijfszekerheid naar onderbrekingsduur; ik
wil dat minimaal, risico’s dat ge neemt op asset cabines en dergelijke meer… Dat is 1 aspect. Wat is
daarnaast het risico dat daarbij loopt op het moment dat die bedrijfsdoelstellingen moeten
gerealiseerd worden? Wij hebben dus een geformaliseerd proces naar de raad van bestuur van
Eandis, ons bedrijf zelf; naar ons auditcomité, want die moeten een verklaring afleggen op het einde
van elk jaar dat het onder controle is. Dus die moeten een systeem hebben waarop ze zich kunnen
baseren. We hebben ook een managementcomité dat op geregelde tijdstippen informatie ontvangt.
Als we even kijken naar de historiek: wanneer zijn wij begonnen met integraal risicobeheer? Dat was
in 2008; toen hebben we het raamwerk opgezet en wij hebben daarvoor een consultant ingehuurd,
Deloitte, die een soort van risico-kaart had waarop wij ons dan gebaseerd hebben, maar dat was dan
ook wel toegepast op de specifieke activiteiten van ons.
In 2009 zijn we dan beginnen uitrollen in 3 piloot-domeinen: core-business, ondersteunende
bedrijfsdomeinen (zoals HR), ten slotte hebben we het ook uitgerold binnen specifieke programma’s
omdat we zagen dat naar de toekomst digitalisering zeer belangrijk zou worden.
We hebben eigenlijk 3 belangrijke programma’s. Slimme meters (in 2011) opgestart, in 2019 zullen
we starten met de uitrol van dit programma. Slimme netten: hoe stuurt ge bi-directionele stromen
tot de decentrale productie. En data-kwaliteit. Als we aan asset management deden, zagen we dat
het risico was dat je je baseert op data die niet betrouwbaar genoeg zijn. Typische voorbeelden: we
hebben enorm geïnvesteerd in elektriciteit en gas in de jaren 70 van de vorige eeuw… We hebben
toen al data gecapteerd, maar als je dat in 2010 herbekeek, kon je u vraagtekens stellen bij sommige
elementen die daarin zaten. Dat heeft te maken met fusies: bepaalde gegevens die geconverteerd
worden. Één van de zaken die men doet bij conversie: als je het niet goed weet, zet je het jaar 9999
(lacht), en dat passeert door het systeem, maar kan je daar nu echt asset management op doen? Kan
je nu risico beoordelen met installaties die te oud zijn of niet oud genoeg (lacht)?
Daarmee, dat we vaak over grote componenten rapporteren, bijvoorbeeld een cabine. In een cabine
vandaag zit er een vermogensschakelaar die misschien rapper versleten is dan de raille (dat is koper,
dat blijft). Dus die informatie had men niet en die informatie is men dan gaan verrijken in een
specifiek programma: datakwaliteit (vanaf 2011). Vanaf 2012 hadden we dat bedrijfswijd, dus over
alle processen van het bedrijf uitgerold. Vanaf 2014 is dat echt een ‘recurrente’ methodiek, waarbij
de eindverantwoordelijkheid nog altijd ligt bij het managementcomité; maar waar elk bedrijfsdomein
ook eigenaar is. Iemand die voor een bepaalde activiteit verantwoordelijkheid draagt, moet de
78
tweedelijnscontrole doen. Wij zeggen altijd op het terrein, operationele risico…dat is de man die
bezig is op het terrein. Een niveau hoger, moet er iemand een tweedelijnscontrole doen, waar er een
soort van uitval-lijsten komen die zeggen van ‘hier loopt het fout’. En de derdelijnscontrole is de
interne audit. Wij hebben een stevig uitgebouwde interne audit met 10 auditoren.
We kijken heel breed. Governance risico’s: we zijn een gereguleerde sector dus compliancy, zorgen
dat je volgt, dat is toch wel een ander punt. Strategische risico’s, onze strategie is operational
excellence…dan moet je zeggen af en toe: “er is vet op de soep” of “good is perfectly enough”… Je
kan blijven investeren en blijven verbeteren…ergens kom je op een lijn dat je zegt: “dit is niet meer
verantwoord”. Bedrijfsrisico’s, het operationele, interne en externe risico’s… We zijn een gereguleerd
bedrijf, wij hebben aandeelhouders uit de openbare sector, dus er zijn ook extern wel wat
stakeholders die bekijken hoe wij ageren. Vorig jaar was daar een goed voorbeeld van: als we de
Chinese privépartner wouden aantrekken… Dus dat zijn wel ook risico’s die we proberen te
identificeren.
Om dat integraal te maken, hebben we gezegd: “We moeten toch wel één gemeenschappelijke taal,
één gemeenschappelijke tool hebben”. Als ik vind dat dat een te groot risico is…wat betekent dat dan
precies? Vandaar dat we een Eandis Risico Identificatie Kaart (ERIK) gemaakt hebben, gebaseerd op
een eerste oefening van Deloitte. Wat is voor ons een risico? Dat is eigenlijk een kwetsbare toestand
of een onzekere gebeurtenis die negatieve invloed zou kunnen hebben op de werking en het behalen
van de doelstellingen.
De ERIK bevat toch een 100-tal risico’s, gaande van strategische risico’s, tactische risico’s en
operationele risico’s. Via deze manier kan je onmiddellijk inschatten van waar je op moet letten: wat
oranje staat, daar moet aandacht aan besteed worden; geel…; groen zegt dat alles onder controle is.
Wanneer zeggen we nu gemeenschappelijk in het bedrijf: “is dat nu een groot risico of niet?”.
Daarvan hebben we onmiddellijk een aantal criteria gedefinieerd: is er een impact op het
voortbestaan van het bedrijf; impact op personeelscompetenties; impact op onze procesbeheersing:
kan dat proces blijven lopen of niet als dat risico zich zou manifesteren?; impact op veiligheid: wij
werken op ‘fluida’, wij werken altijd onder spanning, zonder dat we de spanning wegkoppelen, dat
heeft wel gevolgen. Hoe ver kan je een proces gaan optimaliseren naar kosten toe en het risico voor
uw werknemer verhogen? Het impact op milieu, we hebben toch wel een aantal installaties die het
milieu kunnen impacteren. Impact op wetgeving.. impact op het naleven van cultuur en ethiek…dat is
een moeilijke. We werken met zeer veel aannemers en als die mannen werken in de ondergrond,
dan is er niemand van het bedrijf die daar toezicht op doet. Op het einde van het jaar krijgt die
aannemer een fles wijn. We hebben ethische regels, waar we in werkgroepen hebben afgesproken:
79
als je een fles wijn krijgt, kan dat ethisch of niet. Als je wordt uitgenodigd naar de voetbal in de loge,
kan dat of niet? Als je een abonnement krijgt voor het ganse seizoen, ja dat kan niet…maar soms is
dat moeilijk en de regel die nog al eens gevolgd wordt hier is: je krijgt een fles wijn…die komt in uw
gemeenschap…en als er eens een verjaardag is, dan gebruik je die fles wijn. Dat is niet persoonlijk
gebonden, maar af en toe wordt er iemand uitgenodigd naar een voetbalmatch. Dat is een moeilijke,
waar we toch wat last mee gehad hebben om het goed te definiëren.
Impact op het imago en de tevredenheid van de klant is ook belangrijk… Ook de impact op het
financiële.
Voor al die impacten hebben we bepaald wat klein is, matig, middelmatig, groot, zeer groot en
catastrofaal. Als je kijkt naar de catastrofale impact op het voortbestaan; als je meerdere
engagementen die in uw missie vertaald zijn, niet meer kunt naleven, ja dat is catastrofaal.
Dan kijken we naar de weging of waarschijnlijkheid (6 wegingen) van al die categorieën. Daaruit
volgt dan een matrix. De groene kleur is geen probleem, het gele is onder controle, oranje vereist
toch wat acties, en rood daar kan je niet mee wachten.
De tweede stap is het identificeren van risico’s. Dat is ook een beetje op de Deming-circle (plan-do-
check-act) gebaseerd, maar daar moet je toch altijd voor een risico even gaan denken: “hoe definieer
ik dat?”;”hoe classificeer ik dat?”; “Hoe capteer ik dat?”. Als we risico-maatregelen gaan doen voor
een bepaald risico…daar hoort een beheerstrategie bij: willen we dat risico absoluut vermijden,
willen we het delen met iemand anders, zeggen we dat we het aanvaarden, of willen we het
inperken. Voor elk risico wordt ook de strategie bepaald. Dan kijken we naar de maatregelen: willen
we preventief iets doen, detectief iets doen, of moeten we iets correctief doen. Ik weet dat wij
vermogensschakelaars hebben van een generatie die op een bepaald ogenblik defect gaat. Als het
kapot gaat dan moet het vervangen worden; dat is een voorbeeld van een correctieve maatregel.
Nu dat kadert bij ons wel volledig in ons volledig ‘organisatiebeheersmodel’. Hier bepalen we onze
KPIs, eigenlijk vertrekken we in het bedrijf van onze strategische doelstellingen. Die worden vertaald
naar strategische acties, maar zijn ook gekoppeld aan de strategische risico’s in het bedrijfsdomein.
Een niveau lager, daar gaan we naar tactische doelstellingen…zelfde systeem…daar zitten tactische
acties, daar zitten bedrijfsrisico’s met tweedelijnscontroles per bedrijfsproces per proces. Een nog
lager niveau, dat is het operationele…waar men operationeel risico voor een klein deelproces bekijkt.
Men zou kunnen zeggen: wat is het bedrijfsdomein financiën, wat is de manier waarop we facturen
beheren, dat is dan een deelproces… ge gaat lager en lager in de hiërarchie van het bedrijf.
Uiteindelijk kan dat leiden tot een individuele actie of een individuele doelstelling. Laten we zeggen:
80
die vermogenschakelaars…ze moeten er allemaal uit…wie gaat dat doen…dat zal een technische
agent zijn.
Binnen de risico’s hebben we strategische over het ganse bedrijf, maar ook tactische risico’s per
bedrijfsdomein, per proces zodanig dat wij tot op het laagste niveau weten wat de risico’s zijn.
De discussie: wat is een strategisch risico, een bedrijfsrisico, een operationeel risico en een
risicomelding…dat hebben we duidelijk gedefinieerd zodat dat voor iedereen hetzelfde is.
De vijfde stap is een opvolging van de risico’s.
De vraag is: wie beoordeelt dat dan allemaal? Op het hoogste niveau is dat het management comité
(MC), één keer per jaar. Dat zijn ook degenen die voor de grote processen verantwoordelijk zijn: de
uitbating, de aansluiting, investeringswerken, onderhoud, financiën voor het financiële, netbeheer
voor asset management, logistiek. Iedereen heeft zijn lijn. Daar doet men inschaling en dat gebeurt
door het globale MC. Het gebeurt al eens dat HR zegt: “ik vind dat mijn proces perfect onder controle
is”, en dat de collega zegt: “ik vind ik geen aanwerving, ik vraag dat al 6 maand”. Een globale visie van
verschillende mensen waar we proberen voor elk risico onze mening te zeggen. Wie mag dat nog
zeggen? Interne audit, maar enkel over de audit dat ze dat jaar gedaan hebben. Tijdens de audit
geven zij altijd een risico-inschatting van het proces. Ze kunnen bijvoorbeeld zeggen van het proces
‘aanwerven’: “het talent is niet binnengehaald, wij vinden dat dat ‘rood’ is”… HR kan zeggen dat het
oranje is… Daar probeert men dan toch een éénduidige visie te ontwikkelen.
Een niveau lager, de bedrijfsrisico’s die worden gecontroleerd door de proces eigenaars, dat zijn onze
senior managers.
Nog een niveau lager is dat dezelfde senior manager, maar met zijn ‘n-1’ medewerkers.
Iedereen in het bedrijf heeft risico-verantwoordelijkheid.
Ja, ja, ja! Die kan operationeel zijn: de uitvoerder; tactisch: lager kader; strategisch: dan komen we al
op niveau van senior managers. Wij laten het eigenlijk doordalen tot het diepste niveau in de
organisatie. Iedereen op zijn niveau zal zijn verantwoordelijkheid krijgen op basis van risico’s op zijn
niveau en de doelstellingen op zijn niveau.
In april gebeurt het volgende: we zijn proces-gestuurd en er zijn dus verschillende proces-eigenaars.
Permanent, voor elk proces is er, wat wij noemen, een senior business process analyst die
permanent zijn proces moet proberen te verbeteren. Er komen klachten binnen, er is schade
gevallen…we proberen dat proces te verbeteren. Zij zijn eigenlijk de eerste die een voorstel doen
van: “wij als senior proces eigenaars, wij vinden dat er een risico ontstaan is in ons proces”.
81
In mei-juni is het de business proces eigenaar die een risico-oefening doet op het operationele en
bedrijfsrisico. In juli is er een beoordeling door het senior management als voorbereiding voor het
MC; wij consolideren dan de resultaten. Wij hebben ook altijd een zomer-seminarie, dat is eind
augustus en op basis van die risico’s gaan wij dan de strategische acties gaan bepalen. Tussentijds is
het mogelijk dat er aan de hand van tweedelijnscontroles, wij wijzigingen doorvoeren. Een
tweedelijnscontrole is een soort van uitval-lijst waar we die altijd ook terug doorsturen naar de
mensen op het terrein. Als die tweedelijnscontrole altijd dezelfde fouten genereren, dan hebben we
een aparte dienst: DQCM (Data Quality Control Managers). Die doen dan de collectie, maar dan
zeggen we wel tegen de hiërarchie: “u heeft het niet zo goed gedaan”. We hebben ook een tactische
kwartaalrapportering.
Wij hebben een specifiek systeem: QPR, waar ,indien op basis van een risico-analyse een risico
gedetecteerd wordt, risico’s worden ‘gelogd’. Daar worden acties tegenover gezet. Dat wordt
gemonitored en gerapporteerd. En die rapportage gaat ook naar het auditcomité. Omdat in ons
auditproces, als auditoren in derdelijnscontrole vinden dat er fouten gebeuren, dan geven ze
aanbevelingen en dat kan zijn ‘vier sterren’ en dat stemt overeen met ‘hier loopt ge echt een risico
voor het bedrijf’… De ‘drie en vier sterren’ van het auditcomité, hebben we de verplichting
opgenomen ten opzichte van het auditcomité om daar een actieplan tegenover te hebben. Dat wordt
3-maandelijks beoordeeld door het auditcomité en is 1 van de elementen die opgenomen is in de LT-
incentives van het management comité. Als MC hebben wij globale indicatoren, waar we globaal
beoordeeld worden wat betekent dat we allemaal dezelfde beoordeling krijgen. Dat zijn indicatoren
die 3 jaar vooruit gevolgd worden om te vermijden dat ingrepen op één of andere parameter om
onze score naar boven te halen om dat jaar goed betaald te worden… dus we hebben
gemeenschappelijke indicatoren, waarvan die 3 en 4 sterren een onderdeel van zijn. Dat is kort
samengevat het systeem dat wij hebben samengevat, samen met Deloitte. Het is vrij
arbeidsintensief moet ik wel toegeven, maar het geeft toch wel, zeker aan de aandeelhouders, dat
geeft hen wel een indicatie of alles wel onder controle is. Het is ook een systeem dat goed
geapprecieerd wordt door onze revisoren. Ik heb al gezegd, we hebben een goed uitgebouwde
interne audit. Onze auditoren zijn allemaal gecertifieerd, vandaar dat wij ook aanvaard worden als
‘single-audit’. Dat betekent dat, als onze audit een audit doet op een proces, dan wordt dat gebruikt
door de revisoren. Dan wordt dat aanvaard als zijnde evengoed alsof zij het zelf zouden gedaan
hebben. Dat betekent wel dat de interne audit zeer onafhankelijk moet zijn, vandaar dat die
rechtstreeks aan mij, de CEO rapporteren, afgezonderd van de hele business, zodanig dat ze hun
onafhankelijkheid kunnen bewaren.
82
Hoe verloopt de rapportering aan de raad van bestuur? Jullie hebben een integraal risicobeheer
dus is het dan ook zo dat strategie en risico’s steeds in relatie met elkaar worden bekeken?
De tactische prestatie-rapportering gaat naar de raad van bestuur. Het MC bepaalt wat er moet
besproken worden. De stand van KPIs, de stand van actie, de stand van risico’s…wordt allemaal
gerapporteerd. De risico’s die de KPIs beïnvloeden worden driemaandelijks gerapporteerd aan de
raad van bestuur.
Eerlijk gezegd, geen populaire rapportering. Als ik daaraan moet beginnen, zijn er al een paar dat er
hun gsm bijnemen.. Het is soms iets te ver van hun bed. Dat gaat soms over zo’n gedetailleerde
elementen. De aandeelhouder, de bestuurder voelt er zich minder bij betrokken. Wij vinden het
belangrijk om het te detecteren, op te volgen en te rapporteren.
Heeft bepaalde regelgeving een impact gehad op hoe dat jullie naar risico’s kijken? Speelt
compliancy met regelgeving een rol tijdens risico-rapportering aan de raad van bestuur?
Iets wat wij ons niet kunnen permitteren is dat we iets doen tegen de wet. Ik zeg vaak: “ben ik
gelukkig met alle decreten in Vlaanderen…neen, maar zolang een decreet geldig is dan wordt dat hier
gevolgd”. Dat is toch wel 1 aandachtspunt, ik kijk dan naar de decreten die onze business sturen: wat
mogen we en wat mogen we niet. We zijn een bedrijf dat per jaar ongeveer 1 miljard aan aankopen
gegenereerd. Regels van Europese Aanbestedingen moeten correct gevolgd worden. Wij zijn toch
een niet-klein bedrijf en waar gaan ze eerste controles doen, dat is natuurlijk naar bedrijven zoals
ons. Een derde punt waar we momenteel aan werken is ‘sociale dumping’. Wanneer aanvaarden wij
een aannemer? Als hij voldoet aan de Belgische wetgeving. Vandaag is er veel discussie over allerlei
nationaliteiten die een klein bedrijfje oprichten…ze hebben dan geen werknemers, maar wel 7
vennoten..ze betalen te weinig sociale zekerheid.. Ik zeg: als ze voldoen aan de Belgische wetgeving,
mogen ze meedoen aan de aanbestedingen. Dat zijn toch 3 assen naar compliancy in de energie-
wetgeving, waar we als bedrijf veel aandacht aan geven.
Ik ga de vraag toch stellen: is er ergens ruimte voor verbetering op het vlak van interne risico-
rapportering in het bedrijf? Als ik kijk wat jullie allemaal…
Ja, zeer veel, zeer gedetailleerd… Te gedetailleerd of niet? Ik droom van een bedrijf zoals Toyota…die
volgden hun business op basis van 4 KPIs, maar dat is ook vrij gemakkelijk…dat is een
productieproces. Hoeveel wagens zijn er vandaag van die lijn van die band gerold? Dat is tastbaar. Bij
ons zijn onze KPIs niet altijd even tastbaar. Dat evenwicht vinden tussen mijn bedrijfsrisico’s goed
capteren, definiëren en meetbare performantie-indicators aanhechten en toch beheersbaar houden,
is moeilijk. Dat is de reden dat we dat oprollen naar onze 4 kleuren (rood, oranje, geel, groen). Want
83
onder elk item, hangen er misschien 50 operationele risico’s. Als je 50 operationele risico’s hebt en
die hangen onder een tactisch risico…dat is geen wiskunde.
Nog vragen?
Neen, al mijn andere vragen zijn reeds beantwoord.
Hoe was uw ervaring al bij andere bedrijven?
Zeer interessant om de literatuurstudie te vergelijken met hoe het er in de praktijk er aan toe gaat.
De literatuurstudie vertalen naar het veld… elk bedrijf heeft zijn ‘specialiteiten’. Bij ons staat
veiligheid erg bovenaan. Wij hebben liefst niet dat onze werknemers overlijden tijdens het uitvoeren
van activiteiten. Dat is ook een risico. Vorig jaar hebben we een dodelijk ongeval gehad. Maar als dat
frequent zou zijn, dan zou men zeggen: “onder spanning werken is onverantwoord”. Je moet uw
processen en procedures goed inschatten. Indien iemand toch een geleider aanraakt en hij heeft de
juiste manier van zijn persoonlijke beschermingsmiddel…dat zal erg zijn… maar dat zal nooit fatale
gevolgen hebben. Als je eens iets uitvoert op een gasleiding, ook al is het de duizendste keer dat je
het doet, maar dan moet je een brand-berschermende bivakmuts dragen. Ik zie in de zomer, als het
dertig graden is, dat er hier en daar iemand vindt dat het niet nodig is om het te dragen. Daar zijn we
zeer streng op, maar dat zijn ‘specifiteiten’ naar onze business. En elk bedrijf zal zo zijn specifieke
elementen hebben.
Dat lijkt me moeilijk te detecteren…
Ja, omdat… Daar is de vraag: heb je een beleid van sancties? Ge kunt dan zeggen: “ik heb daar
iemand gezien zonder muts op”…een maand thuis zonder wedde of ik ontsla hem…dat betekent dat
elk incident niet meer gemeld wordt. In een veiligheidsbeleid is het belangrijk dat mensen durven
zeggen…”oef, hier heb ik geluk gehad”…en dat ze dat dan komen zeggen. Dat kan soms een gebrek
aan kennis zijn. Gewoonte…”ahn, ik zie hier een kabel…dat zal wel laagspanning zijn”…maar dan is
het uiteindelijk middenspanning.. Daar mag je ook niet te streng zijn. Als mensen dat laten weten,
dan kunnen we nagaan en analyseren waarom hij dat heeft voorgehad? Waren onze plannen niet
duidelijk… Er gebeurt dan weer een risico-analyse. Iemand die hier komt werken moet eerst altijd
invullen wat voor hem of haar de risico’s zijn en wat hij inschat als risico’s.
84
10.3. Attachment 3 – Interview transcript: Realdolmen
Heeft het bedrijf een geformaliseerd proces om risico’s te kunnen managen?
Wij hebben meerdere processen. Misschien best eerst: “datum: 9 mei, Realdolmen, Thierry de Vries,
secretaris-generaal van de raad, vennootschapssecretaris (lacht)”. Wij hebben meerdere processen;
enerzijds een risk audit proces waarbij we de belangrijkste risico’s in kaart brengen. We hebben dat
al meermaals gedaan en het gebeurt meestal op dezelfde wijze maar niet altijd door dezelfde
personen. De laatste oefening is dat jaar gedaan door onze interne auditor; die doet dat aan de hand
van de belangrijkste bedrijfsprocessen: hij heeft er 33 uitgehaald dit jaar en heeft dit dan met
verschillende ‘business owners’ of proces-eigenaars besproken. De vorige oefening is al een paar jaar
oud en die is uitgevoerd geweest door Deloitte consultancy, niet door audit uiteraard. Op dezelfde
manier worden bepaalde processen geïdentificeerd, dan interviews…, en uiteraard kan er nog extra
materiaal toegevoegd worden aan die vragenlijst of antwoorden. Aan de hand van die antwoorden,
gaan wij over tot een eerste rangschikking. Men kijkt altijd naar dezelfde dingen, hé: wat is de
impact, wat is de likelihood? Dan zijn er uit hoofde van onze ‘maturity’ mitigating factors en zo kom
je uiteraard tot uw residueel risico. Dat geeft een bepaalde rangschikking waarbij je dan kan zeggen:
ok, interne auditor gaat nu verder werken in functie van de prioriteiten.
Je kan ook een heat map opstellen: uiteraard ga je dan focussen op de rode lijn. Dat is een eerste
belangrijk proces omdat dat aanleiding geeft tot een auditplan en nadien tot een systematische
rapportering aan het audit comité. Daarnaast heb je uiteraard risico-specifieke processen om het
risico te beheren, te volgen. Het algemene zijn al de processen die bestaan om de juistheid van de
rekeningen te waarborgen. De accuraatheid van onze financial statements is ook iets dat moet
onderzocht worden door het AC die instaan voor de juiste cijfers en de juiste aanpak. Zoals je weet,
staat er in de Code 2009 de aanbevelingen…dat staat trouwens ook in de wet over het AC. Zij moeten
de juiste cijfers waarborgen van het resultaat en de boekhouding. Daarvoor hebben we dan
processen bij ‘Group Accounting’: die hebben logische controles die in het pakket verwerkt zitten. Je
hebt het ‘four-eyes’ principle uiteraard. Mensen die in de leveranciers-boekhouding zitten, kunnen
geen projecten aangaan en wanneer ze een rekeningnummers ingeven, dan wordt dat
gecontroleerd. Er is een jaarlijkse of tweejaarlijkse controle met een tool van Deloitte, waarvan de
naam ik altijd vergeet, iets ingewikkeld. De bankrekeningen en andere identiteitsgegevens gaan ze
vergelijken met wat ze vinden in publieke databases om te zien of er geen gekke dingen uitkomen;
dat er geen betalingen zouden verricht worden aan belastingparadijzen of dat er geen rare namen
uitkomen bijvoorbeeld… Dat is een speciale tool die ze gebruiken. We zitten bij accounting, die doen
dus een hoop controles, met telkens een four-eyes principle. Dan komt de externe auditor daarop
auditen, dat is een andere manier om de financial statements te onderzoeken.
85
Volgende belangrijke niveau van het risicoproces, is het PMO: Project Management Office. Die
volgen in feite alle projecten op, dat is iets anders dan de verkoop van producten wat een
eenvoudige transactie is. Enerzijds heb je het product. Anderzijds hebben we ‘outsourcing’ als
activiteit waar we mensen verkopen, op oneerbiedige wijze gezegd, plaatsen: dat zijn ook vrij
eenvoudige contracten, waarvoor we een administratie hebben die zich bezig houdt met de
facturatie, enzoverder … Projecten is een combinatie van producten en diensten, dat is niet zo
straight-forward, vaak gecombineerd met onderhoud. Vandaag de dag komt het er op neer dat je
‘outsourct’. Wij hebben heel wat outsourcing, dat is een aparte tak in het bedrijf. Dus die projecten
worden opgevolgd door het PMO: zij volgen de ‘milestones’ op en ze gaan na of er een ‘overrun’ is of
niet, en ze gaan na of de inschatting naar behoren is gebeurd, zij geven ook aanbevelingen over de
contingency; welke risisco’s moet je gaan inschatten en wat staat daar tegen over: 1%, 2%, 3%, een
bepaald getal dat je aan een aantal projecten d’office gaat toevoegen in de kostprijsberekening om
mogelijk risico’s te kunnen betalen. Er zijn altijd onvoorziene omstandigheden en zij rapporteren
daarover naar de business owners en om de zoveel tijd naar de general manager en/of naar de CFO.
Samen met die projectopvolging met het PMO, hebben we ook een projectopvolging door de ‘Group
Reporting’, dus de controllers. Ja, ze heten controllers, maar eigenlijk doen die aan reporting. Die
hebben specifiek voor projecten tegen vaste prijs of fixed price, hebben die een overzicht van
projecten die in het rood gaan, waar er een probleem is. Ze noemen dat ‘intensive care’, een lijst van
projecten die ze persoonlijk gaan opvolgen, samen met de project manager om maandelijks een
inschatting te maken van het risico. Desnoods moet er een boekhoudkundige provisie genomen
worden die onze resultaten onder druk zet. Dat willen we uiteraard vermijden. Dat is dus wel een
belangrijke laag van risico management.
Dan de vierde, die zit meer op het niveau van compliancy in het algemeen. Je hebt beleid,
programma’s, procedures, processen, en uiteindelijk schriftelijke of mondelinge instructies. Die heb
je in allerlei vlakken, bijvoorbeeld rond ICT: bv. Hoe zit het met het gebruik van onze IT-omgeving?
Daar rond is er een beleid. Dat beleid resulteert dan in een aantal programma’s. Wij hebben,
specifiek rond IT-security, een apart beleid: dat komt erop neer dat je zeer voorzichtig moet omgaan
met de bescherming van het systeem, het netwerk en je back-up; er is een heel hoofdstuk over back-
ups. Naast dat specifiek beleid, is er ook nog een handboek dat nog meer in detail gaat en nadien
worden er processen uitgewerkt over… Ok, hoe zit het met het data-center? Wie mag daar binnen?
Wat gebeurt er als er iemand komt van de gerechtelijke politie met een mandaat van de
onderzoeksrechter om iets op te vragen, hoe gaan we daarmee om? Ja dan verwittigen we de
juridische dienst en verlenen we medewerking, maar we zorgen er altijd wel voor dat er iemand bij is
om te documenteren wat er gevraagd wordt en wat er gegeven wordt. Dat zijn dan die processen,
86
dat kan eventueel gepaard gaan met individuele instructies aan mensen. Dit wordt beperkt tot een
aantal mensen, zo beperkt mogelijk om hen admin-rechten te geven. Om te vermijden dat iedereen
via die rechten in onze boekhouding zou terechtkunnen, of in onze personeelsbestanden zou kunnen
terechtkomen. Het is de vierde lijn van onze ‘three lines of defense’.
Heeft het bedrijf een soort van risicofilosofie of een risk appetite dat duidelijk definieert welke
risico’s, en in welke mate bepaalde risico’s, kunnen worden aangegaan om strategische
doelstellingen te kunnen behalen?
Ik heb zelf een risk appetite model uitgewerkt een paar jaar geleden, met betrekking tot contracten.
Dat zit dan in de standaardovereenkomsten. Wij hebben niet altijd standaardovereenkomsten. Wij
hebben dus gezegd van kijk: bepaalde clausules zijn rood, bepaalde oranje, andere groen. Met
andere woorden: als het groen is, gaan we er vanuit dat alles in orde is. Die classificatie van groen-
oranje-rood kan helpen. Wat is groen? Groen is wanneer de klant zegt: we kopen bepaalde dingen,
maar we kopen ze enkel in uw vaste productengamma. Dat is in orde, want we zeggen altijd: als het
in ons gamma zit, dan beheersen we dat risico in feite. Wij onderhouden dat contract met die
leverancier. Of gaat die klant zeggen: ik wil een betalingstermijn van 60 dagen, waar dat onze
standaard 30 dagen factuurdatum is. Dat is een oranje clausule, wat betekent dat we zeggen: de
facto, we weten dat het toch vaak naar de 60 neigt en zeker in de openbare sector waar dat
standaard is. Weet je wat? Jij als business owner of de legal moet daarzelf over beslissen. Misschien
is het sommige gevallen dat we wat weerwerk bieden, maar in de meeste gevallen gaan we dat
aanvaarden. Onze risk appetite laat ons toe om dat te aanvaarden. Als een klant zegt van: sowieso, ik
betaal pas na 180 dagen, dat is duidelijk een rode clausule. Dat kan op geen enkele manier binnen
onze bestaande perken gebracht worden. Een rode clausule gaat alleen aanvaard worden, dus die
beperking dat verbod dat risico niet te nemen, kan alleen worden overruled door een directielid, en
daar zijn er niet te veel van. Dat houden we onder controle op die manier. Dat is een model van risk
appetite. Hoe hebben we dat dan in de praktijk gebracht? Wij hebben dat aangeleerd aan de mensen
die de contracten opmaken, contract support. Wij hebben dat op de portal van legal gezet en dat
noemen we geronimo. Ik weet niet meer waarom die naam; daar zit een hele afkorting achter met
risico-elementen in. We hebben een geronimo voor klanten; contract support, en we hebben ook
een geronimo voor sales. De sales mogen dit niet weten. Die kennen die tabel niet, want anders gaan
die automatisch zeggen: ”Ok, ’t is goed, we gaan direct naar het oranje opschuiven”. Dat willen we
vermijden en daarom hebben die geen toegang tot die tabel. Enkel de mensen van contract support
en die duwen altijd naar het groene. Wanneer ze het niet kunnen halen bij wijze van spreken, dan
halen ze de legal erbij om wat extra gewicht in de schaal te gooien. In de geronimo van sales staan er
andere dingen, bv.: begin niet zonder contract en denk eraan dat je op tijd en stond verslag moet
87
uitbrengen en als er problemen zijn, meldt die dan op tijd. Belangrijke informatie die moet helpen
om risico te kunnen beheren. Uiteraard volstaat het niet om dat op de portal te zetten, we moeten
daar ook trainingen rond geven, en wat nog het meeste efficiënte is: persoonlijke coaching.
Wat spijtig genoeg nog gebeurt is dat er iemand buiten de lijntjes kleurt. Afhankelijk van de zaak
wordt er een persoonlijk gesprek gevoerd met de bedrijfsjurist, of met mijzelf, of met de general
manager, of met general manager en mijzelf en dan is het niet goed (lacht).
Is er iemand in de organisatie die een centrale functie in verband met risico vervult?
Ik zeg altijd, dat is mijn slogan: we hebben allemaal dezelfde job, iedereen in het hele bedrijf. Van de
receptioniste tot de algemene directeur, wij zijn allemaal risk managers in onze eigen taken. Dat is
belangrijk, dat is dus de mindset die bij iedereen zou moeten leven. Dat is niet altijd natuurlijk. Voor
de rest: de risico’s worden voor een groot stuk beheerd door het senior management en de internal
auditor heeft zelfs een bepaalde vorm van coördinatie en uitvoerende
controle…verantwoordelijkheid.
Interne auditor moet niet enkel rapporteren aan de algemene directeur, maar ook aan het audit
comité.
U sprak van “four lines of defense” in Realdolmen… Risico’s worden dus niet centraal gedragen en
er gebeurt dus een delegatie van zogezegde ‘ownership’ naar andere functies binnen het bedrijf?
Ja, we zijn met 1200 mensen en we sluiten 1000en contracten per jaar. Uiteraard kan je dat niet
centraal beheren. We zijn toch wel verplicht om…vandaar het belang van die lines of defense. Die
vierde lijn helpt het beleidsprogramma en helpt ook om de cultuur binnen het bedrijf af te stemmen
op risico’s. Je mag daar niet in overdrijven: je mag niet constant lopen zwaaien met risico’s want dat
is cyclisch, dat gebeurt in veel bedrijven denk ik. Wanneer het dus echt heel erg slecht geweest is,
dan gaat iedereen in een kamp en dan worden er extra maatregelen, extra diensten en extra
aandacht besteed aan het risicobeheer. Dan worden mensen vaak een beetje te voorzichtig, dan krijg
je achterstand in je pipeline, in je resultaat, dan beetje bij beetje moet je dan weer lossen. Wat wij
als legal altijd zeggen is: wij helpen in de business in het realiseren van een goede risk ratio. Wat is
dat? Heel eenvoudig: de verhouding tussen positieve en negatieve risico’s. Wij helpen die te
bewaken. Er zijn heel veel positieve risico’s: je moet risico nemen, ondernemen is risico nemen, die
kunnen leiden tot opbrengsten en winst. Er zijn uiteraard ook heel wat negatieve risico’s. Je moet die
twee in balans brengen. Daar moet je bewust mee bezig zijn. Wij als business-partner, de
bedrijfsjusrist als business-partner, wij wijzen daarop. Wij kunnen bijvoorbeeld een vraag stellen: kan
je dat wel? En hoe ga je dat doen? Hoeveel kost dat? What if? Er komen altijd what-if vragen. We
proberen dus altijd, op voorhand, te zoeken naar evenwicht tussen die positieve en negatieve
88
risico’s. Als het kalf verdronken is, zoeken we naar de beste mogelijke oplossing. De mensen moeten
tijdig op de hoogte gebracht worden, dus zoeken wij constant naar mogelijke problemen en die
‘vlaggen’ we dan. Daar wordt dan een preventielijst voor ontwikkeld: eenmaal per maand geef ik,
samen met mijn collega’s van de directie, en houden we de aandacht preventief op dit of dat dossier
waar er iets verkeerd gebeurt. Die lijst wordt dan overgedragen aan het management en de directie
om risico’s op een preventieve manier te kunnen beheren. Dit is ook handig om de risk appetite te
wijzigen of te toetsen of te testen.
Wat zijn belangrijke aandachtspunten tijdens die communicatie tussen die 4 verschillende lines of
defenses?
Je komt natuurlijk heel vaak dezelfde mensen tegen in die lijn. Finance…het AC duikt ook regelmatig
op. PMO, daar zit die group reporting van finance weer tussen..internal auditor komt ook eens naar
boven. IT manager zal in het kader van projectwerk of in het kader van het auditplan aangesproken
worden… Je hebt te maken met een aantal bruggetjes tussen die verschillende lines of defense.
Ofwel is dat via de CFO of via de secretaris, mezelf, via de IT manager, via de internal auditor. Dat
gebeurt dus via mensen die betrokken zijn in die lines of defense.
Gebruikt het bedrijf tools om risico te rapporteren? U sprak daarnet al van een heat map…zijn er
nog andere?
We hebben onze ‘intensive care’ dat wordt weergegeven via een bubble-chart. Behalve die bubble
chart zijn er nog andere tabellen, je kan zoveel grafieken en modellen maken. Als je een ‘Excel’ hebt
met veel gegevens kan je veel leuke charts maken. Je mag je niet blindstaren op een chart. Een heat
map is ook maar een voorstelling, is maar een chart. De tools zijn in feitelijke de interviews, de
classificatie, het bevragen en het testen, samenwerking tussen interne en externe auditor is ook een
tool op zich. Die bijzondere tool van Deloitte, waarvan ik van sprak, die dus al die publieke gegevens
kan gebruiken om de bedrijfsgegevens te gaan controleren…dat is ook een speciale tool. Wat
projecten betreft, gebruiken ze de tijdsregistratietools. We hebben nog andere tools…SPARX, dat is
ook iets dat gebruikt wordt in de ‘project factory’ waar men software bouwt, dat is ook een
rapporteringstool.. Ja, iedereen heeft zowat zijn eigen tools, zowel de mensen van infrastructure als
internal IT..die hebben ook tools om bijvoorbeeld de firewalls en de performance te meten, zeer
technische dingen. Dat zijn allemaal IT-tools, maar die gebruiken ze omdat het hen toelaat om risico’s
te beheren.
Wie is er verantwoordelijk voor het rapporteren van risico-gerelateerde informatie aan de raad
van bestuur?
89
Het management.
Wordt risico in functie van strategie bekeken of wordt er voornamelijk toch nog gekeken naar
compliance tijdens het rapporteren aan de raad van bestuur?
Compliance is niet de toetssteen of het watermerk … Het proces van ijken gebeurt niet aan de hand
van compliance, het gebeurt aan de hand van de functionele risico’s. Dat is dus dat eerste proces: de
belangrijkste risico’s worden daar ingeschat in functie van de strategie. Bijvoorbeeld de eerste vraag
was: is er een afdoend proces om de strategie vast te leggen…dat op zich kan al een groot risico zijn
moest dat proces niet goed zitten.
Wat is volgens u de functie van risico rapportering aan de raad van bestuur?
Het is een verplichting van de raad om toe te zien op de uitvoering van de strategie en om toezicht
uit te oefenen. Wat is toezicht uitoefenen? Zien hoe het bedrijf de strategie uitvoert en omgaat met
de assets van het bedrijf. Uiteraard moet je rekening houden met de risico’s want in je
bedrijfsvoering moet je zorgen dat je strategische doelstellingen behaalt, moet je zorgen dat je geen
geld verkwanselt, en moet je zorgen dat je aan je toekomst bouwt. Dat zijn evenveel risico’s wanneer
je dat niet doet, en daar moeten zij op toezien. Dus dat is de reden waarom de raad zich in alles de
vraag stelt: waarom, hoe, verloopt dat goed?, what-if…zij stellen heel veel what-if vragen.
Dus risico-rapportering is niet echt een aparte oefening, maar behoort tot het bredere geheel?
Risico-rapportering is een apart onderdeel in onze, wat ik noem, de running agenda van de
periodieke onderwerpen van het audit comité waar dat we dan uiteraard de periodieke
resultaten…dan heb je de ruling agenda over nota bene de betrouwbaarheid van de cijfers en de
verslaggeving van de internal auditor. Elke keer als er een audit comité is, komt dat vast aan bod.
Maar wanneer wij een discussie voeren over het budget of de jaarresultaten… dat is een andere
meeting. In elk onderdeel wordt er gesproken over risico’s. Zoals ik eerder zei, ze stellen veel ‘what-
if’ vragen?
Heeft compliance met allerhande regelgeving een impact gehad op hoe jullie kijken naar risico’s?
Ja, ik denk het. Ik heb daar toch voor geijverd, dus ja het is moeilijk om tegen de compliance officier
te zeggen: denk je echt dat compliance iets bijdraagt, is dat wel belangrijk überhaupt? Dan zeg ik ja.
Zonder mij zou er hier niets gebeuren van risico, dat is een overdreven statement, dat is niet waar
(lacht). Zonder een compliancy-insteek gebeuren de zaken meer ‘ad hoc’ en minder ‘high-level’ of
systematisch…is er minder een holistische aanpak. Wij hebben in de tijd moeten ijveren om een
internal auditor te hebben en om daar een headcount aan te kunnen toewijzen. Ik werk hier al lang,
90
ja ik heb het begin gezien, hé. Met de eerste Code Lippens enzoverder, in navolging van Tabaksblad
in Nederland en de andere naam onstnapt mij in Engeland… Dat waren relatief nieuwe begrippen in
het begin van de 21e eeuw. Dat was niet evident, toen werd er ‘ad hoc’ en naar persoonlijke inzichten
aan risicobeheer gedacht.
In de literatuurstudie las ik dat compliance met regulation eerder backward-looking is en dat een
ERM eerder forward-looking is. Kan u dat verschil begrijpen?
Ja, ik kan dat verschil wel begrijpen, maar ik ben daar niet mee akkoord. Uiteraard, weet je dat is de
aanpak van compliance zoals de klassieke bedrijfsjuristen dat ook doen. “Geef mij een regeltje en ik
zal zien of dat het regeltje wordt nageleefd en dan zal ik zeggen of het nageleefd wordt of niet”, dat
is een ‘a posteriori’ aanpak, die meestal vrij logisch is omdat de regeltjes vrij steriel zijn… Het is
begonnen met SOX…de SOX-filosofie is heel snel verwaterd in een “check-the-box” oefening. Dat is
waar, maar je moet ook zien hoe SOX opgebouwd is. Daar stonden de gekste dingen in: enorm
uitgebreid, maar allemaal geschreven vanuit een ‘ex post point of view’, nooit vanuit een ‘ex ante
point of view’. Uiteraard krijg je dan een ‘check-the-box’ oefening. Dus wat heeft Europa gedaan,
Europa heeft gezegd: in plaats van die strenge SOX-aanpak, gaan wij hier aan ‘self-regulating’ doen.
We gaan ‘comply or explain’ invoeren. Dan moet je toch al eens gaan nadenken van: complyen
waarmee in feite en waarom zouden we dat doen en in feite wil ik dat niet doen omdat…en dan
begin je dat uit te leggen en daar kunnen best gegronde redenen voor zijn. Maar dan ben je al naar
de toekomst aan het projecteren, dat is ex ante en daar ga je dus anders mee omgaan. Hoe
zichtbaarder de finaliteit wordt, hoe beter je jezelf kan organiseren. Een voorbeeld was de lange
termijn die er was op vlak van compliance om de gender diversity in te voeren in de raad van
bestuur. 2017 was de termijn om te zorgen dat je 1/3 vrouwen in de raad kreeg. Door daar heel tijdig
aan te beginnen en dat bewustmakingsproces goed te voeren, zijn de meesten er wel in geslaagd om
op tijd te komen aan hun 33%; dat is perfect gelukt, omdat je dan forward-looking je risico kende,
kon inschatten, kon nadenken over redenen waarom je het niet zou doen, waarom je het nog niet
gedaan hebt… dat heeft perfect gewerkt. Die aanpak in Europa is op dat vlak behoorlijk geslaagd
denk ik.
Het is grappig dat u het geval van de vervrouwelijking van de raad van bestuur ook vermeld heeft.
Één van mijn interviewees zei: ‘hoe kan dat nu een impact hebben op ons resultaat?’. Kan u, zoals
die persoon, zich daar in vinden dat sommige compliance met regelgeving het doel soms wat
overstijgt? Wat is uw mening hierover?
Ik ben voorstander van bepaalde strikte doelstellingen, want anders gaat dat ‘change process’ nooit
echt gebeuren. De meeste mensen zijn conservatief: iemand die macht heeft, deelt dat niet
91
gemakkelijk. Je moet maar kijken naar bepaalde landen, werelddelen, bevolkingsgroepen, whatever,
waar de helft van de bevolking veel minder rechten heeft dan de andere helft. Dat wordt niet zomaar
opgegeven. Idem dito, als we die doelstelling niet gehad hebben om meer vrouwen in de raad te
krijgen, dan hadden we er ook nog niet zoveel gehad. Geeft dat een garantie op betere resultaten?
Volgens de literatuur, die altijd wordt aangehaald en die dus meestal uit de VS of uit Scandinavische
gebied komt, blijkt daar wel een correlatie te bestaan tussen die vorm van diversiteit en het
resultaat. Natuurlijk, je moet daar voorzichtig mee omgaan; we spreken nog altijd
beursgenoteerd…het is maar een vorm van diversiteit; het kan even nuttig zijn om binnen eenzelfde
gender-groep verschillende opinies en verschillende persoonlijkheden te hebben enzoverder. Daar
hoeft niet noodzakelijk een ander geslacht bij te zijn. Maar in onze ervaring hier, ben ik er toch vrij
van overtuigd dat de diversiteit op het vlak van geslacht absoluut een nieuwe kijk heeft gebracht,
niet noodzakelijk een betere, maar een nieuwe, frisse kijk. Het is heel moeilijk om in raden van
besturen vers bloed te krijgen. In elke groepsdynamiek is er veel conformisme; dat is het probleem.
De Code zegt gewoon: zoek naar mensen die hun mening geven, zoek naar echte onafhankelijke, dat
hangt niet met het geslacht samen maar je moet onafhankelijke denkers hebben. Onafhankelijkheid
geeft nieuwe inzichten en die zijn absoluut nodig. Die zullen de status quo bevragen; dat is belangrijk:
je moet challengen.
Is er ruimte voor verbetering op het vlak van interne risico-rapportering?
Naar tools toe? Er zijn altijd betere tools, natuurlijk. Ze zijn nuttig, maar…het nadeel van tools is dat
ze met verstand moeten gebruikt worden, hé. Het mag geen check-the-box oefening zijn. Een tool
vervangt geen mentaliteit, mentaliteit is het belangrijkste. De mindset is het belangrijkste. De tools
ondersteunen de mensen die aan risicobeheer willen doen. Mensen die niet aan risicobeheer willen
doen omdat ze zogezegd geen tijd hebben, die gaan ook blij zijn daarmee omdat ze er iets in kunnen
inzetten, ‘dan is er wel iets’. Hangt er vanaf wat de mindset is. Wat is de cultuur, zoals altijd wordt de
toon gezet aan de top, hé.
92
10.4. Attachment 4 – Interview transcript: Company A
Heeft het bedrijf een geformaliseerd proces om risico te kunnen managen?
Nee, er is niks van procedure of uitgeschreven regels. Ja, het is een beetje, denk ik, deel van de
corporate governance, het algemene, de regels die we hebben. En ook zoals bij corporate
governance weet je dat de mentaliteit en de ethiek het belangrijkste is, maar we hebben er eigenlijk
geen manifest of document over. Wat dat wel is, is dat we een aantal ‘checks and balances’ hebben
die in de praktijk risico-rapportering eigenlijk wel in de hand werken, of er in feite voor zorgen dat
dat eigenlijk wel in orde is.
En heeft het bedrijf dan een soort van risicofilosofie dat duidelijk afbakent welke risico’s, en in
welke mate deze kunnen aangegaan worden om strategische objectieven te behalen?
Dit bedrijf is een beetje, in vergelijking met andere beursgenoteerde bedrijven natuurlijk iets
verschillend omdat onze business nu eenmaal een risico-taal is. Je zal dat wel al gezien hebben, dat is
één van de belangrijkste grafieken die er zijn, risk-reward. Je kan geen rendement halen zonder dat
er risico genomen wordt. Uiteraard, als we zouden het ultieme doel hebben om geen risico te
hebben in onze business as such, dan zijn er ook geen investeringen. Dus elke investering draagt
risico in zich. Wat dat je daar in feite wel kunt proberen te beperken is door een spreiding. Dus je kan
verschillende zaken gaan doen en dus ook de levensfasen van het bedrijf waarin je investeert. Start-
ups…meer risico, mature bedrijven minder dus daar kan je wel een stuk uw risicoprofiel definiëren
op voorhand. Je kan gaan zeggen: we gaan niet investeren in start-ups, maar daardoor sluit je in feite
al een groot stuk risico uit. Of we gaan enkel die sectoren.. Het probleem is dat dat meestal een
negatieve keuze is: we gaan dat niet doen, we gaan geen biotech doen omdat we er niets van kennen
of geen start-ups.. Maar ok, elk dossier heeft zijn eigen merites en moet op zich opnieuw bekeken
worden, we hebben daar ook al van afgeweken van wat in feite een heel goede investering was. Dus
je kan het niet zo zwart-wit gaan stellen. Dat is één zaak. Dat is het risico in feite in uw business.
Maar dan heb je nog andere risico die speelt, dat is meer naar corporate governance agency
theory…hoe ga je dat risico naar fraude en verkeerde rapportering aanpakken… En daar kunnen we
enkel op reageren door in feite zoveel mogelijk functies te gaan ontdubbellen: controle, externe
boekhouder, auditor, natuurlijk de bankcommissie die ook altijd alles bekijkt. Dat zijn natuurlijk 2
verschillende waar dat we de meeste risico-categorieën hebben: de ene is nu eenmaal de business
en de andere is één meer gedreven door procedures. We proberen dit in te perken.
93
En is er dan iemand in de organisatie die een centrale functie vervult in verband met risico?
Neen, er is geen aparte functie as such aangewezen. In de praktijk zijn dat dus de voorzitter van de
raad van bestuur die mijn werk gaat gaan controleren en dan de raad van bestuur in zijn geheel als
controle-orgaan, externe boekhouder, auditor en bankcommissie. Er is dus eigenlijk een
wisselwerking, maar er is geen risk officer.
Welke andere organen of units in de organisatie dragen dan een soort van risico-
verantwoordelijkheid?
In feite iedereen die in de praktijk beslissingsrecht heeft om bepaalde zaken te gaan doen:
bankoverschrijving, investering, een beslissing binnen een investering, ja dat draagt een risico in zich.
Als u beslist om iets te gaan doen, kan dat een impact hebben op het financiële resultaat. Het is dus
wel zo dat de raad van bestuur een beslissing moet opvolgen, goedkeuren of tegenhoudt. Maar ook
bepaalde dossiers, waar we bijvoorbeeld werken met één bestuurder die dan ook nog eens in de
praktijk meekomt en de investering gaat opvolgen…die heeft natuurlijk zijn verantwoordelijkheid,
niet alleen wettelijk als bestuurdersaansprakelijkheid, maar ook gewoon als bestuurder die een
bepaalde beslissing van een welbepaalde vennootschap goedkeurt. Als het bedrijf failliet gaat, dan
heeft dat natuurlijk ook een impact naar het risico-financiële voor de rapportering van ons bedrijf.
Die verschillende mensen die verantwoordelijkheden hebben, mogen die risico managen volgens
hun eigen goeddunken?
Ja, binnen bepaalde perken, is dat zo, zeker bij kleine bedrijven, heb je daar een soort van vrijheid,
hé. Je kan niet voor alles terugkoppelen. In de praktijk is dat wel al verbeterd. Tuurlijk moderne
technologie helpt daar wel bij. Na 20 jaar zie je wel al dat dat veranderd is. Het is makkelijker om
iemand te bereiken en ook zeker als je bepaalde beslissingen op tafel moet leggen van waar je weet:
‘ok, dat gaat een LT impact of een aanzienlijk belang zijn’. Uiteraard is het dan maar ‘een kleintje’ om
te zeggen: ‘sorry ik ga even afchecken met de mensen die het ook kennen’. Dat is geen formele raad
van bestuur, maar er zijn wel mensen die het dossier goed kennen. Dat is dus direct al een check dat
je kan maken.
Hoe verloopt de informatieflow in het bedrijf rondom risico? Wat zijn bijvoorbeeld belangrijke
aandachtspunten?
Dat is terug niet zo strikt omlijnd. Onze rapportering dat we normaal doen gaat voornamelijk over
zaken in onze dossiers. Daar zijn onze grootste risico-punten. Dan is het eigenlijk pas meer, zouden
we zeggen, op vastgelegde tijdstippen. Wij doen om de 6 maand een publieke rapportering. Een
‘closing’ ook, waar natuurlijk ook een extra controle komt door de auditor, een commissaris-revisor
94
die aangesteld is, die ook nog een keer de procedures en in feite de manier waarop je werkt gaat
checken. Voor de rest is dat iets dat continue gebeurt en dat enkel naar boven komt als er iets mis
zou lopen.
Dus voornamelijk afhankelijk van de dossiers?
Ja, de dossiers zijn het belangrijkste in feite. Ok, het zijn ook de meest zichtbare, de grootste
potentiele problemen. Ik steel geld uit de kas, of iemand die bevoegdheid heeft om banktransacties
te gaan doen gaat geld overzetten van ons bedrijf naar zijn privé-rekening… Het duidelijk voorbeeld
van fraude is iets dat maar na een tijd gaat opkomen. Stel dat we verschillende bankrekeningen
hebben waar je dagelijkse transacties meedoet en andere waar je sporadische banktransacties
meedoet, ja dan ga je dat maar zien na een tijd, misschien is die ondertussen al verdwenen. Dan heb
je misschien meer moeilijk traceerbare of vindbare… ja fraude is risicovol. Iemand die in onze stiel
bijvoorbeeld in een investeringsdossier persoonlijk geïnvesteerd heeft en die stelt dat dan voor aan
de raad van bestuur…dan heeft die er alle belang bij om de investering te laten doorgaan omdat hij
er zelf kan cashen daardoor. Als je dat via verschillende vennootschappen afgeschermd hebt, of er
zijn afspraken gemaakt met side-letters… dat zijn zeer moeilijke dingen terug te vinden op KT, terwijl
dat dat 1 van de grootste risico’s zijn. Het verschil met theorie en praktijk, wat ik de voorbije jaren in
de bankencrisis heb gezien met off-balance transacties…die ga je niet zo makkelijk zien, het valt uit
uw procedure terwijl dat dat een fantastisch risico is. Het kan exploderen in feite, zeker als je met
afgeleide producten gaat werken. Kijk naar Dexia, Fortis, met hun hedgen, het potentiële risico is
enorm, terwijl het moeilijk terug te vinden is in de dagelijkse rapportering.
Gebruikt het bedrijf bijvoorbeeld tools om risico te rapporteren?
Nee, dat is eigenlijk in de gewone rapportering. We hebben geen specifieke tool of
rapporteringsvorm over, nee. Dat wordt geïntegreerd in de gewone rapportering.
Wie is er uiteindelijk verantwoordelijk voor de rapportering naar de raad van bestuur?
We zijn op verschillende niveaus verantwoordelijk. De RvB is collegiaal als 1 orgaan verantwoordelijk.
Als ik iets verkeerd zou voorstellen, en de raad van bestuur keurt het goed en het gaat naar buiten in
de vorm van een persbericht, dan gaat de raad van bestuur uiteraard eerst de verantwoordelijkheid
moeten opnemen. Zij gaan natuurlijk mij, tweede stap, aanvallen en procederen tegen mij, maar het
is uiteindelijk de raad van bestuur die collegiaal de verantwoordelijkheid draagt.
De externe IFRS-specialisten zijn een extra veiligheid, een risico-afdekking. Eerst rapporteert de
externe boekhouder aan de commissaris, en dan komen er dikwijls vragen ivm foutjes… Dat doet de
efficiëntie van de rapportering wel niet goed, omdat er achteraf wel bepaalde opmerkingen komen
95
in verband met fouten. Als de externe boekhouder rechtstreeks rapporteert aan de commissaris,
vermijdt je belangenvermenging en dat is wel een goede check. Als je bepaalde zaken laat checken
door externe partijen, dan ga je zaken kunnen checken waar je anders zelf overziet. Dat is een goede
extra ‘checks and balances’.
Aan welke risico-gerelateerde informatie wordt het meeste belang gehecht tijdens rapportering
aan de raad van bestuur?
Bij ons zijn dat de dossiers zelf – de investeringen. Je gaat kijken: hoe gaat het, zitten we op schema?
Naargelang de soort bedrijven waarin geïnvesteerd, zijn het bijvoorbeeld klassieke, mature
productiebedrijven, dan gaan de cashflows redelijk stabiel blijven.. Je gaat uiteraard hier geen
potential return op krijgen van maal 10. Dan heb je uiteraard ook investeringen die meer aandacht
vragen: jongere bedrijven, moeilijkere sectoren, of het ‘turnaround-verhaal’ waar we ook wel eens in
durven investeren. Dat is in bepaalde perioden zeker intensief, zelfs zover dat we er op zondag mee
bezig zijn. Dan ligt dit ook bovenaan de agenda en wordt er meer over gerapporteerd. Je mag ook
niet de denkfout maken om bijvoorbeeld 500.000 te investeren in een dossier dat heel veel vraagt
en in een ander 5.000.000 dat minder tijd vraagt… ja, het is soms een afweging dat je moet maken in
verband met prioriteiten stellen tijdens risico-rapportering naar de raad van bestuur. Het effect dat
het zal hebben op de totale intrinsieke waarde speelt een belangrijke rol, maar logischerwijze wordt
er eerst gerapporteerd over wat er ‘brandt’.
Het bedrijf heeft een gediversifieerde portefeuille van een verschillend aantal aandelen…
Ja, maar minder dan vroeger.
Wordt er dan ook gekeken naar de portefeuille in zijn geheel?
Jawel, eerst de grote lijn van zo’n pot: daar is nog zoveel cash en er is zoveel geïnvesteerd… Gaan we
meer naar exit van bepaalde bedrijven, dus meer cash, of is het de bedoeling om fully-invested te
gaan om meer druk te zetten op dossiers. Laatste tijd ligt de focus op wat we hebben, de portefeuille
safe stellen , uitbouwen dan echt nieuwe dossiers aan te gaan.
Wat is volgens u de functie van risico-rapportering aan de raad van bestuur?
Het is zeer nuttig, het is echt belangrijk dat dat ook gebeurt. Maar het is veel meer een soort extra
van: ‘ok, is de manier waarop de constellatie van het bedrijf: algemeen directeur, rvb, externe
boekhouder, comm-rev,… is dat genoeg ingedekt naar de manier waarop we werken?’. Procedures
en dergelijke, wordt niet noodzakelijk maandelijks aangehaald. Er gebeurt ook een evaluatie, wat ook
in de wetgeving voorkomt, wat niet slecht is. De inschatting van risico wordt bij ons heel frequent
96
gedaan omdat wij werken met risico-kapitaal. Zowel bestaande, als nieuwe dossiers worden continue
overlopen om na te gaan welke risico’s ze lopen. De belangrijkste regel bij investeringen is: iedereen
lijdt verliezen. Dat is logisch. De indekking van ‘worst case scenarios’ gaan we bekijken: wat als dat
verkeerd loopt… dat is belangrijk en daar wordt toch wel veel tijd aan besteed wordt hoor. De sector
waarin we werken heeft uiteraard ook een grote impact op de manier waarop en hoe risico wordt
gerapporteerd. Onze business brengt nu eenmaal risico met zich mee dus dat is toch wel belangrijk,
ja.
Heeft bepaalde regelgeving een impact gehad op hoe het bedrijf risico beheert? Ik denk
bijvoorbeeld aan the Belgian Code on Corporate Governance…
Ok, het is natuurlijk een beetje sarcastisch dat de persoon die de code geschreven heeft, betrokken is
in één van de grootste… je ziet dat dat een dode letter blijft als dat niet in de mentaliteit zit
uiteindelijk. Zeker kleinere bedrijven gelijk dat van ons zien dat eerder als een extra regeltje, een
extra last die erbij komt. Ok, het gaat zeker zijn nut hebben, maar het schiet zijn doel vaak voorbij
omdat het te zwaar wordt. Ik geef soms het voorbeeld: bij het begin als ons bedrijf moest
rapporteren als investeringsmaatschappij, deden we dat met 2 tot 3 pagina’s met kerncijfers en de
intrinsieke waarde van de portefeuille, wat belangrijk is voor de investeerder die een aandeel heeft
in een investeringsmaatschappij. Mensen kunnen dan vragen stellen: hoe zit het daarmee, etc… Dat
is begrijpbaar… Nu doen we IFRS/IRS opgelegd, met persberichten van 15 tot 20 pagina’s. Nu krijgen
we geen vragen meer, dat is dus in feite een overdondering. Die regels veranderen om de zoveel jaar,
interpretatie van IAS, … Mensen stellen gewoon geen vragen meer omdat ze zich niet willen
belachelijk maken of het gewoon niet begrijpen… Wie begrijpt wat een impairment test is… Mensen
hebben schrik om vragen te stellen, waardoor we de kans verminderen dat onze investeerders het
allemaal begrijpen. Het schiet zijn doel vaak voorbij. Ik ben wel akkoord dat het de moeite is, maar
het is moeilijk. De commissaris-rol is daar belangrijk in, externe aangestelde auditor die alles nakijkt
en dus handelt in belang van de kleine en grote aandeelhouders. Die rol is cruciaal. Zij moeten ook
risico inschatten buiten de wet, gaan proberen te interpreteren en opsporen; niet enkel wat er
voorgelegd wordt, maar pro-actief. Een stap verder denken, kan wel helpen. Een heel belangrijk
probleem, maar dat horen ze niet graag: de commissaris wordt betaald door de vennootschap; hij
heeft wel zijn codes, maar ok, hij wordt natuurlijk nog altijd wel betaald door de vennootschap.
Indien hij continue negatief oordeelt, wordt uw mandaat niet verlengd als je begrijpt wat ik wil
zeggen... Dat is natuurlijk een fundamenteel probleem. Mijn opinie en advies zou zijn om daaruit van
te werken vanuit de bankencommissie om het niet aan bedrijven over te laten om de commissaris te
kiezen, maar te laten aanstellen door een overheidsorgaan. Bijvoorbeeld de bankencommissie zou
commissarissen kunnen aanstellen en de vennootschap zou beter een algemene ‘pot’ moeten
97
betalen. De betaling van commissarissen en de link met onafhankelijkheid moet best gebroken
worden, want dat is een belangrijkere indekking van risico’s. Dat is belangrijker dan al die regeltjes
extra erbovenop. Uiteindelijk zijn wij bezig met IFRS-specialisten te betalen om te rapporteren aan de
commissaris-specialist IRS die bezig zijn met welke manier dat je revenue recognition moet doen. Je
kunt daar eindeloos over discussiëren. Het is soms een ivoren toren, waar je je moet naar schikken.
Uiteindelijk ben je bezig met een soort cirkeltje van mensen te betalen of te ambeteren. Die
onafhankelijkheid vind ik wel belangrijk.
Speelt compliance met regelgeving een belangrijke rol tijdens rapportering aan de raad van
bestuur?
Ja, het is ‘comply or explain’. Je moet in feite volgen, maar de ‘explain’ krijgt altijd extra aandacht.
Het is makkelijker om wat meer effort te doen om te complyen in plaats van ‘explain’ te kiezen en er
dus van afwijkt. Je mag 60 bladzijden schrijven en 1 paragraaf die zegt dat je ervan afwijkt, die zal
aandacht krijgen. Dat is precies een spotlight dat je er opzet. Bijvoorbeeld het fenomeen van
vrouwen in de raad van bestuur… je zou kunnen zeggen: ok, we zijn er aan bezig… maar we zitten
nog niet aan de 1/3. Maar dat krijgt de aandacht, terwijl dat dat eerlijk gezegd een non-issue is, dat
zal geen effect hebben op de waardering, risico, of procedurele werking van het bedrijf. Dat krijgt
een overwicht dat het eigenlijk niet verdient.
Is er uiteindelijk volgens u ruimte voor verbetering op het vlak interne risico-rapportering?
Bij ons specifiek? Of in het algemeen?
Specifiek, maar u mag ook algemene suggesties doen…
Daarnet heb ik die opmerking gemaakt van de commissaris. Dat zou nog meer onafhankelijk moeten
gemaakt worden. Ze zullen dat niet graag horen want ze zijn allemaal beroepsheer en ‘blablabla’.
Gelijk, als je moet kiezen. Iemand is zéér zéér streng en weinig flexibel om bepaalde interpretaties te
gaan doen, ja dan gaat hij nergens revisor benoemd worden. Die zal geen mandaten hebben en die
mannen van KPMG of PwC zullen het dan wel mogen uitleggen bij het verlies van een klant… Het is
een beetje inherent aan de constellatie van een bedrijf dat de commissaris-revisor betaalt. Als je die
delen zou kunnen doorknippen, lijkt het mij toch al veel beter.. Een bedrag zou moeten vastgesteld
worden naargelang de grootte van het bedrijf en dat zou in een algemene pot moeten komen die
dan de commissaris uitbetaalt.. Dit zou dan bijvoorbeeld kunnen gebeuren door een
overheidsinstantie.
Bedankt. Dat waren al mijn vragen.
98
10.5. Attachment 5 – Interview transcript: Company B
Heeft u een geformaliseerd proces om risico te kunnen managen?
Uiteraard, in de payment-industrie vanzelfsprekend. We zijn trouwens verplicht om een aantal
disaster-recovery plannen te hebben. Het woord risico is natuurlijk een zeer breed begrip, maar er
zijn zowel risico’s op het gebied van inbraak, op het gebied van machine-uitval, op het gebied van
netwerkuitval, stroomuitval, risico’s op het gebied van fraude dus externe factoren. Last, but not
least heb je risico ten aanzien van uw personeel. Uiteindelijk worden er transacties gedaan en kan er
een personeelslid geld overmaken naar zijn privé. Al die zaken worden geïnventariseerd en worden
met een plan apart, elk onafhankelijk, dat wordt goedgekeurd door bepaalde partijen zoals Visa en
Mastercard. Met hun goedkeuring verkrijg je certificaties. Zonder certificaties kan je geen business
doen. Een permanente monitoring is dus zeker aanwezig om risico’s permanent te controleren om te
kunnen checken wat er zou scheeflopen.
Heeft het bedrijf een soort van risicofilosofie dat duidelijk definieert welke risico’s, en in welke
mate bepaalde risico’s, kunnen worden aangegaan om strategische doelstellingen te behalen?
Aangezien we in de payment-industrie aanwezig zijn, hebben we automatisch in de bankenwereld,
want dat is allemaal gelieerd, een duidelijke risico-filosofie aanwezig.
Is er iemand in de organisatie die een centrale functie in verband met risico vervult?
Absoluut, dat is onze COO, Chief Operating Officer, Wim, die is verantwoordelijk voor al wat dat
certificaties zijn en voor de uitvoering en de nawerking. Binnen de sector zijn we zelfs verplicht om
onafhankelijke consultants te betalen die permanent trachten bepaalde zaken op die risico-vlakken
uit te voeren. Bijvoorbeeld: wij hebben een extern, Hollands bedrijf die een ‘pen-test’ of een
penetratietest doet op ons netwerk. Dus dat is een bedrijf dat continue, 7 op 7, 24 op 24, 365 op 365,
tracht ons netwerk binnen te treden om aan de servers te geraken om uiteindelijk aan kerngegevens
te geraken. Als je het even googelt, zal je vele ‘failures’ vinden. Een jaar of 5 geleden in een bedrijf in
Japan, hebben ze 40 miljoen kaartgegevens kunnen stelen en de dagen erna werden er meer dan 1
miljard euro aan transacties uitgevoerd met die gestolen gegevens. In dit geval waren dat
Russen…die via een Sony playstation netwerk kunnen binnengeraakt zijn en via daar een ganse
download gedaan hebben en miljoenen kaartgegevens van klanten gestolen. Volgens de SEPA-
normen en volgens de certificatie-normen in Europa althans, mogen we geen volledige
kaartgegevens genoteerd worden. PAN zijn die fameuze 16 cijfers op een kaart, en via de CVC code
heb je toegang tot het krediet van de mensen. Die bedrijven die betrokken zijn, daar is uiteraard
imago-verlies want al die klanten sturen een boodschap naar hun banken dat die transacties niet
99
uitgevoerd werden door henzelf. Dat moet allemaal gereversed worden. Hopen werk, dat moet
manueel gebeuren. In de payment-industrie verloopt alles elektronisch, daar komt geen mens bij
kijken, maar als er iets verkeerd gebeurt, dan heb je natuurlijk een leger nodig om al die transacties
terug recht te zetten. Dus het gebeurt allemaal automatisch zolang het goed draait. Van zodra er iets
verkeerd loopt, heb je een groot probleem. Het belangrijkste is het imago, is het vertrouwen. Als je
een kaart bij u hebt en je hebt die gebruikt en er gebeuren valse transacties, dan ga je die niet meer
gebruiken.
Alle transacties komen op onze server terecht, maar de gegevens zelf zijn bij ons binnengekomen.
Wij gaan die gegevens op een of andere manier stockeren. Bij een hacking, ga je die gegevens niet
zozeer gaan kunnen lezen. Bijkomend, wij gaan nooit de volledige PAN bewaren. Wij hebben ook een
kluis, waar er informatie wordt opgeslagen. Maar geloof mij, je gaat daar niets van begrijpen hoor.
Wij zien regelmatig dat Chinezen en Russen ons netwerk proberen binnen te treden, dat is normaal
voor ons, dat is de normale gang van zaken. Soms geraken ze wel tot ergens, maar dat mag nooit te
ver zijn uiteindelijk. Als die gasten kunnen onderzoeken hoe wij tewerk gaan, is dat zeer gevaarlijk.
Wij hebben in ons bestaan van 20 jaar geen enkele penetratietest die succesvol gebeurde. Niemand
is er toe in staat geweest om zelfs de gegevens te benaderen. Sommige informatie wordt ook
gerepliceerd om het veilig te stellen. Beveiliging gaat zeer ver bij ons.
De terminal is zo belangrijk. Betalingen via smartphone, daar gebeurt er veel reclame over, maar
daar gaat ook veel fraude rond komen. Ik heb bijvoorbeeld familie die in London woont. Mijn zuster
en schoonbroer zijn daar actief in de financiële wereld en zij hebben al 2 jaar dat zij dus weigeren om
een ‘contactless kaart’ te ontvangen van de bank. Hoe opener dat je ‘de boel’ maakt, hoe makkelijker
het is om te penetreren. In de financiële wereld, als je alles doet via een smartphone of via een
computer, daar kunnen miljoenen mensen die data gaan stelen. Een terminal is een apart toestel: je
kan daar niet aan, dat is geen computer, dat is zoals we noemen een ‘embedded toestel’. Alles wordt
geprogrammeerd in een embedded way. Dat is dus een aparte machine-taal, je kan dat niet
downloaden, je mag dat openvijzen, dat gaat allemaal niet werken. Als je het zou openvijzen, worden
er een soort van ‘slots’ geactiveerd die ervoor zorgen dat de software zichzelf gaat verwijderen. Je
kan aan die data niet aan. Wereldwijd is het nog nooit gelukt om een terminal te vervalsen. Valse
transacties kunnen wel gebeuren die fraude-gericht zijn, bv. een BTW-refund: je kan refunden
refunden en refunden en zeggen dat het BTW is, maar dan ben je als handelaar zelf verantwoordelijk.
Een terminal, as such, is in die mate vandaag, het hoogst beveiligde toestel: je steekt uw kaart daarin,
de versleuteling op uw chip van uw kaart gaat de data lezen, die informatie wordt versleuteld tussen
het lezen van en lezen naar. Dat is dus ‘hyperbeveiligd’. Je mag niet met terminals werken als die niet
gecertifieerd zijn. Je kan niet zomaar met een terminal op de markt komen en zeggen van: ‘ok, wij
100
hebben hier een terminal in elkaar gestoken…’ Eventjes dat addendum hier om te melden dat in de
financiële wereld risico een zeer breed begrip is en op zeer veel niveaus van toepassing is.
Zijn er, naast de centrale risico-verantwoordelijkheid van de COO, nog andere functies binnen het
bedrijf die een risico-verantwoordelijkheid dragen?
Risico van het bedrijf, is risico van de business – bijvoorbeeld het risico dat er extern iets gebeurt. Wij
zijn afhankelijk van derde partijen: als derde partijen iets meemaken, zullen wij daar automatisch ook
de gevolgen van meedragen. Dat is een ander type van risico. Wij hebben de echte business in onze
praktijken, onze day-to-day activities. De hoofdboekhouder kan zelfs geen overschrijving doen van 10
euro. Alle overschrijvingen of transacties die gebeuren, moeten door hem afgetekend worden en
moeten nog door 2 andere personen op verschillende niveaus afgetekend worden. Voor de rest:
gelden overschrijven naar klanten en dergelijke dat gebeurt allemaal automatisch. Daar mag
niemand zijn neus insteken of aankomen; dat is uitgesloten. Een echt risico comité hebben wij niet;
wij zijn wel met 3: CEO, CFO, COO, en we komen wel 1 keer om de 3 maand samen om een rapport
te maken naar de RvB die dan de interne risico’s gaat herbepalen. Bijvoorbeeld; evolutie van de
markten, etc… de business risico’s naar het bedrijf toe. Hoe gaat het bedrijf zich daar tegenover
wapenen of een antwoord geven.
Vervult deze centrale functie eerder een begeleidende rol voor andere
bedrijfsfuncties/departementen (bijvoorbeeld ondersteuning bieden aan andere business units in
verband met het beheer van risico’s), of eerder een rol die bepaalt hoe risico’s moeten worden
beheerd. Met andere woorden, hebben andere units binnenin het bedrijf een vrijheid om risico’s
te kunnen managen volgens hun eigen goeddunken of zijn ze verplicht om een proces te volgen dat
duidelijk de regels afbakent hoe risico’s moeten worden beheerd?
Dat kan je dus niet doen. Zoiets is ALTIJD gecentraliseerd; zoiets kan je niet doen. Als je zou
decentraliseren, dan moet het departement voldoende groot zijn. Wat ga je dan doen, dat is gewoon
alles simplificeren, dat is een kost die veel te hoog is voor telkens indicaties te gaan doen. Nee je
moet dat gecentraliseerd doen, top-to-down, dat is veel efficiënter en veel directer. Trouwens, je
moet altijd zien dat de mensen geen directe baat hebben bij iets. Je moet de onafhankelijkheid
toch… vandaar dat wij externe partijen hebben zoals ‘pen-testers’, server infrastructuur testers, en
heel ‘den boel’…dat zijn allemaal externe partijen. Die zijn verplicht elke maand of elke 3 maand een
rapport te laten en de activiteiten die ze overlopen hebben, die niet gelukt zijn… Ze moeten ze
identificeren en kwantificeren en ze moeten het aan ons rapporteren. Dus ze moeten melden dat ze
dat, dat, en dat gedaan hebben… en dat ze daartoe niet toe geslaagd zijn; op dat niveau is dat
gebeurd en dat gebeurd. Wij moeten daar uit leren: “ oej, ze zijn toch tot daar geraakt, dat hadden
101
we niet verwacht, dus we hebben een probleem, dat heeft toch gefaald” Vanaf de eerste barrière
moet eigenlijk alles in orde zijn. Je moet ervoor zorgen dat ze geen stappen kunnen zetten. Dat
vraagt dan toch wel een onderzoek: “hoe komt het dat ze tot daar geraakt zijn?”. Dat wordt door
onafhankelijke partijen dus getest en dat komt dus bij ons. Wij zijn verplicht te reageren op de
voorgestelde acties. Wij moeten dus een plan voorleggen, in sommige gevallen, als het erg is,
moeten we een gepast antwoord vinden binnen de 24 uur, soms 48uur, soms een maand. Bij
kritische zaken, hebben we 24 uur de tijd om dat probleem aan te kaarten. Moesten ze tot ergens
geraakt zijn dat toch kritisch is, hebben we 24 uur de tijd om er een respons op te geven. Het kan
bijvoorbeeld zijn dat een firewall op een bepaald moment juist ‘out-dated’ was. Dus een firewall had
een versie 2.20.65 om iets te zeggen en de versie 2.20.66 is uitgekomen en dat firewall bedrijf is
bijvoorbeeld Cymantics, een bekend bedrijf in software voor security te gaan doen… ok, dan ga je
gaan kijken bij Cymantics.. Dan moet je weeral de onafhankelijke partijen inschakelen om de firewall
te checken… We zijn natuurlijk afhankelijk van die derde partijen, moest er daar bij die
softwarebedrijven die firewalls maken malafide personen tussensteken … Je moet wel geen ‘wolfs’
inzetten..
Dat is een wereldwijd probleem; wij zijn klein hoor: wij doen een paar miljard euro in omzetten van
klanten, maar er zijn een paar Amerikaanse bedrijven die bijvoorbeeld honderden miljarden euros
aan omzet draaien en die zijn dan natuurlijk meer exposed.
Hoe verloopt de informatieflow tussen de verschillende units, wat zijn de belangrijkste
aandachtspunten?
Er is geen informatieflow, daar moet je zeer voorzichtig mee zijn. Dat ligt hier niet te grabbel, dat
staat hier niet op servers waar dat iedereen zomaar toegang tot kan hebben. Dus die informatie is
gekend door een aantal mensen en die wordt door een aantal mensen beheerd en daar stopt het.
Dus bepaalde zaken, gezien dat ze zo kritisch zijn, zijn zelfs niet gekend door bepaalde mensen. De
ITC mensen hebben geen zicht op al die problemen. En dus zorgen we ervoor dat bepaalde mensen
binnenin informatica zich mogen buigen over bepaalde problemen. Ze mogen dat één keer doen,
maar ze gaan die opdrachten niet altijd krijgen. We gaan andere mensen aanduiden om het vervolg,
om te kijken wat zij daarachter gedaan hebben en om te zien of ze het werk wel correct gedaan
hebben. Als we vaststellen dat iemand iets gedaan heeft en dat werd niet correct gedaan,
bijvoorbeeld: een bepaalde server opgesteld heeft en er moeten bepaalde stappen gevolgd worden
om die beveiliging op te zetten en hij heeft die stappen niet correct gevolgd, dan moeten we
uiteraard die persoon op de vingers tikken. Dat wordt dan intern opgevolgd. Vandaar dat er voor elk
werk dat er gebeurt 3 controle-niveaus zijn, dus elk werk dat er gebeurt, wordt eigenlijk door twee
andere mensen herdaan om te zien dat de uitvoering wel klopt. Er is altijd een hoger niveau die moet
102
aftekenen, dat is figuurlijk natuurlijk, die moet dus aftekenen voor de uitvoering van het werk.
Vorig jaar hebben wij bijvoorbeeld een nieuwe server farm opgezet, ja dat is natuurlijk iets dat niet in
één twee keer gebeurt. “Ja, doe maar, we zullen wel zien”, ja dat is een catalogus van zaken die
moeten gedaan worden… Bepaalde mensen mogen bepaalde zaken doen en anderen hebben totaal
geen toegang of zicht of weet over wat de andere mensen gedaan hebben.
Het gebeurt wel eens dat er een bedrijf geld betaalt aan één of andere informaticus voor informatie
vrij te geven. Als je die informatie niet volledig hebt van A tot Z.. dan ga je er nooit geraken. De mens
is altijd wel een belangrijke schakel, want hij moet het uitvoeren maar het is ook een zeer kritische
en gevaarlijke schakel. Vandaag kan je vertrouwen hebben in een persoon, maar morgen kan dat een
extern gegeven zijn… Men is daar soms zeer infantiel in hoor. De meeste mensen hier zijn allemaal
mensen die na hun uren ook met informatica bezig zijn. Die zitten op sites waar ze proberen dat te
hacken, dat te hacken. Wij weten dat, wij doen daar onze ogen voor dicht. Dat is natuurlijk ook
kennis voor hen. Ze zijn actief en ze blijven actief, ze zouden wel bijvoorbeeld zonder het te weten op
die fora vragen kunnen beantwoorden van :”hoe ga je dat doen en dat doen”… en dan gaat hij zijn
kennis vrijgeven van wat hij hier gaat gebruiken van tools en informatie en dan is er misschien een
partij daarachter die zegt van “ja, ik ga het netwerk van dat bedrijf aanvallen”.. De vragen worden zo
indirect gesteld aan die personen, waarvan ze weten van die persoon werkt bij dat welbepaald
bedrijf en die zit juist waar dat we willen binnen geraken.. Als die werknemer toch oppervlakkige
informatie vrijgeeft van bepaalde infrastructuur, etc…die voldoende is om de hackers een kans te
geven.. Wij zijn altijd voorzichtig: wij hebben vastgesteld dat je als werknemer actief bent op
bepaalde fora, maar daar zijn meer malafide personen dan correcte personen.. Wij willen niet dat
werknemers informatie geven over het bedrijf: hoe de zaken lopen in ons bedrijf, zo’n vragen
worden nooit beantwoord en daar moeten werknemers zich van onthouden. Stellen we vast, dat er
zoiets gebeurt, ja dan zullen ze wel snel hun C4 krijgen, onmiddellijk buiten, onverbiddelijk.
Gebruikt het bedrijf tools om risico te rapporteren? Welke zijn deze tools en waarom werd er
gekozen te werken met die tools?
Uiteraard, ik spreek over de tools van het operationele.. Die andere tools zijn het audit comité, en de
auditor. Die moeten weten wat dat dus alle veiligheidsmechanismen zijn die het bedrijf in gebruik
heeft om fraude te vermijden. Wie tekent er af? Wie mag er bestellen? Hoeveel mensen moeten er
aftekenen om te bestellen, waar gebeurt de keuring? Al die zaken, dat zijn allemaal processen die
allemaal uitgeschreven zijn en die de auditor allemaal kent. Halfjaarlijks en jaarlijks zal hij een analyse
doen of al die processen wel werden gevolgd en uitgevoerd. Men gaat bijvoorbeeld een factuur
nemen.. Waar is de bestelbon van die factuur. Is er een contract? Wie heeft dat contract
genegotieerd? Zijn er gelieerde partijen, is dat een familielid, op basis van wat werd dat gekocht?
103
Wij hebben twee computers gekocht aan het dubbele van de normale prijs… waarom? Dat gaat men
analyseren en indien nodig aan de bel trekken en dat gaat dan naar het audit comité. Dat gebeurt
nauwelijks, wij moeten zeer weinig occasionele bestellingen plaatsen… 99% van onze activiteiten zijn
lange termijn contracten. Dus al onze leveranciers lopen onder lange termijn contracten, dat zijn de
belangrijkste leveranciers… Dat zijn allemaal zeer LT contracten en die zijn verbonden aan SLA’s of
service level agreements en als die SLA’s op een dag of op een week niet halen, moet er ingegrepen
worden. Die zijn ook verbonden aan boetes, dus halen ze het niet en hebben ze het niet opgelost
binnen een bepaalde tijd, ja dan moeten ze een boete betalen. Dat wordt ook allemaal geanalyseerd
door de auditor. Dat is dan niet het business gedeelte, maar het gedeelte op het niveau van het
bedrijf zelf.
Wie is er verantwoordelijk voor het rapporteren van risico-gerelateerde informatie aan de raad
van bestuur?
Dat is het management. Ik zetel zelf, als CEO, in de raad van bestuur met andere woorden ben ik ook
een bestuurder. Ik ben voorzitter van een directiecomité dat bestaat uit 6 personen: we hebben
mezelf, Wim als COO, Alain als CFO, Joris als CCO, en dan hebben we een development team in Lyon,
en de manager in Duitsland. Ik rapporteer in principe het geheel van informatie aan de raad van
bestuur. En zijn er daar risico-gerelateerde zaken bij, dan komt dat er ook wel bij. Heb ik daar een
petje op van een bestuurder, dat doet er niet toe: je zit met onafhankelijke bestuurders in de RvB
ook. Die mensen moeten daarover oordelen wat er daarmee moet gebeuren.
Aan welke risico-gerelateerde informatie wordt het meeste belang gehecht tijdens de rapportering
aan de raad van bestuur?
Dat is heel simpel: dat is risico over het bedrijf. De RvB staat in voor het bedrijf en haar belangen. Dat
wij uiteraard op technologisch vlak bepaalde risico’s dragen, dat weet elke bestuurder door het feit
dat we de facto in die business actief zijn. Maar die detaillistische dingen, zoals een firewall met
versie 6.20.64…dat is een ‘ver van hun bed show’. De raad moet wel weten dat, als er een rapport
naar bovenkomt dat zegt dat ze tijdens een test aan één van onze servers zijn geraakt, dat rapport
gaat dan wel naar de raad van bestuur moeten gaan. Dan gaan we moeten aankondigen dat we daar
een probleem hebben en dus risico lopen. Ik zeg het, dat is in het ganse bestaan van ons bedrijf nog
nooit gebeurd. Het technisch gedeelte… ik ben ingenieur van opleiding, is makkelijker om onder
controle te hebben dan het commerciële gedeelte. Wat wij niet onder controle hebben zijn
bijvoorbeeld de akkefietjes van de UNIZO die ons een proces aandoet, daar heb je minder impact op.
Wij hebben nu eenmaal 5-jaar contracten dat we afsluiten, en dat zouden volgens UNIZO 1-jaar
contracten moeten zijn, terwijl dat perfect legaal is. Dus we sluiten nog altijd 5-jaar contracten af. Ze
104
mogen zij schreeuwen van elk dak, dat kan ons niet schelen. Ik heb liever 20.000 klanten met een 5-
jaar contract dan 50.000 klanten met een 1-jaar contract. Zo kan ik er verschillende opnoemen. We
zijn daarvoor in eerste aanleg veroordeeld geweest zijn. We zullen zien hoe het zal uitdraaien in het
hof van beroep. Dat zijn andere risico-profielen die wel op de raad van bestuur besproken worden,
zeker en vast.
Wat is volgens u de functie van risico-rapportering aan de raad van bestuur?
Dat is belangrijk. De helft van de raad van bestuur gaat ergens iets met risico te maken hebben: is het
business risico of technologisch risico. Het gaat ergens wel altijd gelieerd zijn aan iets. De cijfers
worden besproken, en het gevolg van die cijfers: waarom is er groei of geen groei, waarom daalt of
stijgt de marge. Al die risico’s op het geheel van de business worden er zeker en vast vermeld. Wat is
het risico van een dividend uit te betalen en wat is het risico naar de FSMA toe? Wij moeten onze
cijfers rapporteren op vastgestelde momenten, de kalender ligt vast op voorhand. Dan zitten wij
regelmatig toch in contact met verschillende types van advocaten; dat zijn niet altijd litigation
advocaten, maar ook advocaten die bijvoorbeeld het handelsrecht volledig onder de knie hebben: we
gaan een kapitaalsverhoging doen,…wat zijn de risico’s daar rond? Al die elementen worden telkens
afgeschermd door literatuur die meegeleverd wordt aan de leden van de raad van bestuur. Zoiets is
permanent aanwezig. Als beursgenoteerd bedrijf kan je u niet permitteren een fout te maken want
dan moet je een persbericht maken van dat je ergens 2 weken geleden een fout gemaakt hebt. Elke
actie dat je denkt te doen, moet je volledig afschermen, en moet je zien dat je het voldoende hebt
bekeken. De kost van advocaten is vrij hoog in ons bedrijf, wij hebben trouwens permanente
advocaten ter beschikking. En in onze raad van bestuur zit er ook iemand die uit de advocatuur komt
en die trouwens hoofd legal is van een bank. Dan gaat hij met zijn ervaring ons advies geven. Hij gaat
zelf inbreng kunnen geven in de raad van bestuur.
Heeft bepaalde regelgeving een impact gehad op hoe risico’s worden beheerd in het bedrijf? Hoe
heeft het bedrijf dit ervaren?
Uiteraard, we zitten in een ‘hypergereguleerde omgeving’. Je doet niks zonder dat je gecertifieerd
bent. Er zijn certificaten op alle niveaus, het bedrijf moet gecertifieerd zijn. We zijn beursgenoteerd,
dus we zijn ook onderhevig aan de FSMA. Het FSMA controleert uiteraard de ganse activiteit van het
bedrijf naar de markt toe. Aangezien het publiek een deel van de aandelen in handen heeft, zijn we
verplicht tot openheid en informatie te geven; informatie over onze cijfers, onze risico’s, de risico’s
van de cijfers, etc.. etc.. Vandaar dat onze jaarverslagen, ook al zijn we een klein bedrijf, 180 pagina’s
lang zijn. Je staat dus in het blootje op het gebied van cijfers. Er zijn geen andere bedrijven die zo ver
informatie moeten geven, wij moeten niet alleen zeggen dat de omzet gevoelig is en we moeten ook
105
onderschrijven van waar dat dat komt en hoe dat dat komt. Je moet daar eigenlijk end-to-end een
volledige transparantie geven. De regelgeving voor dit bedrijf is zeer zeer groot. We zouden hier
anders niet zijn. Kom je er niet mee overeen, dan zit je niet in business! Is er morgen een probleem
waar dat ze ondervinden dat een bepaalde terminal niet-gecertifieerde software is, ja simpel dan
gaat de ‘boutique’ hier gewoon toe. Dat is onverbiddelijk.
Hoe percipieert u dat er zoveel belang wordt aan compliance met die regelgeving?
We zijn dat eigenlijk zeer gewoon. Je krijgt vele vragen, hé. Je moet daar trouwens niet tegen
vechten, als je het niet doet, dan mag je vergeten dat je nog lang business gaat doen. Dat is zeer
simpel, je gaat afgesloten worden van het netwerk. Als er een probleem is, gelijk bij Worldline
onlangs dat ze daar twee drie uur out zijn en dergelijke… Ik kan u verzekeren: achteraf gebeuren er
vergaderingen die niet evident zijn. De ‘root cause’ moet gevonden worden, rapporten worden
geschreven, mensen die zich intern gaan bezighouden met een probleem dat uiteindelijk al oud is. Je
gaat procedures moeten aanpassen zodat het zich niet meer kan voordoen. En dat moet snel
gebeuren.
Speelt compliance met allerhande regelgeving een belangrijke rol tijdens het rapporteren van
risico aan de raad van bestuur?
Het antwoord is hier al lang al gegeven, denk ik: anders zou het bedrijf gewoon niet bestaan.
Is er volgens u ergens ruimte voor verbetering op het vlak van interne risico-rapportering?
‘Smijt de CEO buiten en haalt een andere CEO binnen voor betere informatie’ (lacht). Men zal dat
alleen maar zien achteraf. Men heeft geen gelijk, maar men krijgt gelijk zeggen ze wel eens, hé. Dat is
het spreekwoord. Het is zo, het is zo, dat weet ik niet, we zullen wel zien of dat het zo is. Ik voer hier
een bepaald beleid, samen met een bepaald team, als CEO moet je knopen doorhakken.. Misschien
gaat een andere CEO meer belang hechten aan de risico van een betaling… Door mijn opleiding ga ik
mij veel meer focussen op technologie zodat wij de hoogste graad van compliance hebben, en dat
doen we ook. Je hebt 4 graden in Europa, en wij zitten op graad 1, dus wij hebben de hoogste graad
van compliance en security in ons netwerk. Bijvoorbeeld: je hebt de PCI DES en de PCI DSS. Al onze
software is PCIDSS-compliant. Er is vandaag geen enkel bedrijf in Europa waar de software PCIDSS-
compliant is, er gaat een datum komen binnen een jaar of 2, dat alles PCIDSS moet zijn! Wij wachten
niet totdat die due date er komt. In de payment-industrie is het ook zo dat er voldoende tijd is. Zo’n
mastodonten zoals Worldline… als die mensen aan hun systemen iets moeten doen.. Wij hebben
relatief kleine systemen, onze software is perfect onder controle door onze developers…
Sommigen zijn zelfs incapabel om hun architectuur van hun eigen software te gaan tonen. Als je
106
stukken zelf niet geschreven hebt, heb je er zelf geen controle over. Hoe moet je dat PCIDSS-
compliant maken? De complexiteit kan soms zeer zeer groot zijn. Wij kunnen dat vrij snel doen, ik
zou zeggen als er een nieuwe norm komt, dan weet ik dat we daar 3 of 4 maanden voor nodig
hebben om daaraan te ‘complyen’. Een middelmatig bedrijf heeft daar 1 tot anderhalf jaar voor
nodig. Een groot bedrijf 2 tot 3 jaar. Als wij gecertifieerd moeten worden, dan komen wij met al die
ingenieurs aan tafel met meer dan 60 vragen… Bij ons bedrijf is dat zo transparant, zo direct, zo
simpel. Andere bedrijven kunnen soms zelfs geen antwoorden geven, omdat ze het gewoon niet
weten. Er zijn bepaalde bedrijven die werken met software van bedrijven die failliet zijn gegaan, die
vandaag niet meer bestaan.
Dus eigenlijk afhankelijkheid van de complexiteit, de grootte..
Stel een software-bedrijf gaat failliet, waarvan je software gebruikt. Dan komen er vele vragen:
bijvoorbeeld werkt de software nog? Als er morgen er een probleem opduikt, kan je niet bellen naar
het bedrijf, hé. Dan komen er geen transacties meer binnen.. Dan hebt ge een groot probleem. Als er
een schakel uitvalt, heb je geen ketting meer! Wat gaan we daarmee doen? Is er een alternatief?
Nee, want ze hadden een monopolie.. De laatste 4 jaar hebben we niets moeten vervangen, eigenlijk
wilt dat zeggen dat uw risico zeer groot is. De kans dat er iets uitvalt is groter, want je hebt niets
vervangen.. Goed, risico-analyse.. je mag eender welke tabellen maken, Murphy zit achter de hoek.
Wat is de kans dat je 2x 365 lijnen 100% bezet hebt? Tussen kerst en nieuwjaar is er uiteraard een
piek.
Als je heel veel zaken hebt, waarvan je een afhankelijkheid hebt van derden, en je hebt dat niet
volledig onder controle, dan heb je een probleem. Er moet constant ‘renewal’ zijn, anders is er geen
business meer. Sommige softwares worden bijna elke week ge-update, maar wat doe je dan met de
versies ertussen? Hoe meer dat je externen gebruikt, hoe groter uw risico. Bij een technologische
risico-analyse wordt er bijvoorbeeld gekeken naar de verschillende software van de verschillende
bedrijven die we kunnen gebruiken. Zo’n analyses moeten constant gebeuren. Communicatie is een
vitaal gegeven, dat is een feit. Een paar weken terug is het netwerk van Proximus uitgevallen, de
GPRS-communicatie was een halfuur uitgevallen. Al onze GPRS-terminals hebben gedurende een
halfuur geen transacties kunnen doen. Iedereen belt dan. Ja, dat is niet leuk, maar een goede
communicatie en verstandhouding met externe partijen is belangrijk.
Die fameuze storm daar op dat festival...alle masten waren verzadigd. Dat zijn zo van die zaken die
men niet berekend heeft. Je moet eerst een disaster bepalen: bijvoorbeeld een hevige storm en
iedereen begint te bellen in een paniek… en dan uw recovery bepalen.. Capaciteit is enorm
belangrijk. Tijdens de kerstperiode zijn de transacties heel hoog. Dat vliegt door het dak, dan heb je
pieken die maar 10 minuten duren, maar je moet er dus voor zorgen dat uw servers voldoende
107
‘scalable’ zijn. Voor de rest van het jaar, heb je die scale niet nodig hé, maar toch is het belangrijk om
pieken te kunnen opvangen met voldoende capaciteit. Ook al gebruik je maar 20 % van uw capaciteit
de meeste tijd. Wij zitten met gigantische vrachtwagens, per manier van spreken… Vele dagen ga je
daar een pakje salami van 250 gram mee moeten vervoeren, maar soms kan het zijn dat je 200 ton
moet vervoeren.. ‘t Is niet dat je de week ervoor een paar servers er extra aanplakt, zo werkt het
niet. Snap je de vergelijking? De kostprijs moet je doen, je moet ervoor zorgen dat je dat kunt
opvangen.
108
10.6. Attachment 6 – Interview transcript: Company C
Heeft het bedrijf een soort van geformaliseerd proces om risico’s te kunnen beheren of managen?
Ja, ons risicobeheer gaat via het auditcomité. Wij hebben op geregelde tijdstippen dus een analyse
van onze risicoprofielen. Wat we doen is dan kijken naar welke risico’s dat er zijn, en dan kijken we of
we er iets aan kunnen doen of niet. Bijvoorbeeld: de veranderingen van de exchange rate heeft een
enorme invloed op ons resultaat, maar je hebt er zelf geen impact op. Je kan wel proberen dit soort
van risico te anticiperen door goed georganiseerd te zijn om dat welbepaald risico te minimaliseren.
Maar dusdanig kan je daar niets aan doen. We zitten in de fruit-en groententeelt… Ja, als er een
slechte zomer is…kan je er niets aan veranderen. Dus je hebt enerzijds het aspect: kan je er zelf iets
aan doen of niet; anderzijds hoe groot is de impact? Als er iets gebeurt met een kleine financiële
impact, dat is geen groot risico. Iets wat een grote impact kan hebben op de financiële resultaten, ja
daar moet dan meer naar gekeken worden. Die afwegingen maken we dan; dit doen we om de twee
drie jaar. Als we dan kijken: waar we impact hebben, waar de grote risico’s zijn… daar stellen we dan
onze prioriteiten. Met het senior team maken we die analyse. Dan stellen die hun prioriteiten en
actieplannen voor aan het auditcomité. De laatste keer hadden we 4 verschillende prioriteiten, waar
telkens weer aan actiepunt tegenover stond. Op geregelde tijden, bespreken we dan in het
auditcomité deze zaken; zoals de grote risico factoren waar we momenteel aan blootgesteld worden.
Dat is dus een gestructureerd proces. Daarnaast is het zo dat we bij grote projecten ook een risico-
analyse zullen uitvoeren: wat kan er misgaan, wat kan er een impact hebben? Dat is een ‘ongoing’
proces. Je moet altijd uw risico’s overwegen als je bepaalde activiteiten doet. Gestructureerd is
eigenlijk het proces.
Heeft het bedrijf een soort van risicofilosofie dat duidelijk afbakent welke risico’s, en in welke
mate bepaalde risico’s kunnen worden aangegaan om strategische doelstellingen te behalen?
Neen, we bekijken het eerder van: ‘Hoe zullen risico’s impact hebben op de bottom line. Dat is
eigenlijk de key driver. Bewaring van het REBITDA is belangrijk, maar ook wel de bescherming van de
business, in de zin dat als je zeer zwaar een impact zou kunnen hebben op de verkoop. Dat zijn dus
eigenlijk de twee key drivers waar we naar kijken.
Is er iemand in de organisatie die een centrale rol vervult in verband met risico; iemand dat daar
voornamelijk mee bezig is?
Enerzijds is het, vanuit het financiële, de CFO en de corporate finance director die de processen
moeten bewaken. Ene keer dat die projecten en prioriteiten zijn vastgelegd, dan gaat het naar de
divisies. Ook bij de opbouw van het model, komt de input van alle divisies. In dat opzicht is het een
109
gemeenschappelijke te dragen oefening, maar de coördinatie en de opvolging gebeurt vanuit het
financiële team.
Hebben die divisies dan een soort van autonomie om hun risico’s zelf te kunnen beheersen? Is er
een soort van vrijheid? Of wordt hen echt van bovenaf opgedragen hoe ze het moeten doen?
Enerzijds, iedereen moet onze gedragscodes en policies volgen… Daar zit uiteraard ook een deel
risico in. Maar we gaan er van uit dat we goede policies hebben met een goede ‘matrix of authority’.
Die zorgen er voor dat dagdagelijkse risico’s moeten gecontroleerd blijven. Op andere gebieden, met
grotere risico’s, is het de bedoeling dat de divisies er een plan voor maken, dat laten goedkeuren en
achteraf uitvoeren.
Hoe verloopt de informatieflow tussen die verschillende divisies en de centrale risico functie? Wat
zijn belangrijke aandachtspunten tijdens die communicatie?
Dat is afhankelijk van de risico’s waarover het gaat. Meestal maakt de divisie een plan; als er dan ook
financiële middelen nodig zijn, moet dit uiteraard eerst goedgekeurd worden. Eigenlijk is het op de
momenten dat we rapportering hebben van onze performance, van onze resultaten, dat die zaken
dan ook aan het licht komen.
Gebruikt het bedrijf bepaalde tools om risico te rapporteren? Ik denk bijvoorbeeld aan een heat
map of een balanced scorecard?
Neen.
Dat is dus eigenlijk meer geïntegreerd in de gewone rapportering?
Ja, we hebben daar geen specifieke rapporteringsvorm voor.
Wie is er verantwoordelijk voor de rapportering van risico-gerelateerde informatie aan de raad van
bestuur?
Via het auditcomité, via de voorzitter van het auditcomité. Die wordt ondersteund door de financiële
diensten.
Jullie rapporteren dan aan het auditcomité, zodat zij dan aan de RvB kunnen rapporteren?
Wij bereiden het auditcomité voor en die gaan dan een debriefing geven aan de raad van bestuur.
Aan welke risico-gerelateerde informatie wordt het meeste belang gehecht tijdens de rapportering
aan de raad van bestuur?
110
Bij ons is dat eigenlijk vooral gerelateerd aan de gebieden die we geïdentificeerd hebben als risico-
gebieden. In IT zien we toch heel wat risico’s. Dat wordt op projectbasis gerapporteerd. Het is niet
dat we daar een aparte scorecard voor hebben.
Afhankelijk van de prioriteiten…
Ja, er wordt in detail nagegaan met het auditcomité dat ze akkoord zijn. Wij maken inschattingen:
hoeveel invloed kunnen we hebben op dat risico, hoe beheersbaar is dat probleem, en wat is de
uiteindelijke impact? Die worden in detail, lijn per lijn, bekeken, zodat iedereen in het auditcomité
akkoord is met wat het management heeft voorgesteld. Daarop gebaseerd worden er prioriteiten
gesteld. De laatste keer was het zo dat het auditcomité een aantal prioriteiten hoger heeft gezet dan
het management had voorgesteld.
Wat is volgens u de functie van risico-rapportering aan de raad van bestuur?
Het is heel belangrijk dat ze beseffen aan welke risico’s de onderneming is blootgesteld. Dat is dus
ook heel kritisch, dat is één van de key-redenen van de RvB: dat is risicobeheer. Het is dus heel
kritisch dat dat op de agenda staat. Ik denk vooral: het komt tegemoet aan hun
verantwoordelijkheden zodat ze hun functie correct kunnen uitvoeren. Het is natuurlijk ook zo dat als
je uw werk goed doet, ga je mogelijks zeer negatieve gevolgen voor de onderneming, voor zijn.
We hadden een probleem met servers zoals ze waren opgesteld: die waren onvoldoende veilig. Dat
risico werd toch hoog ingeschat. Op die servers draaien de SAP van de fabrieken, stel er loopt iets
fout, dan zou de productie stilvallen. Dat heeft een enorme impact. We hebben uiteindelijk de
servers ge-outsourced, maar dat was eigenlijk niet nodig. We hadden bijvoorbeeld onze eigen
infrastructuur kunnen herbekijken. Die risico-analyse werd dan uiteindelijk hoger op de agenda
geplaatst. Want anders gaat er niemand zich mee bezighouden. We moeten eerder nadenken: wat
kan er misgaan; dat helpt u om preventieve maatregelen te nemen. Het helpt u om performanter te
zijn als bedrijf, en om pro-actieve beslissingen te nemen zodat je niet in de problemen kunt komen
achteraf. In dat opzicht, is het een zeer belangrijke bijdrage. Het zijn zware oefeningen, maar zeer
kritische oefeningen zodat het bedrijf zijn resultaten kan blijven afleveren, zodat je niet met uw rug
tegen de muur staat. Het helpt u om te vermijden dat je u ooit zou moeten afvragen: ‘Had ik maar…’.
Het helpt u om er op een pro-actieve manier over na te denken.
Heeft bepaalde regelgeving een impact gehad op hoe het bedrijf risico’s percipieert of beheert?
In welke zin?
Ik denk bijvoorbeeld aan The Belgian Code on Corporate Governance of FAVV…
111
Die is opgenomen in onze statuten. Daarom hebben we policies, die statuten worden dus allemaal
vertaald in policies en we gaan er van uit dat die gevolgd worden. Afhankelijk van de topic heb je een
auditcomité, RvB,… iedereen in de lijn moet zijn verantwoordelijkheid hebben. Dat wordt ingedekt
door de juiste ‘code of conduct’ of de juiste policies te hebben.
Speelt compliance met allerhande regelgeving een belangrijke rol tijdens het rapporteren aan de
raad van bestuur?
We moeten gewoon compliant zijn. Dat vind ik een rare…ik begrijp wel dat dat een risico is, maar wij
gaan er gewoon vanuit dat we alle efforts doen dat alles compliant gedaan wordt. Indien dat niet zo
is, zal dat altijd de hoogste prioriteit krijgen. Dat is het minimum wat ge moet doen, dat is compliant
zijn. Ge hebt de code of conduct die compliant moet zijn met de regelgeving.
Dat is een redelijk basisgegeven, toch. We kijken toch naar risico’s op een ander niveau. We hebben
een volledige ‘matrix of authority’ gemaakt: wie kan wat beslissen… Ok, er kunnen nog altijd fouten
gebeuren, maar er is dan toch wel duidelijk gecommuniceerd.
Is er volgens u ergens ruimte op het vlak van interne risico-rapportering in het bedrijf? Algemene
suggesties zijn ook welkom.
Ik denk dat we er soms niet genoeg aandacht aan geven. We hebben nu wel een proces, maar dat
vraagt veel tijd en energie, dus dat wordt al eens makkelijk uitgesteld. Ik denk dat het vooral
belangrijk is dat je dat blijft op de agenda zetten. We zouden het meer moeten structureel opnemen
in een aantal discussies, bijvoorbeeld budgetbesprekingen, business reviews… Momenteel wordt het
eerder gedaan als een aparte oefening en met het senior management. Terwijl er waarschijnlijk ook
wel risico’s zijn die ook op een ander niveau kunnen ingevuld worden of aangedurfd worden.
Waar je natuurlijk moet voor opletten: als je niet oplet, durf je niks meer doen. Ondernemen is risico
nemen. Wat behoort nu tot het normale ondernemersrisico en wat valt daar buiten? In mijn vorig
leven, werden die oefeningen veel zwaarder ingezet, dat was ook een Amerikaans bedrijf, ik denk dat
die nog sterkere regulering hebben dan Europa. Dus dat was een heel zware oefening, daar werd er
ook gewerkt met consultants. Dat is dan uiteindelijk wel veel meer in detail uitgewerkt.
Wat wij doen is veel pragmatischer: als je kan werken met mensen die de business kennen, dan kan
je ook rekenen op die hun know-how. Dat was ik vergeten: we sturen ook onze interne audit aan.
Met andere woorden, je maakt altijd programma’s om uw interne audits te doen. Risico’s waar we
minder zeker van waren, lieten we dan op de lijst zetten van de interne audit om hen dat dan te laten
doen. Dat is wel een goede manier om uw risico in te schatten en te begrijpen. Interne audit heeft
dus een belangrijke functie ook in ons bedrijf. Zij gaan dus voornamelijk kijken of dat processen die je
112
hebt, dat je die ook op de correcte manier kunt hanteren. En of er daar geen fouten inzitten, in de zin
van fraude-zaken… Die rol van interne audit is dus door de loop der jaren sterk geëvolueerd.
113
10.7. Attachment 7 – Interview transcript: Company D
De eerste vraag: heeft het bedrijf een geformaliseerd proces om risico’s te beheren?
Ja, uiteraard. We zijn beursgenoteerd dus dat betekent dat we bijvoorbeeld een auditcomité hebben.
In het kader van dat auditcomité hebben we ook alle processen om risico’s in kaart te brengen of te
identificeren. We hebben een internal auditor die aan het auditcomité rapporteert. Je hebt van alle
soorten risico’s. We hebben business continuity plannen, disaster-recovery plannen, safety, dat
hebben we allemaal.
Heeft het bedrijf een soort van risico-filosofie dat duidelijk afbakent welke risico’s, en in welke
mate bepaalde risico’s kunnen aangegaan worden om strategische doelstellingen te behalen?
Neen, ik denk niet dat we daar op die manier naar kijken. Wat we wel gedaan hebben is ‘bottom-up’:
alle afdelingen hebben een risico-analyse moeten doen. Maar dat gaat dan over hun dagelijkse
operationele zaken. ‘Wat als dat zou gebeuren’, zo’n vragen worden dan gesteld. Er gebeurt dan een
volledige analyse die dan gebaseerd is op de waarschijnlijkheid dat zoiets voorvalt en de ernst ervan
inschat. Als je die twee factoren dan vermenigvuldigt, krijg je een soort van ranking van wat eerst
moet aangepakt worden enzoverder. Die oefening wordt elke 2 jaar opnieuw herhaald.
Is er iemand in de organisatie die een centrale rol vervult in verband met risico?
Ja, dat is mevrouw Van den Stock, die ook onze internal auditor is.
Zijn er andere functies in het bedrijf…
Je hebt onze veiligheidsverantwoordelijke, maar wij geloven eerder in wat in de lijn moet zitten, en
elke verantwoordelijke wordt daar op aangesproken. Dit doen we ook zo voor bijvoorbeeld kwaliteit
of personeelsbeleid. Al die taken zijn integraal deel van de verantwoordelijkheid van de team
manager.
U zegt dat de centrale functie in verband met risico wordt uitgeoefend door de internal auditor.
Wat zijn de belangrijkste aandachtspunten tijdens de communicatie met de internal auditor en
anderen?
Het belangrijkste is vooral de continue oefening om processen te evalueren; of als er nieuwe dingen
worden gelanceerd, dan wordt dat meestal in team gedaan en wordt het risico-element daarin
meegenomen. Voor de rest zijn wij een zeer klein team, die mensen zitten hier allemaal samen. Het
is niet omdat we met ongeveer 250 mensen zijn, dat we heel wat ‘lagen’ hebben. We hebben weinig
of geen organisatorische lagen. Die mensen drinken elke dag koffie samen bij wijze van spreken, dus
het is niet zo dat dat helemaal formalistisch moet georganiseerd worden.
114
Gebruikt het bedrijf tools om risico te rapporteren? Ik denk bijvoorbeeld aan een heat map of een
scorecard…
Neen, maar er wordt wel een overzicht gecreëerd: wat is de probabiliteit, wat zijn de consequenties.
Dat is op zich een tool, maar dat is eigenlijk niet meer als een ‘Excel’ eigenlijk.
Heeft bepaalde regelgeving een impact gehad op hoe het bedrijf risico’s beheert of percipieert? Ik
denk bijvoorbeeld aan ‘The Belgian Code on Corporate Governance’; heeft die regelgeving een
soort van impact gehad op hoe jullie naar risico’s kijken bijvoorbeeld?
Neen, dat denk ik niet. Natuurlijk, je hebt de ‘GDPR-code’. Tegen mei 2018… de ‘General Data
Protection Rule’, daar moet men kunnen aantonen dat men er mee bezig is. Het gaat over alle
mogelijke persoonlijke gegevens, of het nu gegevens zijn van klanten of medewerkers of gelijk wie,
die wij beheren. Daar wordt nu een analyse van gemaakt en een risico-inschatting van gemaakt, want
je moet alle mogelijke breaches en confidentialiteit in kaart kunnen brengen. Die regelgeving zal wel
een impact hebben: de analyses op het vlak van cyber-security en op het vlak van persoonlijke
gegevens zullen diepgaander gebeuren.
Wie doet risico-rapportering aan de raad van bestuur?
Het auditcomité.
Aan welke risico-gerelateerde informatie wordt het meeste belang gehecht tijdens die
rapportering? Welke risico’s krijgen bijvoorbeeld de meeste prioriteit.
Ik denk dat dat vooral financieel-gedreven is: de risico’s die een financiële impact kunnen hebben.
Op het resultaat dan eigenlijk?
Ja, op de vennootschap in het algemeen. De continuïteit en de financiële effecten daarvan zijn
belangrijk.
Speelt compliance met allerhande regelgeving een belangrijke rol tijdens de rapportering aan de
raad van bestuur?
Ja, we moeten met alles en nog wat compliant zijn natuurlijk. Dat zit continu op de achtergrond mee.
Dus dat komt wel zeker aan bod tijdens…
Dat we compliant zijn. Als we het niet zouden zijn, ja… Maar we zijn nog nooit niet-compliant
geweest. Vooraf is dat een element dat mee moet spelen natuurlijk.
Wat is volgens u de functie van risico-rapportering aan de raad van bestuur?
115
Ik denk dat dat gewoon inherent deel uitmaakt van het geheel, dat dat niet speciaal een aparte
bijdrage zou moeten hebben. Maar het is gewoon ook belangrijker dat je niet enkel met vandaag
bezig bent, maar dat je ook de continuïteit van het bedrijf globaal gezien mee in rekening brengt. Het
is niet een aparte, specifieke bijdrage; het is ook geen last. Ik denk dat dat gewoon in het geheel
wordt bekeken.
Is er volgens u ergens ruimte voor verbetering op het vlak van interne risico-rapportering in het
bedrijf? U kan ook algemene suggesties doen…
We proberen elke dag beter te doen, dus er zal zeker ruimte zijn. Welke? Dat laat ik eerder over aan
het team die kijkt of er daar betere dingen kunnen gebeuren. Maar ja, er is zeker ruimte voor
verbetering, ’t zou maar erg zijn dat we perfect zijn (lacht).
In het kader van mijn onderzoek, probeer ik te achterhalen welke organisatiestructuur wordt
gehanteerd door de bedrijven om risico te kunnen beheren. Door uw vorige antwoorden, zou ik
vermoeden dat er eerder een decentrale structuur wordt gebruikt om risico’s te kunnen managen.
Gaat u hiermee akkoord?
Het zou kunnen dat bedrijven een ‘mix’ hebben. Voor alle veiligheidsrisico, de persoonlijke veiligheid
en de gezondheid van mijn medewerkers wordt centraal aangestuurd. Business-risico’s worden
eerder decentraal aangestuurd: je hebt financiële risico’s waar je ‘hedging’ op kan toepassen en dat
kan dus decentraal gebeuren. Beveiliging, wat niet hetzelfde is als veiligheid, is ook per site. Cyber-
security wordt bij ons helemaal centraal gedaan: IT-security en risico’s daarvan worden centraal
ingedekt. We krijgen elke week aanvallen en mensen die ons proberen te hacken; als je dat niet
centraal aanstuurt, gaat er ergens een breach optreden. Ik kan mij inbeelden dat er een mix is:
centraal-decentraal is niet zo zwart-wit. Op zich zijn wij een zeer compacte organisatie; compact om
snel te kunnen bewegen en wendbaar te kunnen zijn omdat wij opereren in een vrij turbulente
omgeving: e-commerce, photo business, digitalisering. We zijn dus heel compact georganiseerd
waardoor, wat het risico betreft, we toch eerder centraal aansturen.
Voor de efficiëntie te bewaren?
Efficiëntie, en ook vermits dat we zeer wendbaar moeten zijn, zou je kunnen zeggen om het
decentraal te managen. Maar omdat we tegelijkertijd in een turbulente omgeving zitten waar je
risico moet durven nemen…dat is dan weer een groter risico als je dat niet centraal zou aanpakken.
Als je groter bent, denk ik, en je hebt minder turbulentie rondom u, dan denk ik dat je meer kunt
gaan decentraliseren, omdat er minder risico zal genomen worden door de mensen om dingen wel of
niet te doen. Als je snel moet kunnen schakelen, dan denk ik toch dat je beter centraal moet
116
aansturen. De omgevingsfactoren waarin het bedrijf opereert heeft toch een grote impact op hoe dat
risico’s worden aangestuurd, opgevolgd, beheerd.
In ons geval, hebben we natuurlijk ook de laag van beursnotering daarop en gans de compliance die
daar rond hangt. Langs de andere kant zitten we niet in de chemie, de voeding, in gevaarlijke
omstandigheden waardoor natuurlijk dat element minder aan bod komt. We zitten ook sterk in de IT,
die dan ook andere risico’s met zich meebrengt. Er is weinig fysiek risico voor mensen, het gaat meer
over data en IT en business risico. Als je in de chemie zit of andere zware industrieën, dan heb je
natuurlijk een heel pak andere type risico’s.
Ik zou ook graag nog even verder willen uitbreiden over de functie van risico-rapportering aan de
raad van bestuur: wordt risico apart gerapporteerd of wordt er gekeken naar het bredere geheel?
Onze filosofie is dat het in de lijn moet liggen, wat wilt zeggen dat de verantwoordelijke van een
afdeling verantwoordelijk is voor zijn business-elementen, voor zijn HR-elementen. We hebben hier
anderhalve persoon voor Human Resources, dat is het. Wij vinden dat de verantwoordelijke van een
afdeling van 10, 15, 20 mensen ook zelf HR moet doen. Op tijd en stond met hun mensen overleggen
en feedback-sessies organiseren vallen bijvoorbeeld onder hun verantwoordelijkheden; we hebben
daar geen grote structuren voor.
Het helpt natuurlijk dat wij een compact team van 6 mensen zijn in de directie die alles aansturen,
elkaar continue zien en horen. Wij opereren echt als een soort start-up, kort bij mekaar. We doen dat
ook voor kwaliteitsaspecten, maar ook voor economische aspecten. Wij ‘targeten’ moeders met
kleine kindjes, dus al onze producten die gelanceerd worden, moeten kindvriendelijk zijn en vrij van
toxische stoffen. Dat is niet iemand apart die dat zit na te kijken; dat is inherent deel van de
productontwikkeling. De dames die productontwikkeling doen weten dat ze daarmee rekening
moeten houden. Ze moeten ook rekening houden met de kwaliteit van het product, maar ook de
economische werkbaarheid van het product. Al die elementen worden dus samengebracht. Als je dat
in ‘silos’ doet, dan krijgt je heel bizarre dingen en zeer trage processen. We hebben ook heel veel
manuele activiteiten in de productie: kan dat allemaal goed gemaakt worden zonder dat er een
enorme vermoeidheid bij mensen optreedt? Je krijgt al die elementen die worden samen bekeken, in
dat geval van productontwikkeling worden bekeken. De IT die de website ontwikkelt…om een ander
voorbeeld te nemen: betalingsfraude of dat soort risico’s. Als de mensen providers zoeken voor
betalingssystemen, dan weten ze dat daar een check is van ‘pas op, er is ook fraude in de wereld, hoe
kunnen we dat tegengaan’. Meestal wordt de CFO er dan bijgehaald om te kijken welke elementen er
aanwezig zijn, en om te kijken of er een fraude-element aanwezig is en dan gaat die persoon kijken
hoe er mee wordt omgegaan. Dat wordt niet enkel technisch bekeken worden. Het functionele risico:
117
bv. kunnen betalingen op een goede manier binnenstromen, wordt ook in rekening gebracht. User-
friendliness, hebben we een mooi platform, gaat de klant converteren op onze pagina? Die gaan al
die elementen samen bekijken. Het is niet zo dat er iemand zit van: ‘Ah technisch is dat goed,
afgevinkt, next’. Als we dat soort dingen doen, dan worden al de belangrijkste aspecten
meegenomen. Iedereen heeft de reflex om alles te bekijken, iedereen weet waar we naartoe willen;
of het nu een programmeur is of een boekhouder. Klant eerst, feedback vragen, dat zijn de zaken die
toch belangrijk zijn. Op dat vlak is dat ingebed in het dagdagelijkse, maar toch doen we elke 2 jaar
een structurele oefening om op die manier alles in kaart te brengen. Het is een beetje een mix, maar
voor ons: zowel het economische, kwalitatieve en klant, dat zit allemaal in ieder zijn job. We hebben
geen afdelingen naast elkaar, die heel lange meetings met elkaar hebben, daar zijn we geen grote
voorstander van.
118
10.8. Attachment 8 – Interview transcript: Company E
Heeft het bedrijf een geformaliseerd proces om risico’s te kunnen managen?
Ja! Voor een bank zijn risico’s extreem belangrijk, veel belangrijker dan in een gewoon bedrijf. Eerst
hebben we ons uitgesplitst in een type van risico’s. Voor een bank is dat het asset-liability
management risico: het funden van uw organisatie, de gelden aantrekken en zorgen dat er een
goede balans is tussen de gelden die we beschikbaar hebben en de gelden die we uitlenen. Zowel in
bedragen, maar belangrijker nog in duurtijden van engagementen. Dus dat is het grootste risico op
een bank managen: dat is zorgen dat de duurtijden van het beschikbaar zijn van het geld een beetje
matchen met de duurtijd van het uitgeleende geld. Waar we doelbewust niet perfect matchen: het
verschil in rente dat eigenlijk onze winst maakt. Tweede grote risico is natuurlijk het kredietrisico.
Dat is het risico dat je uitgeleende gelden niet meer terugkrijgt.
Het derde grote blok aan risico’s is alles wat met regelgeving te maken heeft; daar komt compliance
natuurlijk, voor een stuk, bij zitten, want dat is veel breder dan wat compliance echt doet. Er zijn heel
veel regels omtrent hoe dat je moet rapporteren in een financiële instelling; daar worden minimale
voorwaarden aan gekoppeld. Heel dat aspect is een belangrijk risico.
De vierde zijn de operationele risico’s: hoe kan je dat onder controle houden en de verliezen toch
binnen bepaalde perken houden. Dat zijn de vier grote brokken, die eigenlijk vrij losstaand van
mekaar beheerd worden, zelfs nog verder opgesplitst worden…zeker de regulatory is nog verder
opgesplitst in meerdere mensen die daar aan werken.
Eigenlijk is er nog een vijfde categorie; dat zijn alle juridische risico’s.
Er bestaat natuurlijk geen grote organisatie of centraal comité waar die risico’s besproken worden.
Met de heads van verschillende departementen die er aan werken en de CEO van de groep wordt er
gerapporteerd naar het directiecomité en naar de raad van bestuur. Voor elk van die grote blokken is
er een zeer uitgebreid pakket aan interne regelgeving met procedures en governance die daarrond
opgebouwd is. Met comités op alle mogelijke niveaus…dat gaat van de allerkleinste entiteit tot
groepen…volledig volgens consolidatie van business. Het start in het laagste niveau en dat wordt dan
altijd meer en meer gecentraliseerd waarbij dan altijd de major risks telkens een stapje hoger gaan
en de minor risks die blijven dan achter. Een kleine entiteit in een grote groep doet zijn eigen
risicobeheer, doet een risico-analyse, maakt dan ook de set-up die nodig is om die risico’s te beheren
en gaat daar dan uiteindelijk ook controles op uitvoeren, en opleidingen rondgeven en gaat daar ook
over rapporteren. Dat comité op de kleine entiteit gaat zijn huiswerk maken: wat minor risks zijn
blijft onder hun hoede, maar de major risks gaan een stapje hoger gaan. Daar gebeurt dan weer
hetzelfde: wat minor is voor dit geheel blijft achter, wat major is gaat wederom een stapje hoger… Zo
119
gaat dat dus geëscaleerd worden tot op het bovenste niveau: de major topics waar het zelf kan gaan
over de kleinste entiteit dat die stappen heeft overleefd. Een groot risico voor een kleine entiteit kan
dus zeker en vast de top halen. Het hoeft niet noodzakelijk alleen de risico’s van de grootste
entiteiten te zijn die worden besproken aan de top.
De risico’s aan de top zijn een distillatie van top priorities.
Op elk niveau kunnen er nieuwe dingen binnenschuiven, hé. Bijvoorbeeld het risico dat wij gehad
hebben met de Amerikaanse regulator…die zijn eigenlijk op het hoogste niveau behandeld geweest,
dus die komen eigenlijk niet aan bod tijdens die escalatie-oefening. Het is pas op het hoogste niveau
dat een zeer groot risico eigenlijk mee aanschuift.
Een heel moeilijk risico zit eigenlijk in al die poten, maar dat is het reputatierisico. Dat is een firma die
werkt met een retail-clienteel, B2C, zoals een bank hé: een bank is daar een goed voorbeeld van.
Reputatie risico’s zijn zeer moeilijk te beheren. Er komen plots op het hoogste niveau
reputatierisico’s binnen die op geen enkele manier in de organisatie vroeger besproken of behandeld
geweest zijn. Over wat kan dat gaan: de reputatie van de CEO is vaak een groot probleem voor de
reputatie van de onderneming. Dat ga je niet vinden in een lokaal entiteitje, maar dat komt er
helemaal op het einde bij als een groot probleem dat je van tevoren niet echt besproken hebt.
Het is dus gestructureerd opgebouwd, waar op elk niveau de minor risks worden achtergelaten voor
het lokaal management, de grote gaan verder voor gecentraliseerd management, maar op elk niveau
kunnen er risico’s bijkomen.
Die comités van de verschillende entiteiten dragen dus risico verantwoordelijkheid voor hun
risico’s.
Ja. Maar verantwoordelijkheid gaat altijd gepaard met controle. Een proces waar je alles gewoon
bent en waar je kan doen wat je denkt dat er moet gebeuren….daarnaast is er een proces van
controle met verschillende niveaus. Controls dat gaat uit van verschillende niveaus. Samengevat
heeft elk een eigen controlesysteem, het eerste niveau: je controleert jezelf. Businesses organiseren
hun eigen controle, dan heb je het tweede niveau van controle waar het controlefuncties zijn die
businesses gaan controleren. Controlefuncties zijn bij ons de juridische departementen, de
compliance-departement,…die controle uitoefenen op de commerciële activiteiten en de
beheersactiviteiten. Dan heb je het derde niveau: de interne audit. Dat zijn de drie interne poten.
Dan heb je de externe poten die bij financiële instellingen heel belangrijk zijn. Dan heb je het over de
verschillende externe bronnen van controle, externe auditor, lokale regulators, de internationale
regulators… Wat voor ons de belangrijkste regelgever is, is eigenlijk de Europese Centrale Bank die de
120
centrale regelgever is voor de systemische banken, voor de grote banken. In Europa is dat de finale
regelgever.
Je ziet dus: je hebt enorm veel niveaus van controles en het gaat tot het hoogste niveau. Je hebt
mensen van de ECB die dezer dagen in ons bedrijf bezig zijn met controleren van operationeel risico.
Op het hoogste niveau komen ze controle doen op een micro-onderwerp: hoe is de operational risk
in één entiteit beheerd? Ge hebt zeker zelfstandigheid, ge hebt management-verantwoordelijkheid
om dat te doen, maar je moet weten dat daarnaast een enorm uitgebreide controle-poot is om te
komen kijken van wat je doet. Dus die zelfstandigheid moet je een beetje tussen aanhalingstekens
zetten.
Heeft het bedrijf een soort van risk appetite, dat bijvoorbeeld duidelijk zegt welke risico’s kunnen
aangegaan worden en in welke bepaalde mate deze kunnen worden aangegaan?
Ja, zeer zeker. We hadden daarstraks het beheer van risico’s…bottom-up…en we hebben ook gezegd
dat er een interne regelgeving uitgebouwd wordt. Die interne regelgeving bepaalt onder andere onze
risk appetite. Op het hoogste niveau, top-down, wordt er gezegd van: kijk, dat is het type van risico
dat we willen nemen en dat wordt dan concreet vertaald naar de grote entiteiten…naar de business
lines…naar de kleine entiteiten. Dat wordt heel duidelijk gecommuniceerd. Het is heel belangrijk voor
een financiële instelling om aan te geven welke risico je wilt nemen of niet. Dat is een strategische
keuze die je maakt als bedrijf en dat maakt eigenlijk het verschil tussen financiële instelling A en
financiële B. De ene wilt een renterisico nemen, de andere niet. De ene wilt een risico nemen op
duurtijden, de andere wilt een risico nemen op iets anders.
In het compliance-domein zijn wij vrij conservatief op het nemen van compliance-risico’s op landen
waar er een groot risico is voor witwassen en terrorisme-financiering. We zijn daar vrij conservatief
in, sommige banken zijn daar minder conservatief in. Heel concreet: een bedrijf in België wilt een
transactie financieren op Iran…wij zijn gesloten op Iran. Dat is een appetijt die je als organisatie op
het hoogste niveau vastlegt en die dan doorsijpelt naar de verschillende werkorganisaties en daar
wordt er dan gezegd: op operationeel gebied kan je geen documentair krediet op Iran behandelen,
want dat past niet in onze risico appetijt. Je hebt dat voor alles, hé: hoeveel risico kan je nemen op
de Turkse Lira? Dat gebeurt aan de hand van cijfers: als groep willen wij ons financieel risico
maximaal in zoveel miljard euro omgerekend naar lire…
U zei dat er verschillende lagen zijn en dat het zo naar omhoog gaat. Wat zijn de belangrijkste
aandachtspunten op het vlak van risico tussen die verschillende lagen?
121
In onze organisatie verloopt dat vrij gestructureerd. Comités die op elk van die niveaus plaatsvinden,
de leden daarvan zijn dezelfde functies van die onderneming van die specifieke entiteit die daar
aanwezig zijn, die daar dezelfde onderwerpen bespreken, zoals vastgelegd door het hoogste niveau
in dat interne regelgevingskader. Vaak zelfs met dezelfde templates van presentaties. Dat maakt het
vrij makkelijk om te vergelijken met andere entiteiten binnen de groep, ook om die zaken naar boven
te laten sturen. Hoe doen wij dat? In de verschillende entiteiten zijn het dezelfde mensen die
dezelfde template gebruiken, zelfde onderwerp, op dezelfde manier wordt dat besproken. De
conclusies daarvan, worden door één of twee mensen uit dezelfde entiteit naar boven gestuurd. Die
zitten dan ook in het comité van het hoger niveau. De informatie die uit de kleinere entiteiten naar
boven komt, wordt daar samengevat voor het team samen en zo gaat het weer een niveau hoger…
Gebruikt het bedrijf risico tools om risico’s grafisch te kunnen rapporteren?
Ja, daar zijn veel systemen voor. (Haalde een heat map tevoorschijn). Dat is een heat map
bijvoorbeeld over compliance risico’s. Die worden aangeduid door middel van kleuren. Rood is het
slechtste, groen is OK. Voor de ganse groep komt dat op één pagina. Op één pagina staan de
verschillende métiers van de ganse groep en door middel van die kleuren kan je direct zien, op één
oogopslag: ik heb daar een rode… Het grote nadeel van die systemen is dat het uiteindelijk ‘grijs’
wordt.
Hoe bedoelt u?
Je consolideert natuurlijk, achter het gele zitten entiteiten achter die rood zijn en die groen zijn. Als
je begint te consolideren natuurlijk…wij hebben duizend juridische entiteiten en die ga je niet
allemaal op één pagina krijgen. Als je dat een beetje ga consolideren, dan krijg je ‘grijze’ zones.
Dat is zéér tof om aan het management of aan een regulator te tonen, maar wat is het gevaarlijke
hieraan? Je haalt daar niet de juiste boodschap uit. Dat is nu een heat map, maar we hebben
meerdere systemen hoor.
U zit in compliance; heeft compliance met regelgeving in de bankenwereld een impact gehad hoe
het bedrijf risico’s is gaan beheren. Ik denk aan de financiële crisis: de aandacht werd gevestigd op
de bankenwereld. Hoe is deze bank daarmee omgegaan?
Risico’s veranderen over de jaren: kredietrisico was lang geleden een zeer belangrijk risico voor
banken in België, vandaag zijn de kredietverliezen zeer miniem. Dan heb je uiteraard de tendens om
de opvolging van dat risico af te bouwen. Wat verkeerd is. Dezer jaren zijn er weinig kredietverliezen
in België, maar dat komt ooit nog terug. Binnen tien jaar zijn er terug betalingsrisico’s. Ofwel kan je
die afbouwen, ofwel laat je die bestaan. Dat is moeilijk. De tendens is om die af te bouwen want daar
122
is momenteel geen risico, wat uiteraard de verkeerde ingesteldheid is. Je moet daar blijven
investeren om goed voorbereid te zijn wanneer die risico’s terug naar boven komen. Omgekeerd:
een compliance risico was tien jaar geleden zo goed als onbestaande, maar vandaag de dag één van
de belangrijkste risico’s in onze organisatie. Hoe komt dat? Enerzijds door de internationale context,
maar anderzijds komt dat ook omdat je verliezen maakt; wanneer ga je investeren in
kredietwaardigheid en de opvolging van dat risico? Als je zware kredietverliezen maakt. Het is
publiek, dat heeft in alle kranten gestaan: wij hebben een boete betaald van meer dan 9 miljard
dollar. Als je een boete betaalt van 9 miljard dollar om een opschorting van vervolging te krijgen, niet
eens om het afkopen van het probleem, dan heb je een groot probleem. Dan ga je graag wat extra
miljarden investeren om dat risico op te volgen. De feiten zeggen u in welke risico’s u moet
investeren: de financiële feiten, de verliezen die je maakt. Maar dat mag niet de enige motivatie zijn
om te investeren in een risico-opvolging. Je moet over de hele lange termijn kijken naar wat de grote
risico’s zijn en daar blijven op investeren. Je moet ook aandacht geven aan de nieuwe risico’s die
naar boven komen. Een mooi voorbeeld daarvan is: data. Data-protectie is een risico voor de
toekomst, dat is in het verleden nooit bekeken geweest. Daar is zeer relatief weinig in geïnvesteerd
en relatief weinig aandacht aan besteed. Je voelt nu aan dat in 2019-2020 data-risico een belangrijk
product zal zijn.
Elk bedrijf heeft het over data; zij zien ook IT als een groot risico.
Wij hebben vandaag geen enkel verlies met claims, rechtbanken rond data. Maar toch voelt iedereen
aan dat dit een groot probleem zal vormen in de toekomst. We zijn vandaag volop aan het investeren
om een risico-opvolgingssysteem op te zetten om dat data-probleem te gaan beheren.
Ofwel is het omdat het op de LT een probleem is, ofwel is het omdat je verliezen hebt geleden die
jou dwingen, ofwel is het omdat je denkt dat het in de toekomst zal renderen.
Er zijn verschillende redenen om risico-systemen in te voeren in de organisatie.
Aan welke risico-gerelateerde informatie wordt het meeste belang gehecht tijdens de rapportering
aan de raad van bestuur? Wordt risico eerder ‘ad hoc’ gerapporteerd als een aparte oefening of
wordt risico geïntegreerd tijdens de gewone rapportering?
Dat is een standaardonderwerp. Het belangrijkste onderwerp voor het management, voor een
voorbeeld te geven: in een heel grote groep wordt met verschillende organisatiemethodes gewerkt
om die aan te sturen. We zijn actief in 75 landen, in elk land wordt er een lokale baas aangeduid, we
noemen dat de head of territory. Jaren geleden, als je keek wat naar de opdracht was van die head of
territory dat was business ontwikkelen, acquisities, synergiën, cross-selling, dat soort zaken. Meer
dan 5 jaar geleden is de verantwoordelijk van de figuur van head of territory helemaal omgekeerd:
123
zijn eerste prioriteit vandaag is risico’s. Sinds vele jaren is risicobeheer de prioriteit; het ontwikkelen
van business, acquisities is één van de laatste prioriteiten. In managementvergaderingen gaat het
enerzijds over het risicobeheer en daarna over de businessontwikkeling. Het zijn vaste punten op de
agenda: alles start met risicobeheer. Alles is gestandaardiseerd.
Dat is voor vele financiële instellingen. Dat vindt je waarschijnlijk niet in commerciële bedrijven. Of
vergis ik mij?
Bij de bedrijven die ik reeds geïnterviewd heb, wordt risico soms bekeken in lijn met de strategie.
Ik bedoel ‘in het bredere geheel’, niet als een aparte oefening zoals bij de banken zoals u net zei.
Ik heb het nu wel niet over de raad van bestuur gehad, ik had het eigenlijk over alle management
comités van de bedrijven. De hoogste raad van bestuur van de groep ben ik nooit naartoe geweest,
daar kan ik u niet zeggen wat ze daar bespreken. Ik zit wel in een aantal raden van bestuur van
werkmaatschappijen; of dat nu een management team is of de raad van bestuur…in de groep is de
raad van bestuur eigenlijk een management team. Dat zijn gewoon de managers, maar op het
allerhoogste niveau. Het verschil tussen het management team en de raad van bestuur is eigenlijk
quasi onbestaande. Er zijn een aantal formele zaken die je moet goedkeuren, maar eigenlijk is dat
hetzelfde als een management team. Het hoogste niveau, de raad van de bestuur van de groep, daar
kan ik niet over getuigen, dat weet ik niet maar ik ben er quasi zeker van dat die eerst zich ook met
risico-analyse bezighouden en pas daarna met de commerciële strategieën. Het omgekeerde zou mij
enorm verwonderen.
Is er volgens u ruimte voor verbetering op het vlak van interne risico-rapportering in het bedrijf?
Ja, zeker en vast er is altijd ruimte voor verbetering. Dat is een beetje het probleem, er komen alleen
maar risico’s bij, het wordt alleen maar veeleisender en veeleisender, er komen maar rapporteringen
bij. Je creëert zonder te beseffen een bureaucratie die zwaar gedragen wordt. Dat is in ons bedrijf
zeer zeker ook het geval. De administratieve lasten in de bureaucratie, het tick-the-box effect, dat
mensen kijken van ‘heb ik dat gedaan, heb ik dat gedaan’. De gezonde huisvaderreflex van ‘wat zijn
nu onze echte risico’s’, dat wordt soms vergeten omdat men een lijstje van risico’s heeft dat men
moet afwerken per dag: ‘heb ik dat bekeken, heb ik dat bekeken’… Af en toe moet je eens denken
van ‘ok, we gaan nu eens al die regeltjes opzij zetten en gewoon eens denken vanaf nul…wat is nu
voor de komende 5 jaar mijn grootste risico als entiteit in de groep’. Dat wordt soms eens
ondergesneeuwd omdat je een heel goed, uitgebouwd, gedetailleerd en voorschrijvend systeem
hebt. Dat wordt soms te bureaucratisch. Zoals in de interne regelgeving genoteerd staat…je moet
altijd eerst zelf kijken wat je risico’s zijn, maar dat raakt een beetje ondergesneeuwd in de massa aan
procedures en weet ik wat. Je komt inderdaad soms tot omstandigheden…gisteren was daar een
124
heel mooi voorbeeld van: risico dat al 6 maand loopt en niemand gezien heeft…een vrij belangrijk
risico in Italië. Ik zie dat het al 6 maand niet goed loopt en ’t is nu pas dat we dat merken.
Je steekt je tijd in het afwerken van al die rapporteringen en risico-analyses die je moet doen, maar
daarvoor is er eigenlijk te weinig tijd om u de basisvraag te stellen: ‘wat zijn nu eigenlijk mijn
risico’s?’. Iedereen kan daar beter in doen. We moeten ‘agile’ werken, we moeten spoedig kunnen
inspelen op marktveranderingen, op de manier van organisatie, de interne regelgeving daar
aanpassen. Wij zijn een grote tanker, hé. Een grote tanker doen bewegen dat duurt jaren, hé. Dat is
het fantastische aan fin-techs: die gasten zitten in een garage en die zijn enorm wendbaar en die
passen zich alle dagen aan. Bij hen duurt dat een week, bij ons duurt dat 5 jaar.
Ik las in de literatuurstudie dat compliance with regulation eerder backward-looking is en
enterprise risk management eerder forward-looking. Wat denkt u daarvan?
Ik vond dat vrij onterecht. Vanuit de externe wereld gezien denkt men dat men bij compliance moet
denken aan de regelgeving en regelgeving wordt nu eenmaal uitgebouwd nadat het probleem zich
gesteld heeft. Dat is typisch, de overheid gaat zeer zelden pro-actieve regelgeving maken; die data-
regulering is daar nu eens een uitzondering op, dat is nu eens pro-actieve regelgeving die er zit aan te
komen, maar de meeste regelgeving wordt gecreëerd wanneer men problemen detecteert.
Aangezien de regelgeving door compliance wordt geïmplementeerd, denkt men inderdaad dat
compliance bezig is met de problemen van gisteren; die redenering begrijp ik wel. Voor een groot
stuk werken we inderdaad daarrond, maar we proberen toch heel duidelijk te werken aan de
problemen van morgen. Ik moet zeggen: één van de nieuwe zaken die we gaan doen in 2017 zijn
onderwerpen rond het beschermen van klantenbelangen, de juiste producten verkopen en dergelijke
meer… er is geen enkele regelgeving die mij dat vraagt, geen enkele. Daar bestaan wel dingen in
retail-banking zoals MiFID en dergelijke, maar in mijn métier is daar geen enkele regelgeving rond.
Toch denk ik dat dat belangrijk is naar de toekomst toe voor klantentevredenheid, zodat je toch
informatie geeft en transparantie hebt, dat je geen abnormale hoge marges neemt… Dat is
belangrijk: dat heeft niets met regelgeving te maken vandaag, maar dat is een mogelijk probleem
voor de toekomst. Ja, ik begrijp de literatuur, maar ik denk dat de deftige bedrijven toch wel iets
verder kijken dan alleen naar de strikte regelgeving van de overheid, maar daar toch hun eigen extra
aandachtspunten aan toevoegen die veel meer naar de toekomst kijken.
125
10.9. Attachment 9 – Interview transcript: Company F
Ik ben internal auditor, ik rapporteer aan de CFO. Als interne audit zijn wij één van de schakels in de
risicobeheersingsketen, dus we voeren audit uit en we rapporteren naar de raad van bestuur; in ons
geval naar een sub-comité: het audit comité van de raad van bestuur. Het AC in ons bedrijf is
toegespitst op financiële rapportering, op risico-en compliance rapportering en op interne audit. Dat
is een beetje delegatie van de raad van bestuur naar het AC. We hebben een AC met drie
bestuurders in, de CEO, de VP van corporate finance en de CIO. Die zitten daar permanent. Tijdens
het AC worden mensen binnengeroepen om hun domein toe te lichten: externe auditor, interne
auditor en de legal counsel. Stuur mij gerust een andere richting uit als ik naast uw vragen
antwoordt.
Ik zag dat jullie een RM process geïnstalleerd hebben om jullie strategische doelstellingen te
bewaken of te controleren. Één van die goals is compliance met regelgeving. Heeft compliance met
regelgeving een impact gehad op hoe het bedrijf kijkt naar risico’s?
Eerst moet ik al zeggen dat ons bedrijf recent een grote wijziging heeft gekend in het management.
We hebben onze CEO, onze belangrijkste exponent en hij is heel erg compliance-gericht wat wilt
zeggen dat de focus de laatste maanden en jaren vooral ligt op compliance; wat wel belangrijk is in
dit domein. Om op uw vraag te antwoorden, ga ik iets anders toelichten los van wat ik u heb
doorgestuurd. Hier zie je het risk management process…je ziet de yearly risk assessment and
compliance-gap analysis. Wat doen we daar? We doen daar een company-broad exercise waar we
alle entiteiten gaan bevragen. Dat gebeurt door onze risk & compliance manager… Qua monitoring
activiteit in ons bedrijf spreken we over een aantal functies: de interne audit, maar ook onder de
paraplu van risk & legal hebben we de risk & compliance manager. Vaak is er wat overlap tussen wat
wij doen, maar we zitten dan ook fysiek naast elkaar; we vullen elkaar meer aan dan dat we in
elkanders vaarwater zitten. Daarnaast zijn er natuurlijk ook zaken die specifiek over productkwaliteit
en product-compliance gaan, dat is dan eerder in de divisies, dus niet in de ondersteunende functies,
maar echt in de business. Je hebt kwaliteitsdiensten die ook audits doen en daarover ook
rapporteren, daar zijn natuurlijk ook risico’s aan verbonden. Echte risico’s in de zin van product-
compliance: uw producten zijn niet gecertifieerd, maar worden op de markt gebracht. Dat soort
zaken zit echt in hun business. In een healthcare-omgeving moet je met heel veel dingen rekening
houden, hé. Je hebt in Amerika de FDA die heel strikt zijn, je kan daar niet zomaar uw product op de
markt brengen zonder dat er aan alle normen wordt voldaan: we hebben dedicated teams om die
zaken op te volgen en er ook over rapporteren indien het nodig wordt geacht. Nog maar eens om te
zeggen: de risico-noemer is zodanig breed om op een halfuur het hele plaatje te schetsen. Samen
met onze risk and compliance manager doen we die jaarlijkse risico-oefening en daarin gaan we
126
iedereen, het CLT (Core Leadership Team – dat zijn de top 12 van het bedrijf) interviewen, een uur
lang, rond alles wat zij zien als risico’s en we groeperen die dan zoveel mogelijk. Dit gebeurt samen
met een bevraging van de 60 – 70 lokale entiteiten die allemaal een risk and compliance manager
hebben. Al die informatie consolideren we dan, totdat we tot 22 risico’s gekomen zijn voor dit
jaar…daar kan altijd een beetje speling op zitten. Dan sturen we die risico’s terug naar het CLT met de
vraag om ook scores toe te kennen. En op basis van die scores, maken we naast een kwalitatieve ook
een kwantitatieve lijst waarbij we de top 10 risico’s bepalen van het jaar. De verhouding met vorige
jaren wordt ook bepaald. We mappen dit dan naar een soort van grafische weergave. Inherent risk
op basis van likelihood en impact is zo, maar als we denken van ‘hoe goed hebben we dit onder
controle’, dan kijken we naar residual risk (Interviewee liet mij een soort van heat map zien). Makes
sense? Heb je dit nog al gehoord?
Ja!
Ik weet niet of dit in andere bedrijven aan bod komt?
In sommige, het varieert, niet elk bedrijf hecht evenveel belang aan risk tools.
Dus dan komen we, zoals ik daarnet zei, tot een top 10. Wat we dan doen…ik spreek nog altijd over
het management hé… de 22 risico’s en de top 10 risico’s worden vergeleken met die van vorige jaren.
Hoe is de consensus onder het management team? Het kan zijn dat er iets door twee mensen
extreem belangrijk gevonden is en door tien helemaal niet, dat soort dingen proberen we dan te
rapporteren en dat is nu echt een rapport dat al naar de raad van bestuur en het AC gaat. Nog voor
dat er iets mee gebeurd is qua actieplannen, zeggen we gewoon: de oefening is gebeurd en dat is de
ouput. In April gaat dit altijd naar het AC, als een beetje retrospectie naar het vorige jaar en ook
alweer de outlook naar het volgende jaar. Wat waren de risico’s waarmee we geconfronteerd
werden en hoe gaan we die aanpakken naar het volgende jaar.
Wat er dan gebeurd is: ons management team krijgt dat dan terug op zijn bord met de vraag: wat ga
je daar nu in feitelijk aan doen? Dat is wat ze nu deze week gedaan hebben: ze zijn eigenlijk op off
site geweest, dan krijgen ze allemaal de vraag: wat zijn de gaps op deze top 10 risico’s, wat zijn de
dingen waar we tekort schieten? Welke acties hebben we allemaal lopen die deze zaken zullen
afdekken, maar wat zijn de dingen waar we nog te kort schieten? Daar proberen we nieuwe acties te
definiëren indien nodig. Ik bedoel je kan niet op alles schieten: sommige zaken worden effectief
geaccepteerd als risico.
Die verschillende divisies worden geleid door divisie-president, krijgt die zelf verantwoordelijk
voor mitigating actions op te stellen?
127
Veel zal afhangen van het type risico. Als we kijken naar de top 10. Het eerste nu: cyber-risk and
data protection. We zitten sowieso al overduidelijk in een IT-context. Dus voor IT…De IT-president
heeft de boodschap meegekregen om de cyber-security te versterken en dat risico beter onder
controle te hebben. Daarnaast maken we in de healthcare networked solutions waarbij je in een
operatiezaal centraal de data kunt verzamelen en visualiseren. Die data moet natuurlijk beschermd
worden. Ge wilt niet dat onze bedrijfsproducten gehackt worden in de kliniek waarbij dat er iemand
anders die confidentiële medische dossiers kan ophalen. Dat soort is ook cyber-risk en daar komen
we dan ook meer bij de divisies terecht. Daar gaan de 3 divisiepresidenten verantwoordelijk worden
geacht voor de goede beveiliging van hun producten; dat ze niet te hacken zijn; als je met cloud-
oplossingen werkt bijvoorbeeld dat je een oplossing hebt voor security-problemen.
Bijna elk bedrijf dat ik geïnterviewd heb, draagt data protectie en IT risico’s als één van de
belangrijkste risico’s in het bedrijf.
Dat is anderzijds geruststellend dat iedereen er mee bezig is en dat er iedereen ook wat hetzelfde
over denkt. Moesten er mensen zijn die zeggen: ‘ik lag daar niet van wakker’, dan kan je u de vraag
stellen of zij mis zijn of wij mis zijn.
Intellectual property… dan zal er eerder gekeken worden qua ownership naar bijvoorbeeld de
mensen van legal. Kunnen we meer doen om de business te ondersteunen rond de bescherming van
onze patenten? Maar er gaat altijd een terugkoppeling zijn voor de divisiepresidenten van: ‘we
moeten ons personeel goed op de hoogte stellen dat ze zeker geen infringement plegen ten opzichte
van een patent van iemand anders, en anderzijds dat we onze eigen patenten goed genoeg
beschermen’. Er gaat nooit een single risk ownership zijn voor risico. In risico, zeker op dat niveau, is
per definitie een company risico. Indien het ‘mitty gritty, my own little risk’ zou zijn, dan zou het ook
niet belangrijk genoeg zijn om in de top 10 te komen. In die optiek: er zijn altijd mensen die eerder
geimpacteerd zijn, maar in essentie spreken we over risico’s die veel mensen impacteren. Ook
kwaliteit, zowel voor als na de productrelease, we moeten productreleases uitstellen omdat we onze
vereiste kwaliteiten niet halen. Dat is een risico. Ethics, dat is ook iets heel algemeen maar goed, we
willen toch als globaal bedrijf dat er overal dezelfde standaarden gelden. We willen niet dat de
Russische maffia onze Russische boîte controleert, ik stel het nu zeer karikaturaal maar je snapt mijn
punt wel, hé. Dat zijn een aantal van die zaken… Staffing…we zitten in een technologie-bedrijf…het is
belangrijk om mee te blijven, hé. Het is gevaarlijk om in één keer de boot te missen omdat je niet de
juiste mensen aan boord hebt, omdat je zaken gemist hebt. Dus ook daar moeten we ook constant
op ons hoede zijn; het hoeft niet per se een probleem te zijn, maar het is een risico. Dat is eigenlijk
128
onze kapstok; die risk assessment is zeer nuttig omdat we op die manier belangrijke zaken zoals onze
werkrprogramma’s, rapporteringen, risico’s samen kunnen ‘mappen’.
Ik ga nog snel eens onze management structure tonen voor uw begrip. Dat is onze CEO en daaronder
hebben we het core management team. We hebben iemand voor operations, voor de enterprise
divisies, CFO, VP of IT… We hebben een matrix structuur. We hebben 3 divisies en 4 regio’s. Al die
mensen rapporteren aan de CEO en moeten verantwoording afleggen over hun business. Sales als
het gaat over de regio’s en al de rest als het gaat over divisies. Dan zijn er een aantal ondersteunende
zaken zoals HR, finance, legal counsel…die dan ook mee deel uitmaken van het core leadership team
en ook moeten rapporteren aan hen. Als er gevraagd wordt vanuit het AC dat er iemand zich moet
verantwoorden, dan gaan ze specifiek mensen op de agenda plaatsen van het AC. Als dat gaat over
risico’s zal het meestal onze general counsel zijn: hij rapporteert over de zaken die opgemerkt zijn
door onze risk and compliance manager. Op periodieke basis komt hij echt met de agenda rond risk
reporting, waarbij ook verzekeringen ter sprake komen. Maar nog eens: risk is een heel breed
gegeven. Als het gaat over sommige financiële risico’s, bijvoorbeeld working capital risk dat onze
inventory heel hoog staat…dan zal er gekeken worden of het ligt aan operations of dat accounts
receivable slecht… Zo’n zaken zijn zeer ‘ad hoc’ dat het AC daar de vraag gaat stellen naar die
bepaalde mensen. Vaak is dat een sub-delegatie waarbij dat de RvB zou zeggen aan het AC: ‘dat is nu
een projectje dat jullie nu verder moeten opvolgen’, waarbij dat dan een delegatie gebeurt vanuit
het AC naar het managementniveau die er dan uiteindelijk het meeste owner zijn.
Ik las in het document dat u mij had doorgestuurd dat het bedrijf gebruik maakt van impact en
likelihood om risico’s te kunnen ranken en ik las ook dat dat gebaseerd is op een “acceptable level
of risk exposure”. Het bedrijf heeft dus een risicofilosofie of appetite die duidelijk zegt welke
risico’s acceptabel zijn of niet?
Dat is mijn eigen sales-praatje omdat het mijn métier is. Ik durf niet te zeggen dat dat een
cultuurgegeven is, maar ik moet dan ook wel zeggen dat dat iets is dat we nu wel proberen. Nog
eens: met dat nieuwe management wordt daar veel aandacht aan gegeven.
Wacht ik ga eerst even antwoorden op uw vraag van die levels van impact en likelihood…want we
hebben dat in feite ook gekwantificeerd. We hebben daar ook bedragen opgeplakt: ebit of
ebitda…impact…zoveel…dat noemen wij acceptable, dat noemen wij high. De impactschalen die zijn
echt gekwantificeerd. Ik weet niet of je dat wilt zien?
Graag.
(Liet mij zien hoe likelihood en impact werden gekwantificeerd). Voor likelihood…hoe definiëren we
de verschillende niveaus: ‘happened already in a similar activity in the company’ is dan al een 4 qua
129
rating.. Voor impact kijken we naar 3 niveaus: ebitda, reputation en stakeholders. Het idee van dat er
een dode valt op uw werkvloer…heeft dat een financiële impact…nee, maar het reputatie risico is
dan niet te schatten, hé. Een employee is nog altijd een belangrijke stakeholder, dus dat kan je wel
een serious impact noemen. Over risk appetite ging het feitelijk, hé, ik zou graag nog eens een zijstap
nemen om terug te komen op de compliance vraag van daarnet.
Compliance is iets dat in het bedrijf heel wat meer aandacht gekregen heeft. We definiëren dat ook
heel ruim. Elk jaar doen we een compliance quiz, een grote quiz waar iedereen in het bedrijf aan
moet deelnemen, waar we iedereen in het bedrijf uitnodigen om te volgen, maar niet gewoon
uitnodigen maar eigenlijk aansporen tot. Een uur lang een presentatie met tussendoor een
interactieve quiz. Van elk domein wordt er dan één iets uitgelegd, op het einde krijg je 2 of 3
vraagjes, op het einde van de rit is er dan een prijs voor het departement dat de meeste juiste
antwoorden gegeven heeft. Dat gaat over product-compliance, export-compliance…waar we zeker
niet lichtzinnig mee mogen omgaan… je hebt net zo een control room gezien…als dat gebruikt wordt
voor een nucleaire site in Iran…is dat toch al niet meer de bedoeling waarschijnlijk, hé. Dat soort
zaken wordt niet gemonitord, maar daar moeten wel wat ‘weides’ rond gecreëerd worden. Mensen
van traffic, mensen van sales, weten dat als er een order binnenkomt van Iran dat ze daar zeer
omzichtig mee moeten omgaan. Pas op dat order komt hier niet zomaar uit de lucht gevallen, hé.
Allemaal gewoon maar om te zeggen dat we hier een jaarlijkse grote awareness campagne hebben.
Ook revenue recognition bijvoorbeeld…dat is een financial policy…wat is de impact op de
business…wanneer mogen we iets herkennen als revenue? Order recognition juist hetzelfde…de
klant heeft op een servetje geschreven dat hij 2 projectors wilt hebben, maar dat is geen order…
Iedereen moet op dezelfde lijn zitten.
Hoe zou u de structuur beschrijven die jullie hanteren voor risico’s te beheren?
Dat is een redelijk centrale structuur zou ik zeggen; we willen daar wat meer ownership geven aan de
lokale risk and compliance managers, maar daar is nog een lange weg… Ik denk dat we voornamelijk
nog vrij centraal zitten. We zitten hier ge-headquartered, het balangrijkste deel van het personeel zit
hier, de managementfuncties zitten ook grotendeels hier, en zeker als je spreekt over
rapporteringslijn naar de raad van bestuur…is heel sterk van hier.
Iedereen is bezig met risico en compliance op zijn eigen niveau, maar de rapportering daarrond is
centraal gedreven.
Ik las : ”Timely, complete, and accurate information flow – top down and bottom up – is the
cornerstone of effective risk management”… Hoe verloopt die information flow tussen al diegenen
130
die verantwoordelijk zijn voor risk management. Wat zijn belangrijke aandachtspunten tijdens die
communicatie?
Dat moet opgesplitst worden naar de verschillende domeinen, het is moeilijk om dat in zijn geheel te
zien. Vanuit de audit zit ge altijd met een duidelijk stramien: er wordt iets op middle management
niveau geïdentificeerd, doorgesproken en dat escaleert of niet. Die escalatie is zeer klassiek. We
hebben ook rapporteringskanalen. Voor ethics hebben we een specifieke mailbox om te zeggen: ‘alle
risico’s die je ziet rond onethisch gedrag, kun je escaleren door een mail te sturen’. Er zijn 3 mensen
die in de mailbox kunnen en die zullen dat altijd overleggen. Verzekeringsrisico’s en plant risks zijn
dan een andere escalatie. Het is zowel top-down als bottom-up… Bijvoorbeeld: er kan een
personeelslid nu net per ongeluk betrokken zijn in een jaarlijkse stocktelling maar die ziet dat dat
magazijn veel risico op brandgevaar heeft… Op die manier wordt dat geëscaleerd, dus zowel van
bottom-up als top-down. Allemaal heel afhankelijk van welk type risico er wordt gerapporteerd. Dat
is ook niet allemaal geformaliseerd, hé. De meeste van die kanalen zijn informeel. Omdat de mensen
weten bij wie ze moeten zijn. We zijn niet zo groot dat we een anoniem bedrijf zijn. De mensen van
legal zijn genoeg gekend, ik probeer voor mijzelf ook te zorgen dat mensen weten wie ik ben zodat ze
mij kunnen contacteren. Hetzelfde geldt voor product-compliance: als er mensen zijn met vragen
daarrond, dan weten ze bij wie ze moeten gaan… Integrated assurance zie ik in de literatuur…we
moeten daar nog aan werken, maar we doen ons best.
U zei daarnet dat het AC het hoogste orgaan is voor risicobeheer. Dat dat gedelegeerd werd door
de RvB aan het AC. Wat is de functie van risk reporting aan het AC? En wordt risico gerapporteerd
als een ‘ad hoc’ oefening of wordt er gekeken naar het ‘bredere geheel’?
Het is sowieso altijd apart geagendeerd voor het AC. Als er over risico gepraat wordt, ik bedoel
letterlijk, niet in de periferie van…dan is dat een apart punt voor mezelf, voor audit om toelichtingen
te geven bij die risk assessment oefening of bij alle legal liabilities… Dat is altijd wel company-wide,
dat neemt niet weg dat er altijd ingezoomd kan worden rond één specifiek risico. Als het op de
agenda staat, dan staat het erop als een afzonderlijke topic, en niet mee in de flow van… Het eerste
deel van het AC wordt er gesproken over de cijfers zodanig dat iedereen weet waar we staan, wat de
outlook is en wat we het voorbije kwartaal hebben gedaan. Alles wat daarachter komt is een logische
reflectie ten opzichte van die cijfers… Als we bijvoorbeeld zeggen: we zien risico’s in China want we
hebben een kwaliteitsprobleem en we kunnen een bepaald product niet uitleveren… dan is dat
hopelijk al iets dat in de cijferbespreking ter sprake is gekomen.
Ik las ook in de literatuur dat compliance with regulation eerder backward-looking is en ERM
eerder forward-looking is. Hoe staat u tegenover die uitspraak?
131
Compliance is inderdaad voor een groot deel backward-looking omdat dat altijd reactief is op
problemen uit het verleden. Dat klopt wel, en er is een zekere inertie, hé. Als men op het gebied van
regelgeving zegt dat er iets moet veranderen, dan duurt het meestal nog 2 jaar vooraleer het echt
regelgeving wordt. We zitten nu met GDPR. GDPR is een groot programma bij ons, we kunnen niet
echt zeggen dat Europa een voorloper is, maar we doen tenminste iets. Een bedrijf heeft natuurlijk
de tijd nodig om een programma in ontwikkeling te brengen en om compliant te geraken. A priori
heb je al een backward-looking effect want tegen dat je live moet zijn, mei 2018, heb je al veel uit het
verleden opgekuist maar eigenlijk is risico-management per definitie forward-looking. Het verleden is
niet relevant meer, hé. Het is goed om uw lessons learned te hebben, maar er is weinig statistische
relevantie in het verleden en er is weinig voorspellende kwaliteit uit de zaken van het verleden. In die
optiek, onderschrijf ik dat verschil tussen compliance en ERM.
U zei dat door het nieuwe management team veel aandacht werd gevestigd op compliance… Hoe
zit dit in de raad van bestuur?
Ja, maar als ik terug mag grijpen naar die risk assessment-oefening. Daar zie je dat er een paar
tangible risks tussenzitten. Maar market competition risk is al een veel breder risico: dat is een risico
dat zegt: hoe gaan we ons bedrijf positioneren ten opzichte van de concurrentie en hoe zorgen we
ervoor dat we het goed doen in nieuwe technologieën… Ook het business-model is niet onbelangrijk:
de tendens is om iets te verkopen als een service in plaats van een product. Omdat je meer revenue
genereert, ge gaat in het begin misschien iets minder genereren, maar wel gegarandeerd voor een
zekere periode… Als Proximus morgen zijn sales staff ontslaat, gaan ze nog de volgende 3 jaar op
hetzelfde niveau verkopen…omdat dat gewoon recurring business is. Die re-positionering, dat is een
goeie buffer tegen risico. Als ge uzelf in een recurring model kunt krijgen, dan buffert ge heel wat
risico: ge zijt ineens niet meer afhankelijk van de kwaliteit van uw sales, van een probleem dat je
hebt in de field, uw reputatie valt of staat niet meer meteen met één failure op kwaliteitsniveau,
want ge zit embedded in een proces van uw klanten. Dat is een strategische keuze die iedereen
probeert te maken, maar de conversie is niet zo evident.
Is er volgens u ruimte voor verbetering op het vlak van interne risico-rapportering in het bedrijf?
We kunnen daar nog veel in verbeteren door consolidatie denk ik… We zijn natuurlijk ook een bedrijf
dat niet heel erg geformaliseerd is en we moeten dat gelukkig ook niet zijn. We zijn klein vergeleken
met global players, we zijn niet-Amerikaans beursgenoteerd, we zitten niet in de financiële
sector…dus we zijn eigenlijk daar flexibel in en ook niet door te veel regulation gebonden. We
moeten dus niet wakker liggen van de formalisatie van die oefening. We moeten die oefening doen
om te zorgen dat we alles goed op de radar hebben en de juiste acties nemen. We moeten de
132
oefening niet meer doen om te formaliseren of om te zorgen dat we er proper over rapporteren. Als
we het beter moeten doen, dan doen we het voor onszelf, niet voor de buitenwereld. In dat opzicht
is er altijd ruimte voor verbetering, maar we moeten dat niet per se als een agendapunt opnemen als
zijnde: ‘we moeten hier het komende jaar beter rapporteren over risico’… We moeten het gewoon
beter onder controle hebben.
Bedankt, dat waren al mijn vragen.
133
10.10. Attachment 10 – Case/Topic matrix
CASE/TOPIC Eandis Realdolmen Company A Company B Company C Company D Company E Company F
Formalized ERM
framework
• Integrated risk management
• The aim of integrated risk
management in the organization is
to find an optimal balance between
corporate objectives and the risks
that Eandis faces while realizing
those objectives
• Since 2014, Eandis has a
‘recurrent’ methodology
• Defined risk as “a vulnerable state
or an unprecedented future
happening that could impact the
operations and the achievement of
corporate objectives”
• Organization has multiple
processes
• Risk audit process brings all the
important risks together
• “Four l ines of defense”
• Multiple actors active in risk
management on different
organizational levels
• "No, but we do have rules that comply
with corporate governance"
• "We make use of 'checks and
balances' that complement our risk
reporting"
• CEO indicated that this was evident,
and especially in his l ine of business:
the payment industry
• A permanent monitoring to “check
where things could go wrong”
• “All those risks are inventorized”
• Analysis of risk profiles on a regular
basis
• “We don’t have an impact on the
exchange rate…being well-organized
helps to anticipate and minimalize those
risks”
• Risks with a big impact on financial
results are prioritized
• Risk analysis is an “ongoing process”
• Processes to identify risks are
inherent in the business
• “Bottom-up” analyses are conducted
to assess the probability of occurrence
and its impact
• Risk rankings are established to set
priorities
• “For a bank, risks are extremely
important, more important than
in regular organizations”
• Five broad categories of risk
that are managed in a separate
way
• Yearly risk assessment and
compliance-gap analysis is a big
part of the organization’s risk
management process
• A company broad-exercise where
all entities are being surveyed
Risk appetite/tolerance • KPIs are l inked to its related risks,
on each level of the organization;
this indicates that a clear risk
philosophy is established in Eandis.
• Risk management is firmly
embedded in this organization; the
creation of a heat map helps to set
up clear boundaries in relation to
the potential impact risks could
have on certain processes
• “Yes, I’ve established a risk appetite
model a few years ago”
• Classification of green-orange-red
can really helped in developing risk
appetite model
• “Our risk appetite permits to take
on ‘orange risks’”
• “Geronimo” used to get risk appetite
model into practice; getting it into
practice by training & personal
coaching
• A trade-off is made between risk and
reward in l ight of the organization’s
current stance on risk-taking
• Their business is one "risk language"
• “Each investment has its own merits”
• Establishing a risk appetite would
lead to a "negative choice"
• “We are in the payment industry, so
yes, there’s a presence of a clear risk
philosophy”
• Safeguarding the REBITDA and
assessing how identified risks will
impact the bottom-line, are the two most
important “key drivers”
• “No, I don’t think we look at risks that
way”
• “Internal regulation determines
our risk appetite”
• It’s a top-down process that
starts at the top of the
organization and ends in even
the smallest entities
• “It’s very important for a bank
to determine which risks will be
taken or not”
• Interviewee also indicated that
the risk appetite is a strategic
choice
• “That’s my own sales-talk
because it’s in my line of business”
• “I won’t say it is a cultural given,
but we’re working on that”
• A yearly risk awareness campaign
Central risk function • Management committee has
ultimate responsibil ity
• Interviewee’s slogan: “We all have
the same job…we are all risk
managers in our jobs”
• The mindset is important
• Nonetheless, interviewee also
indicated that a big part of the risks
are being managed by senior
management and internal auditor
• It’s more of an interplay between
different organizational functions, but
there’s no assigned risk officer
• COO is responsible for everything
concerning the certifications and plays
an important role
• CFO and corporate finance director are
the watchdogs of the processes
• Internal auditor • “There’s no central committee
where risks are being managed”
• Risk & Compliance manager and
internal auditor are the developers
of the yearly risk assessment
exercise
Other risk
responsibilities
• Establishment of three control
mechanisms: first there are the
people on the terrain who are
expected to be responsible for
operational risks; Management
committee is responsible for second
control; Internal audit is
responsible for third control.
• Senior managers are also
responsible for their l ine of
business; senior business process
analysts are expected to make
propositions concerning their l ine of
business.
• “Data Quality Control Managers”
also play an important role in
safeguarding the processes
• “A big part of the risks is being
managed by senior management and
the internal auditor”
• AC required to check financial
statements and safeguard correct
figures
• “‘Group Accounting’…four-eyes
principle”
• PMO
• ‘Group Reporting’ have an overview
of all the projects that are currently
‘red’
• Compliance department which is
very important for the installment of
a risk aware culture
• “Everyone who has decision-rights…,
the board as a control unit,external
accountant, external auditor...who can
also play a more pro-active role,
banking commission…"
• Directors that come into practice
could also have an impact on the risk-
financial status of the organization
• All the transactions that occur, must
be signed off by the head accountant
and two other people on different
organizational levels
• “We are with three: CEO, CFO, and
COO”
• “Audit committee and auditor must
know what security mechanisms are in
place”
• Management is responsible for risk
reporting to the board
• Leadership team is responsible for
keeping the audit committee up-to-date
• Audit committee is responsible for
evaluating the risk management process
of management team. The audit
committee ultimately reports to the
board of directors.
• “The internal auditor has a very
important function in our organization”
• Internal auditor helps to manage risks,
but also evaluates processes in place
• Risk management, HR and quality are
all aspects that are on team managers’
agenda
• Internal auditor reports to audit
committee
• Audit committee is responsible for
(risk) reporting to the board of directors
• CFO responsible for detecting fraud
risks
• A small entity in a big
organization performs its own
risk assessment
• There are committees on every
organizational level
• It’s organized in a structured
way: minor risks are left behind
and major risks are being
reported to a higher
organizational level
• CEO strongly focused on
compliancy
• Product-and quality compliancy
also very important. Dedicated
teams are in place to address these
important aspects of the business
• CLT responsible for giving scores
to top risks that the company is
facing
• 60 -70 local entities with local
risk & compliance manager
• Three division presidents are
responsible for cyber-risk in their
division
• General counsel reports the
findings of the risk and compliance
manager to the AC
134
CASE/TOPIC Eandis Realdolmen Company A Company B Company C Company D Company E Company F
Delegation of risk
ownership
• “We let it seep through the entire
organization”
• Everyone, on his or her level, bears
responsibil ity related to risks and
the objectives
• “We try to get a global vision of
risks; a vision of risks where there
has been reached a consensus”
• “Of course, you can’t manage it in a
centralized way”
• Indicated the importance of the
organization’s fourth line of defense
as a promotor of the installment of a
risk culture
• Member of executive committee
have ultimate decision-right to
accept a “red proposal”
• A certain autonomy, within certain
boundaries
• The use of modern technology is very
helpful… It’s more easy to check with
peers who share knowledge of
particular investment
• Interviewee indicated the importance
of a centralized approach to managing
risks,
• “You have to do it centralized, top-to-
down, it’s more efficient and direct”
• “You have to maintain independence…”
• “Everyone needs to follow our policies
and code of conduct…those policies
make sure that daily risks are being
controlled”
• Priorities and projects, once defined by
central risk function, are being
distributed to divisions
• With respect to ‘bigger risks’, divisions
are being expected to set up a plan that
needs to be approved by a higher
organizational level. If approved, then
the divisions need to execute the plan
• The input of divisions is important, but
coordination and evaluation is being
done by the financial team
• “Central-decentral isn’t black-and-
white”
• A mix of centralized and decentralized
approaches are present in this
organization
• Security & IT risks (personal safety
and health of employees) are being
managed in a centralized way; Financial
risks can be ‘hedged’, so that can be
done in a more decentralized manner
• A centralized approach supports
efficiency and is recommended in a
turbulent environment
• “If you need to react to sudden
changes, then I think a centralized
approach would be more suitable”
• "There’s autonomy, but
autonomy always goes hand in
hand with controls”
• Three lines of control in the
organization; also presence of
external controls
• Management responsibil ity is
certainly present but a huge
controlling body hovers over
those who can manage risks
• “There’s never single ownership
for risk”
• “Dependable on the type of risk”
• Cyber-security risk is
momentarily a priority, division
presidents are expected to be
responsible for a good protection
of their products
• “We want to give some more risk
ownership to our local risk &
compliance managers, but there’s
stil l a long way to go”
Internal risk reporting • Audit committee give
recommendations concerning ‘high-
profile risks’, management
committee should set up actions to
respond to those recommendations
• Internal audit reports directly to
CEO
• Tactical three-monthly reporting to
the board of directors
• Clear communication between
person responsible for detecting
most important risks and the
business process owners
• The use of tools is deemed very
helpful to report on risk-related
matters
• PMO reports to business owners,
CFO or the general manager.
• PMO works together with ‘Group
Reporting’ in order to follow-up the
projects
• Communication between four l ines
of defense happens by the people
involved: “you have a lot of bridges
between these different l ines of
defense”
• Management responsible for risk
reporting to the BoD
• “Risk reporting mainly depends on the
investments, our biggest risk factors”
• “Fraud risk… is hard to trace, hard to
detect in daily reporting”
• “There’s no information flow, you have
to be very careful with that”
• Human interaction is considered to be
a necessary part of the whole process...,
but also the most dangerous one
• In alignment with reporting of
performance
• Priorities and risk action plans are
being presented to audit committee by
the senior management team
• “The most important thing is the
continuous effort to evaluate processes”
• Risk is taken into consideration during
the launch of new projects; this happens
in a team
• Lack of "organizational layers"
• “In a sense, all our employees drink
coffee together…a formal organization
isn’t required”
• It all starts in the lower
echelons of the organization
• A distil lation of major risks is
reported to the top of the
organization
• Organized in a structured way:
committees on every
organizational level are
organized in the same way. This
promotes comparison between
different entities
• Everything is discussed in a
way that is set at the top
• Yearly risk assessment by risk &
compliance manager and internal
audit
• They interview the CLT and local
risk & compliance managers
• A consolidation of data leads to a
certain number of risks
• CLT team must assign scores to
the identified risks; this leads to a
top 10 of risks
• CLT finds consensus among each
other and determines suitable
action plans
• Clear communication with
division presidents
• AC determines in an ‘ad hoc’
manner which person to invite for
risk reporting
• Top-down and bottom-up
escalation
• Informal reporting channels
Risk reporting tools • Eandis Risk Identification Card
(ERIC)
• Heat map with 6 categories on
horizontal and vertical axis
• QPR, a program that supports
monitoring and reporting on a daily
basis
• “Our intensive care is graphically
displayed via a bubble-chart”
• “If you have an ‘Excel’ sheet with a
lot of different data, you can create
nice charts and graphs”
• Interviewee indicated that other
tools are: interviews, classification,
asking and testing, and the
collaboration between internal and
external auditor
• Time-registration tools for the
follow-up of projects
• “Everyone has its own tools”
• Heat map helps to set priorities
• No tools, it’s being integrated in the
“normal” reporting
• “Worst case scenarios… what if
something goes wrong… it’s important
to spend much time on these matters”
• “Those tools are the audit committee
and the auditor…who have to know what
security mechanisms are in place to
prevent fraud”
• SLAs
• External consultants perform a
‘penetration-test’ on a continuous basis
• “We don’t have a specific form of risk
reporting”
• Integrated with performance reporting
• No, but there’s a creation of an
overview via ‘Excel’
• Probability of occurrence and its
potential consequences are presented in
an ‘Excel’-sheet; CEO considered this as
a tool
• A heat map is used to display
all relevant risks of the group on
one page
• Major disadvantage: it all gets
‘grey’ as a consequence of
consolidation
• Organization uses a heat map
that graphically displays the
inherent risk and residual risk
• Impact on EBITDA, reputation and
stakeholders and likelihood based
on scores
135
CASE/TOPIC Eandis Realdolmen Company A Company B Company C Company D Company E Company F
Impact of regulatory
requirements
• “We can’t allow it to do something
against the law”
• “We are a ‘not-small’ organization,
where do you think that they will do
their first check?”
• We dedicate a lot of attention to
compliancy in the energy sector
• “Without a compliancy approach
matters are being reported at an ‘ad
hoc’ basis, instead of ‘high-level’”
• “We had to strive for arranging an
internal auditor within our
organization”
• “SOX quickly became a check-the-
box exercise…it’s written in an ‘ex
post point of view’”
• Interviewee indicated that Europe
had a ‘softer’ approach, more ‘ex
ante’/’comply or explain’, which
allowed Realdolmen to be more
future-oriented…”Europe’s approach
is successful in those aspects”
• “It remains a dead letter if it isn’t
embedded in the mentality”
• “It exceeds its aim most of the time…,
hard to understand by our
stakeholders”
• “It’s l ike an ivory tower”
• CEO indicated the “hyper-regulated
market” in which the organization
operates
• “You do nothing without being
certified, it’s that simple…otherwise we
wouldn’t be here”
• “Our annual reports, although we are
a small company, are sometimes 180
pages long”
• There’s a necessity to provide “end-to-
end transparency”
• Company is used to be compliant;
Compliancy very present in this
company
• “We don’t wait until due date”
• Regulation is integrated in their
statutes. They derive policies from those
statutes and expect that those policies
are followed.
• “Being compliant…that’s just a
minimum”
• CEO stated that compliance with
regulation hadn’t any impact on how the
organization manages risks
• He said that the introduction of GDPR
will have an impact: more profound
analyses of cyber-security risks will
probably be a consequence of that
regulation
• “Risks change over the years”
• “Ten years ago compliance
risks were almost non-existent,
but today it’s one of our biggest
risks”
• The bank heavily invests in risk
control systems concerning data
protection
• “There are different reasons to
implement risk systems in the
organization”
• Compliance-minded CEO
• FDA in U.S.
• “Compliance is something that
really got attention in this
organization”
• Compliance quiz
Function of risk
reporting to the BoD
• Strategic risk management is
present in Eandis
• “The current status of our KPIs and
their related risks are all reported to
the board”
• “Risks that affect our KPIs are
being reported 4 times a year”
• “I have to say, it’s not a popular
reporting…lot of directors take their
phone when I start discussion of
risks related to KPIs…it’s so
detailed, directors have less
commitment to those matters”
• “Compliance is not the cornerstone
of reporting to the board”
• The process is dependable on
functional risks, not compliance
• The most important risks are
estimated in function of the strategy
• Interviewee indicated that the
organization’s board asks a lot of
‘what-if questions’
• “Risk reporting is only a separate
exercise with the audit
committee…other meetings all have
risk elements in them”
• Investments are their biggest priority
and the effect of those investments on
the organization’s intrinsic value
• “Lately, our focus is on what we have
by maintaining and managing our
current portfolio”
• “It’s ‘comply or explain’…, but
‘explain’ always gets more
attention…it’s l ike a spotlight”
• “Take the example of putting more
women in the BoD…it always gets
attention, while it’s actually a ‘non-
issue’ relating to daily operations”
• “That’s very simple: that’s the risk of
the company”
• “The technical part is easier to control
than the commercial part”
• All those risks that have an impact on
the whole business are mentioned
• Mainly dependable on identified risk
areas
• Audit committee reports the main risk
priorities
• Compliance with regulation is deemed
important, but is not a top priority since
it’s considered as a basic minimum to be
compliant
• It’s very critical that the board can
perform its responsibil ities with great
care, including risk oversight and
management
• It helps to get a pro-active insight into
the whole business
• It helps to avoid stupid questions l ike:
“If I just had done that…then…”
• It’s integrated within ‘the bigger
picture’
• “I don’t think it should have a separate
contribution”
• The continuity of the entire
organization is deemed very important
• “I’ve never been to board
meetings of the whole group, so I
can’t testify”
• Like with management
committees, there’s a great
possibil ity that the board also
prioritizes risks. “Otherwise, I
would be really surprised”
• “If it’s on the agenda, then it’s a
separate topic”
• The first part of the meeting
covers the figures, “everything that
comes after this discussion should
be seen as a reflection of those
figures”
Opportunities for
improvement regarding
internal risk reporting
• “We have an extensive and very
profound risk management
framework…maybe it goes too much
in detail”
• “I dream of an organization like
Toyota with not more than four KPIs”
• Acknowledging the usefulness of
tools, the interviewee indicated that
tools should support people who
want to do risk management.
• “A tool doesn’t replace mentality”
• Stressed the importance of a risk
aware culture
• Interviewee showed some concern
relating to the independency of external
auditors
• “The external auditor gets paid by the
organization… The payment of these
auditors and the link with
independency needs to be broken”
• “Due to my education, I will dedicate
more time on the technical part in order
to assure full compliance”
• “If you’re dependent on external
parties, your risks will be bigger”
• “Capacity is very important”
• “Good communication is a vital part,
that’s a fact”
• “I think that we, sometimes, don’t spend
enough time on those matters”
• Established risk management process
demands a lot of time and
energy…possibil ity exists that it’s being
postponed.
• Very important to keep risk on the
agenda
• Integration of risk in business reviews
or budget meetings could also be
beneficial
• “Our approach is more pragmatic: if
you can work with people who know the
business, then you can also rely on their
know-how”
• “Sure, there’s room for improvement, it
would be crazy if we were perfect”
• “Risks are pil ing up…it all gets
more demanding”
• “Without realizing, you’re
creating a bureaucracy”
• The ‘tick-the-box’ effect
sometimes overshadows the
risks that should be addressed
• Well-defined procedures push
away the question that needs to
be asked: “What are actually our
risks?”
• “We’re not bound by a lot of
regulation”
• “If we should do better, then we
must do it for ourselves, not for the
outside”