risk oversight at executive and board...

RISK OVERSIGHT AT EXECUTIVE AND

BOARD LEVEL

Aantal woorden/ Word count: 24 952

Annabelle Holvoet Stamnummer/ student number : 01313131

Promotor/ Supervisor: Prof. dr. ir. Regine Slagmulder

Masterproef voorgedragen tot het bekomen van de graad van:

Master’s Dissertation submitted to obtain the degree of:

Master of Science in Business Economics

Academiejaar/ Academic year: 2016 - 2017

PERMISSION

I declare that the content of this Master’s Dissertation may be consulted and/or reproduced,

provided that the source is referenced.

Signature

Annabelle Holvoet

I

ACKNOWLEDGEMENTS

This master dissertation is the conclusion of my master programme Business Economics at the

University of Ghent. I challenged myself by choosing an unfamiliar topic. When I look back now, it has

been an extremely educational experience. I met a lot of interesting people and companies during my

case study, who all emphasised that risk management is a topical issue these days. I would like to

express my personal gratitude to the people who supported me during this process.

First of all, I would like to thank my supervisor, prof. dr. ir. Regine Slagmulder, for her guidance and

support over the last year. I really appreciate her valuable and regular feedback during the literature

study and empirical research of this master dissertation.

I would also like to thank all the involved companies for giving me the opportunity to conduct

interviews and for contributing to my empirical research. I spent a lot of time and effort on contacting

the right person in each of the interviewed organisations. Nevertheless, I must admit that I was

positively surprised by the great willingness of many companies to participate in my research.

I also want to give a special recognition to Mrs. De Wilde and her colleagues of BELRIM for contacting

their members in the context of my case study. Moreover, I would like to thank her for inviting me at

the event of BELRIM and the NBN concerning risk management standards. This gave me the

opportunity to establish my first contacts with risk managers of Belgian corporations.

Finally, I would like to thank my parents and friends for always believing in me and supporting me

during my academic career at the University of Ghent.

II

TABLE OF CONTENT

Used abbreviations ....................................................................................................................... V

List of figures ............................................................................................................................... VI

List of tables ................................................................................................................................ VI

Abstract in English....................................................................................................................... VII

Abstract in Dutch ....................................................................................................................... VIII

1. Introduction .......................................................................................................................... 1

2. Risk management .................................................................................................................. 2

2.1. Definition of risk management ........................................................................................ 2

2.2. Increased attention to risk management.......................................................................... 2

2.3. Enterprise risk management ........................................................................................... 3

2.3.1. Definition of ERM ......................................................................................................... 3

2.3.2. The rise and added value of ERM................................................................................... 4

2.3.3. Strategic risk management............................................................................................ 4

2.4. Risk management structure ............................................................................................ 5

2.4.1. Chief risk officer or head of risk management ................................................................ 5

2.4.2. Risk committee at board level ....................................................................................... 5

2.4.3. Other risk roles............................................................................................................. 6

3. Corporate risk oversight ......................................................................................................... 7

3.1. Executive management................................................................................................... 8

3.1.1. General role of the executive management .............................................................. 8

3.1.2. The role of the executive management in risk management ...................................... 8

3.1.3. Chief risk officer ...................................................................................................... 8

3.1.4. Risk committee at executive level ............................................................................ 9

3.2. The board of directors ...................................................................................................10

3.2.1. General role of the board of directors .....................................................................10

3.2.2. The role of the board of directors in risk management .............................................10

3.2.3. Risk committee in the board ...................................................................................11

3.3. Internal risk reporting ....................................................................................................13

3.3.1. Risk reporting content ............................................................................................13

3.3.2. Presentation of risks to the board ...........................................................................15

3.3.3. Frequency and timing.............................................................................................16

3.4. Determinants and consequences of risk oversight ...........................................................17

3.4.1. Determinants of risk oversight ................................................................................17

3.4.2. Consequences of risk oversight ...............................................................................19

III

4. Empirical study .....................................................................................................................20

4.1. Aim of the study ............................................................................................................20

4.2. Research questions........................................................................................................20

4.2.1. Risk oversight structure and responsibilities ............................................................20

4.2.2. Strategic risk management .....................................................................................21

4.2.3. Internal risk reporting and information provision .....................................................21

4.2.4. Determinants.........................................................................................................21


4.3. Research methodology ..................................................................................................22

4.3.1. Research design ..........................................................................................................22

4.3.2. Target group ...............................................................................................................23

4.3.3. Sample selection .........................................................................................................23

4.3.4. Interview approach .....................................................................................................25

5. Analysis................................................................................................................................26

5.1. Methodology ................................................................................................................26

5.2. Within case analysis.......................................................................................................26

5.2.1. Telenet ..................................................................................................................27

5.2.2. Colruyt ..................................................................................................................30

5.2.3. Proximus ...............................................................................................................33

5.2.4. Raffinerie Tirlemontoise .........................................................................................36

5.2.5. Brussels Airport .....................................................................................................38

5.2.6. Ardo ......................................................................................................................40

5.2.7. Company A ............................................................................................................42

5.2.8. Company B ............................................................................................................45

5.3. Cross case analysis.........................................................................................................48

5.3.1. Risk oversight structure and responsibilities ............................................................48

5.3.2. Strategic risk management .....................................................................................50

5.3.3. Internal risk reporting and information provision .....................................................50

5.3.4. Determinants.........................................................................................................52


6. Conclusion ...............................................................................................................................58

6.1. General conclusions ...........................................................................................................58

6.2. Recommendations and limitations ......................................................................................60

IV

REFERENCES ............................................................................................................................... LXI

Appendix 1: Risk management process...................................................................................... LXVII

Appendix 2: The development of risk management................................................................... LXVIII

Appendix 3: Conceptual frameworks ........................................................................................... LXX

Appendix 4: Strategic risk assessment process ........................................................................... LXXII

Appendix 5: Information processing ......................................................................................... LXXIII

Appendix 6: Risk reporting structure ........................................................................................ LXXIV

Appendix 7: Risk dashboard ...................................................................................................... LXXV

Appendix 8: List of companies in the target group..................................................................... LXXVI

Appendix 9: Questionnaire – Dutch version ............................................................................ LXXVIII

Appendix 10: Questionnaire – English version............................................................................ LXXX

Appendix 11: Interview Telenet .............................................................................................. LXXXII

Appendix 12: Interview Colruyt .............................................................................................. LXXXVI

Appendix 13: Interview Proximus ................................................................................................ XCI

Appendix 14: Interview Raffinerie Tirlemontoise........................................................................ XCIV

Appendix 15: Risk management system of Südzucker ............................................................... XCVIII

Appendix 16: Interview Brussels Airport .....................................................................................XCIX

Appendix 17: Organisational Chart Brussels Airport....................................................................... CV

Appendix 18: Interview Ardo ...................................................................................................... CVI

Appendix 19: Interview Company A............................................................................................. CIX

Appendix 20: Interview Company B ........................................................................................... CXIV

Appendix 21: Company characteristics .......................................................................................CXIX

Appendix 22: RQ1 and RQ2 - Risk oversight structure and SRM .....................................................CXX

Appendix 23: RQ3 - Internal risk reporting and provision of information .....................................CXXII

Appendix 24: RQ4 - Determinants ............................................................................................CXXIII

Appendix 25: RQ4 – Summary table ..........................................................................................CXXV

Appendix 26: RQ5 - Consequences of risk oversight ..................................................................CXXVI

V

Used abbreviations

AC

A&CC

BELRIM

BoD

BU

Audit Committee

Audit & Compliance Committee

Belgian Risk Management Association

Board of Directors

Business Unit

CCAO Chief Corporate Affairs Officer

CEO Chief Executive Officer

CFO Chief Financial Officer

COSO Committee of Sponsoring Organizations

CRMO Chief Risk Management Officer

CRO Chief Risk Officer

ERM Enterprise Risk Management

ExCo

FERMA

GDPR

HR

Executive Committee

Federation of European Risk Management Associations

General Data Protection Regulation

Human Resources

ICGN International Corporate Governance Network

ISO International Organization for Standardization

KPI

KRI

Key Performance Indicators

Key Risk Indicators

NACD

NBN

National Association of Corporate Directors

Bureau for Standardisation

NYSE

PR

RBV

RM

SRM

New York Stock Exchange

Public Relations

Resource-Based View

Risk Management

Strategic Risk Management

VI

List of figures

Figure 1: Classical risk map ...........................................................................................................15

Figure 2: Determinants and consequences of risk oversight ............................................................17

List of tables

Table 1: List of Companies ............................................................................................................24

VII

Abstract in English

The increase in environmental complexity and the stricter corporate governance regulations have led

to a growing external pressure for better risk oversight. This concerns the allocation of risk

responsibilities at executive and board level, as well as their mutual collaboration and communication.

The case study in this master dissertation makes use of in-depth interviews with eight different Belgian

companies to examine how they are organised for effective risk oversight. First of all, I found that the

majority of the interrogated organisations have a similar structure in place with a separate risk

management department overseeing the risk process. They report at least quarterly towards the

executive committee and the board. The final responsibility for risk management usually lies with an

existing management position as none of the companies appointed a CRO nor board level risk

committee. This can mostly be explained by the already high level of support from the top for risk

management. Secondly, most companies are already aware of the benefits of strategic risk

management, which is the link between risk management and the business strategy. However, there

is still room for improvement in terms of a developed approach. Furthermore, I compared the different

cases to define the determining variables of risk oversight. Especially firm size in combination with the

ownership type, the degree of regulation and the level of support from the top were found to have a

significant impact. Finally, attention was paid to the consequences of all these efforts for the company.

In this respect, I especially noticed an influence on the corporate risk culture as there is a growing

internal awareness for risk management.

VIII

Abstract in Dutch

De toenemende complexiteit in de bedrijfsomgeving en de steeds strikter wordende regelgevingen

omtrent corporate governance hebben geleid tot een sterk stijgende externe druk voor meer

betrokkenheid van het uitvoerend management en de raad van bestuur op vlak van het risicobeheer

van hun organisatie. Dit omvat de toewijzing van de verantwoordelijkheden, alsook de onderlinge

samenwerking en communicatie tussen beide niveaus. De casestudy in deze masterproef is gebaseerd

op diepgaande gesprekken met acht verschillende risicomanagers van Belgische bedrijven. Ten eerste,

vond ik dat de meerderheid van de ondervraagde bedrijven een gelijkaardige structuur hebben

opgezet. Een onafhankelijke risico afdeling overziet het volledige proces en rapporteert ten minste elk

kwartaal aan het directiecomité en de raad van bestuur. De eindverantwoordelijkheid voor

risicobeheer ligt meestal bij een bestaande managementfunctie. De bedrijven hebben geen

afzonderlijke CRO of apart risicocomité aangesteld aangezien er al voldoende ondersteuning komt van

bovenaf. Ten tweede, zijn de meeste bedrijven al op de hoogte van de voordelen van strategisch

risicobeheer of de link tussen risicobeheer en de bedrijfsstrategie. Anderzijds is er wel nog veel ruimte

voor verbetering op vlak van een uitgewerkte aanpak. Verder vergeleek ik de verschillende bedrijven

onderling om na te gaan welke variabelen een bepalende invloed hebben op risicobeheer. Hierbij vond

ik dat vooral de bedrijfsgrootte in combinatie met het eigenaarschap een impact hebben, alsook het

niveau van regelgeving en de steun van bovenaf. Tot slot onderzocht ik welke gevolgen dit nu heeft

voor het bedrijf. Ik stelde hierbij hoofdzakelijk een impact vast op vlak van de risicocultuur van de

organisatie, namelijk een toenemende interne belangstelling voor risicobeheer.

1

1. Introduction

Today’s organisations are operating in a highly complex and rapidly changing environment caused by

globalisation, technological advancements and many other worldwide events. This has led to an

increase in the number and complexity of the risks facing the companies. In order to be aware of the

threats and to be better prepared for the future, organisations have to establish effective risk

management (Lam&Kawamoto, 1997; Raber, 2003; Berg&Westgaard, 2012; OECD, 2014). Over the

past two decades, risk management has evolved towards a more enterprise-wide approach.

Companies currently pay more attention to the interrelatedness between different risks. Moreover,

there has been a shift in attention towards strategic risks and uncertainties (Frigo&Anderson, 2011;

Berg&Westgaard, 2012).

Furthermore, there has been a significant increase in external pressure for enhanced risk oversight by

the executive management and the board of directors. These calls especially ask for more board

engagement in risk management. As the directors are held responsible for the overall business

performance, they have to be aware of the key risks and include them in their discussions in the context

of the business strategy. The board has in its turn placed greater expectations on the role of the

executive team in the risk process (Atkinson, 2008; Van der Elst, 2013).

This master dissertation starts with a comprehensive literature study. First of all, the concept of risk

management is described. Secondly, more information is provided on enterprise risk management.

Subsequently, the focus is placed on the delegation of the risk roles and responsibilities to the

executive and board level. This master dissertation also discusses how and when the executive and

board level are provided with risk information. To conclude the literature study, I discuss some possible

determinants and consequences of risk oversight. The second part of this master dissertation contains

the empirical research, based on a case study of eight different Belgian companies. Five different

research questions are being answered by means of a comprehensive analysis of in-depth interviews

and corporate information. The final part of this paper describes the general conclusions and the

recommendations for further research.

2

2. Risk management

2.1. Definition of risk management

Risk management can be defined as “the holistic process involved in recognising possible risks, and the

measures undertaken to reduce and monitor them” (Kalia&Müller, 2007, p.23) or as “a process by

which the organisation assesses its exposure to types of harm, evaluates their impact, develops

management strategies, and implements actions that manage risk to the level desired by the board”

(Spencer&Hyman, 2012, p.6).

Risk management consists of a loop that is being repeated over and over again by organisations to deal

with uncertainty in their environment. An overview of the risk management process can be found in

appendix 1. The cycle starts with risk perception and risk identification. Organisations must

continuously observe their environment to be aware of every signal of increased risk. The second step

is to communicate and analyse the risks. Finally, risks have to be assessed and the organisation should

take adequate strategical actions to mitigate its effects. These actions have to be continuously

monitored and evaluated to guarantee their effectiveness (Kalia&Müller, 2007; Van der Elst, 2013;

Spencer&Hyman, 2012).

2.2. Increased attention to risk management

The first concepts of risk management appeared in the first half of the 20th century. The developments

up until now are described in appendix 2. Over the past decades, the contextual environment of

companies has significantly changed, with a rise in both the volume and the complexity of risks

(Berg&Westgaard, 2012; OECD, 2014). The financial crisis of 2007-2008, for example, has contributed

to an increase in companies’ interest in risk management. Today, every organisation is confronted with

a lot of risks. Despite the often negative connotation, taking risks is also important to create added

value for the company (Van der Elst, 2013; Spencer&Hyman, 2012; Olson&Dash Wu, 2015).

The growing importance of risk management also stems from the imposed regulatory frameworks.

Directives and regulations from the European Commission include strict disclosure requirements for

organisations concerning their principal risks and uncertainties (European Commission, 2016)1.

Moreover, individual countries as well have introduced strict risk management legislations (Van der

Elst, 2013). Furthermore, multiple stock exchanges, such as the NYSE, are increasingly putting pressure

on organisations to install effective risk management systems. The rising pressure is mainly focused on

1 Both Prospectus Directive 2010/73/EU and Commission Regulation 809/2004 of the European Commission aim to protect investors by imposing minimum disclosure requirements for companies that offer securities to the public in the EU (European Commission, 2016).

3

the need for increased risk oversight by the executive and board level. The Securities and Exchange

Commission (SEC), an agency of the U.S. federal government, also requires organisations to disclose

comprehensive information on the risk management role of the board (Ballou, Heitger, &Stoel, 2011).

Audit committees as well are having increased concerns regarding risk management. Their worries are

related to the velocity of risks and the association between risk management and the business strategy

(Kalia&Müller, 2007; Ballou et al., 2011; KPMG, 2010; Beasley, Branson, &Hancock, 2014). Finally,

banks are attaching growing importance to ratings provided by credit rating agencies when assessing

the organisation. These rating agencies also take the current state of risk overzicht into account when

determining a company’s rating. Therefore, the instalment of an effective risk management process

provides the organisation with an improved rating and as a result, they have easier access to capital

(Kalia&Müller, 2007; Frigo&Anderson, 2011; Beasley et al., 2014).

Despite the growing interest in risk management, there is still a large scoop for improving the current

practices. Only one quarter of the organisations in a U.S. survey stated that they have formal and

structured processes in place for risk management (Beasley, Branson, &Hancock, 2016).

2.3. Enterprise risk management

2.3.1. Definition of ERM

“ERM seeks to strategically consider the interactive effects of various risk events with the goal of

balancing an enterprise’s portfolio of risks to be within the stakeholders’ appetite for risk”

(Frigo&Anderson, 2011, p. 82). COSO2 also provided a definition of ERM: “ERM is a process, effected

by the entity’s board of directors, management, and other personnel, applied in strategy setting and

across the enterprise, designed to identify potential events that may affect the entity, and manage risk

to be within the risk appetite, to provide reasonable assurance regarding the achievement of entity

objectives” (COSO, 2009, p. 2).

Traditional risk management includes the consideration of each risk on its own, without paying

attention to the interactions between various risks. Different BUs within a company independently

manage separate categories of risks without any mutual collaboration. Accordingly, traditional risk

management is referred to as a ‘silo’ or ‘stovepipe’ approach. Many companies still apply this

traditional model (Ittner&Oyon, 2014; Aksel, 2015). Enterprise risk management (ERM), by contrast, is

a more advanced and enterprise-wide version of risk management as it reflects on the interaction

between various risk classes. It requires more collaboration between the different corporate functions

2 The Committee of Sponsoring Organizations of the Treadway Commission (COSO) is a cooperative union of five private organisations in the U.S. dedicated to assist companies in corporate governance by providing frameworks and general guidelines (COSO, 2009).

http://www.coso.org/

4

in order to oversee the portfolio of risks. ERM is a top-down approach, which means that the process

starts at the top of the organisation, looking at the overall picture. Afterwards, focus is placed on the

lower organisational levels for an effective implementation of ERM. The management of risks through

an integrated, more holistic approach, creates more benefits for the company. Both definitions also

mention that ERM attempts to balance an organisation’s portfolio of risks with its stakeholders’ risk

appetite. This means that the company has to take account of the tolerable risk level of its stakeholders

(Frigo&Anderson, 2011; Liebenberg&Hoyt, 2003; Ittner&Oyon, 2014). Different frameworks were

developed to assist organisations in ERM. They describe the key principles of ERM and include

guidelines for an effective implementation. Additional information on these frameworks and some

prominent examples are described in appendix 3.

2.3.2. The rise and added value of ERM

The broader dimension of risks, increased external pressure for corporate governance and recent

technological developments all contributed to more holistic risk management. First of all, globalisation,

the increased consolidation of sectors and the heightened regulation have led to an increase in the

volume and complexity of risks (Law&Kawamoto, 1997). Secondly, regulatory instances have tightened

the corporate governance regulations (Law&Kawamoto, 1997). They also obliged organisations to have

a more company-wide overview of their risks. Finally, recent developments in information processing

technologies enabled companies to quantify risks and improve their risk analysis process

(Liebenberg&Hoyt, 2003). Moreover, these new techniques assist managers in understanding the

interdependencies between various risk classes (Miller, 1992; Jablonowski, 2001).

Initially, organisations implemented ERM to comply with the corporate governance requirements.

However, nowadays, organisations increasingly realise that it is in their own interest to implement

ERM as it creates added value for the company (Beasley&Frigo, 2007). First of all, ERM ensures the

availability of more and better information on the company-wide risk profile, which leads to better

decision-making (Kalia&Müller, 2007; Frigo&Anderson, 2011; Aksel, 2015). Secondly, by managing

risks in an integrated way, the entire organisation is involved which creates synergies between the

different departments and avoids duplication of expenses (Miccolis&Shah, 2000; Aksel, 2015).

2.3.3. Strategic risk management

When comparing the two definitions of ERM at the beginning of this section, it is clear that they both

include a link between risk management and the business strategy. Strategic risk management (SRM)

can be defined as “a process for identifying, assessing and managing risk anywhere in the strategy with

the ultimate goal of protecting and creating shareholder value” (Frigo&Anderson, 2011, p. 84). The

main idea of SRM is that organisations need to better align their risk management and risk appetite

5

with the strategic decision-making process. SRM includes identifying the critical risks inherent to the

corporate strategy, a process which is often referred to as strategic risk assessment. Strategic risks are

those risks that are closely related to the overall business strategy. They can have a large influence on

the predetermined objectives and therefore deserve a significant amount of time and attention from

the executive and board level (Frigo&Anderson, 2009). Incorporating ERM in the strategy crafting

process creates additional value for the organisation and its stakeholders (Frigo&Anderson, 2009;

Beasley et al., 2016). Appendix 4 contains an overview of the strategic risk assessment process.

2.4. Risk management structure

In order to establish effective risk management, the concerning responsibilities have to be distributed

among the different organisational levels and positions. The risk management structure should set the

tone for the right ERM culture (Aksel, 2015). Next to the already existing positions of CEO, executive

committee and board of directors, several other positions can be created to improve the functioning

of risk management. Examples of possible functions are described in the following sections.

2.4.1. Chief risk officer or head of risk management

An increasing number of companies opts to allocate the final responsibility for risk management to a

single individual in the executive committee. This person is then called the CRO or the head of risk

management. More information on this important position can be found further in this paper (3.1.3.

Chief risk officer).

2.4.2. Risk committee at board level

Traditionally, organisations mainly dealt with risks and their consequences at the operational and

management level. However, in order to achieve effective results, risks should also be monitored at

board level (Hilb, 2012). Stricter corporate governance regulations have also led to an increase in the

board’s attention to risk management (Law&Kawamoto, 1997). While the board as a whole has a

general overview on risk management, more specific responsibilities are usually assigned to separate

board committees. These often include the board level finance and audit committees. Driven by the

emergence of ERM, organisations began to realise that these existing committees are already

overwhelmed with multiple tasks, so they started to create separate risk committees at board level

(Atkinson, 2008). More information on risk committees can be found further in this paper (3.2.3. Risk

committee in the board).

6

2.4.3. Other risk roles

Companies are usually composed of different BUs or departments. They can appoint a risk coordinator

at every unit, who then has to carry out the same responsibilities as the head of risk management, but

at a lower organisational level (Kalia&Müller, 2007). Sometimes a certain risk can be so important that

a risk owner is appointed. This individual is then held responsible for managing this specific risk.

Besides reflecting on the necessary mitigating actions, the risk owner has to report the risk status to

the higher corporate levels. Similarly, one or more individuals can be held responsible for the

implementation of the mitigating actions. These people are called response owners and they also have

to report on their actions to the executive management (Kalia&Müller, 2007; Ittner&Oyon, 2014).

Furthermore, organisations can choose to designate risk champions for more effective risk

management. These company members must ascertain that risk management is part of the corporate

culture. As opposed to the abovementioned functions, risk champions do not have to be part of the

risk management team and they do not have to be experts in risk. By way of contrast, they are expected

to have a very good knowledge of the organisation and its culture. They have to be able to involve

other people through their excellent social skills and effective communication. Risk champions have to

convince other company members to be attentive for risks in their daily activities. Besides risk

champions who are not part of the risk management team, the CRO and the risk coordinators are also

considered to be risk champions (Kalia&Müller, 2007).

Traditionally, risk management especially and almost only encompassed financial and insurance risks.

Over the past decades, different global events increased the necessity of a wider approach on risk

management. Nevertheless, some organisations still hold their CFO responsible for risk management

because of his expertise in finance and insurance (Ittner&Oyon, 2014).

Additionally, the internal audit department also takes on risk responsibilities such as evaluating the

most important risks, assessing ERM processes and reporting on their diligence to the board. Multiple

companies also delegate risk oversight responsibilities to the audit committee (Spira&Page, 2003;

Kalia&Müller, 2007; Protiviti, 2010; Tonello, 2012; Ittner&Oyon, 2014).

7

3. Corporate risk oversight

Risk management still has to deal with a lot of weaknesses (Hilb, 2012). One of the major issues is the

fact that the many companies particularly deal with risks at their operational and managerial level,

while there is little involvement of their board level. As mentioned before, recent more stringent

regulations on corporate governance call for a greater involvement of boards in risk management. This

is referred to as risk oversight (Protiviti, 2010; Ballou et al., 2011; Tonello, 2012; Van der Elst, 2013;

Ittner&Keusch, 2014; Gupta&Leech, 2014). Risk oversight is defined as: “the board’s supervision of the

risk management framework and risk management process” (ICGN, 2015, p.5). Corporate risk

oversight enables the executive management and the board to have a proper understanding of the

company’s critical risks and associated actions, as well as its general risk profile. It also includes the

mutual communication and ongoing reporting concerning the risk approach between the executive

and board level (Tonello, 2012; COSO, 2013; Ittner&Keusch, 2014). Risk oversight is different from risk

management, which is the more practical implementation of the risk approach by the lower

organisational levels (ICGN, 2015).

Previous research found that explicitly defining the board’s responsibilities regarding risk management

leads to more mature ERM practices in the company (Ittner&Keusch, 2014). COSO issued its “Effective

Enterprise Risk Oversight: The Role of the Board of Directors and Strengthening ERM for Strategic

Advantage” to assist companies in risk oversight. First of all, the executive management and the board

should have a shared view on the risk appetite and risk culture. The risk appetite is the level of risk that

is acceptable within the company. Secondly, the board should have a proper understanding of how the

executive management is addressing the risks. Next, the COSO paper advises companies to use a

portfolio perspective on risks to see the interrelationships. Finally, the board has to be aware of the

key risks facing the firm and the associated mitigating actions (COSO, 2009; Protiviti, 2010; Ballou et

al., 2011; Gupta&Leech, 2014).

This chapter provides information on the different organisational positions at executive and board

level in the area of risk oversight. The actual structure can vary from a centralised model with only one

person held accountable for risk oversight, to a model where the responsibility has been distributed

across different organisational levels and functions. On the one hand, a centralised model has the

advantage of providing a more coordinated and integrated approach. Moreover, the person who is

held accountable for risk oversight will have a profound understanding of the overall risk portfolio of

the firm and the relationships between different risks. On the other hand, companies that opt to

spread the accountability across different organisational parts, will benefit from the variety of

knowledge and expertise of different people (Ittner&Oyon, 2014).

8

3.1. Executive management

3.1.1. General role of the executive management

The executive management is a team of professionals who are responsible for the daily management

of the company. They are the leaders of the diverse organisational departments. In order to achieve

the company’s objectives, they have to make operational decisions and they must deploy the resources

in the best interest of the organisation. Moreover, they are held responsible to keep the board up to

date by regularly providing them with information on all organisational aspects (Mintzberg, 1989).

3.1.2. The role of the executive management in risk management

The executive management is held responsible for the assessment, planning and implementation of

risk management, assisted by the organisational staff. In particular, the management team draws up

proposals for the establishment of effective risk systems. These then need to be approved by the

board. Afterwards, the executive management’s main priority is to enact the agreed risk direction

(Spencer&Hyman, 2012). Both new regulations and stricter requirements concerning corporate

governance call for a better definition of the risk roles of senior executives. As a consequence, several

organisations have appointed a CRO in their executive committee (Law&Kawamoto, 1997).

3.1.3. Chief risk officer

The title of CRO has only recently been added to the collection of corporate positions. The institution

of the first CRO dates back to 1993, when James Lam was the first to get this formal title at GE Capital

(Kalia&Müller, 2007). At first, especially U.S. financial services organisations appointed a CRO. The

external pressure for better risk oversight and the recognition of the added value of ERM have both

contributed to a growing number of organisations, active in other industries and other geographical

regions, dedicating a specific management position to risk management (Lam, 2001). ERM lead, chief

risk management officer (CRMO) and enterprise-wide risk manager are synonyms for the same title

(Branson, 2015; Aksel, 2015).

A CRO has the ultimate responsibility for the implementation of a company-wide risk programme that

has to be in accordance with the risk appetite (Lam&Kawamoto, 1997). His main priority is the

integration and coordination of all aspects of risk management. Moreover, a CRO serves as a risk

champion within the organisation as he has to promote ERM and create a high level of risk awareness

amongst the organisational members (Liebenberg&Hoyt, 2003). A CRO is also considered to be the

management liaison to the board as he has to provide the board members with risk information (Lam,

2001; Kalia&Müller, 2007; Ittner&Oyon, 2014; Aksel, 2015).

9

Sometimes, organisations designate multiple CROs, with each BU having its own CRO and a corporate

CRO who oversees the whole risk process (Boyd, Moolman, &Nwosu, 2016). The appointment of a CRO

in the organisation mostly has a positive association with the maturity level of ERM (Beasley et al.,

2016). Creating a CRO position stresses both internally and externally the company’s commitment to

ERM (Lam, 2001; Liebenberg&Hoyt, 2003).

The required capabilities to become a CRO depend on the size and characteristics of the organisation,

as well as on the industry. The necessary skills, knowledge and experience are rarely found in one

individual. Risk managers are often experienced in market risk, credit risk or operational risk, but only

seldom they are expert in all risk categories (Liebenberg&Hoyt, 2003; Aksel, 2015). A good CRO mostly

has a high educational degree and is technically very solid (Thiessen, Hoyt, &Merkley, 2001). Since the

CRO has to communicate frequently with the CEO and board members, excellent communication and

coordination skills are indispensable (Lam, 2001; Liebenberg&Hoyt, 2003).

3.1.4. Risk committee at executive level

Proponents of ERM believe that a corporate risk programme needs someone who carries the final

responsibility for the internal risk coordination and communication (Liebenberg&Hoyt, 2003). Despite

the agreement on the importance of a responsible body, there is disagreement on its structure. Some

argue that the programme should be overseen by a single person such as a CRO, others favour a risk

committee at executive level (Haubenstock, 1999). Especially in larger and more complex

organisations, executive level risk committees are being appointed as a management partner for the

board level risk committee. While the board risk committee is responsible for risk oversight, the

executive risk committee is in charge of the actual implementation of the risk programme (Bugalla,

Kallman, Mandel, &Narvaez, 2012). The majority of organisations believe that a CRO and an executive

risk committee can complement each other (Miccolis&Shah, 2000).

The formation of an executive risk committee guarantees that the risk management responsibilities

are spread across multiple executives with different capabilities and backgrounds. It is often composed

of the most important executive managers of the company. This in its turn promotes a more holistic

and comprehensive view on risk management and a better understanding of the interrelationships

between different risks (Bugalla et al., 2012). Organisations with interdisciplinary risk committees at

management level tend to have a more cross-functional approach towards risk management (Bugalla

et al., 2012; Ittner&Oyon, 2014).

10

3.2. The board of directors

3.2.1. General role of the board of directors

The board of directors consists of both executive and non-executive members that have been elected

by the shareholders. Their key role is to supervise the company for the benefit of both internal and

external stakeholders. On the one hand, internal stakeholders should receive guidance and

supervision, as well as relevant information from their corporate board. On the other hand, the board

is held accountable for the information provision towards the external stakeholders regarding the

company’s operations and results (Van der Elst, 2013). Furthermore, board members have to approve

the long-term business strategy and develop an adequate resource allocation. They also have to

appoint and remunerate the CEO and his management team. Finally, directors have the decision-

making authority to develop the corporate policies and define the organisational objectives (Tricker,

1994; Ingley&Van Der Walt, 2008).

Over time, different theories have been developed regarding the role of the board. The agency theory

describes solutions for problems in the relationship between two parties, the principal and his agent.

This theory suggests that there are conflicts of interests between the owners of the company and the

management level. It therefore emphasises the controlling and monitoring role of the board. The

stewardship theory, meanwhile, focuses on the strategic role of the board. This theory suggests that

managers are inherently operating in the interest of the company, so there is no need for the board to

control their activities. As a consequence, the role of the board is restricted to reviewing and approving

the strategy proposal drawn up by the management team. The stakeholder theory advocates the

coordinating role of the board. It states that the board is responsible for the communication and

negotiation between the company and its internal and external stakeholders (Hung, 1998).

3.2.2. The role of the board of directors in risk management

Monitoring role

The ultimate responsibility for risk oversight lies with the entire board of directors (Tonello, 2012).

They are accountable to the organisational stakeholders (Dickinson, 2001). The role of the board in

terms of risk management is similar to their overall responsibility for the strategy and processes. The

board has to provide general guidance and supervise the risk management process and practices

(Raber, 2003; Ittner&Keusch, 2014). First of all, board members have to approve the company-wide

risk approach and the accompanying risk policies and procedures proposed by the executive level.

These must be synchronised with the predetermined risk appetite (Kalia&Müller, 2007;

Spencer&Hyman, 2012). Secondly, the board has to supervise the risk implementation process to make

sure that the management team carries out its tasks in a proper way (Ernst&Young, 2013; ICGN, 2015).

11

A risk process is only beneficial if everyone in the organisation is convinced of its benefits and if people

are willing to be involved. Risk management has to be part of the organisational culture and should be

reflected in the values of the company (Spencer&Hyman, 2012). Together with the risk champions, the

board is responsible to establish a supportive culture that encourages openness and internal dialogue

on risk and strategy. They should repeatedly communicate the importance of risk management and

provide supporting guidelines. In summary, the tone of risk management has to be set at the top of

the organisation to reach the bottom of the firm (Kalia&Müller, 2007; Brodeur, Buehler, Patsalos-Fox,

&Pergler, 2010; ICGN, 2015).

Strategic risk management by the board of directors

As mentioned before, linking risk management with the corporate strategy is of major importance for

organisations operating in a today’s complex and rapidly changing environment. Strategy and risk

management have become inseparable (ICGN, 2015). It therefore comes as no surprise that SRM is

considered to be a core competence of the board. Boards have to make sure that risks are incorporated

in the strategy process: “Risk is an integral part of every company’s strategy; when boards review

strategy, they have to be forceful in asking the CEO what risks are inherent in the strategy” (Charan,

2009, p.23). Boards should consult their management team to gain information on the risks inherent

to the business strategy and to include these risks in the strategy process. Key risk indicators (KRIs) are

metrics that provide a signal when a certain risk is significantly increasing. These indicators can be

developed in order to facilitate the monitoring task of the board and they assist organisations in

determining the effectiveness of mitigating actions (Fraser&Simkins, 2009; Zhang, 2010).

3.2.3. Risk committee in the board

Instead of only holding the board as a whole responsible for risk management, some companies

delegate risk responsibilities to one or more specific board committees. The main purpose of a

company-wide risk committee is to assist the board in overseeing the ERM process (Bugalla et al.,

2012). It has to monitor all the different risks from an overall company basis, as well as the associated

actions (Lam&Kawamoto, 1997; Atkinson, 2008). Companies face a very broad range of risks,

encompassing different organisational functions. Therefore, risk committees must be composed of

people with different backgrounds and expertise (Lam&Kawamoto, 1997). Members of a risk

committee are often chairs of other board level committees. As a result, they have a profound

understanding of the organisational operations, strategy and the different risks facing the company. In

order to be effective, the committee should also engage independent directors who have experience

within the industry. The committee should not only comprise risk management professionals, but also

experts on audit, compliance, HR and PR. These professionals must support the different BUs by

providing effective approaches and tools for risk management (Lam&Kawamoto, 1997; Atkinson, 2008;

12

Tonello, 2012; ICGN, 2015). Some organisations install separate committees, such as a technology

committee or health committee, that are then responsible for a specific risk area without giving them

the explicit name of a ‘risk committee’ (Tonello, 2012).

The responsibility for risk management at board level was traditionally shifted to the audit and finance

committees (Bugalla et al., 2012). These committees, however, usually have a lot of other duties and

responsibilities. Together with the increasing interest in ERM, organisations became aware of the need

for a stand-alone risk committee at board level (Atkinson, 2008). Only this makes it possible to take

the burden away from other committees. Moreover, audit committees do not always have the right

skills to manage business or operational risks since their members usually have a more financial

background (Tonello, 2012).

Establishing a separate risk committee offers the benefits of a greater focus on and increased attention

to risk management, as well as more independent judgement (Tonello, 2012; Ittner&Keusch, 2014;

IGCN, 2015). Prior studies found that the involvement of the board in risk management is stronger

when roles have been explicitly designated. Nevertheless, the involvement level is lower for companies

that only delegate the responsibilities to one or more board committees than for those companies that

allocate the responsibilities to the board as a whole or to both the entire board and a separate board

committee. After all, risk oversight remains a responsibility of the entire board. So when an

organisation creates a separate risk committee, the remainder of the board must be kept informed on

the key risks and their evolution (Brodeur et al., 2010; Tonello, 2012; Ittner&Keusch, 2014).

13

3.3. Internal risk reporting

Boards should receive timely, relevant and reliable information about risks facing the company and

the associated mitigating actions to effectively carry out their risk oversight role. There should be an

ongoing communication between the executive and board level (Bugalla et al., 2012). OECD principles3

mention that the board should disclose risk information to the organisational environment and

stakeholders (OECD, 2014). In order to do so, the board has to stay up-to-date and supervise risk

management (Berg&Westgaard, 2012). Reporting is often mentioned as an important practice to

control the organisation (Kurland, 1994; Ingley&Van Der Walt, 2008; Branson, 2015; DeLoach, 2016).

In addition, reporting risk information to the board can help to assess whether the risk appetite of the

executive and board level are aligned. (Denis, 2001). The next paragraphs investigate differerent

characteristics of internal risk reporting, such as the content, the manner of presentation, the

frequency and the timing.

3.3.1. Risk reporting content

Communication between the executive and board level entails written reports, as well as oral

presentations (Kurland, 1994). Especially large organisations and public companies provide their

boards with written preparations monthly, quarterly or annually (Beasley et al., 2016). The information

provided to the board particularly consists of financial and management accounts, but other important

data such as risk information is also included (Johanson, 2008).

A typical risk report to the board covers the top risks facing the company. The current and previous

status of every particular risk are included, as well as the frequency of occurrence and the KRIs

(Kalia&Müller, 2007; Spencer&Hyman, 2012). The report often mentions the risk owners and their

specific efforts to handle the risks. In order to provide the board with a clear view on the evolution of

a risk and the effectiveness of the mitigating actions, a time-series analysis can be included.

Furthermore, a risk report often contains a comparison between the effectiveness of the response

actions and the predetermined KPIs (Kalia&Müller, 2007; Brodeur et al., 2010; Spencer&Hyman, 2012).

Once a year, the report may include an overview of the risk management quality. Quality control is

usually carried out by the internal audit function and the head of risk management. Internal control

especially focuses on the implementation of the mitigating actions, while the head of risk management

compares risk management with other organisations and gives guidelines for continuous

improvement. For Belgian organisations, BELRIM (Belgian Risk Management Association) brings risk

3 OECD principles are non-binding standards of corporate governance, issued by the Organization for Economic Cooperation and Development (OECD, 2014).

14

managers of different companies and sectors together so that they can share their knowledge and

experiences and learn from each other’s best practices. The association arranges work groups,

conferences and other activities in order to improve the quality of risk management in Belgium

(Kalia&Müller, 2007; Protiviti, 2010; BELRIM, 2017).

When having a look at the number of risks reported to the board, this can vary strongly across

organisations. While some boards only receive a limited number of three to five risks, others receive a

comprehensive enumeration of ten to fifteen risks. In order to prevent the risk report of becoming too

comprehensive and irrelevant, risk information should be analysed and prioritised. Therefore, risks are

often ranked based on their probability of occurrence and their potential impact on the organisation

(Kalia&Müller, 2007). Firms can divide the risks into tiers to make a differentiation between top-tier

risks and lower-tier risks. The former risks can then be presented to the full board, while the latter risks

only reach the audit or risk committee. Organisations might also prefer to sort the risks based on other

criteria, such as their velocity or their financial impact (Branson, 2015).

In addition, managers can order the top risks into different categories. They often categorise risks

based on the organisational structure. Some risks concern the organisation as a whole , while others

are more of importance to a specific functional department. However, allocating a risk into a single

category may cause more disadvantages than it provides benefit for the firm since it does not match

with the main principle of ERM to consider the interrelationships between risks (Branson, 2015).

COSO’s 2009 ERM – Integrated Framework also includes a guideline to structure risks. The framework

mentions four categories: strategic risks, operational risks, financial risks and compliance risks (COSO,

2009; Branson, 2015). Boards mainly receive information regarding operational risks. Previous studies

found that there is still room for improvement relating to the supply of information on strategic risks

facing the company (Ballou et al., 2011). This is in accordance with the growing importance boards

place on SRM.

The resource-based view (RBV) is a theory on corporate resources that promotes the idea of both

focusing on the static and dynamic dimension of resources. When applying this on board information,

it means that we should not only examine which data the board receives (static dimension), but also

how the board processes this information (dynamic dimension) (Zhang, 2010). This is a very interesting

insight, but as it goes beyond the scope of this paper, I have included this in appendix 5.

15

3.3.2. Presentation of risks to the board

In most companies, the board already receives written risk information before the actual presentation

of the risks during the board meeting. This ensures that the board is up-to-date on the current status

of the risks facing the company (Kurland, 1994; Branson, 2015). The actual presentation of the top risks

to the board is a duty of top management and is mostly led by the CRO (Berg&Westgaard, 2012).

Sometimes there might be an intermediate stage, where the CRO presents the risks to a board

committee or CEO before the risks reach the entire board (Branson, 2015). However, different

researchers mention that the effectiveness is higher when the CRO reports directly to the board (Lam,

2001; Beasley et al. 2016). Appendix 6 contains an example of an organisational structure for effective

risk reporting to the higher corporate levels.

The actual risk presentation usually consists of a combination of information elements. First of all, it

almost always contains a narrative discussion between managers and directors on the key risks facing

the company. Besides that, managers generally also give an explanation of the ERM process. During

this discussion, the mitigating activities are also clarified. Secondly, managers make use of visual

elements to inform the board on the risks in a clear and structured way. There are various types of

graphical representation techniques, with a risk map as the most commonly used one. Organisations

can also use scorecards, dashboards, charts or graphs to present the risks to the board (Branson, 2015).

Risk map

In order to visually indicate the different top-tier risks, managers can make use of a heat map or risk

map. Risk mapping is the process in which the organisation tries to identify, quantify and prioritise

risks. Risks are being ranked based on their likelihood and impact, while paying attention to the

business strategy (Kalia&Müller, 2007).

Figure 1: Classical risk map. Source: Kalia&Müller, 2007.

16

This process results in a map with four different quadrants that give an indication of the priority that

should be given to each risk. The figure above is an example of a classical risk map. Risks in the upper

right quadrant are typically known to have a big impact on the functioning of the organisation and a

high probability. Therefore, these risks should be closely monitored. Conversely, risks in the bottom

left corner of the map demand less attention as they are less likely to happen and their impact on the

organisation is minimal. Other dimensions can be added to the map by using different colours and

sizes of the risk bubbles. Examples of additional criteria are the velocity of a risk, management’s

assessment, the risk area etc. (Brodeur et al., 2010; Branson, 2015).

Risk dashboard

While a risk map only displays risks on two different axes, a risk dashboard contains more detailed

information on every risk facing the company. It is a comprehensive figure that gives a clear definition

of every risk, as well as information on its current status. This status can vary from high to medium or

low risk, depending on the urgency to intervene, and is often indicated with a colour. Furthermore,

the mitigating actions are described and each risk is also coupled to a specific risk owner. An example

of a risk dashboard is provided in appendix 7 (Branson, 2015; Boyd et al., 2016).

3.3.3. Frequency and timing

More than 50% of the surveyed board members in a U.S. survey said that they receive at least annually

a risk report from their management team. Approximately half of the respondents argued that they

receive the reports more frequently, which means that they receive those reports semi-annually or

quarterly. Next to the annual report to the full board, many organisations provide more frequently an

additional report to the risk and/or audit committee. None of the surveyed companies are reporting

more frequently than quarterly (Branson, 2015). Multiple studies revealed that the regularity of risk

reporting to the board should be increased (Protiviti, 2010).

Next to the frequency, it is also important to carefully consider the timing of the risk reports. No

evidence has been found for a fixed pattern in the scheduling of risk reporting. Sometimes the timing

of risk reports in U.S. companies is linked to filing with the SEC, either prior to it or immediately

afterwards. Other companies’ risk reports to the board coincide with the scheduled discussions on the

business strategy (Branson, 2015).

17

3.4. Determinants and consequences of risk oversight

The aim of this master dissertation is to examine risk oversight in Belgian companies. Previous studies

repeatedly investigated how risk management is implemented in Belgian companies and how risk

reporting to external stakeholders is organised. Despite the increase in external pressure for more

managerial and board engagement in risk management, the number of studies on risk oversight at the

executive and board level in Belgian companies is rather limited. By focusing at this topic, this master

dissertation fills this research gap and further complements the already existing findings on risk

management in Belgian companies. Nevertheless, previous findings about risk management in Belgian

companies and prior studies on risk oversight practices in other countries can serve as a foundation

for this investigation. They help to determine possible determinants and consequences of risk

oversight in Belgian companies. Figure 2 below shows the theoretical framework adopted in this paper.

Figure 2: Determinants and consequences of risk oversight

3.4.1. Determinants of risk oversight

Firm size Prior studies found that larger organisations have more financial and human resources at their disposal

to support their risk programmes. These companies need better risk management systems as they

have to deal with more diverse and more complex risks compared to smaller organisations

(Ellul&Yerramilli, 2013; Beasley et al., 2016). Therefore, large organisations are expected to have a

more formal designation of the risk roles and responsibilities (Protiviti, 2010; Ittner&Oyon, 2014;

Ittner&Keusch, 2014; Beasley et al., 2016). Regarding the assignment of accountability for risk

oversight at executive level, larger organisations are more likely to appoint a CRO to oversee the risk

management process. Moreover, they are often in favour of installing a separate managerial level risk

committee. Large companies also tend to delegate the risk responsibilities to a board level committee

or to both the board as a whole and a board level committee. Given the complexity of their risks, they

opt to appoint a specific team of people instead of only requiring the board as a whole to oversee the

risk process. In addition, they are more likely to install a separate risk committee at board level

Determinants

- Firm size

- Type of industry

- Complexity

- Ownership type

- Board characteristics

- ...

Risk Oversight

1. Risk oversight structure and responsibilities

2. Strategic risk management

3. Internal risk reporting and information provision

Consequences

- Business results

- Corporate risk taking

18

compared to smaller firms. However, the majority still prefers to assign risk responsibilities to the audit

committee rather than delegating them to a separate risk committee (Liebenberg&Hoyt, 2003;

Atkinson, 2008; Tonello; 2012; Ittner&Keusch, 2014; Ittner&Oyon, 2014; Beasley et al. 2016). Previous

findings also claim that larger companies usually have more advanced risk reporting practices to their

executive and board level (Beasley et al., 2016). Overall, I expect firm size to be positively correlated

with the maturity level of a company’s risk oversight and risk reporting practices.

Type of industry

Previous studies often differentiated between financial and non-financial companies to investigate risk

management (Ittner&Keusch, 2014; Beasley et al., 2016). However, as further explained, financial

companies will not be included into the sample of this study. Nevertheless, there are other reasons to

consider the type of industry as a determinant of risk oversight. First of all, the level of regulation in

the industry will have an impact on the company’s risk oversight since every sector is subject to other

legislations. Because of this I expect to find significant differences between risk oversight practices

across different industries. Prior studies found a positive link between the level of regulation in the

industry and the instalment of a separate risk committee at board level. Secondly, different industries

are subject to different risks, so this can also influence a company’s risk approach (Atkinson, 2008;

Ittner&Oyon, 2014).

Complexity In terms of complexity as a possible determinant, I distinguish between the number of geographical

regions in which the firm is operating and the number of business units in the organisation. First of all,

organisations that are active in multiple geographical regions face more diversified risks. As a

consequence, they attach more importance to risk management and I expect them to have more

attention to risk oversight at the higher organisational levels. Secondly, the same conclusions can be

drawn for organisations that are composed of different BUs and/or that are active in multiple different

industries (Tonello, 2012; Ittner&Keusch, 2014).

Ownership type

The ownership type of the company is often mentioned as a determinant for its risk approach. One

factor that can influence risk oversight is the distinction between publicly listed and privately held

companies. Since publicly listed firms are in most cases also larger corporations, the same conclusions

can be drawn as for the firm size. I expect publicly listed firms to attach more importance to the formal

assignment of risk accountability. More specifically, they are more likely to assign the responsibility to

a board level committee compared to privately held companies. In accordance with the findings for

larger organisations, publicly listed firms are more likely to appoint a CRO and to install a managerial

level risk committee. In terms of internal risk reporting, prior studies found that boards of public

19

companies receive more regular information on the key risks than the boards of private firms since

they are, in turn, expected to provide risk information to the firm’s external stakeholders (Protiviti,

2010; Ittner&Keusch; 2014; Beasley et al., 2016). Another possible determinant that has to be

examined is the concentration of ownership, or more specifically, whether the shares belong to one

powerful owner or the ownership is widespread over multiple different parties. Finally, risk

management can also be influenced by whether the firm is a family business or not. Family businesses

often look for stable long term results and therefore avoid serious risks and uncertainties. As a

consequence, a strong risk management function is of major importance for them (McKinsey, 2010).

Board characteristics

Many researchers include different board characteristics into their set of variables when conducting

research into risk management. They investigate the influence of the number of directors and the level

of board independence. Results indicate that larger boards are more likely to assign the responsibilities

to the board as a whole instead of to a separate board committee (Ittner&Keusch, 2014).

Other determinants

Besides investigating the influence of the abovementioned variables, this master dissertation also aims

to identify other determinants of risk oversight in order to contribute to the existing knowledge.

3.4.2. Consequences of risk oversight

Sceptics argued that risk oversight practices are often window-dressing in order to be compliant with

certain regulations, rather than for the benefit of the company. Therefore, researchers studied the

impact of risk oversight on the company’s results and on corporate risk taking. First of all, they found

that the maturity level of risk oversight practices shows a positive association with the general maturity

level of risk management in the firm. This in its turn has a positive influence on the general results of

the company (Ingley&Van der Walt, 2008; Ittner&Keusch, 2014). Another previous investigation has

also demonstrated that strong risk management functions have multiple positive consequences for

companies. These benefits include better operating results, higher stock return and a higher level of

return on assets (Ellul&Yerramilli, 2013). Secondly, previous studies discovered an indirect association

between the maturity level of a company’s risk oversight and its risk behaviour. More specifically, they

discovered that organisations with more advanced risk oversight systems are more likely to take risk-

averse decisions (Ingley&Van der Walt, 2008; Ittner&Keusch, 2014). A better developed risk

management function restrains those actions and decisions of managers and directors that favour

excessive risk taking. A company’s level of risk taking is usually measured by gathering data on the

volatility in its stock returns (Ellul&Yerramilli, 2013). In conclusion, I expect risk oversight to have

beneficial influences on the business results and the company’s level of risk taking.

20

4. Empirical study

4.1. Aim of the study

The main purpose of this paper is to investigate how risk oversight is organised at the executive and

board level of Belgian companies. As previously mentioned, I will thereby contribute to the existing

knowledge on risk management in Belgian organisations. The study focuses on three specific areas of

risk oversight. First of all, research is conducted on how the risk roles and responsibilities are delegated

to different bodies and individuals at executive and board level. Secondly, research is conducted on

SRM in Belgian companies. Finally, the study examines the internal risk reporting practices at the

executive and board level of Belgian organisations. Overall, I expect to discover some general patterns

and similarities across the organisations with respect to the three main research topics. Nevertheless,

I also assume that companies will differ in their risk approach, since all the systems and structures need

to be tailored to their unique characteristics, needs and circumstances. Furthermore, this master

dissertation investigates whether particular organisational characteristics have an influence on a

company’s approach to risk oversight. Finally, the study aims to assess the impact of risk oversight on

organisational results and risk behaviours.

4.2. Research questions

4.2.1. Risk oversight structure and responsibilities

Research Question 1: How are risk oversight roles assigned at executive and board level in Belgian

corporations?

The literature study highlighted the importance of explicitly assigning accountability for risk

management at the executive and board level of an organisation. However, there is a lot of debate on

the most effective organisational structure for risk oversight. Therefore, the first research question

addresses this issue. More specifically, at managerial level, the study investigates whether the

organisation has appointed a CRO and/or a managerial level risk committee. At board level, the study

examines whether companies delegate risk responsibilities to the entire board or to a board

committee. In case of a board committee, further research is conducted into the nature of this

committee as it can either be a separate risk committee or an extension of the role of an already

existing one such as the audit committee. The study not only examines who has been appointed, but

also describes which responsibilities regarding risk management they have to fulfil.

21


Research Question 2: To what extent do Belgian companies link risk management with their business

strategy process?

The literature study revealed the increase in attention to SRM. The second research question

investigates whether Belgian companies see ERM as a strategic tool. More specifically, I will investigate

whether and how their boards incorporate top risks facing the company in their strategy process.

4.2.3. Internal risk reporting and information provision

Research Question 3: How is internal risk reporting and information provision organised in Belgian

corporations?

Besides stressing the benefits of an appropriate risk oversight structure, the literature study pointed

at the importance of frequent and substantial risk reporting towards the executive and board level.

The third research question deals with this matter. The same dimensions (content, frequency, timing

and visual elements) that were discussed in the literature study are now investigated in practice.

4.2.4. Determinants

Research Question 4: Which organisational and/or contextual factors are influencing the risk oversight

practices?

The fourth research question deals with the factors that might influence the aforementioned risk

oversight functions and systems. I expect risk oversight practices to vary from company to company.

There is no one size fits all. One of the aims of this paper is to find organisational and/or contextual

variables that help to explain the differences in risk practices. Possible determinants were mentioned

in the previous paragraphs. The investigation might also reveal other influencing variables.


Research Question 5: What is the impact of risk oversight on the company’s results and level of risk

taking?

The last research question examines whether risk oversight practices actually have an impact on the

organisation. This can be an influence on the financial results of the company or an influence on the

corporate level of risk taking. Previous studies on the consequences of mature risk oversight practices

were especially based on findings from financial organisations (Ellul&Yerramili, 2013). However, in this

paper, research will be conducted in other industries.

22

4.3. Research methodology

4.3.1. Research design

The empirical study is based on a qualitative approach. More specifically, I used a case study to

generate findings on the risk oversight practices of Belgian companies. Case study research can be

defined as: “the in-depth study of instances of a phenomenon in its natural context and from the

perspective of the participants involved in the phenomenon” (Gall, Borg, &Gall 1996, p.545). I made

use of a multiple case study design that consists of different individual cases. The evidence is more

compelling compared to a single case study, which makes the overall study more robust (Yin, 2014).

I prefer a case study approach over a large sample quantitative study design for several reasons. First

of all, case study research offers the benefit of having an in-depth understanding of a small number of

cases in their real-world contexts which often results in new findings about a certain topic (Yin, 2014).

Therefore, case study research provides me with comprehensive insights into the current state of risk

oversight practices of a sample of Belgian corporations. Secondly, case study research is well suited for

explanatory research (Yin, 2014). A study of multiple different cases will offer me insights into the

determinants and consequences of risk oversight practices. Besides that, case study research is highly

recommended when there is only limited knowledge available about a certain topic (Eisenhardt, 1989).

Since little is known about the determinants and consequences of risk oversight in Belgian

corporations, a case study is particularly suited for this topic. An inductive approach is used to develop

a theory from the information gathered from the cases (Eisenhardt, 1989). Finally, this type of research

offers the advantage of observing the variables in their natural setting and perceiving the general risk

culture and mind-set of the organisations (Yin, 2009).

Case study research does not have a fixed format. However, one of its key principles is data

triangulation or the use of multiple sources of evidence in order to increase the reliability of the results

(Eisenhardt, 1989; Miles&Huberman, 1994; Yin, 2014). I chose to use two types of qualitative data.

First of all, open-ended interviews are a commonly used source of evidence for case studies because

of their high degree of flexibility (Yin, 2014). I therefore made use of semi-structured, in-depth

interviews with Belgian companies to gather rich and extensive information on their risk management

function. Secondly, I collected information from the corporate websites and organisational risk and/or

corporate governance charters. Moreover, in 2004, there was the launch of the Belgian Code on

Corporate Governance. This seriously increased the Belgian regulations on risk management for listed

companies (Corporate Governance Committee, 2009). From that date onwards, organisations were

obliged to publish information on their risk approach in their annual reports. Because of that, I could

consult their annual reports to gather additional information.

23

4.3.2. Target group

Based on the findings of the literature study and the determinants mentioned in the theoretical

framework, I put together a list of possible Belgian companies for my case study. Small and medium-

sized enterprises mostly do not have formal risk oversight structures. I therefore decided to focus on

publicly quoted and privately held Belgian companies of substantial size. I expect these companies to

have a more advanced risk approach and more formal risk management systems. The study includes

companies of a wide variety of industries in order to gain general insights in risk oversight. However,

given the complexity of financial products, financial companies are subject to more stringent

regulations. Given the lack of comparability, I decided to focus on non-financial companies.

In order to find potential listed companies for my case study, I made an overview of all the companies

that are traded on the Belgian stock market. As a result, I obtained a list of 88 different companies.

After excluding the financial companies, the list was reduced to 61 organisations active in a wide

variety of industries. This list can be consulted in appendix 8. Concerning private companies, I searched

for large organisations since I assumed that they are also consciously dealing with risk management.

4.3.3. Sample selection

The following step was to select a sample out of the extensive list of companies (Eisenhardt, 1989; Yin,

2009). I tried to contact as many of the companies on the list as possible by sending personal mails and

short messages on LinkedIn. Every message consisted of a short explanation of the topic of my master

dissertation and a short reasoning on why this specific company could be interesting for my case study.

In order to contact the best person in every company, I made use of the information on corporate

websites and LinkedIn. Moreover, I used the website of BELRIM to find possible interviewees within

large Belgian corporations. BELRIM has over 200 members that are deliberately working on risk

management. By attending the event of BELRIM in collaboration with the NBN (the Bureau for

Standardisation) in February 2017 on risk management standards, I was able to gain some more

insights into the current state of risk oversight in Belgian companies. Moreover, this event offered me

the possibility to briefly introduce my research topic and establish the first contacts for the upcoming

interviews. Since membership at BELRIM means that the organisation is deliberately working on risk

management, these firms perfectly suited the profile as an interviewee for my case study. BELRIM also

assisted me by sending an overview of my research project including the request for a short interview

to a list of BELRIM members I selected in advance.

24

During the final selection of the cases, I also took into account the different determinants from my

theoretical framework, to guarantee enough variety in the selected companies. Case study research

does not prescribe an ideal number of cases, however 4 to 10 cases usually gather enough information

to draw meaningful conclusions (Eisenhardt, 1989; Patton, 2002). Eventually, I conducted interviews

with 8 Belgian companies. After the last interview, I reached theoretical saturation and possessed

enough information to start my analysis (Eisenhardt, 1989). As I wanted to conduct interviews with the

person who could provide me with comprehensive information on risk oversight, the function of the

interviewee varied from company to company. Most of the interviews were conducted with the

corporate risk manager, as these people are well-informed about the company’s risk management .

Despite the fact that they do not have a seat in the board, they could still provide me with

comprehensive information on the risk role of the board. I made visits to the corporate offices to

conduct the interviews. Table 1 includes a summary of the interrogated companies and the function

of the corresponding interviewee. In order to respect their privacy, I do not mention the names of the

interviewees. The last two organisations did not want to be mentioned by name. In order to distinguish

the different organisations, I replaced their names by Company A and Company B. Appendix 21 also

contains a summary of the interrogated companies and their key characteristics.

Company Ownership Industry Interviewee

Telenet Publicly Listed Telecommunications Corporate Risk Manager

Colruyt Publicly Listed Retail & Wholesale Corporate Risk Manager

Proximus Publicly Listed Telecommunications Director of Audit, Risk

and Compliance

Raffinerie Tirlemontoise Private Sugar Production Director Legal

Department

Brussels Airport Private Airport Corporate Risk Manager

Ardo Private Frozen Food Managing Director

Company A * Publicly Listed Digital Imaging Corporate Risk Manager

Company B * Publicly Listed Information Technology Internal Auditor

Table 1: List of Companies

* These companies want to remain anonymous.

25

4.3.4. Interview approach

The flexibility of an open-ended interview offers the advantage of revealing information that would

have stayed unnoticed in an online questionnaire (Yin, 2014). In every interview, I made use of an

interview guide in the form of a predetermined list of objective questions to exclude biases (Patton,

2002). After the first couple of interviews, small adjustments were made to the questionnaire to

improve the quality of the gathered information. A Dutch and an English version of the final

questionnaire can be found in appendices 9 and 10. It consists of well-defined questions in order to

create a rich dialogue with the interviewees. The actual list of questions varied from company to

company depending on the information that I gathered in advance from the firm’s annual report

and/or corporate website. Moreover, I allowed myself to deviate from the predetermined list and ask

additional questions according to the interviewee’s previous answers. The interviews were held in

Dutch since it concerned Belgian companies.

In order to respect the busy schedules of the professionals, I limited the duration of each interview to

approximately 45 minutes. I used a tape recorder in order to avoid interrupting the respondents during

the conversation. It also provided me with a very accurate rendition of the interview (Yin, 2014). The

transcripts of the interviews can be found in the appendices 11 until 20.

26

5. Analysis

5.1. Methodology

In contrast to quantitative data analysis, qualitative data analysis has no fixed procedure to analyse

the data (Yin, 2014). To draw meaningful information from the gathered data, I used a within case and

cross case analysis (Yin, 2009; Miles&Huberman, 1994). First, I literally transcribed the interviews and

systematically organised the data in conceptually clustered matrices in accordance with the different

research questions (see appendices 22 until 26) (Miles & Huberman, 1994). The companies are listed

in the rows of the matrix, while the different topics associated with the research questions are listed

in the columns. The boxes then contain findings and quotes from the interviews. The within case

analysis focuses on the rows of the matrices, while the cross case analysis consults the information in

the columns to answer each research question. I then considered every case as a separate study and

afterwards I turned towards a comparative analysis of all the individual cases to find significant

similarities and differences (Yin, 2014).

5.2. Within case analysis

The within case analysis contains an individual assessment of the companies. Every section starts with

a brief description of the organisation. Additional key characteristics of each company can be found in

the summary table in appendix 21. This matrix will be used in the cross case analysis when discussing

the influence of the determinants. In the introduction of each case, I also mentioned the reason for

selecting that certain company. Each analysis is then structured in accordance with the research

questions, except for the question concerning the determinants of risk oversight, which will only be

covered in the cross case analysis. In every case, the following six items are discussed: the company’s

attention to risk management, risk roles and responsibilities at executive level, risk roles and

responsibilities at board level, SRM, internal risk reporting and finally the overall impact of risk

management on the company.

27

5.2.1. Telenet

Company description

Telenet is a Belgian company active in the telecommunications industry. Telenet’s most important

products are broadband internet, cable television and fixed & mobile telephony. Since 2005, Telenet

is listed on the Euronext Brussels Bel20 Index. Liberty Global, an American telecommunications

concern, holds 56.54% of the shares. In 2016 a revenue of €2.43 billion was generated. Telenet was

selected for this case study because of its large firm size and its attention for RM. The annual report of

2016 clearly mentions that Telenet has implemented RM and internal control systems in order to meet

its RM objectives (Telenet, 2016). The interview was conducted with the corporate risk manager.

Attention to RM

Ever since its foundation in 1996, Telenet has paid attention to RM. In 2005 there was a serious

increase in awareness for RM because of Telenet’s entry on the stock market. Since then, Telenet is

fully compliant with the provisions of the Belgian Code on Corporate Governance. There was, for

instance, the creation of a board level audit committee (Telenet, 2016). Another important event

occurred in 2007, when the U.S. telecommunications company Liberty Global became the majority

shareholder of Telenet. Since Liberty Global has to be compliant with the U.S. SOX regulation, they

forced Telenet to develop a risk control framework. This ERM system is based on the COSO framework

(Telenet, 2016) and led to the foundation of an executive level RM department. The interviewee

stated: “It stressed the importance of internal control and indicated that it should take place in a more

formal way”. At this point, Telenet is continuously trying to improve its RM.

Risk roles and responsibilities at executive level Overall, the structure of Telenet’s RM is based on the Three Lines of Defense Model. The first line

includes the functions that manage and own risks in the company’s daily operations, called “ the

business”. The second line includes the functions that are specialised in RM and oversee the risk

practices, being the executive level RM department. Finally, the third line comprises the internal audit

function, which has an independent monitoring role. This function is performed by the internal audit

department of Liberty Global (Telenet, 2016). Based on the feedback from the first two lines, the audit

function implements internal controls and develops the audit plan.

Telenet’s RM structure is highly decentralised. The ownership for the different risk areas is spread

across the functional departments. The executive level RM department was created as a central

oversight function. I quote the interviewee: “To make sure that the different risk areas speak the same

language”. The RM department is held responsible for monitoring the risks and for implementing

controls to make sure that all risks are covered. It clearly appoints the risk owners and makes

recommendations for mitigating actions. Furthermore, the interviewee mentioned that Telenet’s RM

28

and compliance department often overlap. This is also mentioned in the annual report: “The RM

department and the compliance function work closely together…” (Telenet, 2016, p.30). Therefore, the

interviewee believes that combining the capabilities of these two functions into one new department

could create synergies.

The final responsibility for RM in the ExCo belongs to the CFO as there is no separate CRO position. The

interviewee mentioned that he would like to have more support from the top. According to him, the

appointment of a CRO would help to achieve this goal since “as member of the ExCo, he would have a

greater participation and draw more attention to RM”. This would increase the amount of resources

allocated to RM, particularly important in the context of the forthcoming European privacy regulations.

Risk roles and responsibilities at board level

The key role of Telenet’s board in RM is to verify management’s actions. Furthermore, board members

decide on the company’s general risk profile and risk appetite (Telenet, 2016). Telenet has no formal

risk committee at board level. According to the interviewee, this is “over-ambitious for the company”

and “there is insufficient support”. Instead, Telenet’s audit committee has to assist and advise the

board on RM and internal control. The committee annually reviews the company’s RM systems and

control procedures (Telenet, 2016). Their role is particularly an advising one, with the final

responsibility for RM remaining with the board as a whole.

SRM

At Telenet, it is the ExCo who sets out the strategy. The board has a more controlling function, meaning

that it has to verify whether the strategy is in line with the shareholder’s expectations. At this moment,

Telenet is carrying out an ERM exercise driven by the external demand for more attention to strategic

risks. The interviewee stated: “Such matters rise and fall depending on the support you get from the

ExCo”. Telenet’s board and ExCo rather prefer “a light approach”, meaning that they want to devote

time to ERM, but they do not call for a comprehensive and formal system. I can conclude that Telenet

is definitely aware of SRM, but more support from the top is needed to secure better implementation.

Risk reporting and provision of information

Telenet has a centrally managed data warehouse and repository with information on internal controls

and associated actions to provide the leadership team with relevant risk information (Telenet, 2016).

Important issues are saved in this repository and are subject to a monthly follow-up. The risk

department at executive level reports towards the CFO and the board level audit committee. Reporting

towards the CFO does not happen very frequently. According to the interviewee, “The CFO is just part

of the standard reporting lines”. The audit committee receives a quarterly risk report, which includes

presentations, written information and financial reports.

29

Telenet has a risk and control matrix for every important key risk area to have a clear overview on its

evolution. These matrices are far too detailed to present to the audit committee. During the audit

meeting, risk managers prefer to use other visual tools such as risk or assurance maps and

comprehensive risk scorecards. An assurance map visualises the different risks of each area with their

associated maturity level, as well as an evolution of the risk score over time and the date of the last

audit on this area. For every individual risk, the company maintains a risk scorecard. This card mentions

the risk owner, the initial amount of issues, the evolution of the risk score, etc.

Impact of RM on the company

The major impact of the recent changes in RM is situated in the minds of the people at the organisation.

There is an increasing awareness for RM and people start to realise that more formal roles and systems

are needed for effective results. Furthermore, new systems and practices have an influence on the

operational results of the company. For example, the structured RM approach in the area of revenue

and fraud discovered a lot of revenue leakage. The same approach is now being implemented in other

areas of the company (Telenet, 2016). Benefits of new systems mainly occur during the first years of

implementation as the marginal advantages decrease over time. Nevertheless, since a lot of RM

activities are rather preventive, their results are not always visible.

30

5.2.2. Colruyt

Company description

Colruyt Group is a Belgian company active in the retail and wholesale industry. The company is listed

on the Euronext Brussels Bel20 index. It is a family owned organisation, the Colruyt family and its

relatives hold 51.88% of the shares. The group manages different sister companies such as Colruyt,

DreamLand, Okay, etc. In 2016 the total revenue of the group amounted to €9.18 billion. The company

was selected for this case study because of its large size and substantial amount of revenue. Moreover,

the corporate governance charter clearly mentions that the group has set up RM and internal control

systems based on the COSO framework. A large part of this charter is devoted to RM. Together with

Colruyt’s membership at BELRIM, this definitely indicates the high degree of interest in RM. Moreover,

other companies referred to Colruyt’s RM approach as one of the more mature of its kind. The

interview was held with the corporate risk manager, accompanied by one of his associates in the risk

office who is responsible for the group’s RM programme.

Attention to RM

In 2005, a corporate risk manager was appointed for the Colruyt Group at the request of the chairman

and in response to the increasing internal and external complexity. First of all, the chairman wanted to

be more in touch with the business and its associated risks. Secondly, he asked for a higher risk

awareness of all company members. Therefore, in 2009, he gave the order to the risk manager to

develop an ERM programme for the group. Before 2009, risks were managed in a more emotional way,

on gut instinct. The main goal of Coris, the Colruyt Group Risk Management programme, is to draw up

an inventory of all the risks facing the company. It is based on the COSO framework (Colruyt Group,

2016). Under guidance of the RM team, every corporate domain has to identify and assess its own

risks. Each domain has its own risk coordinator, who has to administer the risk register and make sure

that there is enough attention to RM (Colruyt Group, 2016).

At this moment, Colruyt has a mature ERM system. Its key success factors are the high level of support

from the top and the “personal involvement on the field” of the RM team. Employees receive guidance

and training sessions to fully understand the risk approach. Colruyt has a risk-averse culture. The

interviewee stated in this context: “When it is your own money, and in a family business it is your own

money, you will deal more carefully with risks”.

Risk roles and responsibilities at executive level

Colruyt’s RM team includes two people working on the Coris programme, 4 persons dealing with

internal audit and one person responsible for compliance with the competition legislation. In 2010,

this last person was added to the team in order to focus on the company’s most important risk, namely

the severe competition regulation. RM and internal audit have been combined in one department

31

since they both make use of the same skills and expertise. The corporate risk manager can be regarded

as the firm’s CRO. He is not a formal member of the ExCo, but he has direct reporting lines towards the

CEO. As he also receives a high degree of support both from executive and board level, he stated that

there is no need for a CRO position. “As long as they (the ExCo and the board) don’t need this function,

neither do I”. Because of the Coris programme, members of the ExCo now add RM to their periodic

activity report. The CEO, who is also chairman of the board, gave the impetus for the risk programme.


The demand for a more professional way of dealing with risks came from the chairman of the board.

Moreover, he recruited a risk manager and asked for a corporate risk programme. This indicates that

the board places great importance on RM. The chairman of the board is fully aware of the different

risks facing his organisation. The entire risk approach is determined by an iterative process in close

collaboration with the board. I quote the risk manager: “One of the most important key success factors

that determine whether your programme stands or falls, is the overall support, assistance, belief and

mindset of the top. It is a sine qua non condition”. Nevertheless, there is no separate risk committee

at board level since this would overlap too much with the audit committee’s responsibilities. The audit

committee is mainly dealing with financial risks, while the entire board works on the strategic risks.

SRM

The business strategy is the foundation of the Coris programme. I quote the risk manager: “When we

carry out a risk identification session, we always start from the strategic objectives of the organisation”.

They try to identify issues which could prevent them from achieving the goals. One of the categories

of the company’s risk universe is ‘strategic risks’, such as market dynamics and regulations. The

responsible for the ERM programme also mentioned that these risks easily emerge from the different

domains.


The corporate governance charter refers to the company’s ‘extensive and advanced information and

communication flows’ (Colruyt Group, 2016, p.149). Every business domain identifies its own risks. The

RM team gathers all the information in the corporate risk register and then reports the results of the

Coris programme and the key risks to the ExCo and the audit committee. The corporate risk manager

has a direct reporting line towards the CEO, who is at the same time the chairman of the board, and

towards the COO. He also has a link to the CFO, but this is rather for practical issues. Furthermore, he

is accountable to the audit committee that in its turn reports to the board as a whole. However, since

the risk manager firstly presents his findings to the board’s chairman, the board is already informed

before receiving the information from its audit committee. The reporting of the key risks to the top

always happens on a quarterly basis. Concerning the operational units, the RM team expects an annual

32

review of the risk scores and at least a half-yearly follow-up. Risk matrices are used to determine the

risk score based on its impact and likelihood. The company also has a risk universe which divides the

risks into different categories such as financial, operational or legal risks. The risk manager stated: “ I

can then push a button to see all the risks for a certain domain in a certain category”. For every domain,

the RM team reports on the risks, the different risk categories, the risk scores and their evolution.


Colruyt has a pragmatic approach, meaning that they implement systems based on their added value

for the company and not because of compliance with regulations. RM is considered to be an important

function because of its positive influence on Colruyt’s operations. The actual impact of RM on the

results is not measured, but they do examine the evolution of the risk scores. The risk manager stated:

“Our programme has sufficiently proven itself. Other companies are asking us how we handle that”.

The implementation of the Coris programme has also led to an increased internal awareness for RM.

Employees receive a briefing in which the risk approach is described in an easy manner. In this way

they are convinced of its positive results. The RM team is frequently contacted by other employees

who want to appeal to their experience.

33

5.2.3. Proximus

Company description

Proximus is a Belgian company active in the telecommunications and ICT industry. It is the leading

provider of telephony, internet, television and network-based ICT services to residential, enterprise

and public customers in Belgium. In April 2015, the company’s name changed from Belgacom to

Proximus. The company is listed on the Euronext Brussels Bel20 index and is primarily state owned.

The annual revenue of 2016 amounted to €5.87 billion (Proximus Group, 2016). Proximus definitely

fits the profile as an interviewee because of its large size and its membership at BELRIM. Another

reason for selecting this company is the substantial amount of RM information found in its annual

report of 2016, which indicates the company’s interest in RM. I conducted an interview with the

Director of Audit, Risk and Compliance to gain more insights into Proximus’ RM system.

Attention to RM

At Proximus, there has been interest in RM since the nineties. The company is truly convinced of the

idea that taking risks is inherent to doing business. When risks are taken in a controlled manner, they

might positively influence the company’s return to its stakeholders (Proximus Group, 2016). According

to the interviewee, the launch of the Belgian Code on Corporate Governance in 2004 and the general

increase in attention to ERM has led to major changes in the firm’s RM systems. It has also led to a

growing awareness for RM over the years. In 2006, RM merged with the internal audit function into

one department to create more synergies. Nowadays, the company constantly tries to improve its RM

by comparing to best practices of other Belgian and European organisations. The interviewee stated:

“We recently came together with Colruyt, UCB, Engie and Solvay to see where we are in terms of

maturity and to verify whether our ERM model, which dates back from 2007, is still working well”.

Proximus’ ERM programme is based on the COSO framework. The annual report contains a description

of each of the 5 areas of the COSO methodology. At this moment, Proximus’ RM focuses on three key

areas: business continuity, performance and data security & privacy. This last topic is becoming

increasingly important because of the forthcoming introduction of the European General Data

Protection Regulation (GDPR).


Proximus has no formal CRO position at executive level. However, the Director of Audit, Risk and

Compliance (ARC), who is just below the executive level, is often seen as the CRO of the company. The

support from the top is guaranteed by a direct reporting line towards the Chief Corporate Affairs

Officer (CCAO). Together with other members of the ExCo, he takes the decisions concerning the

company’s risk appetite.

34

Proximus has appointed a RM and Compliance Committee (RMC) at executive level that consists of the

CCAO, the CFO and the Chief Strategic Officer. The main objective of this committee is to oversee the

key risks and how they are being managed. The committee holds quarterly meetings to discuss the

company’s risk philosophy in relation to the strategy and make decisions on critical risks by finding the

balance between risk taking and the associated costs. The group has four general strategies at its

disposal to decide on risks: avoid, transfer, reduce or accept the risk (Proximus Group, 2016).


The interviewee stated: “RM is very important for the board because in the end, the ultimate

responsibility for the company rests with the board members. Therefore they have to be fully aware of

the risks facing the firm”. The Director of ARC provides the board with information on ERM and he

mentioned that the board is involved in RM. It is their task to assess the effectiveness of the internal

control and RM systems (Proximus Group, 2016).

Proximus has no separate board level risk committee since its benefits would not outweigh the

additional costs. In accordance with the corporate governance laws, the company has a board level

Audit & Compliance Committee (A&CC). This committee has to advise and assist the board on its tasks

relating to RM and compliance. The A&CC holds at least quarterly meetings (Proximus Group, 2016).

According to the interviewee: “The company’s internal audit is risk-based, meaning that RM has a large

influence on the audit plan and objectives”.

SRM

Proximus has a structured and consistent ERM framework in place to assess and respond to risks that

could have an impact on the achievement of its strategic objectives. The interviewee stated: “ERM

gives a clear overview on all organisational risks, both operational and strategic uncertainties and

opportunities”. According to the annual report: “The Group’s ERM seeks to maximise value for

shareholders by aligning RM with the corporate strategy” (Proximus Group, 2016, p. 34) and “Risk

assessment and evaluation takes place as an integral part of Proximus’ annual strategic planning cycle”

(Proximus Group, 2016, p. 34). The company develops a three year strategic plan and subsequently

identifies the risks, uncertainties and opportunities associated with this plan. I quote the interviewee:

“SRM is the number one priority of this organisation”.

In order to identify the strategic risks (competition, regulation, …), Proximus carries out an annual

survey. In the first part, interviews are conducted with approximately 70 directors, high potentials and

the strategic department in order to rank the risks based on their priority. The second part of the

survey is held at the level of the BUs, departments and affiliates to discover their critical risks and

uncertainties. The findings of both parts of the survey are then used as an input for a workshop at BU

35

level. This workshop should help to discover the most important disruptive events in order to

determine the necessary mitigating actions. According to the interviewee, “Everything is strongly

linked with the business strategy”. Recently, the template of the survey has been renewed to improve

the quality and reliability of the findings.


“Proximus has a tradition of a strict adherence to a timely and qualitative reporting” (Proximus Group,

2016, p.43). Both the Director of ARC and the RM and Compliance Committee (RMC) report directly to

the CCAO at ExCo level and the A&CC in the board. “The resulting report on major risks and

uncertainties is then reviewed by the Executive Committee, the CEO and the Audit and Compliance

Committee. The main findings are communicated to the Board of Directors” (Proximus Group, 2016,

p.34). There is a high degree of internal communication with weekly meetings and a lot of face-to-face

contacts between the Director of ARC and the ExCo level. The director also attends the quarterly

meetings of the audit committee to provide the members of an elaborated risk opinion.

Proximus uses risk scorecards to provide information on each risk. These scorecards indicate the

probability and impact of a risk, the velocity, the involved BU level, mitigating actions, KRIs, early

warning systems and the risk owner. In the future, the company would like to increase the use of these

comprehensive scorecards to present risk information in a more coherent and transparent way.


The combination of RM with the internal audit function creates a lot of synergies for this company. In

case of a serious risk, an internal audit can be implemented. In the past, the organisation was especially

focused on risk insurance and prevention. Since 2006, a lot of progress has been made by linking the

RM function with the business strategy and increasing the attention to ERM. According to the

interviewee: “Solely focusing on operational risks does not suffice”.

36

5.2.4. Raffinerie Tirlemontoise

Company Description

Raffinerie Tirlemontoise is a private Belgian company that produces a broad range of sugar products.

In 2015, the company had a turnover of approximately €530 million. In 1987 the company decided to

register 25% of its shares on the Brussels Stock Exchange. The other 75% of the shares were bought by

the German group Südzucker. In 1989, Südzucker obtained the remaining 25% that was traded on the

stock market by a public offer. The group thereby obtained the full ownership of the company

(Raffinerie Tirlemontoise SA, 2015). This company has been selected because of its substantial size and

its membership at BELRIM. The interview was conducted with the director of the legal department.

Attention to RM

In 1982, Raffinerie Tirlemontoise was hit by a massive explosion in one of its sugar factories. This

disaster killed three employees and many others got injured. At that moment, the company appointed

a safety manager who carried out an internal risk assessment. Based on his findings the company then

installed a programme to increase its safety level. Whereas the company used to solely focus on

operational RM in the past, they are now paying increased attention to strategic risks.

Risk roles and responsibilities at executive level The RM responsibility is spread across the organisation. Every plant has its own prevention consultant

who determines and manages his own risks. The legal director is the final responsible for the

company’s RM and has to manage the company’s risk portfolio. He is a member of the executive board.

Before 2005, when the company was still allowed to determine its own risk strategy, he even had the

title of corporate risk manager. However, as from 2005, RM became a group function led by the

executive board of Südzucker. By integrating the RM departments of its subsidiaries, the group wanted

to create more synergies. The interviewee stated: “The strategy, guidelines and procedures for RM are

now completely determined by our parent company”. He also mentioned that Südzucker attaches

considerable importance to effective RM. This is also confirmed by the fact that approximately 15

pages of Südzucker’s annual report are devoted to RM (Südzucker, 2016). There is no CRO appointed

in the company because RM is already controlled by the parent company.


The board of Raffinerie Tirlemontoise is entirely composed of German delegates of Südzucker. Board

members receive risk information from their CEO, as well as from the RM department of Südzucker.

Since the risk strategy is already being determined by the parent company, the RM role of the board

of Raffinerie Tirlemontoise is rather limited. Hence, there is also no separate risk or audit committee.

By contrast, Südzucker’s board has appointed a separate risk committee to give proper consideration

to the group’s RM. An overview of Südzucker’s RM system can be found in appendix 15.

37

SRM

The interviewee stated: “RM has evolved from pure operational, ..., to the assessment of risks of

investments, new products, etc.”. This illustrates the company’s increasing attention to strategic risks.

When in 2005 the operational RM was taken over by the parent company, Raffinerie Tirlemontoise

started to focus more on SRM, an upcoming trend at that time. I quote the interviewee: “ In my view

ERM is a hot topic”. Südzucker’s RM department identifies the strategic risks facing the group and

describes them in its annual report (Südzucker, 2016). Moreover, every director of the Raffinerie

Tirlemontoise has to map the strategic risks in his own area. The executive board then quarterly comes

together to discuss new projects and acquisitions. They examine their feasibility and expected return

by taking into account the associated risks. Nevertheless, the company does not list the different risks

in a register and at this moment, it has no formal ERM programme in place. According to the

interviewee, formal systems will only be developed in response to a request from Südzucker.


Operational RM is carried out in close collaboration with the different plant managers. They report

their risks to the company’s safety and environmental coordinator, who in his turn informs the director

of the legal department. The legal director then has to combine and analyse the received information.

Afterwards, during executive board meetings, these topics are discussed and the legal director then

informs the CEO on the current state of RM. Reporting towards the CEO happens approximately two

or three times a month, mainly through personal communication. Moreover, the legal director reports

indirectly towards his German colleague of Südzucker. The board of Raffinerie Tirlemontoise receives

its information from the CEO and the RM department of Südzucker. The legal director also attends the

quarterly board meetings, since he is at the same time the board secretary. He is often asked to provide

additional information on certain topics. Finally, the company is aware of the existence of visual tools

to support the reporting process but does not use them at this moment.


The interviewee stated that they have no clear view on the added value of RM. The company does not

measure the costs and benefits of risk mitigating actions. Nevertheless, they assume RM has a positive

influence on their operations since there were less accidents. Furthermore, they continuously run a

campaign to raise employees’ awareness for RM. This programme definitely pays off as they see a

significant impact on the internal risk culture. It was also confirmed that the company is becoming

more risk averse. Whenever possible, they try to avoid or reduce risks.

38

5.2.5. Brussels Airport

Company description

Brussels Airport has got the license from the Belgian State to operate Belgium’s main airport. The

company is privately held by the Belgian State (25%) and other private investors (75%). It is one of the

main airports in Europe with approximately 21.8 million passengers in 2016. This resulted in an annual

revenue of €497 million (Brussels Airport Company, 2016). The company perfectly fitted the profile as

an interviewee because of its substantial size and its large amount of added value for the Belgian

economy. It is the second most important economic growth pole in Belgium (Brussels Airport

Company, 2016). Moreover, the company’s membership at BELRIM and FERMA (Federation of

European Risk Management Associations), definitely shows that it is highly committed to RM. The

interview was conducted with the corporate risk manager. He was honoured in the first ‘Excellence in

RM Awards’ organised by FERMA for the company’s Innovative Insurance Programme (FERMA, 2016).

Attention to RM

When the former CFO became CEO in 2010, he created the RM department. Both the internal audit

and the newly appointed CEO wanted to pay more attention to RM. The RM department solely consists

of the corporate risk manager: “I monitor all the corporate risks, those risks that transcend the

departments”. His main task is to consolidate the risks and examine their interrelationships. In 2013

the RM function has been combined with insurance management. In 2017 an additional department

for compliance and business continuity was created to guarantee the company’s continuity. This

compliance function especially deals with the institutionalised risks by way of operational inspections

or “ticking the box checks”. Everything has to be compliant with the Belgian and European legislations.


The company has no risk committee or CRO at managerial level. However, I quote the interviewee:

“You could say that our CEO is the CRO”. The CEO is the final responsible for the RM function and has

delegated this function to the CFO, who in its turn delegated it to the risk manager. When having a

look at the corporate organigram (see Appendix 17), RM is situated under the finance division. The risk

manager stated that at this moment, the company does not really need a CRO since he would only

manage the risks of other people, without having his own tasks. The interviewee repeatedly pointed

at the important role of the ExCo. “Everything stands or falls with the directorate”. He mentioned that

the CEO drafts the proposals on the risk appetite and risk approach.

Risk roles and responsibilities at board level The interviewee was very clear on the board’s role in RM: “The impact of the board on RM is extremely

limited”, “The centre of gravity of RM definitely does not lie with the board” and “According to me, it is

a completely pointless element”. Everything is presented to the board members and all they have to

39

do is give their approval. As the firm has no separate risk committee at board level, it is the audit

committee who deals with RM. Nevertheless, in the same way as for the board as a whole, the

committee’s only task is to receive reporting.

SRM

The corporate risk manager mentioned that he particularly focuses on strategic risks. He believes that

Brussels Airport already has a strong position in this field. Recently, the company introduced its plan

‘Strategic Vision 2040’. The risks associated with this strategic plan have immediately been

incorporated in the internal risk register. The new ISO standards also ask the company to identify risks

based on the business strategy.


The risk manager identifies the risks facing the company by interrogating company members. The

detected risks are then incorporated in the risk register on the internal network. Afterwards, the risk

manager quarterly presents the top 10 or 20 towards the CFO and CEO. He thereby makes use of clear

colour codes and risk scorecards. Every risk is depicted on two axes measuring the impact and the

likelihood on a scale of one to five. This happens for both the inherent and the managed risk in order

to clearly monitor the evolution. The CFO and CEO quarterly report the risk information to the audit

committee which in its turn presents the risks to the entire board. The risk manager also attends the

audit committee. Nevertheless, he is only allowed to stay for the risk presentation itself. In his opinion,

presence during the entire committee would increase the amount of information he receives. Another

weakness in the reporting system is the company’s pursuit of overall consensus. Risks are often

removed from the list due to only a few people who disagree. At this moment, the company is working

on an improved information flow by adding more structure to the reporting systems.


RM is really important for the credit rating of Brussels Airport because the company issues bonds. A

substantial part of the offering circular deals with the company’s risk approach. I quote the

interviewee: “A strong RM function is increasingly recognised”. Furthermore, despite the tragic human

consequences, the recent terrorist attacks (2016) demonstrated the proper functioning of the airport’s

RM. “Actually, the impact of the attacks was not that big, since a substantial part of it was covered in

advance”. The credit rating agency’s report also mentioned the company’s resilience or high capacity

to overcome challenges. According to the interviewee, there was also a substantial increase in the

internal awareness for RM. “Colleagues are more likely to come to me and they appreciate my

contribution”.

40

5.2.6. Ardo

Company description

Ardo is a family owned business that is the European leader in the frozen food industry. Its customer

database consists of retail, foodservice and industrial clients. The company has production and

distribution facilities in 9 European countries and sells its products in 58 different countries worldwide.

In 2016 Ardo had an annual revenue of €868 million. The main reason to include Ardo in this case study

is to discover whether there is a significant difference between listed and private companies in terms

of RM. The second reason for selecting Ardo is its large amount of revenue. Given its’ substantial size,

I assumed that Ardo would also have formal RM systems in place. Ardo is not publicly listed and thus

not obliged to publish a comprehensive annual report. I could therefore only rely on the data from the

interview to analyse this case. The interview was conducted with the managing director.

Attention to RM

As from the establishment of the company in 1977, Ardo has taken into account the risks related to its

business operations. The managing director referred to his company as “very risk averse” and he

mentioned that every decision in RM has to be preceded by a careful consideration of the associated

costs. Nevertheless, the interviewee also stated that sometimes certain well-considered risks should

be taken because they might offer benefits for the company. Ardo’s RM function is not based on a

theoretical framework or specific system. The interviewee stated: “That would be too formal for our

company”. Instead, the company has some internal rules and procedures to guide the decision-makers

in RM. These documents are a product of years of experience with reoccurring risks. The most

important risks facing the firm are the varying prices of raw materials, currency risks, the fluctuation

in energy prices, etc. Ardo tries to come to agreements with its suppliers to set fixed prices for a certain

period of time. Overall, Ardo mainly uses long-term contracts and a geographical distribution of

activities to reduce the level of risk.


In contrast with the previously discussed cases, Ardo has no formal roles or specific structures devoted

to RM. Instead, every department has to assess and manage its own risks. For instance, risks related

to the purchase of food and risks related to the purchase of non-food materials are being managed in

different departments. According to the interviewee: “Every risk is different, so every division has its

own approach”. The divisions report their key risks to the ExCo to guarantee that the executive level is

at any time aware of the major risks. The ExCo is composed of Ardo’s CEO, the managing director and

the COO. They are held responsible for the corporate strategy, investment decisions, budgets and the

supervision of all operational activities (Ardo, 2014). Moreover, based on the risk information they

receive, the ExCo has to take decisions on contracts and mitigating actions. The interviewee stated:

41

“Especially for the most important risks, such as financial risks and risks related to raw materials, all

decision-making is centralised”. There is no executive level risk committee or CRO in Ardo. It is the

ExCo as a whole that has to oversee the company’s risks. Up until now, Ardo’s audits were performed

by an external auditor. Recently, the company has started an internal audit function. This department

is still in its early phase and is not involved in RM. However, this might change in the future.


Ardo is a family owned company and its board is almost completely composed of family members.

Because of the fact that the board and the ExCo are composed of members of the same family, there

is a very high degree of informal information exchange and transparency. Moreover, the tasks and

responsibilities of these two levels might sometimes overlap. The ExCo always has to disclose the key

risks, such as financing risks and currency risks, to the board. Together, both levels have to come to

agreements on different strategies to manage the key risks.

SRM

When asking whether risks are being identified in close connection with the corporate strategy, the

managing director stated: “No, every department has to determine its own risks. This is not directly

established based on the strategy of the firm”. This shows that the company currently does not operate

according to the principles of SRM. Of course, key risks are implicitly related to the business strategy.


Every division discloses its risks to the ExCo which in its turn presents the key risks to the board of

directors. A major part of the information provision happens in an informal way because of the close

family ties between the executive and board level. The managing director stated: “All shareholders

know the company and everything is being discussed in an informal way. We do not really make use of

formal reporting systems”.


According to the interviewee, Ardo is active in a quite stable industry, “The food sector is quite stable

since people no matter what continue consuming”. Furthermore, Ardo mainly makes use of a natural

way to cover its risks. For instance, by spreading its activities across different countries, the company

is less dependent on the circumstances in one specific country. Other arrangements include the

spreading across different types of vegetables and fruit and the company’s highly diversified customer

base. Other risks are being reduced by negotiating fixed prices with suppliers or customers. The result

of all this is that Ardo’s results are relatively stable.

42

5.2.7. Company A

Company description

The name of company A will not be disclosed in order to respect the confidentiality agreement. The

company is active in the IT and digital imaging industry and is listed on the Euronext Brussels BEL20. In

terms of size, this company fitted the profile as an interviewee since it had an annual revenue in 2016

of more than €2.5 billion. Moreover, the interviewed risk manager is member of BELRIM and FERMA.

When looking into the annual report of 2016, it immediately becomes clear that the company attaches

major importance to RM. The corporate governance statement describes how RM is being

implemented in the organisation and gives an indication of the key risks.

Attention to RM

Shortly after going public on the Euronext Brussels in 1999, one of the board members, the former

rector of the KU Leuven, introduced RM in the organisation. According to the corporate risk manager

“The company was one of the first Belgian organisations that was consciously dealing with RM”. In

contrast with other organisations, there was no need to convince the board or ExCo of its importance

since RM was imposed from the top. In the beginning, everything had to go exactly as how it was

prescribed by the theoretical guidelines because of the academic influence of the KUL. According to

the interviewee, this was too ambitious and they therefore decided to solely focus on those risks that

might have a substantial impact on the results. This new approach, together with the conversion of

the company to other activities, strongly reduced the initial resistance from other functional

departments. I quote, “At that time, I quickly gained support from people on the field”. The company’s

RM was and still is based on ERM with a formal system based on the Australian Standards. They try to

apply standard methodologies and procedures throughout the entire organisation. However, this is

sometimes difficult given the different countries and cultures in which the firm is operating.


The organisation is highly vertically controlled with all operations reporting to and being assessed by a

small corporate management team. Members of this team get a lot of support from the board and the

ExCo. The corporate risk manager is part of this team and is responsible for RM and insurances. He

stated: “Insurance management is a tool to manage risks but it is not an end in itself”. The sector in

which the company is active is subjected to strict regulations. Therefore multiple executive committees

have been installed that are responsible for business continuity, security, quality etc. These

committees are all dealing with risks and uncertainties in their own area. However, they are not

referred to as official ‘risk committees’.

The corporate risk manager repeatedly mentioned the high degree of transparency between board

and executive level and the board’s strong support for RM. But in the end, it is the ExCo who has the

43

most active role in the RM of the firm. The annual report mentions that the ExCo frequently identifies

and assesses risks and has to inform the audit committee on the key risks. The CFO is ultimately

responsible for RM at the executive level. Up until now there has been no need to appoint a CRO, since

the risk manager is “only a telephone call away” from the board and the ExCo. A CRO is often

nominated in organisations to increase the support of RM from above. However, in this case, RM is

already highly supported from the top. The interviewee mentioned that this was possibly going to

change within a few years from now when he would leave the company.


For this company, the board is more than an advising body, it has a very active role. The interviewee

referred to the board as a “coach” or “partner” for the organisation. The board also has a very active

role in RM, which is not surprising knowing that the initial demand for RM came from the board. The

annual report of 2016 mentions that the board develops the business strategy in close collaboration

with the RM function and it also decides on the company’s risk appetite. Moreover, the board is held

responsible for evaluating the RM function.

In 2003 the company appointed a risk committee at board level. To guarantee the segregation of

duties, this committee was chaired by the CFO, while the audit committee was chaired by the CEO.

The risk committee could be situated just below the board level. A decade ago, concerns were raised

about the duplication of responsibilities and reporting lines between the audit and risk committee. At

that moment, they decided to merge these two committees into one committee, the audit committee.

According to the latest annual report, it now consists of three non-executive members. The committee

holds at least four meetings a year to discuss audit and RM matters. I quote the corporate risk manager:

“The internal auditor and I are on the same hierarchical level in the firm. In many companies, the

internal auditor is the risk manager’s boss. However, in this company, we work together”. The risk

manager and internal auditor are referred to as “the good and the bad”. I quote the interviewee:

“Internal audit and RM cannot be separated from each other”.

SRM

The board considers RM as a support function to put the strategy into effect. I quote, “A risk manager

has to support the global strategy of the company”. In this company, the development of the strategy

happens in collaboration with RM to discover the risks and uncertainties associated with the business

plan. Nevertheless, this process is not always carried out as it should be so there is still room for

improvement in the area of SRM at Company A.


The interviewee stated: “The corporate risk manager is an independent function with easy access to

the top”. He reports directly to the CFO. Because of the very open and accessible company culture, a

44

lot of risk reporting happens in an informal way. The risk manager stated: “In case of a board meeting,

we always have to be stand-by”. He thereby means that he is often called to provide board members

of additional risk information during a meeting. This again happens in an informal way.

The company also has some formal reporting practices. The audit committee reports on a quarterly

basis to the board on internal audit and RM. In the past there were separate reporting lines for internal

audit and RM. However, since the combination of these two committees into one, risk information is

a systematic part of the audit report to the board. The use of visual tools in formal risk reporting is

limited to the discussions in the different executive committees. At this moment, reporting towards

the ExCo and the board does not include such tools. The company would like to improve this in the

future to make the reporting practices more professional.


The company has a very mature RM function, mainly because of the fact that they already built up a

lot of experience over the years. Therefore, they are often a step ahead of new regulations which saves

them investment costs. Throughout the entire organisation, everyone is aware of the importance of

RM. This is visible in the way people are paying attention to risks and prevention. Nevertheless, the

company’s head start also has the disadvantage of having very traditional and sometimes outdated

methods. According to the interviewee, “The administrative approach could be improved”. In the

future, he would like to work with an online system that is automatically updated when a risk status

changes.

45

5.2.8. Company B

Company description

The name of company B will not be disclosed in order to respect the confidentiality agreement.

Company B is a Belgian company that provides ICT services to corporate customers in Belgium and

beyond. The firm is noted on the Euronext Brussels BEL20 stock index. The annual report of 2015-2016

disclosed an annual revenue of more than €230 million. First of all, this company fitted the profile as

an interviewee because of its stock exchange listing and its annual report mentioning the importance

of RM. Secondly, it is a very interesting case because of the smaller firm size compared to other listed

companies in this study. The interview was conducted with the internal auditor since there are no risk

managers appointed. Moreover, this person is most familiar with the company’s RM function.

Attention to RM

Since its merger in 2005, RM is described in the company’s corporate governance charter. However, in

practice, RM was and still is rather implicitly present in the company. Some loss-making projects in the

past have increased the firm’s awareness for RM, mainly in the area of project management and

tenders. Recently, a risk management policy for project-related risks has been developed. This policy

includes a definition of the risk roles and responsibilities, the categorization of risks, actions, structures

and reporting practices. The interviewee stated: “In fact it is our intention to extend this policy to other

areas, but this step has not yet been taken”.

Another important determinant for the recent increase in significance of RM is the importance of data

management in the sector. The company is subject to very strict European regulations on data privacy

and security. Especially the forthcoming GDPR will have a strong impact on the company’s operations

and RM function. New procedures and systems will have to be implemented in the company in order

to comply with the new European regulation.

Risk roles and responsibilities at executive level The final responsibility for RM rests with the ExCo and the board. Nevertheless, there are no formal

roles appointed neither on executive level nor on board level. RM is a responsibility of the internal

auditor and the company’s operational management since there is no independent RM department.

According to the interviewee, the secretary general can be seen as “the point of contact for RM”. He is

part of the management committee and is the secretary of the board and the audit committee. He

assists the executive management with the internal organisation of RM and contacts with the board.

The secretary general is held responsible for the compliance with corporate governance principles and

for the effective functioning of the board and its committees. Furthermore, the CFO is also indirectly

involved in the RM process as he has to guarantee a proper budgetisation for the company.

46


According to the annual report of 2015-2016, the board supervises the implementation of the internal

control and risk framework that has been develop by the executive management. The corporate

governance charter in its turn indicates that the board has to decide on the risk appetite. However,

according to the interviewee, the board’s role in terms of RM is rather “supervisory, controlling”. While

the board as a whole has the final responsibility for RM, part of it is delegated to the audit committee.

This committee is composed of 4 independent and non-executive members that meet at least

quarterly. Their main task relating to RM is to oversee the process and advise the board.

Normally, the board and the ExCo should carry out the risk assessment allowing the audit committee

to rely on this information for its activities. However, the interviewee stated that this only happens at

a very irregular basis. “Therefore, the audit committee itself took the initiative to carry out a risk

assessment”. At this moment, the internal auditor is conducting approximately 20 interviews at

managerial level to evaluate the organisational processes on their maturity. During this process he

captures the most important risks by combining different insights. His findings are reported to the ExCo

and the audit committee. I can conclude that the risk role of the board in this company is rather limited

as they are not systematically identifying the risks facing the company.

SRM

Despite the importance of strategic risks in the industry, the same concern applies to the area of SRM.

The company has an advanced strategy process at its disposal, but this is not always systematically

followed. Rather than deciding on the strategy apart from the financial decisions, the strategy and

budgetisation process are often overlapping. At board level, the attention to risks and uncertainties

during the strategy process is rather limited. According to the interviewee, there is still a lot of room

for improvement relating to SRM.


The internal auditor identifies risks in order to develop a risk-based audit plan. To present a clear

overview, he draws up a list of all organisational processes and their current risk profiles, impact,

probability, risk owner, etc. He thereby makes use of different visual tools such as colours to indicate

maturity levels and risk profiles. I quote the internal auditor: “If I would present too much information,

a big part of it would go to waste”. Therefore, he has to select the key risks to be reported to the higher

organisational levels. He also stated: “In the hierarchical structure of the company, I report my findings

to the general manager. However, functionally, I report towards the audit committee in order to

guarantee the independence of our function”. He reports on a quarterly basis to the audit committee,

which in its turn reports the key points to the board.

47

The secretary general is not included in the reporting line. Nevertheless, as secretary of the board and

audit meetings, he is always informed of the latest findings of the internal auditor. During board

meetings, RM is implicitly being discussed at the development of the strategy and budget

management. There is no special time reserved to discuss the key risks and their impact on the

operations. This again indicates the lack of formal attention of the board for RM.


The interviewee mentioned that it is difficult to measure the impact of RM on the organisation.

According to the CEO, RM sometimes has the opposite effect of a substantial increase in risk aversion.

Especially when the focus is on loss-making projects, the internal willingness to take risks seriously

decreases. However, taking positive, calculated risks can also come with great rewards. The

interviewee mentioned that the use of a risk portfolio would help the company to ensure a proper

balance as it would give an indication of the current risk profile and risk appetite.

Overall, the interviewee believes that the company’s RM might benefit from a more formal approach.

“At this moment, the company lacks systematic and regular practices in RM”. More support from

executive and board level could also assist in increasing the importance of the RM function.

48

5.3. Cross case analysis

The cross case analysis combines the findings of the individual cases to draw overall conclusions about

the current state of risk oversight in Belgian companies (Yin, 2014). Besides looking for similarities, I

also focused on remarkable differences between the cases to either confirm or disconfirm the

predetermined assumptions. The analysis is structured in accordance with the different research

questions.

5.3.1. Risk oversight structure and responsibilities

The first research question concerns the allocation of risk management roles and responsibilities at

executive and board level in Belgian corporations. As assumed in advance, no two companies have the

exact same risk oversight structure. Nevertheless, I noticed a lot of similarities when structuring the

data in a matrix (see Appendix 22).

Four of the eight interviewed companies have a separate RM department or team that oversees the

company’s risks. The corporate risk manager almost always presides over this team. It mainly concerns

organisations with more mature RM systems. Their risk ownership is spread across the entire company,

meaning that every department has to identify and assess its own risks. The RM department then

operates as a central oversight function and monitors all the risks and their interdependencies. It is

often combined with other corporate functions such as internal audit, compliance management or

insurance management, or the company considers a future merger with another department to create

synergies. At Brussels Airport, the RM department is composed solely of the risk manager. Companies

that do not have a separate RM department, by contrast, have a single individual responsible for RM.

The main responsibility for RM rests in most organisations with the executive committee which is in

its turn controlled by the board. The risk responsibilities of the executive level usually include the

determination of the overall risk approach, the development of RM systems and the decision on the

risk appetite in accordance with the business strategy. At Colruyt, Brussels Airport and Company A, the

incentive for RM even came from the ExCo and the board. Despite the high interest in RM, none of the

interrogated companies have formally appointed a CRO in the ExCo. Moreover, Proximus is the only

company that has installed a RM committee at executive level. Company A has different executive

committees who all deal with their own specific risks. Leadership in RM is almost always assigned to

an existing corporate position. Two companies stated that there CFO can be regarded as their CRO,

while others referred to their CEO, corporate risk manager, legal director or secretary general to fulfil

this role. Despite the variation in the designated functions, five companies provided a similar

explanation. They stated that they do not need a CRO because of the already high level of support

49

from the top and/or the direct reporting lines towards top management. The RM of Raffinerie

Tirlemontoise, for example, is completely controlled by its parent company Südzucker. Therefore, they

do not need an internal CRO. Telenet, by contrast, stated that appointing a CRO could be helpful to

strengthen the support from the top.

The risk role of the board of directors is mostly based on a close collaboration with the executive

management. While the ExCo usually submits proposals on the risk strategy and appetite, the board

has to approve them and take the final decisions. In addition, they supervise management’s actions

and assess the effectiveness of the company’s RM. Four out of the eight companies explicitly

mentioned that their board attaches considerable importance to a professional risk approach.

Furthermore, board members often played a key role in the start-up phase of RM. Brussels Airport,

Ardo and Company B, by contrast, indicated that their board’s role in RM is rather limited as board

members only receive reporting and give their approval. In the case of Brussels Airport, this is more

than offset by the high degree of support from the CEO. Ardo and Company B, on the other hand, do

not experience this assistance by the top and have less advanced RM systems and structures at their

disposal. Based upon these findings, I can definitely conclude that the tone set at the top is decisive

for the maturity level of a company’s RM function. I will come back at this point when discussing the

fourth research question.

When looking at the structure of the board, none of the interrogated companies have a separate risk

committee. Alternatively, the risk role is delegated to the audit committee, except for Ardo and

Raffinerie Tirlemontoise. Ardo’s board as a whole is responsible for RM since there is no audit

committee. Raffinerie Tirlemontoise also does not have an audit committee since this is installed at

the group level, at Südzucker. Company A is the only company in this case study that ever had a

separate risk committee at board level. But because of overlapping duties, the company decided to

combine audit and risk responsibilities into one committee. Colruyt gave a similar explanation as it also

referred to the overlap with the audit committee. Others stated that a separate risk committee would

be too ambitious and/or that the benefits would not outweigh the costs. Overall, Belgian companies

consider a separate risk committee at board level as unnecessary. In most cases, the audit committee

oversees the whole risk process and reviews its effectiveness. The committee assists and advises the

board in terms of RM, but the final responsibility rests with the board as a whole. A different division

of the tasks can be found in the Colruyt case, where the audit committee deals with the financial risks

while the board as a whole monitors the strategic risks.

50


The literature study revealed the importance of SRM. The second research question investigates

whether Belgian companies link RM with their business strategy. The data on this topic can be found

in the last column of the matrix in appendix 22. Three of the eight companies were really aware of the

added value of SRM and had already implemented appropriate systems. First of all, Proximus referred

to SRM as its number one priority. The company has structured systems in place to respond to those

risks that could have an impact on its strategic objectives. During the strategy process, questions are

raised by the RM area. At this moment, the company is improving its annual survey to better identify

its strategic risks. Other companies, however, argue that a survey does not suffice and that personal

involvement on the field is essential to uncover strategic risks. Secondly, Colruyt’s Coris programme is

based on the company’s strategy. Risks are being identified by closely examining the strategic

objectives. Colruyt’s risk register also has a special category devoted to strategic risks. Finally, the RM

function of Brussels Airport pays a lot of attention to the risks and uncertainties associated with the

recent plan ‘Strategic Vision 2040’. The other companies are largely aware of the benefits of SRM, but

they have not yet developed appropriate systems. Telenet is currently examining how SRM could be

implemented in the organisation. However, there is a lack of support from the ExCo and the board.

Company A already has a lot of experience with RM as it was one of the first Belgian companies active

in this area. Despite the fact that their strategy is developed in close collaboration with the RM

department, there is still a lot of room for improvement in the area of SRM. Finally, Ardo and Company

B are currently not working on SRM.

5.3.3. Internal risk reporting and information provision

The information collected concerning the third research question on internal risk reporting is

structured in a separate matrix in appendix 23. First of all, I examined how Belgian companies have

organised their internal reporting lines. Six of the eight organisations have a similar structure. Their

RM team and/or corporate risk manager report directly towards the executive management and the

audit committee. The only difference visible is the designated contact person in the ExCo. Risk

managers are in contact with either the CFO, CEO, COO or other C-suite level executives. This depends

on who has been appointed as RM leader at the executive level. Besides the ExCo, the board is also

provided with risk information through the audit committee. Most risk managers attend every audit

meeting to give a presentation of the risks and their evolution in the past period. Once the information

has reached the audit committee, this in its turn presents an even more summarised version to the

board as a whole. All organisations gave the impression to be satisfied with their internal reporting

practices. It allows their executive management and board to be aware of the key risks and properly

51

fulfil their risk oversight role. At Brussels Airport, however, the risk manager is only allowed to attend

that part of the audit committee where he has to present the risks. This impedes him from gaining

information from other sources. A similar practice is found in Company A, where the risk manager is

not invited to board meetings, but always has to be stand-by to provide additional explanation if

necessary. However, in contrast with Brussels Airport, this is a consequence of the company’s very

informal culture and there is no question of insufficient access to information. The only company that

really derogates from this general reporting structure is Ardo, since it has no formal risk reporting line.

Risks are only implicitly being discussed during Ardo’s management and board meetings. The reporting

line of Raffinerie Tirlemontoise is also deviating from the pattern. But this can be explained by the fact

that its RM is largely in the hands of its parent company Südzucker.

Besides having appropriate reporting lines, organisations should also pay attention to the frequency

and timing of the reporting. I can conclude that formal risk reporting mainly coincides with the timing

of audit meetings. Except for Ardo and Raffinerie Tirlemontoise, every company’s audit committee

holds at least quarterly meetings. Depending on the actual events and results, they schedule additional

sessions. Before every meeting, written reports are sent to the members of the audit committee.

During the meeting risk managers give a short presentation of the risks and answer additional

questions. As already mentioned, the audit committee then presents the information to the entire

board. The provision of information to the executive committee generally occurs with the same

frequency. Five companies mentioned that their formal reporting systems are supplemented with

more frequent informal communication. Colruyt’s risk manager, for example, repeatedly pointed at

his easy access to and frequent information exchange with the top. Moreover, the executive and board

level of this company are closely linked because of the strong family ties. Proximus also has a high

degree of internal communication. Their risk director has weekly meetings and even more face-to-face

contacts with members of the ExCo. A final example is Company A, which has a very open and

accessible corporate culture with a lot of informal communication.

In terms of the content, multiple interviewees referred to the importance of not overwhelming the

higher corporate levels with too detailed information. In accordance with the findings from the

literature study, risks are often ranked based on their likelihood and impact on the business.

Afterwards, only the key risks are presented to the executive and board level. The final number of

submitted risks varies from company to company, going from three key risks to a top 20 of risks facing

the firm. Colruyt and Telenet stated that they also divide the risks into different categories. In this way,

they can quickly retrieve and report the risks of a certain area. The audit committee usually receives a

more detailed list of risks, because they have to oversee and evaluate the whole risk process.

52

In order to present the risks as clearly as possible, five companies make use of visual tools in their

presentations. These tools are the ones that were mentioned in the literature study, but can also vary

depending on what each company considers important. Multiple companies make use of risk matrices

with two axes that indicate each risk’s impact and likelihood. Moreover, risk scorecards provide more

detailed information such as the current and previous status of the risk, risk owner, KRIs, mitigating

actions, etc. Based on the documents that companies presented me during interviews, I can conclude

that they usually apply colour codes to indicate the importance of a certain risk. Only three companies

barely use one of these tools. Company A is aware of its backlog in this area. Ardo, on the other hand,

relies on informal information exchange without visual elements. And finally, Raffinerie Tirlemontoise

is aware of the existence of visual tools, but currently does not use them.

5.3.4. Determinants

In order to examine the determinants of RM, I used the summary table of the company characteristics

in appendix 21. Moreover, I structured findings and quotes from the interviews relating to different

determinants in a matrix in appendix 24.

Firm size

A lot of the findings of the literature study relating to firm size can be confirmed by this case study.

Small businesses were not even included because I could distract from their corporate information

that they barely give active consideration to RM. Based on the analysis of the companies involved, I

found that the largest companies in terms of annual revenue (Colruyt, Proximus, Company A and

Telenet) are equipped with more mature RM practices then smaller firms. Colruyt, the largest company

in this study, clearly has the most advanced ERM program. This was also confirmed by other companies

who consider the Coris programme as an example for their own RM.

Large companies have specific functions in place to guide the risk process. Each of these four largest

organisations has a RM team or department while smaller companies usually only have a single person

dealing with RM. Smaller businesses sometimes delegate this role to an existing corporate position,

such as the internal auditor at Company B. Previous studies mentioned that larger firms are more likely

to appoint a CRO and install a separate risk committee in the board. However, this could not be

confirmed as none of the interrogated companies appointed a CRO or risk committee. CROs and board

risk committees are too advanced for Belgian companies. They mainly occur in much bigger U.S.

organisations. Previous research also showed that the majority of organisations still prefer to delegate

the risk responsibilities to the audit committee. This is also the case for most companies in this study,

as they almost all have an audit committee that oversees the risk process.

53

When comparing the risk reporting practices of small and large companies, there were no remarkable

differences. Almost all the companies, both small and large, are reporting on a quarterly basis to the

top and thereby make use of visual tools and colour codes. Ardo is the only company that really

deviates from the other companies in this study. Despite its large size, the company has no advanced

RM programme nor formal reporting lines. This can be explained by the fact that the company reduces

its risks in a different way, by means of long-term contracts and a geographical distribution of activities.

Type of industry

It is needless to say that risks can vary widely depending on the range of activities of a company.

Nevertheless, after comparing all the cases, I can conclude that the industry has no big impact on the

design of the RM function. Most of the interviewed companies implement similar RM and internal

reporting structures, regardless of their specific industry. This conclusion is also confirmed by the fact

that multiple companies share best practices in RM, even across different sectors. Proximus’ risk

director mentioned that he compares his way of working to other organisations to learn and to find

out where his company is standing in terms of RM. Moreover, Company A’s risk manager does not

believe that there are fundamental differences between sectors. He also mentioned that his company

shares RM practices with members of BELRIM and FERMA. As a final example, Colruyt’s risk manager

mentioned that he gives lectures in other companies to describe the Coris programme. The literature

study also mentioned the large difference between financial and non-financial companies. However,

given their complexity and completely different RM approach, financial organisations were not

included in this study. Therefore, I cannot comment on this assumption.

An important factor that is associated with the type of industry, is the level of regulation. This can have

a strong influence as some sectors are subject to very strict legislations. On the one hand, four

companies referred in this context to the GDPR, the new European law on data privacy and security.

Non-compliance with this new regulation is one of the key risks for companies active in the

telecommunications or IT industry. Company A and Proximus emphasised the importance of data

security for their activities. Company B in its turn is developing formal structures and procedures to

comply with the new regulation. Telenet’s risk department even considers a merger with the

compliance department to create synergies and better focus on non-compliance risks. Colruyt, on the

other hand, has a separate internal position devoted to the severe competition legislation.

Complexity

Every company in this case study consists of multiple business units. RM is usually a corporate function

that operates above the different departments. Therefore, the number of BUs is not considered to

have an influence on the organisational structure for RM. In accordance with the findings relating to

54

the type of industry, the number of divisions only has an influence on the amount and type of risks,

but not on the risk oversight structure.

Most of the interrogated companies are active in Belgium and some neighbouring countries.

Therefore, they do not experience an impact of large cultural differences on their RM practices. One

of the exceptions is Company A, as it operates in seven different countries worldwide. Its risk manager

consequently referred to the impact of the ever-changing world, especially to the geopolitical

situation. He stated that this increased people’s awareness for RM and they now more often request

his opinion. Brussels Airport and Raffinerie Tirlemontoise also have worldwide activities, but this does

not significantly influence their RM function.

Ownership type

Five out of the eight companies in this case study are publicly traded. Four of them are the large

organisations that were mentioned in the paragraph on firm size. Therefore, the conclusions regarding

their risk oversight practices largely coincide. In accordance with the literature study, publicly traded

companies have more advanced RM practices and reporting systems compared to private businesses.

Listed companies are subject to the Belgian Code on Corporate Governance. They therefore have to

clearly describe and annually assess their internal control and risk frameworks in their annual report.

Moreover, listed companies have to set up a board level audit committee, which has to review the

internal RM systems. Company B, for example, is the smallest company of the ones I interviewed, but

due to its stock exchange listing, it also has to give active consideration to RM. Therefore, the risk role

is fulfilled by its internal auditor and the audit committee oversees the whole risk process.

By way of contrast, Brussels Airport is a private company that does not have to comply with the Code

on Corporate Governance. But given the size and the risky character of its industry, this company

however has advanced systems and specific positions devoted to RM. Another remarkable finding in

this context is that certain companies were already paying attention to RM before the introduction of

the Code on Corporate Governance. Company A, for example, mentioned that it already had to comply

with severe European laws in its sector even before the introduction of the Code on Corporate

Governance. Moreover, the risk manager believes that the company’s conversion of activities had

more influence than the stock market listing. Colruyt, on the other hand, stated that the

implementation of a RM programme occurred at the request of their CEO. The Code on Corporate

Governance had little influence on this company since they were already compliant with all its

guidelines. Overall, I can conclude that publicly listed companies have more mature RM systems and

structures compared to private firms. However, this is not always a direct consequence of compliance

with regulations for listed companies. In most cases, listed companies are of substantial size and are

therefore very attentive to risks. This notwithstanding, exceptions are possible, where private

55

companies also implement risk programmes based on their size and/or sector. I believe that especially

firm size and ownership type should be taken together when investigating RM practices.

As has been mentioned in the literature study, the concentration of ownership can also be a

determining factor for risk oversight. Telenet, for example, is for 56.54% held by the U.S. Liberty Global.

This last company has to comply with the U.S. SOX regulation and therefore obliged Telenet to develop

a risk framework. In this way, Telenet became aware of the need for a formal RM approach. At

Raffinerie Tirlemontoise, the RM function is completely controlled by its parent company Südzucker.

Another example is Company B, where 14% of the shares are held by another Belgian firm. This latter

company has a very mature RM programme in place and shares this knowledge with Company B. The

Anglo-Saxon shareholders of Brussels Airport also have a substantial impact on the company’s RM

because of their high sensitivity for official certificates. Companies that are to a large extent controlled

by the Belgian State, are not affected by this specific shareholder in terms of RM. Given these points,

I can conclude that the concentration of ownership generally has a large influence on risk oversight.

Another specific category are the family businesses. Close family ties particularly have an influence on

the applied risk approach and reporting practices. As stated by Colruyt’s risk manager, doing business

with your own money, changes the way you look at risks. Family businesses are usually more risk averse

compared to other businesses. The other family business in this case study, Ardo, also has a high

degree of risk aversion. Moreover, they do not have a proper distribution of the risk roles and there

are more overlapping responsibilities due to the close family ties. When having a look at the risk

reporting practices, both Colruyt and Ardo have a high degree of transparency and informal

information exchange. Ardo’s board members are highly aware of the key risks because of the frequent

communication between family members, even out of business hours.

Board characteristics The size of the board varied from 7 to 14 members. The number of independent members and non-

executive directors is for most companies largely determined by the provisions of the Code on

Corporate Governance. A study in the past found that larger boards are more likely to delegate the risk

responsibilities to the board as a whole, instead of holding a board committee responsible. This could

not be confirmed since the majority of the interrogated companies delegate the risk responsibilities to

the audit committee and the entire board, regardless of the number of board members. Furthermore,

I could not find any other significant relationship between the size of the board and risk oversight.

56

Other determinants

According to me, another important determinant is the support from the top for RM. This topic has

already been discussed in the literature study in 3.2.2. when discussing the role of the board in RM. It

was already mentioned that the tone for RM has to be set at the top in order to reach the bottom of

the company. Nevertheless, I could not find any study where this determinant was investigated. In this

case study, however, it definitely emerged as an influencing factor. When comparing all the individual

cases, I found more mature RM programmes and structures in organisations where the executive and

board level attach considerable importance to RM. Company A’s risk manager, for example, mentioned

that he did not have to convince the higher corporate levels of the benefits of RM, since it was imposed

from above. Therefore, the company does not need a CRO to increase the attention attached to RM.

The same applies to Colruyt, whose risk manager also stated that a CRO position is unnecessary

because he already receives enough resources and assistance from the executive and board level. He

repeatedly referred to the support from the top as one of the key success factors of the Coris

programme. At Company B, by contrast, there is no commitment from the board for RM. This company

also has no RM structures in place and its risk programme is still in its early stages. This again indicates

the importance of sufficient support from above. Moreover, the higher the level of commitment at the

top, the more informal risk reporting and communication. This is closely related to the impact of the

company culture. Both Colruyt and Brussels Airport mentioned that the internal culture has a

significant influence on the maturity level of their RM system. In order for RM to be effective, company

members need to be convinced of the benefits of RM and be attentive to the risks associated with

their actions. As a consequence, it is important for the executive and board level to lead by example

and provide adequate support in terms of RM.

The introduction of this master dissertation mentioned the ever-changing and complex world in which

organisations are currently operating. This definitely has an influence on companies’ RM function. The

recent terrorist attacks (2016), for example, made people realize that unforeseen events can have

dramatic consequences. Different interviewees stated that they are now confronted with questions

from their colleagues relating to terrorism. The same applies to the geopolitical situation. Whereas a

few years ago, globalization was a hot topic, countries are now closing their borders and promoting

their internal products. Ardo’s managing director referred in this regard to the risks facing the company

related to the Brexit. Company A stated that the recent financial crises also led to an increase in

instability. In order to be better prepared for similar situations, RM is strengthening its position. As a

consequence, organisations are improving their risk procedures and implement adapted structures. I

can conclude that such disruptive global events contribute to the increasing interest in RM.

A summary table of the impact of the determinants can be found in appendix 25.

57


It is, of course, also important to have a look at the results of all the efforts in terms of RM. Therefore,

this case study also focuses on the output side of the RM processes. In particular, I asked companies

which impacts of RM they perceive on their business results. After analysing the data from the

interviews, a general pattern was visible (see appendix 26). The majority of the interviewees admitted

not having a clear understanding of the impact of RM on their corporate results. First of all, RM usually

has a rather preventive character. Companies try to avoid or at least reduce risks as much as possible.

For this reason, the results are often invisible. Secondly, none of the interrogated companies measure

the precise benefits and costs of their risk mitigating actions. Different interviewees referred to this as

“a difficult exercise”. Companies rather monitor the evolution of risks over time. Despite the fact that

there are no actual figures available on the results of RM, six out of the eight interviewees almost

literally referred to the positive consequences for their company. Telenet, for example, discovered a

lot of revenue leakage through its risk programme. Company A stated that their mature RM system

often saves costs when they have to comply with new regulations. Other companies referred to the

higher return for shareholders and improved credit rating because of their advanced RM systems.

In contrast to the unclear impact on the business results, I noticed an apparent influence of RM on the

corporate risk culture. Six out of the eight interviewees were very enthusiastic about the change in

their people’s mindset. They perceive a growing internal awareness for RM. Employees are becoming

increasingly aware of the benefits of a more structured risk approach and they more often consider

the risk implications of their actions and decisions. Whereas in the past Colruyt’s risk manager used to

assess the risks associated with certain projects on his own initiative, he is now often consulted at the

request of a subordinate. In addition, Brussels Airport’s risk manager stated: “Colleagues are more

likely to come to me and they appreciate my contribution”.

Regarding the influence on the level of risk taking, I found contradictory information. The interviewee

of Company B, on the one hand, stated that RM efforts sometimes have the opposite effect of an

increase in risk aversion. The same applies to Raffinerie Tirlemontoise. However, in order to create

added value, companies must dare to take certain risks. Colruyt’s risk manager, on the other hand,

claimed that he perceives no real impact on the level of risk aversion, as it is rather a new way of

dealing with the same risks. Other companies did not mention any consequences for their level of risk

taking. Overall, I can say that for most companies, there is no heightened risk aversion.

58

6. Conclusion

6.1. General conclusions

The qualitative study contributed to the existing knowledge by investigating the risk oversight roles of

the executive and board level in Belgian companies, as well as the associated determinants and

consequences. I had the opportunity to conduct interviews with eight companies to collect a large

amount of information. In this final conclusion, I will summarize the most important findings.

First of all, every interrogated company has its own risk oversight structure, tailored to its specific

characteristics and needs. Nevertheless, I found some general similarities regarding their assignment

of risk roles and responsibilities at executive and board level. The risk ownership is usually spread

across the different departments, while a central risk department coordinates the whole risk process.

This department either consists of different members or is solely composed of the corporate risk

manager. Together with the executive committee, the risk department drafts proposals on the risk

approach and the suitable risk programs and procedures. The board then has to take decisions based

on the proposals. The audit committee often assists board members in this task and frequently

evaluates the effectiveness of the risk approach. None of the interrogated companies have explicitly

appointed a CRO nor created a separate risk committee at board level. These positions are considered

to be too ambitious for Belgian companies. Moreover, they are unnecessary when there is already a

high level of support and guidance from top management and board level. The role of CRO is often

implicitly fulfilled by pre-existing corporate positions, such as the corporate risk manager, CEO or CFO.

The second research question focused on SRM, or the link between risk management and the

corporate strategy. The study showed that the majority of the companies are already aware of the

added value of SRM. Moreover, almost half of the interrogated organisations have advanced SRM

systems in place. Their risk identification is closely coordinated with their strategic objectives.

Nevertheless, in most companies, there is still room for improvement in terms of appropriate

procedures for SRM. An important factor in this context is the support provided by the top, as this can

accelerate the implementation process.

The study also examined the internal risk reporting and information provision. I can summarise by

saying that most of the interrogated companies have a smooth supply of risk information to their

executive and board level. The majority of the interviewees were also pleased with the current

reporting practices. Most companies make use of similar reporting lines where the risk department

has direct access to the executive management and the audit committee. The designated contact

person varied from company to company. The audit committee in its turn presents the key risks to the

59

board of directors. This process usually happens on a quarterly basis and is supported by visual tools,

such as risk matrices and scorecards. More than half of the companies stated that they have more

frequent informal information exchange by means of face-to-face contacts and other personal

communication tools. Nevertheless, there is still room for improvement for some companies where

the information provision is limited to official reports. Moreover, a few companies do not yet take

advantage of visual elements in their presentations.

Furthermore, this study identified the key determinants of risk oversight practices. First of all, I noticed

a large difference between small and large companies as larger organisations usually have more

advanced risk management programmes. Given their larger number of risks, they have special

positions devoted to risk management. Small companies, by contrast, are less committed to risk

management. Furthermore, the type of industry did not have a significant impact on how Belgian

companies are organised in terms of risk oversight. Most companies in this study are even sharing best

practices across sectoral boundaries. Nevertheless, the level of regulation, which is heavily depending

on the type of industry, turned out to be an influencing factor. Organisations have to comply with

severe regulations and this often results in the creation of specific functions and/or committees.

Another important determining factor is the ownership type. Publicly listed firms are subject to the

Belgian Code on Corporate Governance, which means that they have to give a detailed description of

their risk management system in their annual report. Moreover, they are obliged to install an audit

committee at board level. Private companies, by contrast, are free to determine their own risk

approach. Nevertheless, when they are of substantial size, private firms often have risk oversight

practices in place that are similar to listed companies. I found that, besides their main effects, firm size

and ownership type have certain interaction effects. Special attention was also devoted to the

concentration of ownership and family businesses as these two variables also have a decisive influence.

Finally, organisational complexity and board characteristics do not affect the risk oversight practices.

Besides investigating the determinants that were mentioned in the literature study, the interviews also

revealed two additional factors. First of all, the support from the top was repeatedly mentioned as one

of the key success factors of risk oversight. The managerial and board level should lead by example in

order to increase the internal awareness for risk management. Secondly, disruptive events in the

rapidly changing environment of companies are also affecting their risk oversight practices.

Another meaningful contribution to the existing knowledge on risk oversight was the investigation of

its consequences. I mainly found a significant impact on the corporate risk culture, as there is a

fundamental change in people’s mindset. Company staff more carefully consider the risks associated

with their actions and they more often consult the risk experts.

60

6.2. Recommendations and limitations

One of the limitations of qualitative research is the small size of the sample. Therefore, the

abovementioned conclusions cannot be generalised to the entire population of Belgian companies.

Nevertheless, the individual cases were very informative and I found some interesting common

patterns that can be further examined in the future. According to me, there are especially possibilities

for additional investigation in the area of the determinants and consequences of risk oversight. This

case study already exposed some interesting factors such as firm size, level of regulation, ownership

type and support from the top. The significance of these determinants can be further examined in a

quantitative study with a large sample of companies. In terms of the consequences of risk oversight,

this study principally uncovered an apparent influence on the corporate risk culture as there is an

increasing internal awareness for risk management. Regarding the level of risk taking, there was

inconsistency between the different companies. Therefore, it would be worthwhile to conduct further

research on this topic. The literature study already mentioned the possibility to investigate the

volatility in companies’ stock returns as an indication of their risk behaviour (Ellul&Yerramilli, 2013).

Furthermore, this study solely focused on non-financial companies. The literature study, however,

clearly indicated that these companies significantly differ from financial services organisations. I

therefore suggest to conduct a similar qualitative study in financial companies in order to identify the

key differences. Another possibility is to carry out a large qualitative study including both financial and

non-financial companies.

Despite these limitations, I believe that the reported conclusions provide clear insights into the current

state of risk oversight at executive and board level in Belgian companies.

LXI

REFERENCES

Aksel, K. H. (2015). Organizing a Financial Institution to Deliver Enterprise-Wide Risk Management.

Retrieved January 20, 2017, from

http://www.pwc.com.tr/en/assets/about/svcs/abas/frm/operationalrisk/articles/pwc_enterprisewid

erisk.pdf

Ardo. (2014). Ardo/Dujardin Foods Fusie Goedgekeurd. Retrieved April 12, 2017, from

https://ardo.com/nl/actualiteit/food-service-solutions/2014/09/ardo-dujardin-foods-fusie-

goedgekeurd

Atkinson, W. (2008). Board-Level Risk Committees. Risk Management, 55(6), 42-46.

Ballou, B., Heitger, D. L., & Stoel, D. (2011). How Boards of Directors Perceive Risk Management

Information. Management Accounting Quarterly, 12(4), 14-22.

Beasley, M. S. & Frigo, M. L. (2007). Strategic Risk Management: Creating and Protecting Value.

Strategic Finance, 25-33.

Beasley, M., Branson, B., & Hancock, B. (2014). Report on the Current State of Enterprise Risk

Oversight: Opportunities to Strengthen Integration with Strategy. North Carolina State University.

Beasley, M., Branson, B., & Hancock, B. (2016). Report on the Current State of Enterprise Risk

Oversight: Update on Trends and Opportunities. North Carolina State University.

Belgian Risk Management Association. (2017). Retrieved January 20, 2017, from

http://www.belrim.com/members/

Berg, T., & Westgaard, S. (2012). Risk Reporting to the Board of Directors: Field Study among

Norwegian Banks and Power Companies. Trondheim: Handelshoyskolen BI.

Boyd, S. R., Moolman, J. A., & Nwosu, N. J. (2016). Risk Reporting & Key Risk Indicators – A Case Study

Analysis. Retrieved January 29, 2017, from

https://erm.ncsu.edu/az/erm/i/chan/library/ERM_KRI_Case_Study_FINAL.pdf

Branson, B. (2015). Reporting Key Risk Information to the Board of Directors: Top Risk Executives

Share Their Practices. North Carolina State University.

Brodeur, A., Buehler, K., Patsalos-Fox, M., & Pergler, M. (2010). A board perspective on enterprise

risk management. McKinsey &Company,(18), 1-15.

http://www.pwc.com.tr/en/assets/about/svcs/abas/frm/operationalrisk/articles/pwc_enterprisewiderisk.pdf

http://www.pwc.com.tr/en/assets/about/svcs/abas/frm/operationalrisk/articles/pwc_enterprisewiderisk.pdf

https://ardo.com/nl/actualiteit/food-service-solutions/2014/09/ardo-dujardin-foods-fusie-goedgekeurd

https://ardo.com/nl/actualiteit/food-service-solutions/2014/09/ardo-dujardin-foods-fusie-goedgekeurd

http://www.belrim.com/members/

https://erm.ncsu.edu/az/erm/i/chan/library/ERM_KRI_Case_Study_FINAL.pdf

LXII

Bugalla, J., Kallman, J., Mandel, C., & Narvaez, K. (2012). Best Practice Risk Committees. Corporate

Board-Okemos, 33(194), 6.

Carter, C. & Lorsch, J. W. (2002). Back to the drawing board: Designing corporate boards for a

complex world. Boston: Harvard Business School Press.

Charan, R. (2009). Owning Up: The 14 Questions Every Board Member Needs to Ask. San Francisco:

Josey Bass.

Colruyt Group. (2016). Corporate Governance. Retrieved April 23, 2017, from

https://www.colruytgroup.be/sites/default/files/financial/annualreports/pdf/page/669469_jr16_cor

porate_governance_eng_def_lr.pdf

Commissie Corporate Governance. (2009). Corporate Governance Code 2009. Retrieved March 28,

2017, from

http://www.corporategovernancecommittee.be/sites/default/files/generated/files/page/corporateg

ovnlcode2009.pdf

COSO (2009). Effective Enterprise Risk Oversight – The Role of the Board of Directors. Retrieved

January 29, 2017, from https://www.coso.org/documents/COSOBoardsERM4pager-

FINALRELEASEVERSION82409_001.pdf

COSO (2013). Enterprise Risk Management — Integrated Framework. Retrieved October 23, 2016,

from http://www.coso.org.

DeLoach, J. (2016). Six Principles for Improving Board Risk Reporting. Retrieved January 29, 2017,

from https://blog.nacdonline.org/2016/03/six-principles-for-improving-board-risk-reporting/

Denis, D.K. (2001). Twenty-five years of corporate governance research… and counting. Review of

financial economics, 10(3), 191 – 212.

Dickinson, G. (2001). Enterprise risk management: Its origins and conceptual foundation. The Geneva

Papers on Risk and Insurance. Issues and Practice, 26(3), 360-366.

Dionne, G. (2013). Risk Management: History, Definition and Critique. Montréal: Cirrelt.

Eisenhardt, K. M. (1989). Building theories from case study research. Academy of management

review, 14(4), 532-550.

Ellul, A., & Yerramilli, V. (2013). Stronger risk controls, lower risk: Evidence from US bank holding

companies. The Journal of Finance, 68(5), 1757-1803.

https://www.colruytgroup.be/sites/default/files/financial/annualreports/pdf/page/669469_jr16_corporate_governance_eng_def_lr.pdf

https://www.colruytgroup.be/sites/default/files/financial/annualreports/pdf/page/669469_jr16_corporate_governance_eng_def_lr.pdf

http://www.corporategovernancecommittee.be/sites/default/files/generated/files/page/corporategovnlcode2009.pdf

http://www.corporategovernancecommittee.be/sites/default/files/generated/files/page/corporategovnlcode2009.pdf

https://www.coso.org/documents/COSOBoardsERM4pager-FINALRELEASEVERSION82409_001.pdf

https://www.coso.org/documents/COSOBoardsERM4pager-FINALRELEASEVERSION82409_001.pdf

http://www.coso.org/

https://blog.nacdonline.org/2016/03/six-principles-for-improving-board-risk-reporting/

LXIII

Ernst & Young (2013). The Critical Role of the Board in Effective Risk Oversight. Retrieved January 28,

2017 from http://www.ey.com/Publication/vwLUAssets/The-critical-role-of-the-board-in-effective-

risk-oversight/$FILE/The-critical-role-of-the-board-in-effective-risk-oversight.pdf

European Commission (2016). Directive 2010/73/EU of the European Parliament and of the Council

on the prospectus to be published when securities are offered to the public or admitted to trading and

2004/109/EC on the harmonization of transparency requirements in relation to information about

issuers whose securities are admitted to trading on a regulated market. Retrieved November 12,

2016, from http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32010L0073

Fraser, J., & Simkins, B. (2009). Enterprise Risk Management: Today’s Leading Research and Best

Practices for Tomorrow’s Executives. Hoboken: Wiley.

Frigo, M.L., & Anderson, R.J. (2009). Strategic Risk Assessment: A first step for improving risk

management and governance. Strategic Finance, 25-33.

Frigo, M. L., & Anderson, R. J. (2011). Strategic Risk Management: A Foundation for Improving

Enterprise Risk Management and Governance. Retrieved November 2, 2016, from

http://wileyonlinelibrary.com

Galbraith, J. R. (1974). Organization design: An information processing view. Interfaces, 4(3), 28-36.

Gall, M. D., Borg, W. R., & Gall, J. P. (1996). Educational research: An introduction. Longman

Publishing.

Gupta, P. P., & Leech, T. J. (2014). Risk Oversight: Evolving Expectations for Boards. EDPACS, 49(3), 1-

21.

Hambrick, D. C. (2007). Upper echelons theory: An update. Academy of Management Review, 32,

334-343.

Haubenstock, M. (1999). Organizing a Financial Institution to Deliver Enterprise-Wide Risk

Management. Journal of Lending and Credit Risk Management, 1, 46-52.

Hilb, M. (2012). New Corporate Governance: Successful Board Management Tools (4th edition). St.

Gallen: Springer.

Hung, H. (1998). A Typology of the Theories of the Roles of Governing Boards. Corporate

Governance, 6(2), 101-111.

Ingley, C., & Van der Walt, N. (2008). Risk Management and Board Effectiveness. International

Studies of Management & Organization, 38(3), 43-70.

http://www.ey.com/Publication/vwLUAssets/The-critical-role-of-the-board-in-effective-risk-oversight/$FILE/The-critical-role-of-the-board-in-effective-risk-oversight.pdf

http://www.ey.com/Publication/vwLUAssets/The-critical-role-of-the-board-in-effective-risk-oversight/$FILE/The-critical-role-of-the-board-in-effective-risk-oversight.pdf

http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32010L0073

http://wileyonlinelibrary.com/

LXIV

ICGN (2015). Guidance on Corporate Risk Oversight. Retrieved January 22, 2017, from

https://www.icgn.org/sites/default/files/ICGN%20Corp%20Risk%20Oversightweb_0.pdf

ISO (2009). ISO 31 000 - Risk Management. Retrieved November 15, 2016, from

http://www.iso.org/iso/home/standards/iso31000.htm

Ittner, C. D., & Keusch, T (2014). Inside the Black Box: The Characteristics and Consequences of Board

Risk Oversight. University of Pennsylvania, Harvard Law School.

Ittner, C. D., & Keusch, T. (2014). The Determinants and Implications of Board of Director’s Risk

Oversight Practices. University of Pennsylvania, Harvard Law School.

Ittner, C. D., & Oyon, D. F. (2014). The Internal Organization of Enterprise Risk Management.

University of Pennsylvania, University of Lausanne.

Jablonowski, M. (2001). Thinking in Numbers. Risk Management, 30-35.

Johanson, D. (2008). Corporate governance and board accounts: exploring a neglected interface

between boards of directors and management. Journal of Management and Governance, 12(4) , 343

– 380.

Kalia, V., & Müller, R. (2007). Risk Management at Board Level: A Practical Guide for Board Members.

Berne: Haupt.

KPMG (2010). The Audit Committee Journey: Adapting to Uncertainty, Focusing on Transparency.

Retrieved November 11, 2016, from https://home.kpmg.com/pt/en/home/insights/2016/06/audit-

committee-institute.html

Kurland, O. M. (1994). Communicating Effectively with the Board Room. Risk Management, 116-120.

Lam, J. (2001). The CRO is Here to Stay. Risk Management, 48(4), 16.

Lam, J., & Kawamoto, B. M. (1997). Emergence of the Chief Risk Officer. Risk Management, 41(4), 30-

34.

Liebenberg, A. P., & Hoyt, R. E. (2003). The Determinants of Enterprise Risk Management: Evidence

from the Appointment of Chief Risk Officers. Risk Management and Insurance Review, 6(1), 37-52.

McKinsey. (2010). The Five Attributes of Enduring Family Businesses. Retrieved March 16, 2017, from

http://www.mckinsey.com/business-functions/organization/our-insights/the-five-attributes-of-

enduring-family-businesses

https://www.icgn.org/sites/default/files/ICGN%20Corp%20Risk%20Oversightweb_0.pdf

http://www.iso.org/iso/home/standards/iso31000.htm

https://home.kpmg.com/pt/en/home/insights/2016/06/audit-committee-institute.html

https://home.kpmg.com/pt/en/home/insights/2016/06/audit-committee-institute.html

http://www.mckinsey.com/business-functions/organization/our-insights/the-five-attributes-of-enduring-family-businesses

http://www.mckinsey.com/business-functions/organization/our-insights/the-five-attributes-of-enduring-family-businesses

LXV

Miccolis, J., & Shah, S. (2000). Enterprise Risk Management: An Analytical Approach. Atlanta: Tilling-

Hast-Towers Perrin.

Miles, M. B., & Huberman, A. M. (1994). Qualitative data analysis: An expanded sourcebook.

Thouand Oaks: Sage publications.

Miller, K. (1992). A Framework for Integrated Risk Management in International Business. Journal of

International Business Studies, 23, 311-332.

Mintzberg, H. (1989). Mintzberg on management: Inside our strange world of organizations.

Singapore: Simon & Schuster.

NACD (2009). Risk Management and the Board of Directors. Retrieved January 22, 2017, from

https://www.nacdonline.org/AboutUs/NACDInTheNews.cfm?ItemNumber=17421

NBN (2017). Discover the Added Value of Risk Management Standards. Retrieved January 10, 2017,

from https://www.nbn.be

OECD (2014), Risk Management and Corporate Governance. Retrieved November 2, 2016 from

http://dx.doi.org/10.1787/9789264208636-en

Olson, D. L., & Dash Wu, D. (2015). Enterprise Risk Management. Singapore: World Scientific

Publishing.

Overzicht aandelen. (2017). Retrieved January 10, 2017, from http://www.aandelencheck.be/

Patton, M. Q. (2002). Qualitative research and evaluation methods. California EU: Sage Publications

Pirson, M., & Turnbull, S. (2011). Corporate Governance, Risk Management, and the Financial Crisis:

An Information Processing View. Corporate Governance: An International Review, 19(5), 459-470.

Protiviti. (2010). Board Risk Oversight: A Progress Report. Protiviti.

Proximus Group. (2016). Consolidated Management Report 2016. Retrieved April 10, 2017, from

https://www.proximus.com/sites/default/files/Documents/Investors/Reports/2016/Q4/Consolidate

MgtRept2016.pdf

Raber, R. W. (2003). The role of good corporate governance in overseeing risk. Corporate Governance

Advisor, 11(2), 11-16.

Raffinerie Tirlemontoise SA. (2015). Rapport Annuel 2014/15. Retrieved April 10, 2017, from

http://www.raffinerietirlemontoise.com/en/Who-we-are/News-

Publications/2015/~/media/CE37165EB98B4D90A4B1E93B76EC2F05.ashx

https://www.nacdonline.org/AboutUs/NACDInTheNews.cfm?ItemNumber=17421

https://www.nbn.be/

http://dx.doi.org/10.1787/9789264208636-en

http://www.aandelencheck.be/

https://www.proximus.com/sites/default/files/Documents/Investors/Reports/2016/Q4/ConsolidateMgtRept2016.pdf

https://www.proximus.com/sites/default/files/Documents/Investors/Reports/2016/Q4/ConsolidateMgtRept2016.pdf

http://www.raffinerietirlemontoise.com/en/Who-we-are/News-Publications/2015/~/media/CE37165EB98B4D90A4B1E93B76EC2F05.ashx

http://www.raffinerietirlemontoise.com/en/Who-we-are/News-Publications/2015/~/media/CE37165EB98B4D90A4B1E93B76EC2F05.ashx

LXVI

Spencer, K., & Hyman, V. (2012). Risk Management: Your Role as a Board Member. Chicago: First

Nonprofit Organization.

Spira, L. F., & Page, M. (2003). Risk management: The reinvention of internal control and the

changing role of internal audit. Accounting, Auditing & Accountability Journal, 16(4), 640-661.

Südzucker. (2016). Annual report 2015/16. Retrieved May 1, 2017, from

http://ir2.flife.de/data/sudzucker/igb_html/index.php?bericht_id=1000006&lang=ENG

Telenet. (2016). Annual Report 2016. Retrieved April 4, 2017, from

http://investors.telenet.be/phoenix.zhtml?c=241896&p=irol-resultcenter

Thiessen, K., Hoyt, R. E., & Merkley, B. M. (2001). A Composite Sketch of a Chief Risk Officer. The

Conference Board of Canada, Canada.

Tonello, M. (2012). Should Your Board Have a Separate Risk Committee. Retrieved February 22, 2017,

https://corpgov.law.harvard.edu/2012/02/12/should-your-board-have-a-separate-risk-committee/

Tricker, R. I. (1994). International corporate governance. Singapore: Simon & Schuster.

Tversky, A., & Kahneman, D. (1973). Availability: A heuristic for judging frequency and

probability. Cognitive psychology, 5(2), 207-232.

Van den Broeck, H. & Buelens, M. (2012). Essentials: Beslissen. Gent: LannooCampus.

Van der Elst, C. (2013). The Risk Management Duties of the Board of Directors. Financial Law Institute

Working Paper. Retrieved November 29, 2016, from

https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2267502

Wharton University (2011). Ten Years After 9/11 – Risk Management in the Era of the Unthinkable.

Retrieved January 22, 2017, from http://knowledge.wharton.upenn.edu/article/ten-years-after-911-

risk-management-in-the-era-of-the-unthinkable/

Williamson, D. (2007). The COSO ERM Framework: a Critique from Systems Theory of Management

Control. International Journal of Risk Assessment and Management, 7(8), 1089-1119.

Yin, R. K. (2009). Case study research: Design and methods. Thousand Oaks: Sage publications.

Yin, R. K. (2014). Case study research: Design and methods. Thousand Oaks: Sage publications.

Zhang, P. (2010). Board information and strategic tasks performance. Corporate Governance: An

International Review, 18(5), 473-487.

http://ir2.flife.de/data/sudzucker/igb_html/index.php?bericht_id=1000006&lang=ENG

http://investors.telenet.be/phoenix.zhtml?c=241896&p=irol-resultcenter

https://corpgov.law.harvard.edu/2012/02/12/should-your-board-have-a-separate-risk-committee/

https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2267502

http://knowledge.wharton.upenn.edu/article/ten-years-after-911-risk-management-in-the-era-of-the-unthinkable/

http://knowledge.wharton.upenn.edu/article/ten-years-after-911-risk-management-in-the-era-of-the-unthinkable/

LXVII

Appendix 1: Risk management process

Source: Kalia&Müller, 2007.

LXVIII

Appendix 2: The development of risk management

Despite the fact that organisations have always been confronted with risks and uncertainties, risk

management itself is a relatively new area of interest (Dionne, 2013). The rise and development of risk

management can be described in five stages as shown in the figure below:

The development of risk management. Source: Kalia&Müller, 2007.

Stage 1: New concepts in the field (1930s)

The first notions of risk management already emerged in the 1930s. However, in the beginning, it

concerned a bundle of measures without coherence nor systematic approach (Kalia&Müller, 2007).

Stage 2: Credit risk management (1970s) After World War II, different researchers started to investigate risk management. Modern risk

management dates back to the period between 1955 and 1964. During the 1970s, risk management

especially focused on insurance management (Dionne, 2013). The formerly unintegrated risk

management activities became then more closely coordinated, which led to a more effective risk

approach. Furthermore, the board started to recognise its final responsibility with regard to risk

management (Kalia&Müller, 2007).

Stage 3: Financial risk management (1980s)

Risk management developed into two directions during the 1980s: risk financing and risk control. Risk

financing focused on financial derivatives, used to hedge a company’s financial risks. Organisations

also began to develop risk portfolios. Risk control, meanwhile, included a more comprehensive

approach as managers began to realise the importance of a company-wide coordination of all risk

activities (Dickinson, 2001; Kalia&Müller, 2007; Dionne, 2013).

LXIX

Stage 4: Operational risk management (1990s)

Stage 4 occurred in the 1990s with the emergence of the first corporate functions devoted to risk

management, such as the chief risk officer (CRO) who is held responsible for the company-wide

supervision of risks. At the same time, the first international regulations regarding risk management

appeared and led to a growing interest for this topic. In addition, integrated risk management emerged

and there was increased attention to the governance of risk management (Dionne, 2013).

Stage 5: Enterprise risk management (2000 onwards)

Stage 5 occurred at the beginning of the 21s t century as a result of different global unforeseen events

such as the terrorist attacks on 9/11. Dramatic events of this scale emphasised that companies should

think about the unthinkable and consider the major impacts of risks and volatility on their operational

effectiveness and results (Wharton University, 2011). This all led to a new way of thinking about risks,

called enterprise risk management (ERM). The main idea of this 360° approach on risk management is

that organisations should deal with risks in a more integrated way instead of handling each risk

separately. In order to be effective, the assessment and management of risks in different

organisational functions and divisions must be closely coordinated (Kalia&Müller, 2007). ERM itself is

then the foundation for another upcoming trend in risk management called strategic risk management

(SRM). SRM requires organisations to consider the linkage between their business strategy and risk

management approach (Frigo&Anderson, 2011).

LXX

Appendix 3: Conceptual frameworks

Recently, different conceptual frameworks have been developed in order to assist organisations with

their ERM implementation process. These frameworks give an overview of the most important

principles and guidelines for effective ERM. They all recognise the importance of the leadership role of

the board and senior management in the ERM implementation. While these frameworks and

guidelines do not force organisations to apply ERM, they do increase the pressure for more structured

and systematic risk management processes and reporting practices (Liebenberg&Hoyt, 2003;

Frigo&Anderson, 2011; Ballou et al., 2011). The publication of these frameworks coincided with the

development of the Sarbanes Oxley Act (SOX) for U.S. companies in 2002. Its main objective is to

improve financial reporting and internal control in U.S. public companies. The law focuses on corporate

governance, ethical behaviour, board composition and the independence of auditors (Kalia&Müller,

2007; Frigo&Anderson, 2011). Concerning risk management, the SOX provides various

recommendations for the executive and board level. In order to proactively identify, manage and

mitigate the risks, a risk management and compliance system must be established (Kalia&Müller, 2007;

Ingley&Van Der Walt, 2008). Different Belgian companies are connected to or controlled by a U.S.

company, and therefore the SOX might have an influence on their risk management systems. The next

sections briefly describe the most important conceptual frameworks in the area of ERM.

Report of the NACD The National Association of Corporate Directors (NACD) was founded in 1977 and is an independent

association of more than 17 000 directors from U.S. and overseas organisations of all ownership types.

Its aim is to improve corporate governance by assisting directors in their decision-making process and

risk oversight function. In 2009, the NACD released a report including 10 principles of effective risk

oversight by the board. Risk Governance: Balancing Risk and Reward, contains both general business

principles as well as specific principles focused on risk management. The content is similar to the COSO

framework and emphasises the importance of internal communication and reporting on organisational

risks (NACD, 2009; Ballou et al., 2011; Gupta&Leech, 2014).

Committee of Sponsoring Organizations Framework

COSO was created in 1985 to sponsor the National Commission on Fraudulent Financial Reporting, an

initiative of the private sector to expose the causal factors of fraud in financial reporting (COSO, 2013).

Besides the disclosure of these causes, COSO assists companies and their boards in ERM by developing

guidelines and presenting the first framework concerning ERM. The ERM – Integrated Framework aims

to offer organisations a common reference frame for internal management and control. It dates back

to 2002, but was updated in 2004 resulting in the COSO II of ERM Framework (Kalia&Müller, 2007;

Frigo&Anderson, 2011 Berg&Westgaard, 2012).

LXXI

COSO framework. Source: COSO, 2013.

The figure above reveals COSOs integrated ERM framework of COSO. The horizontal axis shows the

four key areas of organisational objectives according to COSO: strategic, operations, reporting and

compliance. Within these four areas, senior management can cooperate with the board for better risk

oversight (Ballou et al., 2011). The objectives apply to each of the organisational levels from the top to

the bottom, namely entity-level, divisional level, business units level and subsidiary level. According to

COSO, ERM consists of eight interrelated components: internal environment, objective setting, event

identification, risk assessment, risk response, control activities, information and communication and

monitoring. The framework focuses on balancing the organisational risk appetite with the business

strategy in order to provide added value to the stakeholders (Frigo&Anderson, 2011; Berg&Westgaard,

2012). The COSO framework has been criticised because it particularly focuses on internal corporate

aspects without mentioning the external context in which an organisation operates. Opponents of the

COSO framework claim that a company may never be considered as a closed system (Williamson,

2007).

ISO 31000

More recently, the International Organisation for Standardization (ISO) also developed a standard to

support companies with their ERM processes. ISO 31000 (2009) is a standard consisting of a

framework, a process and multiple principles to assist organisations in the achievement of their

predetermined targets and the identification of opportunities and threats. The provided guidelines can

be applied in any type of organisation, regardless of the company’s size or industry (ISO, 2009;

Frigo&Anderson, 2011; Risk Management Event NBN, 2017).

LXXII

Appendix 4: Strategic risk assessment process

Source: Frigo&Anderson, 2009.

LXXIII

Appendix 5: Information processing

The resource-based view (RBV) of the firm focuses on how corporate resources can create a

competitive advantage. The information that the board receives from its management team is often

considered as an important resource. Recently, there has been an evolution in the RBV, suggesting

that besides focusing on the static dimension of resources, there should also be enhanced attention

to their dynamic dimension (Zhang, 2010).

Once the risk information has reached the board (static dimension), the effectiveness of risk oversight

at board level is determined by how board members are processing the received information (dynamic

dimension) (Zhang, 2010). During the financial crisis of 2007 – 2008, poor risk oversight at board level

was caused by two specific problems in the board’s information processing (Pirson&Turnbull, 2011).

First of all, there was (and still is) the problem of asymmetric information, meaning that not all of the

information known by the executive level is also presented to the board. Secondly, even if boards have

access to relevant and complete risk information, they might fail in processing the information

correctly. People are considered to be poor processors of information. They leap to conclusions

without gathering and analysing the right amount and type of information (Tversky&Kahneman, 1973).

Therefore, the board might be unable to correctly influence and guide the decision-making process of

their management team (Zhang, 2010; Pirson&Turnbull, 2011; Gupta&Leech, 2014).

The greater the uncertainty of a certain task or decision, the more information that has to be processed

by those involved to lead to a valuable decision or outcome. Uncertainty makes it difficult for decision-

makers to plan everything in advance (Galbraith, 1974). Therefore, a higher degree of uncertainty

generates more reporting and communication in a company. Given the extremely high degree of

uncertainty in risk management, we can assume that a lot of information has to be processed by the

board in order to achieve the desired outcomes. However, board members do not always have the

right skills and capabilities to process the received information correctly (Pirson&Turnbull, 2011).

Even if boards only receive a limited amount of relevant risk related information, they might still be

overwhelmed and undereducated to process the received data correctly (Carter&Lorsch, 2002). When

confronted with an information overload, human beings try to exclude unfavourable information

(Hambrick, 2007). Therefore, information regarding risks and uncertainties can be set aside. A lot of

cognitive biases and heuristics also prevent people from being rational in the decision-making process.

Both individual biases and group level phenomena prevent people from being rational. Groupthink,

for example, means that group members prefer a consensus and a positive atmosphere to being

honest and having different views and concerns (Van den Broeck&Buelens, 2012).

LXXIV

Appendix 6: Risk reporting structure

Source: Dickinson, 2001.

LXXV

Appendix 7: Risk dashboard

Source: Branson, 2015.

LXXVI

Appendix 8: List of companies in the target group

Naam Bedrijf Sector Symbool

AB InBev Consumenten goederen

ABI

Ablynx Gezondheidszorg

ABLX

Agfa-Gevaert Industrie

AGFB

arGEN-X Farmacie

ARGX

Barco Industrie

BAR

Bekaert Industrie

BEKB

Biocartis Farmacie

BCART

Bone Therapeutics Farmacie

BOTHE

Bpost Transport & logistiek

BPOST

Celyad Gezondheidszorg

CYAD

CFE Industrie

CFEB

Colruyt Consumenten diensten

COLR

D'Ieteren Consumenten goederen

DIE

Dalenys Technologie

NYS

Deceuninck Industrie

DECB

Econocom Technologie

ECONB

Elia System Operator Nutsbedrijven

ELI

Engie Nutsbedrijven

ENGI

Euronav Industrie

EURN

EVS Broadcast Equipment Industrie

EVS

Exmar Industrie

EXM

Fluxys Belgium Olie & Gas

FLUX

Global Graphics Technologie

GLOG

Greenyard Foods Consumenten goederen

GRYFO

IBA Gezondheidszorg

IBAB

Jensen Group Industrie

JEN

Kinepolis Group Consumenten diensten

KIN

Lotus Bakeries Consumenten goederen

LOTB

MDxHealth Gezondheidszorg

MDXH

Melexis Technologie

MELE

http://www.aandelencheck.be/aandelen/ab-inbev/

http://www.aandelencheck.be/sectoren/consumer-goods

http://www.aandelencheck.be/aandelen/ablynx/

http://www.aandelencheck.be/sectoren/health-care

http://www.aandelencheck.be/aandelen/agfa-gevaert/

http://www.aandelencheck.be/sectoren/industrials

http://www.aandelencheck.be/aandelen/argen-x/

http://www.aandelencheck.be/sectoren/farmacie

http://www.aandelencheck.be/aandelen/barco/


http://www.aandelencheck.be/aandelen/bekaert/


http://www.aandelencheck.be/aandelen/biocartis/


http://www.aandelencheck.be/aandelen/bone-therapeutics/


http://www.aandelencheck.be/aandelen/bpost/

http://www.aandelencheck.be/sectoren/transport-logistiek

http://www.aandelencheck.be/aandelen/celyad/


http://www.aandelencheck.be/aandelen/cfe/


http://www.aandelencheck.be/aandelen/colruyt/

http://www.aandelencheck.be/sectoren/consumer-services

http://www.aandelencheck.be/aandelen/d-ieteren/


http://www.aandelencheck.be/aandelen/dalenys/

http://www.aandelencheck.be/sectoren/technology

http://www.aandelencheck.be/aandelen/deceuninck/


http://www.aandelencheck.be/aandelen/econocom/


http://www.aandelencheck.be/aandelen/elia-system-operator/

http://www.aandelencheck.be/sectoren/utilities

http://www.aandelencheck.be/aandelen/engie/

http://www.aandelencheck.be/sectoren/utilities

http://www.aandelencheck.be/aandelen/euronav/


http://www.aandelencheck.be/aandelen/evs-broadcast-equipment/


http://www.aandelencheck.be/aandelen/exmar/


http://www.aandelencheck.be/aandelen/fluxys/

http://www.aandelencheck.be/sectoren/oil-gas

http://www.aandelencheck.be/aandelen/global-graphics/


http://www.aandelencheck.be/aandelen/greenyard-foods/


http://www.aandelencheck.be/aandelen/iba/


http://www.aandelencheck.be/aandelen/jensen-group/


http://www.aandelencheck.be/aandelen/kinepolis/


http://www.aandelencheck.be/aandelen/lotus-bakeries/


http://www.aandelencheck.be/aandelen/mdxhealth/


http://www.aandelencheck.be/aandelen/melexis/


LXXVII

Mithra Pharmaceuticals Farmacie

MITRA

Nyrstar Basismaterialen

NYR

Ontex Group Consumenten goederen

ONTEX

Option Technologie

OPTI

Orange Belgium Telecommunicatie

OBEL

Picanol Industrie

PIC

Proximus Telecommunicatie

PROX

RealDolmen Technologie

REA

Recticel Basismaterialen

REC

Resilux Industrie

RES

Retail Estates Vastgoed

RET

Roularta Media Group Consumenten diensten

ROU

RTL Group Consumenten diensten

RTL

Sapec Consumenten goederen

SAP

Sioen Industries Industrie

SIOE

Sipef Consumenten goederen

SIP

Smartphoto Group Technologie

SMAR

Solvay Basismaterialen

SOLB

Telenet Group Consumenten diensten

TNET

Ter Beke Consumenten goederen

TERB

Tessenderlo Group Basismaterialen

TESB

ThromboGenics Gezondheidszorg

THR

TiGenix Gezondheidszorg

TIG

UCB Gezondheidszorg

UCB

Umicore Basismaterialen

UMI

Van de Velde Consumenten goederen

VAN

Vastned Retail Belgium Vastgoed

VASTB

Viohalco Industrie

VIO

Wereldhave Belgium Vastgoed

WEHB

Xior Student Housing Vastgoed

XIOR

Zetes Industries Technologie

ZTS

Source: http://aandelencheck.be, 2017.

http://www.aandelencheck.be/aandelen/mithra-pharmaceuticals/


http://www.aandelencheck.be/aandelen/nyrstar/

http://www.aandelencheck.be/sectoren/basic-materials

http://www.aandelencheck.be/aandelen/ontex/


http://www.aandelencheck.be/aandelen/option/


http://www.aandelencheck.be/aandelen/orange-belgium/

http://www.aandelencheck.be/sectoren/telecommunications

http://www.aandelencheck.be/aandelen/picanol/


http://www.aandelencheck.be/aandelen/proximus/

http://www.aandelencheck.be/sectoren/telecommunications

http://www.aandelencheck.be/aandelen/realdolmen/


http://www.aandelencheck.be/aandelen/recticel/


http://www.aandelencheck.be/aandelen/resilux/


http://www.aandelencheck.be/aandelen/retail-estates/

http://www.aandelencheck.be/sectoren/vastgoed

http://www.aandelencheck.be/aandelen/roularta/


http://www.aandelencheck.be/aandelen/rtl-group/


http://www.aandelencheck.be/aandelen/sapec/


http://www.aandelencheck.be/aandelen/sioen/


http://www.aandelencheck.be/aandelen/sipef/


http://www.aandelencheck.be/aandelen/smartphoto-group/


http://www.aandelencheck.be/aandelen/solvay/


http://www.aandelencheck.be/aandelen/telenet/


http://www.aandelencheck.be/aandelen/ter-beke/


http://www.aandelencheck.be/aandelen/tessenderlo/


http://www.aandelencheck.be/aandelen/thrombogenics/


http://www.aandelencheck.be/aandelen/tigenix/


http://www.aandelencheck.be/aandelen/ucb/


http://www.aandelencheck.be/aandelen/umicore/


http://www.aandelencheck.be/aandelen/van-de-velde/


http://www.aandelencheck.be/aandelen/vastned-retail-belgium/


http://www.aandelencheck.be/aandelen/viohalco/


http://www.aandelencheck.be/aandelen/wereldhave-belgium/


http://www.aandelencheck.be/aandelen/xior/


http://www.aandelencheck.be/aandelen/zetes/


http://aandelencheck.be/

LXXVIII

Appendix 9: Questionnaire – Dutch version

1. Sinds wanneer en in welke mate heeft uw bedrijf bewust aandacht voor risicobeheer?

a. Hebben er zich binnen uw bedrijf de afgelopen 5 jaar opmerkelijke veranderingen

voorgedaan op vlak van risicobeheer en hoe dit georganiseerd is?

b. Wat waren eventuele aanleidingen voor de verhoogde aandacht voor risicobeheer?

2. Welke formele rollen werden er binnen uw bedrijf benoemd op niveau van het uitvoerend

management en de board in het kader van risicobeheer?

a. Wat is de achterliggende motivatie om voor deze structuur te kiezen?

3. Is er op het niveau van het top management een chief risk officer (CRO) aangesteld als

eindverantwoordelijke voor het risicobeheer?

a. Wat zijn de taken van de CRO?

b. Waar precies in het organigram van de organisatie kan de CRO gesitueerd worden?

c. Hoe verloopt de interactie tussen de CRO en andere leden van de risk management

functie?

d. Indien er geen CRO werd benoemd, is er een andere senior executive aangesteld als

eindverantwoordelijke voor risicobeheer op management niveau? Zo ja, welke taken

vervult deze persoon? En is er bewust voor gekozen om geen CRO aan te stellen?

4. Is er een apart risicocomité of een aparte risico afdeling op het management niveau?

a. Indien JA, wie maakt deel uit van dit comité en welke taken worden door dit comité

vervuld?

5. Wat is de rol van de raad van bestuur op vlak van risicobeheer van de organisatie?

a. Heeft de raad van bestuur op vlak van risicobeheer een puur toezichthoudende,

controlerende rol of heeft ze een grote mate van inspraak in de manier waarop aan

risicobeheer wordt gedaan binnen het bedrijf? In welke mate is de raad van bestuur actief

betrokken bij het risicobeheer van de organisatie?

6. Hoe vertaalt dit zich in de structuur van de raad van bestuur? Is deze als geheel verantwoordelijk

voor risicobeheer of zijn er aparte organen ontwikkeld die zich hiermee bezighouden?

7. Werd er binnen de raad van bestuur een apart risico comité aangesteld?

a. Wat is de achterliggende reden om een dergelijk comité aan te stellen?

b. Wat zijn de precieze taken van dit comité?

c. Wie maakt deel uit van dit comité? (afh. of onaf. leden, welke achtergrond, …)

d. Hoe verloopt de samenwerking van dit comité met andere leden van de RvB?

e. Indien men geen afzonderlijk comité heeft opgericht, heeft men dit in het verleden ooit

overwogen?

8. In welke mate is het auditcomité binnen de raad van bestuur betrokken in risicobeheer?

a. Indien het auditcomité verantwoordelijk is voor risicobeheer op niveau van de RvB, blijft

de raad van bestuur als geheel dan ook nog verantwoordelijk voor deze functie?

LXXIX

9. Wat is de strategische rol van de raad van bestuur?

a. Indien de raad van bestuur een duidelijke strategische rol vervult: Hoeveel aandacht is er

voor risico’s, bedreigingen vanuit de omgeving, opportuniteiten? Hoe wordt dit in het

strategie proces opgenomen?

10. Hoe verloopt de risico rapportering en informatievoorziening op niveau van het top management

en de raad van bestuur?

a. Welke meetings er op het top management niveau georganiseerd omtrent risicobeheer?

Hoe vaak worden deze meetings ingepland? Welke risico’s worden hier besproken?

b. Rapporteert de CRO of een andere eindverantwoordelijke voor risicobeheer rechtstreeks

aan de RvB/CEO/CFO/… ?

c. Kan u mij iets meer vertellen over de precieze inhoud van de rapportering tussen top

management en board niveau?

d. Hoe verloopt deze rapportering? Schriftelijk/mondeling/beide?

e. Worden er visuele elementen gebruikt om de communicatie te ondersteunen? (risk map,

risk scorecard, …)

f. Hoe frequent en wanneer wordt er aan de RvB gerapporteerd omtrent risico’s? Gebeurt

de risico rapportering op vooraf bepaalde data of naar aanleiding van bepaalde belangrijke

gebeurtenissen?

11. Zijn er bepaalde variabelen die volgens u een impact hebben op de manier waarop risicobeheer

georganiseerd is binnen het bedrijf?

12. Wordt de risk management functie van het bedrijf regelmatig geëvalueerd? Hoe en door wie

wordt de effectiviteit beoordeeld?

13. Welke impact heeft risk oversight (rol van de RvB en top management op vlak van risicobeheer)

op de werking van de organisatie?

a. Zijn er gevolgen voor de algemene resultaten van de organisatie?

b. Is er een impact op het risicogedrag/risicofilosofie van het bedrijf?

14. Bent u tevreden met de huidige werking van de risk management functie en de interne

informatievoorziening omtrent risico’s?

15. Hoe ziet u de risk management functie evolueren in de toekomst?

LXXX

Appendix 10: Questionnaire – English version

1. Since when and to which degree has the firm consciously given attention to risk management?

a. Have there been any significant changes in the past 5 years in the company’s risk

management and the way it is organised?

b. What where the potential triggers for the increased attention to risk management?

2. Which formal roles have been appointed in the company at the executive and board level in the

context of risk management?

a. What is the underlying motivation to opt for this structure?

3. Is there a chief risk officer (CRO) who has the ultimate responsibility for the firm’s risk

management at the executive level?

a. Wat are the duties of the CRO?

b. Where exactly in the organisation chart can the CRO be situated?

c. How is the interaction between the CRO and other members of the risk management

function?

d. If there is no CRO appointed, has the final responsibility for the risk management function

been delegated to another person? If so, which tasks does he/she has to perform?

e. If there is no CRO appointed, was this a deliberate decision?

4. Is there a separate risk committee or separate risk department at the executive level?

a. If yes, who is included and which tasks are carried out by this committee?

5. Wat is the role of the board of directors in terms of the company’s risk management?

a. Does the board rather fulfils a supervisory, controlling role or does it have a high level of

control relating to the company’s risk management? To what extent is the board actively

involved in the firm’s risk management?

6. How is this reflected in the structure of the board? Is the board as a whole responsible or are there

separate bodies at board level that deal with risk management?

7. Is there a separate risk committee at board level?

a. Wat is the underlying motivation to appoint such a committee?

b. Wat are the precise duties of this committee?

c. Who is part of this committee? (dep. or indep. members, background, …)

d. How is the cooperation between this committee and the other members of the board?

e. In the event of lack of a risk committee, has the company ever considered the appointment

of such a committee?

f. Are there any specific reasons why the company decided not to appoint a separate risk

committee at board level?

8. To what extent is the audit committee at board level involved in the firm’s risk management?

a. If the audit committee is responsible for risk management, is the board as a whole still

responsible for this issue?

LXXXI

9. What is the strategic role of the board of directors in the company?

a. If the board has a clearly defined strategic role: How much attention does it pay to risks,

threats in the surroundings and opportunities? How is this incorporated into the general

strategic process?

10. How is risk reporting and information provision organised at executive and board level?

a. Is risk management being discussed during meetings at top management level? How often

are these meetings scheduled? Which risks are mentioned during these meetings?

b. Does the CRO or another responsible for risk management directly reports towards the

board/CEO/CFO?

c. What is the precise content of the reporting between top management and board level?

d. How does the reporting takes place? Written/verbal/both?

e. Is the communication supported by visual tools? (risk map, risk scorecard, …)

f. How frequently and when are the risks reported to the board? Does this happen on

predetermined dates or rather in response to certain important events?

11. Are there according to you any determinants that influence the way risk management is organised

in the company?

12. Is the company’s risk management function often evaluated? Who determines the effectiveness

and how does this happen?

13. What are the consequences of risk management/oversight for the company?

a. Is there an impact on the general results?

b. Is there an influence on the company’s risk behaviour/risk philosophy?

14. Are you satisfied with the internal risk management function and the information provision on

risks?

15. How do you see the future of the company’s risk management function?

LXXXII

Appendix 11: Interview Telenet

Sinds wanneer is er bij Telenet bewust aandacht voor risicobeheer? Zelf werk ik nu 20 jaar bij Telenet,

dus al van bij de start. Ik ben zelf gestart binnen IT, daar heb ik dan een 5-tal jaar gewerkt. En erna heb ik altijd geweten dat er een audit comité was. Eigenlijk is dat een moeilijke vraag. Telenet is sterk gegroeid. Als ik kijk naar mijn afdeling, risk management, dan bestaat die een 10-tal jaar. Daarvoor was

er geen aparte afdeling risk management, maar wel een audit comité sinds 2005 omwille van de Corporate Governance Code. Een enorme boost kwam er in 2007, dan was Liberty Global één van onze grootste aandeelhouders en hadden zij de verplichting om compliant te zijn met de SOX wetgeving.

Dus vanaf toen waren we verplicht om een risico control framework op te zetten, specifiek voor financial reporting. Dat heeft het bewustzijn in het bedrijf verhoogd. Het benadrukte het belang van

interne controle en gaf aan dat het op een formelere manier moest gebeuren. Dit heeft ook geholpen om op andere domeinen formeler met risk management om te gaan.

Hebben er zich de afgelopen 5 jaar opmerkelijke veranderingen voorgedaan op vlak van risk management? Eigenlijk wel. Bij Telenet hebben we een gedecentraliseerde risk management

structuur. We hebben een aantal belangrijke risico areas: bijvoorbeeld alles wat met revenue te maken heeft, fraude, SOX compliance, privacy, cyber security, business continuity, … Een aantal key risk areas. Het ownership voor die risk areas zit verspreid in de organisatie. In 2007 zijn we binnen finance gestart

met een aantal mensen die effectief op SOX moesten werken. En dat is gegroeid, we hebben er de laatste jaren een aantal risk areas aan toegevoegd: fraude, revenue, privacy. Die 4 areas zitten samen binnen finance. Cyber security zit dan in IT enz. Onze rol is ook het overzicht behouden over de

verschillende risk areas binnen Telenet. Het ownership is nog altijd gedecentraliseerd, maar het overzicht zit nu wel centraal. Dus doorheen de jaren zijn er een aantal areas belangrijker geworden en

is het ownership voor die areas duidelijker geworden. Er werden mensen aan toegewezen en er werd gezorgd voor een beter overzicht.

Is er een CRO aangesteld binnen Telenet op niveau van het top management? Nee. Ikzelf ben verantwoordelijk voor risk management en rapporteer aan de CFO. De CFO zit effectief in het directiecomité.

Is er dan een risicocomité op management niveau? Wij zijn een afdeling van 12 mensen die rond risk

management werken en wij rapporteren dan ook aan het audit comité, elk kwartaal ongeveer. Dan komen we samen en zal ik vanuit risk management een overzicht geven van de stand van zaken.

Wat is de precieze rol van de raad van bestuur op vlak van risicobeheer? Is dit puur toezichthoudend, of hebben zij een actieve inbreng? De raad van bestuur zelf heeft als rol om toezicht te houden op hoe goed management omgaat met risico’s en controles, hoe goed dat zij effectief de risk management

activiteiten uitvoeren. De RvB heeft deze verantwoordelijkheid grotendeels gedelegeerd naar het audit comité. Dit zijn een aantal leden van de RvB die hierin zetelen en die zorgen er eigenlijk voor dat

ze toezicht houden op hoe goed de risico’s afgedekt zijn door management. Zij baseren zich daarvoor op een aantal zaken. Ten eerste, het rapport dat ik elk kwartaal geef aan het audit comité. Maar ook op de derde line of defense. Bent u vertrouwd met het systeem van de 3 lines of defense?

Ja, ik heb tijdens mijn literatuurstudie informatie gevonden over dit model. Kan u even toelichten

hoe dit in zijn werk gaat bij Telenet? Hier binnen Telenet werken we met 3 lines of defense. Om aan goed risicobeheer te doen, heb je binnen een organisatie 3 lijnen van verdediging. De eerste lijn zijn de mensen die de operationele taken uitvoeren, zij die de controles effectief uitvoeren in het

dagdagelijkse leven, de business zoals we zeggen. Daarboven heb je de 2e lijn of defense, dat is de risk management leer. Dat zijn mensen die geen operationele verantwoordelijkheid hebben, maar die samen met de business werken om risico’s te beheersen en controles te implementeren en risico’s te

identificeren. Alsook om ze onder de radar van het management te brengen, maar die hebben geen

LXXXIII

operationele verantwoordelijkheid. Wij zijn verantwoordelijk voor risk management. En vanuit die problematiek hebben we dan risk governance geïmplementeerd, om ervoor te zorgen dat er over de

verschillende risk areas heen dezelfde taal wordt gesproken. Bijvoorbeeld ervoor zorgen dat iedereen hetzelfde verstaat onder een risico met critical impact. Bovendien ook zorgen dat risk ownership

duidelijk is, dat is zeer belangrijk. Heel vaak kijken mensen naar elkaar, maar is het niet onmiddellijk duidelijk wie nu verantwoordelijk is en actie moet ondernemen. Wij ontwerpen ook controles om risico’s af te dekken. We denken samen met de business na over welke controles we kunnen

implementeren voor een bepaald risico. Wij voeren ook interne audits uit. Weliswaar niet zo uitgebreid als de audit functie zelf, maar wij maken ook een plan op van welke audits we willen uitvoeren in een bepaalde area. We doen aanbevelingen naar de acties die ondernomen moeten worden en zijn ook

verantwoordelijk voor monitoring. En natuurlijk ook nog een deeltje rapportering, naar senior leadership en audit comité. Misschien ook nog interessant, als er bepaalde issues zijn, dan slaan we

die centraal op. Elk kwartaal wordt hier dan een follow-up op gedaan om te weten of er progress is voor die issues, of er al actie ondernomen is om die issues aan te pakken. Dit alles wordt dan gerapporteerd naar het audit comité. Ons doel is ook om een draagvlak te creëren samen met senior

leadership en audit comité om uiteindelijk aan risicobeheer te kunnen doen. De 3e laag is dan de interne audit functie. Deze kijkt onafhankelijk toe op de goede werking van de eerste en tweede lijn.

Het audit comité, om op uw vraag te antwoorden, baseert zich op de feedback van de 2e en 3e lijn. Dit comité is ook verantwoordelijk voor een jaarlijkse opstelling van het audit plan. Elk jaar maken we een audit plan, 2e en 3e lijn bereiden dit voor. En we doen dan een voorstel naar het audit comité. Ze kijken

welke audits wij dan moeten uitvoeren of ze geven aan welke risk areas een hoger risico hebben. Zij sturen dus wel een beetje in welke richting dat er zaken moeten nagekeken worden en krijgen wel meer inspraak. Bijvoorbeeld op dit moment heeft het management te lang gewacht met de

implementatie van bepaalde acties, en dan worden zij door het audit comité op het matje geroepen.

Er is dus geen apart risico comité opgericht in de raad van bestuur? Werd er hier al over nagedacht? Nee, ik denk dat eigenlijk niet. We zijn nu bezig met een oefening rond ERM omdat de vraag gekomen is of wij ook bezig zijn met strategische risico’s en hoe dat moet werken binnen Telenet. Recent zijn

we daar nu mee gestart. We onderzoeken hoe we ERM zouden kunnen organiseren binnen Telenet. Zelf heb ik het gevoel, dat dergelijke zaken staan of vallen met de support die je krijgt vanuit het directiecomité. Die oefeningen lopen vaak het risico om puur theoretisch te blijven, en waar

uiteindelijk niet veel mee gedaan wordt. Ik wil eigenlijk zien wat de verwachtingen zijn van het directiecomité en van het audit comité rond ERM. Daar heb ik het gevoel, op dit moment, dat die

eerder een light approach willen. Er moet zeker over nagedacht worden, maar niet te formeel. Ik denk dat er onvoldoende draagvlak is voor een risico comité. Voor onze onderneming is dit op dit moment te hoog gegrepen.

Één van de laatste trends is inderdaad strategic risk management. Hoe ziet de strategische rol van

de raad van bestuur eruit? Nemen zij de strategische risico’s op in de algemene strategie? Dat is voor mij moeilijk om over te oordelen. Maar de raad van bestuur bepaalt niet echt mee de strategie van het bedrijf. Zij zien er wel op toe dat de strategie in lijn ligt met de verwachtingen van de aandeelhouders.

Het is dan aan de CEO en zijn team om de strategie uit te werken, en die vragen dan goedkeuring aan de board. De taak van de board is dan vooral nagaan of de richting die management uitgaat in lijn ligt met de aandeelhoudersverwachtingen. Zeker voor Telenet is dit belangrijk, omdat we beursgenoteerd

zijn en het aandeelhouderschap verdeeld is over een aantal partijen. De raad van bestuur heeft dus eerder een toezichthoudende rol.

U had al kort aangegeven dat er per kwartaal gerapporteerd wordt aan het audit comité. Verloopt deze rapportering eerder schriftelijk of mondeling? Elk kwartaal komt het audit comité samen en een

week vooraf wordt al het materiaal voor hen ter beschikking gesteld. Dit zijn presentaties, Word documenten en financiële rapporten. Tijdens de kwartaalmeeting worden die presentaties dan

LXXXIV

doorlopen waarbij de focus dan ligt op de belangrijkste risico’s. Het audit comité kan dan ook nog vragen stellen. Op hun beurt rapporteren ze dan aan de raad van bestuur.

Hoe verloopt de rapportering naar de CFO? Ik rapporteer zelf aan de CFO. Dit gebeurt wel niet zo

vaak. Zij ziet onze presentaties op voorhand zodat zij haar akkoord kan geven vooraleer de presentaties doorgestuurd worden. Maar zij zal dit zeker niet dagelijks opvolgen. De CFO maakt gewoon deel uit van de standaard rapportering.

Wordt er hierbij gebruik gemaakt van visuele tools? Ja, dit zal ik even laten zien. We maken onderscheid tussen key en non-key risk areas. We hebben een 8-tal key risk areas geïdentificeerd

waarvan we denken dat er een overzichtsfunctie, een 2e lijnsfunctie moet zijn. Voor elke area wordt een maturity level (van 1 tot 5) weergegeven. Voor SOX compliance is dit zeer hoog, voor revenue is

dit ook redelijk matuur, fraude is nog level 2 en privacy zijn we net gestart. Afhankelijk van hoe matuur we willen zijn en waar we nu staan, bestaat er een risico en controle matrix. Deze tool geeft weer of de controles getest worden en waar we nu staan in vergelijking met in het verleden. Veel hangt dus af

van welke maturiteit je wenst. Niet voor elke area is de ambitie om naar zo’n formele controle en risico matrix te evolueren. Naar het audit comité zelf werken we niet met de risico en compliance matrix,

want dat is te gedetailleerd. Daar werken we met een assurance map, waarbij je bovenaan 4 grote areas ziet en daaronder zie je dan de gedetailleerdere subdomeinen. Dit zijn allemaal belangrijke risico areas en binnen elke area kan je zien wanneer die laatst werd geauditeerd, en hoe de huidige score

eruitziet in vergelijking met de initiële score. De score gaat van 1 tot 3 en hoe hoger, hoe meer risico. Het audit comité krijgt op een high level niveau een overzicht van hoe goed de verschillende risico areas onder controle zijn en wat de resultaten zijn van de laatste reviews. Ze zien ook welke areas al

lang niet meer geauditeerd werden en welke binnenkort moeten worden aangepakt. Let op, bij een effectief uitgevoerde audit, krijgt het audit comité ook wel een gedetailleerd overzicht van de

resultaten van die audit. Hier toon ik even een presentatie naar het audit comité rond revenue risk management. Dan zie je de laatste audits die hebben plaatsgevonden, wie de owner is, hoeveel initiële issues er waren en hoeveel er momenteel nog open staan. Ze zien ook de initiële score, de huidige

score enz. Dit is dus een scorecard per risico. Het audit comité heeft dus alle details van de reviews die gebeurd zijn, en ook een high level overzicht. Dit moet hen in staat stellen om op een objectieve manier een oordeel te geven.

Wordt risk management regelmatig geëvalueerd? Ja, door de 3e lijn of defense, die bij ons wordt

uitgevoerd door het audit departement van Liberty Global. Zij auditeren zowel de 1e als de 2e lijn, dus ook mijn team.

Welke impact heeft risk management op de organisatie? U gaf aan dat er veel veranderingen werden doorgevoerd de afgelopen 10 jaar. Heeft dit een invloed op de resultaten of op de risicofilosofie

binnen het bedrijf? Wel dit heeft vooral impact gehad op het bewustzijn van mensen. Mensen zijn zich er veel meer van bewust in vergelijking met vroeger dat er iets moet bestaan als controles en dat die formeler moeten zijn dan dat die in het verleden waren. De impact is wel redelijk groot. Toen wij

gestart zijn met het opstellen van een revenue framework zagen wij veel revenue leakage. Dit betekent dat er geen geld binnenkomt, omdat de klant niet betaalt of er geen factuur wordt aangerekend. In de beginjaren van het framework hebben we miljoenen geïdentificeerd in de hiaten die er waren in de

systemen. Vaak ging dit om overlappingen tussen verschillende departementen. Nu is dit meer geëvolueerd naar een assurance functie, hoe kunnen we garanderen dat alles nog blijft werken. Vaak

is het preventief werk, en het is veel moeilijker om hier een direct resultaat in te zien. Het is niet altijd even zichtbaar.

Bent u op dit moment tevreden met de huidige werking van de risk management functie en de interne rapportering en informatievoorziening? Wel, alles kan altijd beter. Persoonlijk ben ik heel tevreden over de vrijheid en autonomie die ik heb om de zaken uit te bouwen binnen Telenet. Maar ik

LXXXV

zal niet wegsteken dat ik vaak wel iets meer support zou verwachten van het directiecomité. Bijvoorbeeld op vlak van privacy, komt er een zware wetgeving op ons af. Dit zal enorm veel middelen

vereisen, en die worden ons niet altijd toegekend. Het is moeilijk om dit bij iedereen op de radar te krijgen. Het is dan de taak van risk management om dit voldoende onder aandacht te brengen bij het

directie comité. In dat geval zou een CRO wel helpen. Deze zou als lid van het directiecomité veel meer inspraak hebben en meer aandacht vestigen op risk management. Nu verloopt alles via de CFO, maar die is natuurlijk ook nog verantwoordelijk voor allerlei andere zaken.

Hoe ziet u risk management evolueren in de toekomst? Denkt u dat er in de nabije toekomst nog veranderingen zullen doorgevoerd worden in de manier waarop de rollen en verantwoordelijkheden

verdeeld zijn of op vlak van risico rapportering en informatievoorziening? Dat is een goede vraag, ik denk dat wel. Op dit moment is er binnen Telenet een departement risk management en een

departement compliance management, wat eerder tot ons legal departement behoort. Maar om compliant te zijn met de wetgeving moeten we vaak risico’s identificeren en controles implementeren. Dus daar is er wel een wisselwerking tussen beide departementen. In de toekomst zie ik het wel nog

gebeuren dat die twee departementen één worden. Op die manier kunnen we van elkaars skills en vaardigheden profiteren, een soort kruisbestuiving. Dit gebeurt nu al deels voor privacy. En dan kan

risk management ook beter focussen op de non-compliance risico’s.

LXXXVI

Appendix 12: Interview Colruyt

* in italics: manager responsible for Coris

Wij zullen onszelf anders eerst kort voorstellen zodat je weet wie wij zijn en wat wij doen. Ikzelf ben corporate risk manager bij Colruyt Group. Dat is een corporate functie, dus ik werk voor de volledige groep. Je kent Colruyt van de commerciële activiteiten, maar wij doen eigenlijk veel meer. Functies die

andere bedrijven vaak outsourcen, behouden wij intern. Maar hier zal ik niet verder op ingaan. Wij hebben ook internationale activiteiten, maar 90% van de activiteiten bevindt zich toch wel in België.

Mijn verantwoordelijkheid is interne audit, maar ook risicobeheer. In 2009 heb ik op vraag van de voorzitter van de raad van bestuur een aanpak ontwikkeld om binnen Colruyt een ERM programma op de rails te zetten. Ondertussen hebben wij daar al een zekere maturiteit in verkregen, omdat we daar

al een 6 à 7 jaar mee bezig zijn. Ik hou mij bezig met risico-identificatie en -analyse. Interne audit en ERM zijn dus de twee belangrijkste activiteiten binnen de afdeling risicobeheer. Ik ben dan verantwoordelijk voor het ERM gedeelte met de operating units. Samen met hun risicocoördinator zorg

ik ervoor dat de hoogste risico’s benoemd zijn, geanalyseerd zijn en een score krijgen. Dan volg ik ook de hoogste risico’s op. Binnen mijn afdeling zijn er twee mensen die zich bezighouden met het Coris

programma, ons ERM programma. Maar met 2 mensen spring je natuurlijk niet ver in zo’n grote organisatie. Daarom hebben wij de rol gecreëerd van risicocoördinator. Elke business unit heeft die rol geïnstalleerd. Dat is geen fulltime functie. Het is een verantwoordelijkheid, een rol die erbij komt. Ja,

dan delen we de verantwoordelijkheid met die mensen. Wij starten het proces op en verwachten van hen dat zij dat verder opvolgen. Eens de resultaten er dan zijn, moet je dat ook gaan rapporteren aan

het auditcomité en directiecomité. Inderdaad, ik rapporteer vanuit mijn rol als risk manager aan de CEO, die tegelijk ook voorzitter van de raad van bestuur is, en ook aan het auditcomité. Mijn directe rapporteringslijn is naar de voorzitter van de raad van bestuur. Ik heb ook nog een stippellijn naar de

CFO, maar dat is eerder om praktische redenen. Iemand moet mijn verlof goedkeuren en dergelijke. Dan heb ik ook nog een stippellijn naar het auditcomité, daar leg ik eigenlijk eerder verantwoording af. Dat zijn de rapporteringslijnen. Wij hebben vier vergaderingen van het auditcomité per jaar. Dat is

telkens één à twee weken voor de raad van bestuur, omdat zij op hun beurt verslag uitbrengen in de raad van bestuur over hun functioneren. In het auditcomité rapporteer ik de planning. Eén keer per

jaar maak ik een planning op voor de volgende 12 maanden. Elk kwartaal rapporteer ik dan ook de planning voor de komende 3 maanden, maar ook de resultaten van het afgelopen kwartaal. De belangrijkste resultaten van het Coris programma. Voornamelijk de risico’s die ingeschat zijn als rood,

die eigenlijk niet onder controle zijn, worden dan gerapporteerd. Uit hoeveel mensen bestaat de afdeling risk management? Wel, interne audit zit hier ook, daar zitten

momenteel 4 personen. Op Coris werken nu 2 personen. Dan heb ik nog één persoon, dat gaat dan over de verzekering van de compliance met betrekking tot de mededingingswetgeving. Dat gaat over

prijsafspraken. Zij controleert alle inkomende en uitgaande mails in verband met aankopen. Dus dat is dus puur een focus op één risico. In 2010 had de voorzitter van de raad van bestuur mij gevraagd om dat te installeren, gegeven het belang ervan. Dus eigenlijk omvat de afdeling een 7-tal mensen? Ja, 7

personen. Ik heb op de website ook gelezen dat deze afdeling onder finance valt… Wel in het organigram maak

ik eigenlijk deel uit van corporate. Ik hang eigenlijk een beetje los van heel de organisatie. Ik heb wel die stippellijn met de CFO en ik word vaak in een finance organigram geplaatst. Maar daar zweven wij

dan vaak aan de zijkant. Sinds wanneer heeft Colruyt bewust aandacht voor risk management? 2005! En hoe komt dat… Ik

ben ook aangeworven als risk manager in 2005 met als doel om een aantal zaken zoals interne audit en het ERM programma op te starten en uit te werken. Want dat bestond hier eigenlijk niet op dat

moment.

LXXXVII

Wat was de aanleiding hiervoor? De complexiteit van de groep, door diversificatie en

internationalisering van activiteiten. Ook de groeiende complexiteit van de interne en externe omgeving, zoals technologische revoluties, regelgeving enz. Dat werd alsmaar complexer. Dus toen zei

de voorzitter van de raad van bestuur dat hij bovenop de berg van de organisatie zat, maar te weinig voeling had met de operationele realiteit. Hij stond te ver om voeling te hebben met wat nu eigenlijk de risico’s zijn die spelen op lagere niveaus. Het was dus een vraag vanuit de raad van bestuur. Dat is

ook de enige manier om het succesvol te maken. Eén van de belangrijkste succesfactoren die maakt dat u programma staat of valt is de volledige support en ondersteuning, en belief en mind-set van de top. Dat gaat over de raad van bestuur, het auditcomité en ook over de CEO. Voor mij is dat de

basisvereiste. Het is een conditie sine qua non. Anders kan je wel iets doen, maar dan is het meer pro forma, om het in uw jaarverslag te kunnen schrijven dat je ermee bezig bent. Onze drijfveer is niet

compliance met de corporate governance wetgeving. Onze drijfveer is wat het ons als toegevoegde waarde kan opleveren als bedrijf. Die overtuiging moet er zijn en je moet ook de middelen krijgen. Dat moet niet van de CFO komen, dat is niet hoog genoeg. Het moet van de CEO en de raad van bestuur

komen.

Er is hier geen CRO binnen het directiecomité? Nee, omdat zowel risk management als interne audit bij mij zitten. De CRO dat ben ik eigenlijk een beetje. Ja dat kan je inderdaad zo stellen. Ik zit wel niet rechtstreeks in het directiecomité. Maar ik heb genoeg rapporteringskanalen daar naartoe. Ik krijg

meer dan voldoende middelen vanuit het auditcomité en vanuit de raad van bestuur. Ik krijg zeker voldoende support. Zolang zij geen behoefte hebben aan deze functie, dan ik ook niet. Bij Colruyt gaan we altijd voor een pragmatische oplossing. Als je kijkt naar de echt grote bedrijven in deze wereld,

zoals een Google, dan hebben die een intern auditdepartement en een risk departement. Dat zijn bij hen twee aparte dingen. Hier zagen we dat we daarvoor dezelfde expertise en specialisatie nodig

hadden. Dus pragmatisch gezien hebben we die samengevoegd. Dat kost ons minder en we komen tot dezelfde resultaten. We willen het eenvoudig houden. Stel dat de raad van bestuur zegt dat er een audit moet gebeuren op het ERM programma, dan kan ik dat met mijn interne audit niet gaan auditen.

Dan is de oplossing om een externe auditor in te roepen. Daarom is er ook geen afzonderlijk risicocomité. Ik rapporteer niet enkel de resultaten van interne audit maar ook die van het Coris programma naar het auditcomité. Die fungeren wel ergens als een risicocomité, zeker voor financiële

risico’s. Als er strategische risico’s naar boven komen, dan is het auditcomité niet het forum om dat te bespreken. Dat moet behandeld worden in de raad van bestuur. Het auditcomité neemt die dan mee

naar de raad van bestuur en zal die daar terug op tafel leggen. Dus het functioneert wel zoals een risicocomité. Het eindresultaat is wel hetzelfde. Het auditcomité is zo’n 10 jaar geleden ontstaan, in 2006 of 2007. Dat was er nog niet op het moment dat ik hier begon.

Wat is de rol van de raad van bestuur op vlak van risicobeheer? U gaf al aan dat er aan hen

gerapporteerd wordt. Hebben zij verder een actieve inbreng in risk management? Het hele ERM programma, de aanpak dus eigenlijk… Ik spreek over een aanpak omdat dat alles omvat; een methodologie, gebaseerd op principes, een proces met vier stappen (identificatie, analyse, respons en

monitoring), maar ook rollen en verantwoordelijkheden. Wat is een risk owner, een risicocoördinator, risk manager enz. Die werden aangeduid zodat we goed weten wie wat doet in heel dat verhaal. Maar ook communicatie- en rapporteringsvereisten. Vandaar dat ik over een aanpak spreek. In 2009 heb ik

die uitgewerkt, en dat is een iteratief proces geweest met de raad van bestuur. Ik heb dat uitgewerkt in een projectvorm en het werd getrokken door de voorzitter van de raad van bestuur. Hij was de

opdrachtgever. Dit ook in samenspraak met het ExCo. Ze gingen na of ze wel akkoord gingen met de aanpak, hoe we bepaalde dingen zouden installeren en ze discussieerden mee over de risk appetite enz. Dat is allemaal naar de raad van bestuur gegaan en die hebben dat goedgekeurd. Aangezien de

CEO hier ook de voorzitter van de raad van bestuur is, werd dit al snel goedgekeurd natuurlijk. Dat was bij de start. Dan hebben we dat toegepast in een piloot en zagen we dat een aantal zaken niet zo goed waren. We hebben onze matrix bijvoorbeeld gewijzigd van een 4x4 naar een 5x5 om alles meer te

LXXXVIII

spreiden. Ten tweede zagen we dat het versturen van risico-analyses naar de business vanuit onze ivoren toren niet werkte. It’s a killer. Als ik zeg dat ondersteuning van de raad van bestuur belangrijk

is, dan is personal involvement on the field dat zeker ook. Je moet de mensen uitleg geven, hen meetrekken. Het gaat echt over change management. Dat wordt vaak onderschat. Je moet mensen

meekrijgen. Je moet hen ook uitleggen wat er voor hen in zit. Daar hebben wij 2 à 3 jaar aan gewerkt. Die pilootoefening wees uit dat er veranderingen nodig waren. Opnieuw werd dit dan voorgelegd aan de raad van bestuur. Het goedkeuringsproces is altijd naar de raad van bestuur en terug. Wij werken

die aanpak uit, maar de goedkeuring komt van bovenaf. Ons programma heeft zichzelf ondertussen al genoeg bewezen. Andere bedrijven vragen ons vaak hoe wij dat aanpakken.

Er is dus geen afzonderlijk risicocomité op niveau van de raad van bestuur. Het auditcomité vervult deze taken? Ja, het wordt opgevangen door het auditcomité en door de rapportering tussen het

auditcomité en de raad van bestuur. Mijn rapporteringslijn is wel naar het auditcomité, maar mijn activiteitenverslag elk kwartaal wordt altijd eerst besproken met 2 van de 7 bestuurders, namelijk CEO en de operationele manager. In het auditcomité bespreek ik dat dan nog eens met 3 andere

bestuurders. Dus daarna heb ik dat al overlegd met 5 van de 7 bestuurders, alvorens het effectief naar de raad van bestuur gaat. Daardoor is iedereen mee in het verhaal.

Hoe ver staat de organisatie op vlak van strategic risk management? In een risico-identificatiesessie komen alle risico’s, zowel operationele, financiële als strategische naar boven. Het Coris programma is

ontstaan vanuit het strategieproces. Dus als wij zo’n risico-identificatiesessie doen, dan vertrekken we altijd vanuit de strategische doelstellingen van de organisatie. We gaan dan na welke zaken ervoor kunnen zorgen dat we onze doelen niet kunnen bereiken. Ons beginpunt is onze strategie. We merken

ook dat deze risico’s zeer natuurlijk naar boven komen. Bij alle directies zijn deze risico’s benoemd als belangrijke risico’s. Deze risico’s vind je wel hoofdzakelijk terug bij de commerciële activiteiten van de

groep. Eerder dan bij functies zoals IT of finance. Zij hebben ook wel strategische risico’s, maar veel minder. Alles wordt dan genoteerd in ons risicoregister. We gebruiken dezelfde matrix voor alle risicoanalyses. Dan gaan we wel per risico gaan bepalen op die matrix welke score er geldt. Ik zal u dit

eens tonen. Hier zie je die 5x5 matrix op basis van de impact en de likelihood. Per risico noteren we dan wat de mogelijke oorzaken zijn, gevolgen en beheersmaatregelen. Eens we dan die risicoanalyses uitgevoerd hebben, worden die gevalideerd met de directeur van de operating unit. Dan krijg je dit

soort presentatie van de belangrijkste risico’s. Wij tonen per business domein de risico’s, tot welke categorieën ze behoren, de kleurcode, de vroegere en huidige score enz. Ja dat is ook belangrijk. Elk

risico wordt ook geplot op een risico-universum, dat is een soort structuur voor alle risico’s. Er zijn operationele risico’s, financiële, organisatiestructuur, juridische… We mappen de risico’s. Dat is om er een zekere systematiek in te steken. Ik kan dan op een knop drukken om alle risico’s voor een bepaald

domein in een bepaalde categorie weer te geven.

Eén van mijn vragen was ook of er gebruik gemaakt wordt van visuele elementen. Dat werd hier dus al duidelijk aangetoond. Ja, dat doen wij dus zeker. Wij tonen de spreiding over de categorieën, de kleurencode en dan ook de evolutie t.o.v. de vorige score. Dat is natuurlijk wel belangrijk. Wij doen dit

programma om risico’s onder controle te krijgen. Dan is de evolutie van de score natuurlijk wel een hele belangrijke factor. We moeten onderzoeken of risico’s die vroeger rood waren, nu verbeterd zijn.

Hoe frequent wordt er gerapporteerd? Gebeurt alles op kwartaalbasis? Mijn rapportering wel ja. In de operating unit is dat wel anders. Daar verwachten ze om de 3 jaar echt dat we de oefening volledig

opnieuw starten van 0. Echt weer alle risico’s gaan identificeren en analyseren en de respons daarop bepalen. We verwachten dat ze jaarlijks hun scores herzien en dat ze ten minste halfjaarlijks een opvolging doen. Dat is nog altijd een ideaal, daar zijn ze nog niet toe gekomen. Bepaalde operating

units zitten al heel ver, maar andere zijn daar minder goed in. Maar dus naar boven toe gebeurt de rapportering trimestrieel.

LXXXIX

Colruyt is een familiebedrijf, dus de raad van bestuur is hier nauwer bij de activiteiten betrokken. Is er daar een impact van op de risk management functie? Ik denk wel dat het een impact heeft. Ik zal

het extreem zeggen. We zijn beursgenoteerd en zitten zelf in de BEL20, maar meer dan 50% van de aandelen zijn in het bezit van één familie en hun verwanten. Als je het met uw eigen geld moet doen,

ga je veel voorzichtiger te werk gaan dan wanneer het niet over uw eigen geld gaat. Ik sta op de payroll, maar het is mijn geld niet. Als het uw eigen geld is, en in een familiebedrijf is het uw eigen geld, dan ga je wel voorzichtiger met risico’s omgaan. Je zal er dan niet zo los mee omgaan. Je merkt dat

bijvoorbeeld aan onze risk appetite, er is een zekere risicoaversie. Hier is men meer risicoavers dan in een ander bedrijf.

Heeft de beursnotering een impact? Bijvoorbeeld door het feit dat er aan strengere regelgeving moet voldaan zijn? Nee, van de 7 basisregels van de corporate governance code, is er maar 1 waarop wij

niet compliant zijn. Dat is dat de CEO eigenlijk niet de voorzitter van de raad van bestuur mag zijn. Maar ja, het is een familiebedrijf… Wij geven hier een uitleg aan in ons jaarverslag. We hebben beslist dat dit voor Colruyt een goede manier van werken is. Compliance is niet de drijfveer voor ons om

bepaalde zaken te installeren. Wat we moeten doen, zullen we doen, tenzij het ons niet uitkomt. Maar dat is niet de hoofddrijfveer. De aanleiding was dat onze voorzitter van de raad van bestuur op een

professionele manier met risico’s wou omgaan. Je merkt dat ook als we met hem de risicoregisters overlopen, hij kent ze allemaal. Er zijn nooit verrassingen. Dat is ook zijn bedoeling. Het ergste wat je als CEO kan hebben, is dat je een verrassing op uw kop krijgt die je niet had zien aankomen. Want daar

word je door iedereen op afgerekend. Door de markt, de media, de raad van bestuur, enz. Is er volgens u een impact van de sector? Nee, de basisstappen van het proces blijven altijd dezelfde,

voor eender welke sector. Maar de volledige aanpak hangt af van de support van bovenaf, de cultuur van het bedrijf, waar bevinden zich de belangrijkste risico’s in dat bedrijf… Is dat verspreid in de

volledige organisatie, of zitten de belangrijkste risico’s in één bepaalde afdeling? Het is veel meer dan het basisproces. Je moet er invulling aan geven. Bijvoorbeeld de risk appetite hangt af van de attitude, de cultuur, het soort risico’s waarmee je te maken hebt… Rollen en verantwoordelijkheden, wat waar

gaat zitten, hangt af van het soort organisatie. Ik geef vaak presentaties in andere bedrijven over hoe wij het hier organiseren.

Wat is de impact van de risk management functie op de rest van de organisatie, op vlak van resultaten en risicogedrag? Op de resultaten wordt dat niet echt expliciet gemeten. We meten niet

wat de impact is op de P&L. Maar we onderzoeken wel hoe de risico’s evolueren. Onze methodologie is dezelfde gebleven, dus een score van dit jaar kan je perfect vergelijken met een score van 5 jaar geleden. Dus dat wel. We kwantificeren niet wat daar dan de impact van is op het resultaat. Maar er

was nog een tweede factor? Ja, de impact op het risicogedrag… Ja, dat wel. Maar dat is die change management waar ik over sprak. Iedereen die bij dit programma betrokken wordt, gaat eerst door een

infosessie. Ondertussen denk ik dat er 1000 à 1500 mensen op die 7 jaar al door die sessie zijn gegaan en dus die aanpak kennen. Die zien de logica ervan in en zien dat het een zeer pragmatische aanpak is, die heel verstaanbaar is voor iedereen. Zowel voor de meest intellectuele ingenieurs als de mensen

die de picking doen in de logistiek bij wijze van spreken. De insteek van de voorzitter van de raad van bestuur om dat te ontwikkelen was eigenlijk tweeërlei. Eén, hij wou alle risico’s kennen en weten of ze onder controle zijn. Maar ook, en dat was de tweede doelstelling, even belangrijk voor hem, hij wou

dat de risicobewustwording in de organisatie groter werd. En dat is zeker gebeurd.

Is de organisatie meer risicoavers geworden door deze aanpak? Nee, dat denk ik niet. Ook voor 2009 werd er al aandacht besteed aan risico’s. Maar dan puur op buikgevoel, op een eerder emotionele dan op een rationele manier. Nu is er een systematiek die iedereen kan toepassen en die door iedereen

vrij goed gekend is. Ook omdat ze elk jaar wel door het bad gaan van die revaluaties. Dus ja, dat is goed ingeburgerd volgens mij.

XC

Bent u tevreden over de huidige werking van risk management? Stel die vraag maar eerst aan mijn collega (lacht). Ja ik vind van wel. Door die structuur te implementeren krijg je wel een heel goed

overzicht. Dat risicoregister is echt heel gemakkelijk. Je kan risico’s alsook scores onderling vergelijken. Ook dat risico universum is heel handig om allerlei zaken op te zoeken. Ik voel ook dat de mensen er al

bewust van zijn. Je komt dan voor een risicoanalyse en ze weten al heel goed waar het over gaat. Ze spreken dan over de vorige keer. Het enige waar we nu nog meer de focus op gaan leggen, is die monitoring. Ermee bezig zijn gebeurt wel, maar de opvolging kan nog beter. Vanuit het risicobewustzijn

dat ontstaan is, krijgen wij meer en meer vragen vanuit de business om een risicoanalyse op een project uit te voeren. Wij krijgen spontaan die vragen binnen. Onze tussenkomst is niet altijd vereist, maar we worden steeds vaker gevraagd omdat mensen weten dat wij daar de juiste expertise voor

hebben. Je ziet dat het succesvol is omdat mensen ons komen vragen, eerder dan dat het wordt opgedrongen vanuit corporate. We hebben daar voor een stuk ook al onze maturiteit in kunnen

bereiken.

XCI

Appendix 13: Interview Proximus

Waar precies binnen de organisatie is uw functie gepositioneerd en wat zijn uw taken binnen het

bedrijf? Als Director Audit, Risk and Compliance, ben ik verantwoordelijk voor internal audit, RM en compliance, dit noemen we ARC. Hierbij sta ik in rechtstreeks contact met de chief corporate affairs officer, die lid is van het ExCo, het executive comité. Deze staan boven de directors. Verder rapporteer

ik ook rechtstreeks aan het auditcomité, het Internal Audit and Compliance Committee genaamd. Ik ben verantwoordelijk voor vier grote departementen: interne audit, ERM, verzekerings- en schadebeheer en daarnaast ook nog compliance en data privacy. Dit laatste departement is zeer

belangrijk voor ons bedrijf. In totaal leid ik 28 personen. ERM bestaat uit 3 personen. Ook verzekerings - en schadebeheer is zeer belangrijk, omdat wij enorm veel personeel en wagens bezitten. Met

compliance bedoel ik internal policies, codes of conduct, … Binnen risk management doen we zowel aan identificatie als evaluatie van de risico’s, alsook de verzekeringen van de risico’s, de zogenaamde transfer naar insurance. Bij veel bedrijven is dit apart, wij doen dit samen. Dit lijkt ons logischer omdat

die transfers een deel zijn van RM. Alle verzekeringen worden bij ons beheerd. Voor operationele risico’s werken we met stress tests, zoals in de banksector. We werken met verschillende scenario’s.

We hebben een enorm risicoregister dat alle mogelijke risico’s omvat, van brand tot virussen. Er zijn hiervoor verschillende bronnen van informatie: ERM, informatie-uitwisseling met andere operatoren, informatie van verzekeraars en ook contact met andere verbonden sectoren want die hebben vaak

gelijkaardige risico’s. We onderzoeken altijd de impact op de cashflows en op de klantentevredenheid. Dit zijn twee heel belangrijke maatstaven. Voor ons zijn er drie grote risico’s, business continuity, dat is één. Onze klant tolereert geen interrupties dus we moeten absoluut onze maturiteit op vlak van

business continuity meten en vergelijken met de benchmarks. Het tweede risico omvat security en privacy, steeds belangrijker de dag van vandaag omwille van alle pogingen tot hacking enz. Ook komt

er een nieuwe Europese wetgeving op vlak van privacy waaraan we zeker moeten voldoen. Het derde aspect is performance, voldoen aan SLA’s, service level agreements. Ons bedrijf werkt ook voor public tenders en voor de Vlaamse regering. Dus aansprakelijkheid voor fouten is belangrijk. Dit wordt ook

hier beheerd. Dit zijn contractuele risico’s. We verwachten ook dezelfde verantwoordelijkheid van onze eigen leveranciers.

Sinds wanneer heeft uw bedrijf bewust aandacht voor risicobeheer? Dit is al sinds de jaren ’90, dus wel al zeer lang. Zijn er de laatste jaren belangrijke veranderingen doorgevoerd op vlak van

risicobeheer? Ja, absoluut. We herformuleren de systemen, zeker sinds de corporate governance code en omwille van het toenemend belang van ERM. We vergelijken via een benchmark met andere grote Belgische organisaties om ons te situeren op vlak van risk management. We hebben recent Colruyt,

UCB, Engie en Solvay gezien om te kijken waar we staan op vlak van maturiteit en om na te gaan of ons ERM model, dat dateert van 2007, nog goed werkt. We gaan ook nog RTL zien in Luxemburg midden mei om procedures te vergelijken en eventueel te verbeteren.

Ik heb op de website vernomen dat er geen CRO is aangesteld, maar dat de chief corporate affairs

officer verantwoordelijk is voor RM? Wel in feite ben ik een soort CRO voor het bedrijf. Maar binnen het directiecomité is er dus geen CRO aangesteld? Nee, in België en ook in Europa is een CRO vooral een functie binnen de financiële sector, bij verzekeraars en banken. De CCAO is binnen ons bedrijf

verantwoordelijk voor interne audit en RM. Hij is ook nog voor andere corporate affairs zoals governance verantwoordelijk. Ik rapporteer rechtstreeks aan hem, hij is lid van het ExCo. Op dat niveau

worden beslissingen genomen op vlak van de risk appetite, welke risico’s wel en niet worden genomen. Is er op management niveau een risicocomité? Ja er is een risk management comité, RMC. Deze

vergaderen vier keer per jaar en nemen de beslissingen over de grote risico’s. In dit comité zit de CCAO, de CFO en de Chief Strategic Officer.

XCII

Wat is de rol van de raad van bestuur op vlak van risicobeheer? Ik presenteer ERM aan de raad van bestuur. Zij hebben zeker ook inspraak. Indien ik een probleem heb op ExCo niveau, dan kan ik ook

naar de voorzitter van het auditcomité stappen. Voor de raad van bestuur is risk management zeer belangrijk, want zij zijn tenslotte de eindverantwoordelijken van het bedrijf. Dus daarom moeten zij

zeker goed op de hoogte zijn van de bedrijfsrisico’s. In het jaarverslag vond ik dat op niveau van de raad van bestuur het auditcomité verantwoordelijk

is voor risk management. Er is dus geen afzonderlijk risicocomité op dat niveau? Het auditcomité behandelt inderdaad risk and compliance. Het auditcomité wordt sterk betrokken. Wij doen aan risk-based internal audit, wat betekent dat risicobeheer een grote invloed heeft op het auditplan en de

auditdoelstellingen. We gebruiken risk management om het audit plan te oriënteren en de juiste prioriteiten te kunnen stellen. We gebruiken verschillende tools om alles, zoals RM en compliance in

één sample te gieten en op basis daarvan definiëren we dan onze auditdoelen. We voeren zo’n 30 audits uit per jaar. Er is inderdaad geen afzonderlijk risicocomité op board niveau. Dit kost veel geld, je moet het ook rationaliseren.

Is er binnen uw bedrijf aandacht voor strategisch risk management? Absoluut, dit is zeer belangrijk.

Voor ons is SRM echt de nummer 1 prioriteit. We doen de oefening samen met de strategische afdeling. We hebben een 3-jaar strategisch plan en bekijken dan voor elk jaar welke risico’s, onzekerheden en opportuniteiten hiermee gepaard gaan.

Hoe worden de strategische risico’s geïdentificeerd? Wel, om bedrijfsrisico’s te identificeren gebruiken we eerst een survey, op het niveau van de directie, net onder het niveau van ExCo. We zijn

met een 70-tal directeurs en daarbij komen dan nog de high potentials en het strategisch departement als doelgroep van de survey. Er zijn 20 risicocategorieën en we bevragen welke risico’s de doelgroep

als prioritair beschouwt. Dit is vaak constant over de jaren heen. Dit gebeurt op het groepsniveau, dus geconsolideerd. Sinds dit jaar hebben we een volledig nieuwe survey. Ik zal deze even tonen. We hebben de template sterk vereenvoudigd om de responsgraad te verhogen en relevantere informatie

te verzamelen. Daarnaast hebben we een ander deel, dat meer in detail gaat op business unit level, departement level of op niveau van de filialen. We vragen hen in een open vraag wat zij als belangrijkste uitdagingen en opportuniteiten zien. Dit alles vormt dan de input voor het tweede deel.

Dit is een workshop op niveau van business unit, departement level of filiaal. Hierbij proberen we te kijken wat de grootste disruptive events zijn en vervolgens welke maatregelen moeten worden

genomen. We moeten en willen anticiperen, we willen ‘no bad surprises’. Het is niet puur conceptueel op hoog niveau, maar echt per departement, per business unit nagaan wat hun risico is. Binnen onze strategie hebben we bijvoorbeeld een deeltje ‘fit for growth’, aangezien groei zeer belangrijk is voor

het bedrijf. In onze jaarlijkse survey halen we dit aspect ook duidelijk aan. Alles is zeer sterk gelinkt met de business strategie. In ons jaarverslag is er een grote paragraaf opgenomen over risk

management. We zijn een beursgenoteerd bedrijf op de BEL20 dus we moeten hierover rapporteren aan onze aandeelhouders. Daarnaast sturen we ook een prospectus. We geven ook obligaties uit, dus moeten we informatie geven over onze risicofactoren. Via ERM hebben we een goed zicht op alle

organisatierisico’s, zowel de operationele als strategische risico’s en onzekerheden. Dit omvat competities, regelgevingen enz.

Hoe vaak vindt zo’n survey plaats? Eén keer per jaar. Dit start nu begin mei en volgt altijd het strategisch plan. Daarna hebben we dan een soort inventaris, evaluatie van de risico’s en dan moet er

ook een actieplan komen. Dit gebeurt maandelijks. Vervolgens toont de risk scorecard de datum, de business unit waarop het zich situeert, de probabiliteit, de impact en de velocity. Alsook de acties op impact en probabiliteit. We geven ook de KRI’s weer en de early warnings op basis waarvan we kunnen

anticiperen. We zien ook de risk owners.

XCIII

Hoe verloopt de risico rapportering en informatievoorziening op niveau van top management en de raad van bestuur? Ik rapporteer rechtstreeks aan de CCAO op ExCo niveau en aan het auditcomité. Dit

verloopt via face-to-face contacten, wekelijkse meetings. Op elk auditcomité presenteer ik de risico’s. Want zij moeten op de hoogte zijn van welke risico’s worden aanvaard. In de toekomst willen we vooral

werken met risk scorecards om alles overzichtelijker te presenteren. Hoe wordt bepaald welke risico’s wel en niet worden gerapporteerd naar de hogere niveaus? Het

auditcomité focust op de drie belangrijkste risico’s: business continuity, security & privacy en ten derde risico’s die verbonden zijn met contracten met grote klanten of overheden. Boven een bepaalde trigger moeten de risico’s gerapporteerd worden. We voorzien hen dan van een risico opinie.

Zijn er bepaalde variabelen die volgens u een impact hebben op de manier waarop aan risk

management gedaan wordt? Uw bedrijf is voor een groot deel in handen van de Belgische staat, heeft dit een impact? Nee niet echt. We zijn hoofdzakelijk een beursgenoteerd bedrijf, dus we moeten onze investeerders advies geven over de risico’s die we nemen. Dit is een belangrijke factor. Er is

volgens mij een enorm verschil tussen bedrijven die genoteerd zijn op de BEL20 en andere bedrijven. Maar de Belgische staat heeft geen impact. Een deel is ook in handen van institutionele

aandeelhouders in de US en de UK, heeft dit een impact? Nee niet echt, dit is niet zo belangrijk voor ons. Ik weet dat de SOX voor andere bedrijven wel een invloed heeft, maar dit is bij ons niet zo’n probleem.

Is risk management bij uw bedrijf sterk afgestemd op de sector? Minder, ERM verloopt binnen verschillende bedrijven en sectoren gelijkaardig volgens mij. Op dit moment heerst er de trend dat wij

samenwerken met andere bedrijven om best practices uit te wisselen op vlak van risicobeheer en bij te leren van elkaar. Steeds meer bedrijven combineren risicobeheer met de interne auditfunctie omdat

dit leidt tot veel synergiën. Enkel bij de banksector blijft dit totaal gescheiden omdat ze werken met het three lines of defense model.

Welke impact ziet u van de risk management functie op de werking van de organisatie? Tot 2006 waren we hoofdzakelijk georiënteerd op verzekeringen en preventies van risico’s. Vanaf 2006 zijn we meer in de strategische richting gaan werken, door het belang van ERM. Dit heeft wel voor veel

vooruitgang gezorgd. Pure focus op operationele risico’s is niet voldoende.

Bent u zelf tevreden over de huidige werking van de risk management functie? Ik denk dat we nu toch wel op een zeker niveau zijn gekomen. Vooral het feit dat we nu risk management combineren met de interne audit functie zorgt ervoor dat we bij een groot risico nu een audit kunnen mandateren.

Deze combinatie, één departement, is echt veel beter.

XCIV

Appendix 14: Interview Raffinerie Tirlemontoise

Ik zal mezelf eerst even kort voorstellen. Ik ben directeur van de juridische dienst. Mijn taak is dus om

juridische support te verlenen aan de organisatie op alle vlakken. Eén van de taken daarbij is het beheer van onze risicoportefeuille. Voordat ik benoemd werd tot juridisch directeur, heb ik ook tussen ’95 en 2005 de titel van risk manager gehad. Mijn hoofdtaak was risicobeheer, maar dat is dan meer

geëvolueerd naar juridische taken. Dat is omdat wij deel uitmaken van een grote groep, Südzucker AG. In 2003-2004 mochten wij zelf ons risicobeheer organiseren binnen de Tiense Suikerraffinaderij. Maar vanaf 2005 werd dat een groepsfunctie. Dus er is een collega bij Südzucker in Duitsland die instaat voor

het risicobeheer. De strategie, richtlijnen en procedures voor risicobeheer worden nu volledig bepaald door onze moedermaatschappij. Tot en met 2005 waren we daar nog zelf verantwoordelijk voor.

Waar of op welk niveau is uw functie gesitueerd binnen de organisatie? In principe juist onder de afgevaardigde bestuurders, juist onder de CEO. Ik ben lid van het directiecomité en rapporteer

rechtstreeks aan de CEO. De CEO en de executive director raw materials vormen het uitvoerend comité, de ComEx. Daaronder hebben wij een directiecomité met 14 leden en daartoe behoor ik,

alsook verkoopdirecteurs, fabrieksdirecteurs, HR directeurs, enz. Dus in feite dezelfde functies die je in alle grote bedrijven terugvindt.

Sinds wanneer had het bedrijf bewust aandacht voor risicobeheer? Dat is gestart in 1982 na een zware ontploffing in één van onze suikerfabrieken waar spijtig genoeg drie collega’s overleden zijn en er een groot aantal gewonden waren. We hebben toen een veiligheidsmanager aangesteld. Die heeft

dan samen met onze verzekeraars een duidelijke risicoanalyse gemaakt van ons bedrijf. Dan spreek ik dus wel over operationele risico’s. Ze gingen op zoek naar de gevaarlijke aspecten binnen ons bedrijf ,

zowel brandrisico’s als arbeidsongevallen, enz. Op basis daarvan hebben we een programma opgesteld met budgetten om het veiligheidsniveau van zowel onze uitrustingen als onze mensen drastisch te verhogen. Dit telkens in samenspraak met onze verzekeraars. Elk jaar werd het programma aangepast

aan de wijzigingen in ons bedrijf. Voordat de aandelen werden opgekocht door Südzucker, was de organisatie genoteerd op de

Brusselse beurs. Zijn er zaken veranderd op vlak van risicobeheer toen de organisatie niet langer beursgenoteerd was? Nee, de bedoeling was eigenlijk dat er een betere integratie kwam door onze

moedermaatschappij van alle verschillende risicodepartementen in de verschillende vennootschappen die deel uitmaken van de groep. Südzucker is wereldwijd actief en heeft zeker in Europa een aantal grote filialen. Deze hadden elk hun eigen risicobeleid en dat wouden ze integreren.

Maar dus het feit dat het bedrijf vroeger compliant moest zijn met de Belgische Corporate Governance Code had geen echte impact? Nee, we moeten natuurlijk wel met een aantal

regelgevingen in orde zijn. Maar dat werd opgevolgd door ons veiligheidsprogramma. Sinds dat programma in werking is getreden, hebben er geen zware gebeurtenissen meer plaatsgevonden in de

Tiense Suikerraffinaderij. Dan iets meer over de interne organisatie van de risk management functie… U bent

verantwoordelijk, maar zijn er nog andere mensen verantwoordelijk voor het risicobeheer van de organisatie? Nee, maar in elke fabriek die wij hebben is er een preventieadviseur aangesteld. Die naast

zijn rol als preventieadviseur ook de rol heeft om alle veiligheidsaspecten in het breed op te volgen. De verantwoordelijkheid is dus eigenlijk verspreid over de organisatie? Ja inderdaad. Het gaat zowel

over de bescherming van onze activa, dus onze fabrieken, machines, enz. Maar ook over de bescherming van onze mensen. Het is zeer breed. Op niveau van de groep hebben we ook een veiligheidscoördinator en milieucoördinator aangesteld. Die coördineren de acties van alle mensen en

rapporteren dan aan mij.

XCV

Maar dus op niveau van top management is er geen CRO aangesteld? Nee, er is geen CRO aangesteld.

Het is niet dat het niet belangrijk is. Uiteraard is risicobeheer een zeer belangrijk topic in ons bedrijf . Het is aangestuurd door de groep in Duitsland, dus dan is het niet meer nodig om daar lokaal ook nog

een functie aan toe te wijzen. Wat is de rol van de raad van bestuur op vlak van risk management? De raad van bestuur is uitsluitend

samengesteld uit Duitsers van onze moedermaatschappij. Daar is dan ook de lijn van communicatie met mijn groepsfunctie in Duitsland. Die rapporteert dan aan die mensen.

Dus het gebeurt niet via u, maar via de afdeling risk management van de groep? Ja inderdaad.

Is er veel steun van bovenaf voor risicobeheer? Ja, zeker. Südzucker is een beursgenoteerd bedrijf dus ze zijn verplicht om een beleid voor risicobeheer uit te schrijven. Dit in het kader van hun Duitse Corporate Governance Code. Dat doen ze volledig. Je kan dit ook bekijken op hun corporate website.

Daar vind je hun jaarverslag, met bijna 4 of 5 bladzijden over risicobeheer.

Is er een afzonderlijk risicocomité op niveau van de raad van bestuur? Niet bij de Tiense Suikerraffinaderij. Maar er is wel een risicocomité bij Südzucker AG.

Is er bij de Tiense Suikerraffinaderij een auditcomité in de raad van bestuur? Nee, net zoals voor het risicocomité is dat er alleen bij de groep in Duitsland. Hier bij ons is er geen auditcomité in de raad van bestuur.

Is de interne auditfunctie van de Tiense Suikerraffinaderij betrokken bij het risicobeheer van de

organisatie? Nee, de auditfunctie bevindt zich ook weer bij de moedermaatschappij. Südzucker AG heeft een intern audit departement dat regelmatig audits uitvoert. Dit zowel bij de Duitse organisatie, als bij de vennootschappen van de groep. Men auditeert dan onze verschillende departementen, zo is

er dan ook een evaluatie van ons risicobeleid. In welke mate is er binnen uw bedrijf aandacht voor strategische risico’s en strategic risk

management? Er is daar zeker al sprake van. Het risicobeheer is geëvolueerd van puur operationeel, de beveiliging van onze activa en mensen, naar het beoordelen van risico’s van investeringen, nieuwe

producten, enz. Het evalueren van risico’s is nu veel breder geworden dan het 10 jaar geleden was. Wie bekijkt de strategische risico’s? Dat is op niveau van de groep, maar ook elke directeur

afzonderlijk heeft de taak om die risico’s in kaart te brengen. In het directiecomité bespreekt men vaak nieuwe projecten en aanwervingen, en dan wordt er collegiaal besproken of het de moeite waard is

en welke risico’s ermee gepaard gaan. Men gaat na hoe groot de return is en of het al dan niet haalbaar is. Het directiecomité komt 4 keer per jaar samen en dan worden al die punten besproken. Dat is dus het directiecomité van 14 personen.

Is het al lang zo dat er binnen de organisatie ook aandacht is voor strategische risico’s? Ja toch wel. We zijn geëvolueerd nadat in 2005 het operationele risk management werd overgenomen door

Südzucker. Intern begonnen we dan meer te spreken over strategische risico’s. Het was ook een trend die gestart is in het midden van de jaren 2000. Risicomanagement is meer dan het besprenkelen van

een magazijn. Het omvat ook risico’s die geassocieerd zijn met projecten, nieuwe producten, enz. ERM is voor mij een hot topic. Het is iets wat elke ondernemer zeker doet en ook moet doen. Dat gaat van een bakker tot een multinational. Je moet uw risico’s in kaart brengen en proberen te reduceren. Je

moet natuurlijk risico’s nemen, anders ga je niet vooruit. Maar goed risicobeheer is risico’s kunnen inschatten en op een berekende manier te werk gaan. Het was dus niet iets volledig nieuw in 2005, maar het heeft gewoon een naam gekregen.

XCVI

Is er een intern risicoregister die deze risico’s bijhoudt? Nee, dat wordt puur besproken op

vergaderingen.

Dus er is geen echt uitgewerkt ERM programma? Nee, dat zou moeten getriggerd worden door onze moedermaatschappij vooraleer dat er zou komen. Südzucker zelf werkt ook rond strategische risico’s, maar ook daar is er geen echt formeel systeem.

Hoe verloopt de interne rapportering en informatievoorziening op vlak van risk management? Zoals u al aangaf, rapporteert u dus aan de CEO. Zijn er ook nog andere functies of comités waaraan u

verantwoording moet afleggen? Nee, enkel aan de CEO. Uiteraard gebeurt alles in samenspraak met andere collega’s. Onze grootste risico’s zijn te vinden in de fabrieken. Dus ik heb ook een zeer nauwe

band met de collega directeurs van de verschillende fabrieken op vlak van risicobeheer. Het gaat hier dan wel over operationeel risicobeheer. Er is een zeer sterke samenspraak met de plant managers. Tijdens vergaderingen van het directiecomité worden die topics besproken en regelmatig informeer ik

dan mijn CEO over lopende zaken of potentiële risico’s.

Hoe vaak rapporteert u aan de CEO en gebeurt dit eerder op een formele of informele manier? Wij hebben niet echt een vaste dag, maar ik denk zo’n 2 à 3 keer per maand. Dit gebeurt vooral via persoonlijke communicatie. Uiteraard zet ik belangrijke zaken wel op mail.

Wordt er gebruik gemaakt van visuele tools zoals risk maps bij de rapportering over risicobeheer? Nee, dat gebruiken we niet. Dat wordt veel gebruikt in de Angelsaksische wereld, maar bij mijn weten

wordt dit nog niet zoveel geïmplementeerd op het continent. Let op, het gaat wel zeker komen. Maar op dit moment gebruiken we het nog niet.

Hoe bepaalt u welke risico’s wel en niet gerapporteerd worden aan de top? Wel, het is nogal informeel. Als ik rapporteer aan de CEO, rapporteer ik onrechtstreeks ook aan mijn collega in Duitsland

die hoofd is van het risicobeheer bij Südzucker AG. Hij is insurance director bij Südzucker. Hoe wordt de informatie gerapporteerd naar de raad van bestuur binnen de Tiense

Suikerraffinaderij? Wel, 4 keer per jaar is er een raad van bestuur waar belangrijke elementen met betrekking tot risicobeheer besproken worden. De raad van bestuur bestaat volledig uit Duitse leden,

en die worden dus ook geïnformeerd door mijn collega in Duitsland. Die rapporteert ook aan hen. Hier is het de CEO die informatie geeft aan de raad van bestuur.

Bent u zelf ook aanwezig tijdens de raad van bestuur om extra toelichting te geven of is dit niet gebruikelijk binnen de Tiense Suikerraffinaderij? Ik ben ook aanwezig omdat ik secretaris ben van de

raad van bestuur. Regelmatig vraagt mijn CEO dan of ik meer uitleg kan geven over een specifiek punt. In mijn onderzoek probeer ik ook te achterhalen welke variabelen een impact hebben op de risk

management functie en de organisatie daarvan. Speelt de grootte van het bedrijf volgens u mee in de manier waarop risicobeheer intern georganiseerd is? Nee, niet echt. Maar uiteraard heeft het aantal business units een impact op de grootte van de risico’s. Hoe meer business units, hoe groter de

blootstelling aan risico’s.

Dus dat speelt vooral op vlak van de risico’s, eerder dan op hoe risk management georganiseerd is? Ja inderdaad, het bepaalt het aantal risico’s. De organisatie blijft hetzelfde.

Zijn er andere zaken die volgens u een impact hebben? Je moet attent blijven voor de wereld rond u en de nieuwe wettelijke verplichtingen die een bedrijf zoals het onze moet nakomen op vlak van milieu en veiligheid. Het vergroot toch de druk op ons. IT security bijvoorbeeld is echt een hot topic geworden.

XCVII

Maar al onze IT-diensten worden verzorgd door onze moedermaatschappij, dus zij zijn daarmee bezig. Terrorisme houdt ons wel bezig, maar ik denk niet dat de Tiense Suikerraffinaderij echt een groot risico

loopt. Voedselveiligheid is uiteraard een groot risico, daar zijn we ons ook van bewust. Ons kwaliteitsdepartement wordt groter en groter, mede onder druk van onze klanten.

Wordt uw functie regelmatig geëvalueerd? Ja dat gebeurt vanuit Duitsland. We krijgen om de twee jaar bezoek van het auditdepartement van Südzucker om onze processen na te zien. Het wordt ook

nagezien door onze externe auditor. Hebt u zicht op de uiteindelijke impact van de risk management functie op de resultaten van de

organisatie of op de manier van omgaan met risico’s? Nee, op de resultaten van het bedrijf, nee. Ik zou niet kunnen zeggen of wij veel bespaard hebben. Uiteraard, als je weinig schades hebt in je bedrijf ,

is het een teken dat je een goed risicobeleid voert en dat je minder moet betalen aan de verzekeraar. Het is een moeilijke oefening om de meerwaarde van risicobeheer te evalueren. Het is niet dat wij van alles nagaan wat de kost en opbrengst ervan is.

Dus de impact op de bedrijfsresultaten is niet echt duidelijk. Is er invloed op het risicogedrag en de

risicocultuur van de organisatie? Ja, absoluut. Wij voeren een duidelijke sensibiliseringscampagne op het gedrag van onze mensen en risicogedrag. Wij blijven daar altijd op hameren. Mensen zien steeds meer het belang in van risicobeheer.

Is de organisatie over de jaren heen meer risicoavers geworden? Absoluut. Wij proberen zoveel mogelijk risico’s te vermijden. Het is niet altijd makkelijk en zeker niet altijd mogelijk. Indien we toch

risico’s moeten nemen, proberen we ze zoveel mogelijk te beperken of in te dekken. Verzekeringen is maar één deel van risicobeperking. Het is het laatste middel als het ware.

Bent u zelf tevreden over de huidige werking? Ja. Ik zeg niet dat het systeem perfect is, een aantal punten zijn zeker voor verbetering vatbaar. Maar we hebben een goed en correct systeem dat

ondersteund wordt door het management. Met management bedoel ik niet alleen de directie, maar ook de kaderleden en iedereen die betrokken is bij dit bedrijf. Leadership by example is zeer belangrijk. Uit mijn ervaring weet ik dat als iets niet van de top komt, het heel moeilijk wordt om dit te

implementeren in het bedrijf.

U bent ook lid van BELRIM, hoe draagt dit bij aan het risicobeheer van de Tiense suikerraffinaderij? Wel om eerlijk te zijn is dit de laatste jaren sterk verminderd, omdat mijn functie meer geëvolueerd is naar het juridische. Ik ga nog zelden naar de vergaderingen, maar volg wel alles via de website. BELRIM

heeft mij zeer sterk geholpen toen ik puur risk management deed.

Wisselt u ervaringen uit met andere organisaties? Ja, wij zijn lid van FEVIA, de Belgische federatie van de voedingsindustrie. Daar zien we onze collega’s en wisselen we veel ervaringen uit. Ook intern in de groep… Nogmaals, het is een grote groep die zowel binnen als buiten Europa actief is. Daar wisselen

we ook ervaringen uit. We wisselen informatie en kennis uit om het bedrijf te versterken.

XCVIII

Appendix 15: Risk management system of Südzucker

Source: Südzucker, 2016.

XCIX

Appendix 16: Interview Brussels Airport

Sinds wanneer is er binnen Brussels Airport bewust aandacht voor risicobeheer? Ik ben hier van 2010,

dus al zeker vanaf dat moment. Toen is de afdeling risk management opgericht. We hebben interne audit, die is nu geoutsourcet maar ik stuur die wel mee aan. Sinds 2010 is er risk management, een functie specifiek voor de opvolging van de bedrijfsrisico’s. Sinds 2013 heeft men hier dan ook de

verzekeringen aan gekoppeld. Nu heb je sinds 2017 een speciale afdeling ‘compliance and business continuity’. Zij focussen op aviation safety, ICT safety en ook nog security. Bij beveiliging zijn we na de aanslagen van puur aviation security overgegaan naar corporate security. Compliance zijn de

geïnstitutionaliseerde risico’s, die eerder in inspectievorm worden opgevolgd. Deze functie gaat na wat er moet gebeuren om de luchthaven draaiend te houden. Dat is dus vooral ‘ticking the box checks’.

Soms hoort er daar wel een risicoanalyse bij. U zegt dat de aandacht voor risk management er gekomen is rond 2010. Was er daar een bepaalde

aanleiding voor? Onze vroegere CFO is in 2010 CEO geworden en hij heeft die aanwerving gedaan. Dat zat in zijn takenpakket en hij wou daar waarschijnlijk meer mankracht aan toewijzen. Ik heb begrepen

dat het ook een aanbeveling was van de interne audit functie. Dat was volgens mij de insteek. De CFO wou iemand die actief de risico’s ging gaan opvolgen.

Wat zijn uw taken binnen Brussels Airport als corporate risk manager? Ik maak overzichten van de bedrijfsrisico’s. Ik moet voelen doorheen de organisatie, op zowel een formele als informele manier, wat de precieze risico’s zijn. Daarbij moet ik ervoor zorgen dat iedereen bevraagd wordt en dat er

consensus is. De lagere niveaus en afdelingen kijken altijd naar mij om hun risico’s te kennen. Maar eigenlijk moet de input van hen komen. Zij moeten mij hun risico’s geven. We hebben een centraal risk

register op ons intranet. De bedoeling is dat alle risico’s daarin komen. Legal en environment werken daar goed aan mee. We hebben ook net een nieuwe structuur. Er zijn ook een aantal interne controlefuncties, zoals safety management. Maar dat zijn eerder compliance functies. Ze hebben een

checklist om na te gaan of iedereen doet wat ze moeten doen. Ze onderzoeken of alle Belgische en Europese regelgevingen worden nageleefd. Dus dat betreft hoofdzakelijk controle en inspectie. OHSAS is eigenlijk een ISO norm geworden: Occupational Health and Safety Assessment Series. Daar leg je via

een beleidsverklaring af dat je een veilige luchthaven bent, of een beveiligde luchthaven vanuit het standpunt van security. Dat is redelijk formeel, daar hangt niet noodzakelijk iets achter. Mensen

werken veilig of ze werken niet veilig, dat hangt af van de bedrijfscultuur. Zijn die functies risk management? Nee, voor mij is dat gewoon operationele controle. Er gebeurt daar wel een beetje risk assessment om hun risico’s in te schatten maar puur uit compliance. Verder hangt het ook af van de

cultuur van uw bedrijf, of men wil dat risico’s boven komen. De vraag is dan ook nog of ze op papier moeten komen. Concurrenten kunnen dat eventueel tegen u gebruiken.

Wat gebeurt er dan verder met een dergelijk overzicht van de risico’s? Ze vragen mij dan om top 10/top 20 te rapporteren naar de auditcomités in de raad van bestuur. Meestal 10, bij uitbreiding

blijven risico’s soms hangen en geven we dan ook nog een overzicht van sommige risico’s buiten de top 10. Dat zijn grote actuele risico’s. Bij ons is de horizon 3 jaar. We hebben een as van 1 tot 5 op zowel likelihood als impact. De impact gaat van minder dan 10 000 euro op de financiële as, tot meer

dan 10 miljoen euro. De volledige top 3 nu zijn risico’s waar we meer dan 80% kans hebben dat ons dat binnen de 3 jaar meer dan 10 miljoen euro kost. Dat zijn bijvoorbeeld de Brusselse geluidsboetes.

Alles wordt dus door mij voorbereid en dan gaat het naar de directie, dus de CEO en CFO. Ik heb nog nooit gehad dat zij dan extra risico’s toevoegen.

Waar is uw functie precies gesitueerd in het organigram van de organisatie? Ikzelf zit binnen finance. Maar het heeft eigenlijk niet veel met finance te maken behalve dan dat ik verzekeringen doe. Ik volg alle corporate risico’s op, risico’s die de departementen overstijgen. Dus vooral strategische

bedrijfsrisico’s? Ja inderdaad, de strategische risico’s worden door mij opgevolgd.

C

Bent u de enige risk manager bij Brussels Airport of maakt u deel uit van een grotere afdeling? Nee,

ik ben wel degelijk de enige risk manager. Het departement risk management bestaat bij ons maar uit één persoon. Er is dus geen risicocomité op management niveau? Nee inderdaad.

Zijn er andere formele rollen benoemd op vlak van risk management? Ja er zijn zeker veel formele rollen. Meestal is dat binnen bepaalde vakgebieden, functionele departementen. Ik noem dat wel nog

altijd risicorollen, want dat zijn de facto ook mijn gesprekspartners. Bijvoorbeeld legal voor juridische risico’s en safety voor veiligheidsrisico’s. Voor mij hebben die een specifieke risicofunctie. Het zijn eigenlijk rollen als je het in processen gaat bekijken. Die processen zijn nu voor een stuk geallieerd met

onze structuur, nu zijn het ook functies. Sommige werken met een risicomethodologie, met een risk assessment op bedrijfs- of afdelingsniveau. Daar komen dan bepaalde zaken uit en eens die boven een

bepaald niveau gaan, komen die naar mij. Mijn taak is vooral om een consolidatie te maken van de verschillende risico’s en om de onderlinge samenhang ervan na te gaan. Ik zie die soms, terwijl anderen elk op hun eigen vakgebied focussen.

Is er op niveau van het top management een CRO aangesteld als eindverantwoordelijke voor het

risicobeheer? We hebben geen CRO, dat is eigenlijk onze CEO. Je kan stellen dat onze CEO de CRO is. Hij heeft dat gedelegeerd aan de CFO, en die heeft dat op zijn beurt aan mij gedelegeerd. En ondertussen zit daar ook nog een groep treasury tussen, dat is gewoon één collega. Ik rapporteer

eigenlijk aan hem. Hij doet credit control en alles wat banken betreft. Ik focus op verzekeringen en risk management. In een bank heb je een onafhankelijke risk manager of compliance officer met een onafhankelijke rapporteringslijn. Gewone bedrijven hebben dat niet, tenzij je beursgenoteerd bent en

een interne auditor hebt. Er is nu sprake van dat risk management ook in die richting zou gaan. De interne auditor rapporteert dan aan het directiecomité en heeft een rechtstreekse lijn naar de

voorzitter van de raad van bestuur. Maar die is hier maar vier keer per jaar, als het auditcomité is. Dus die man heeft niet veel impact. In het dagelijks bestuur ben ik de spil voor interne audit en zit ik in de hiërarchische lijn.

Wat is de rol van de raad van bestuur op vlak van risicobeheer? Eigenlijk gebeurt er op niveau van de raad van bestuur niet veel. Je hebt de CEO die in de raad van bestuur zit, daarnaast ook nog de

voorzitter. We hebben eigenlijk 3 aandeelhouders: de Belgische staat, het Canadese Ontario Teachers en de Australische groep Macquarie. De Belgische staat heeft wel een blokkerende stem, ze hebben

ook de voorzitter van het auditcomité aangesteld. Is er een afzonderlijk risicocomité op niveau van de raad van bestuur? Wij hebben hier geen

risicocomité op board level. Het auditcomité is verantwoordelijk voor risicobeheer. Als je nu gaat kijken wat de raad van bestuur en dat auditcomité doen, kan je dat samenvatten als rapportering ontvangen.

Dus zij hebben verder geen actieve rol? Nee, in de 7 jaar dat ik hier werk, heb ik één vraag gekregen waar ik iets mee moest doen. Dat was een algemene vraag en daar is dan een antwoord op gekomen.

We waren er zelf al mee bezig, maar uit een gap analysis is gebleken dat we toch nog een aantal zaken extra konden doen op dat vlak. Dus dat is slechts één keer in 7 jaar. De impact van de raad van bestuur op risk management is zeer beperkt. Een bedrijf wordt hoofdzakelijk gerund door het directiecomité.

Die doen alles van dagelijks bestuur. Alles valt of staat met het directiecomité, dus de specialisten waarop de board een beroep doet. De raad van bestuur heeft wel een aantal wettelijke functies zoals

benoeming van de leden van het directiecomité en budgetten goedkeuren, enz. Maar uiteindelijk gebeurt alles op niveau van het directiecomité. Zij hebben dat dan gedelegeerd naar hun personeelsleden daaronder. Een budget wordt bijvoorbeeld opgesteld door het directiecomité in

samenwerking met de mensen daaronder. Dat wordt dan voorgelegd aan de raad van bestuur en die keuren dat al dan niet goed. Verder hebben zij daar geen actieve rol in. Alles gaat van beneden naar boven, en het directiecomité zit daar dan in het midden. Dus het zwaartepunt van risk management

CI

zit zeker niet bij de raad van bestuur. Voor mij mag de raad van bestuur geschrapt worden als besturingselement. Laat gewoon het directiecomité rechtstreeks aan het aandeelhouderscomité

rapporteren. Voor mij is het een totaal zinloos element.

Hoe wordt de risk appetite bepaald voor de luchthaven? Onze risk appetite of risk acceptance wordt voorgesteld door middel van een kleurencode. Daarop zie je waar ons aanvaardbaar niveau van risico’s ligt. De rode kleur zijn risico’s die niet onder controle zijn en waar er actie moet ondernomen worden.

Dan heb je risico’s die beheerd worden, maar nog niet in geel zitten. Geel zijn eigenlijk risico’s die beheerd zijn maar waar er nog materieel risico is. Groen betekent dat alles onder controle is. Er zijn twee schalen: de inherente schaal zonder controlemaatregelen en dan de schaal na

controlemaatregelen.

Door wie wordt de risk appetite bepaald? Dit is bepaald door de raad van bestuur, op voorstel van onze CEO. Dagdagelijks hebben we dan ook activiteiten die uitgevoerd worden waar een aantal KPIs of KRIs opstaan. Dat is voornamelijk op vlak van vliegveiligheid en business continuity. We willen altijd

operationeel blijven. We meten bijvoorbeeld hoeveel bird strikes we hebben, of wild life strikes. Daarnaast meten we ook botsingen tussen wagens hier op de luchthaven. Alle operationele zaken

worden opgevolgd via KRIs. Is er bij Brussels Airport aandacht voor strategic risk management? Is er een duidelijke link tu ssen

risk management en de bedrijfsstrategie? Ja dat is er wel. Ik denk dat we op dat vlak wel heel sterk zijn. We hebben recent ons plan ‘Strategic Vision 2040’ uitgebracht en dat is ook één van mijn top 10 risico’s. We wisten al op het moment dat we dat uitbrachten dat er reacties zouden komen tegen de

luchthaven. Dus er is daar zeker aandacht voor. Ons management krijgt dan de goedkeuring van dat strategisch plan, en dan zitten daar een aantal risico’s bij. Die strategische assen zijn wel duidelijk

zichtbaar. Weeral, wat is de rol hierbij van de raad van bestuur? Heel weinig, enkel goedkeuren of niet goedkeuren. Als ze iets niet goedkeuren is dat vaak extern, omwille van een bepaalde politiek van de aandeelhouders, namelijk van de organisatie die ze vertegenwoordigen. De oefening gebeurt altijd

door het directiecomité. Hoe verloopt de risicorapportering en informatievoorziening op niveau van top management en de

raad van bestuur? Zelf rapporteer ik dus aan de CFO en CEO binnen het directiecomité. Treasury zit ook in mijn hiërarchische lijn, maar voegt er eigenlijk weinig aan toe. Zoals ik al zei, rapporteer ik een

top 10 of 20 van de risico’s naar boven. Ik ben daar redelijk comfortabel mee omdat het stabiele risico’s zijn. De meeste risico’s staan gedurende lange tijd op de agenda. De voornaamste risico’s zijn de geluidsboetes, het beheer van de aanwezige luchtvaartmaatschappijen, terrorisme,

kredietwaardigheid, enz. De rapportering aan de onafhankelijke bestuurders in het auditcomité gebeurt door het senior management, zijnde CEO en CFO. Ik mag ook mijn presentatie geven in het

auditcomité, maar ik mag nadien niet blijven voor de presentatie van de externe auditors. Iedereen krijgt enkel informatie binnen zijn vak. Terwijl ik zou denken, als we elkaar kunnen helpen… Ik vind toch dat als je risico ernstig wil nemen, er toegang moet zijn tot informatie. De manier waarop ik mijn

informatie verkrijg, heeft meestal eerder met soft skills te maken. Ik ga discussies aan met welwillende collega’s. We zijn wel aan het werken aan een betere formele doorstroom van informatie. Er zal meer structuur in de systemen komen. Sommige afdelingen zijn ook zelf vragende partij, omdat ze merken

dat mijn inbreng toch wel een impact kan hebben. Ze zien in dat risk management toch wel werkt. In hun eigen belang, geven ze mij beter meer informatie. Er moeten ook duidelijkere boodschappen zijn.

Soms is er teveel verwarring over wat er van wie verwacht wordt. De directie is hier niet altijd duidelijk in. Er zit wel een duidelijke verbetering in de pijplijn.

Zou de invoering van een CRO op niveau van het directiecomité hier misschien bij helpen? Om zo meer belang te hechten aan die functie… Ja misschien wel. Het moet natuurlijk ook wel een haalbare kaart zijn. Eigenlijk heb ik geen CRO nodig. Wij hebben een directielid dat verantwoordelijk is voor

CII

strategic management, environmental and projectmanagement. Eigenlijk kan die de rol ook opnemen. De CFO bekijkt het vanuit zijn financiële as. Dus ja, een CRO zou daar zitten, heeft geen eigen taken.

Mij hebben ze echt nodig voor de verzekeringen. Maar een CRO zou daar zitten in de organisatie, met enkel risico’s van andere mensen. Dus daar is dat moeilijk. In dit type organisaties zie ik dat niet echt

haalbaar. Het is vooral zo bij banken. Het zou voor mij natuurlijk wel makkelijker zijn als CRO, dan heb je meer inspraak. Maar ik denk nu niet dat dit direct het issue zal zijn. Ik denk dat vooral cultuur en ownership hier belangrijke woorden zijn. Er moet voeling zijn in de organisatie met risk management

en men moet verantwoordelijkheden toewijzen zodat men de juiste personen kan aanspreken. Om nu verder te gaan op die rapportering, het is de bedoeling dat ik mijn risico’s presenteer in het

directiecomité vooraleer ze naar het auditcomité gaan. Eens dat het op het auditcomité geweest is, rapporteert het auditcomité daarover naar de raad van bestuur. Dat zijn dan terug de CEO en CFO die

daar de rapportering doen. Ik doe dat de facto in het auditcomité. Er wordt ook gevraagd aan bepaalde directieleden om hun risico’s samen met mij te presenteren, zodat we die onderling ook alliëren. Dat is soms wel een zwakheid in het systeem. Iedereen moet het eens zijn over de risico’s. Soms halen ze

bepaalde risico’s er weer uit, daarom houd ik oudere versies altijd bij. Bestuurders zitten hier vaak als vertegenwoordiger van een derde partij, dus soms hebben ze nog andere objectieven ook. Zij willen

dat er geen enkel risico is, maar dat kan niet. Ondernemen is risicovol, dus iedereen heeft risico’s. Maar in ons bedrijf is er zo’n cultuur dat men geen risico’s wil. Dat kan niet, dat mag niet.

Wordt er gebruik gemaakt van visuele elementen bij de rapportering? Ja, we maken gebruik van risk maps en scorecards. Het is visueel heel eenvoudig bij ons. We werken met een kleurencode en een top 10 van onze risico’s. We hebben een as inherent risico met de impact, likelihood en totaal score.

Hetzelfde hebben we dan voor residual of managed risk. Je kan dan kiezen en per as vergelijken. Het is wel niet dat we een geplotte risk map hebben met de lage en hoge risico’s daarop. Naar het audit

comité en de board wordt alles ook via PowerPoint meegegeven, inclusief die kleurencodes en dan per risico een uiteenzetting met een update van de vorige situatie. We delen ook mee welke acties bezig zijn. Dus eigenlijk een soort stand van zaken.

Hoe frequent gebeurt die rapportering? Ik rapporteer driemaandelijks, dus per kwartaal naar het directiecomité en auditcomité.

Ik probeer aan de hand van dit onderzoek ook te achterhalen welke variabelen nu bepalend zijn voor

risk management en de manier waarop alles georganiseerd is. Denkt u dat de manier van werken hier anders is omdat het bedrijf niet beursgenoteerd is, en omdat er dus aan minder regels moet voldaan zijn? De luchthaven doet vooral dingen, omdat we ze moeten doen. Veel gebeurt dus uit

compliance, omdat het wettelijk verplicht is. Het auditcomité is er ook gekomen omdat het wettelijk verplicht was bij de privatisering van de luchthaven. In die zin wijken we niet af van een

beursgenoteerde onderneming. Heeft de sector een impact? Ja, de sector is wel bepalend. De risico’s variëren naargelang de sector.

Wij werken met passagiers en vliegtuigen, dus dat is het voornaamste voor ons. Net zoals de chemische sector geen chemische incidenten willen, willen wij geen luchtvaartincidenten. De risk management aanpak varieert naargelang de impact op uw business processen. Het zijn uw business processen die

bepalen op welke risico’s je echt gaat focussen.

Wat is de impact van de aanslagen op het risicobeleid van de luchthaven? Terrorisme is wel degelijk een risico. Dat stond ook voor de aanslagen al op mijn identificatie van de bedrijfsrisico’s. Er was geen specifieke dreiging naar de luchthaven toe. Maar omwille van onze strategische positie was er toch

wel verhoogde beveiliging. Uiteindelijk gebeurde het dan toch… Nu vandaag hebben we enorm veel geautomatiseerde controles en beveiliging. Dit alles zit eigenlijk bij de federale politie. We zijn een privébedrijf, dus zolang de wet niet zegt dat wij bepaalde taken mogen uitvoeren, mogen wij dat niet

CIII

doen. Wij mogen mensen bijvoorbeeld niet zomaar controleren. Dus de politie is hiervoor bevoegd. Wat is er nu veranderd? De politie heeft een aantal extra maatregelen genomen, maar wij zijn hierin

tussen gekomen. Dit dan voornamelijk op vlak van openbare veiligheidsinfrastructuur. We steunen hen met camera’s die we plaatsen, systemen om voertuigen tegen te houden, …

Is er een impact van het feit dat de Belgische staat een belangrijke aandeelhouder is van Brussels Airport? Op gebied van risico, is dat er niet echt. Enkel dan dat hetaudit comité er verplicht gekomen

is sinds de privatisering van de luchthaven. Moest de Belgische staat nu hun deel van de aandelen verkopen, zou alles gelijk blijven op vlak van risk management. Alles staat los van het aandeelhouderschap. Ons directiecomité werkt onafhankelijk, er zitten geen aandeelhouders in.

Vroeger hadden die wel een actievere inbreng, maar toen is beslist om daarmee te stoppen. Het directiecomité beslist, de raad van bestuur keurt goed. De Belgische staat is zeker niet actief in hun

beheer, ze komen niet tussen. Andere aandeelhouders hebben meer impact. Angelsaksische aandeelhouders bijvoorbeeld, zijn enorm gevoelig voor officiële certificaten. Zo had je recent de OHSAS (Occupational Health and Safety) standaard, dat werd gevraagd door één van onze

aandeelhouders. Die wouden dat wij een health & safety management uitbouwden. Dus daar is er wel een impact. Ook omdat zij vaak zelf beursgenoteerd zijn en daarom bepaalde zaken specifiek van ons

verlangen. De nieuwe ISO standaarden eisen nu ook dat je vanuit uw strategie vertrekt en van daaruit uw risico’s gaat vastleggen. Uw procedures moeten mitigating measures zijn voor uw risico’s.

Welke impact heeft dit alles op de resultaten van de organisatie en op het risicogedrag? Wij hebben geen beursnotering, maar wij hebben wel genoteerde obligaties uitstaan. Onze kredietwaardigheid hangt daarmee samen. Daarbij wordt ons risicobeheer wel ook bekeken. Wij zijn nu bezig met het

uitzetten van nieuwe obligaties bij institutionele banken en daarbij zijn verschillende vragen gekomen naar onze risk approach. Je krijgt ook steeds meer erkenning voor een sterke risk management functie.

Een groot deel van de prospectus, zo’n 15 tot 20-tal bladzijden, bij die nieuwe uitgifte van obligaties beschrijft ons risk management. We moeten alle onze corporate risico’s vermelden. Aandeelhouders en beleggers zijn daar heel gevoelig voor. Zij willen het risicoprofiel kennen van een bedrijf alvorens te

investeren. Dus dat zorgt er wel voor dat we daar serieus moeten mee bezig zijn. Een groot deel van de vragen bij het onderzoek naar onze kredietwaardigheid zijn sterk gelinkt met risk management. Zeker na de aanslagen heeft men dat grondig bekeken. Eigenlijk hadden de aanslagen niet zo’n grote

impact, dat was al grotendeels op voorhand ingedekt en nadien hebben we dat nog verhoogd. Belangrijk hierbij is de term ‘resiliency’ of veerkracht van de organisatie, hoe resilient is een organisatie

als er iets gebeurt? Bijvoorbeeld een crisis of een incident, bij ons waren dat dan de aanslagen. Wij hebben de verzekering daarvoor sterk verhoogd. Wij zijn nu redelijk goed gedekt. Het rapport van ons kredietbeoordelingsbureau vermeldt ook duidelijk dat wij zeer ‘resilient’ zijn.

Om even terug te komen op die impact… U gaf net aan dat het bedrijf als zeer ‘resilient’ aanzien

wordt. Zijn er nog andere zaken waar u een impact ziet van de interne risk management functie? We hebben natuurlijk wel een serieus incident gehad. Maar bij de aanslagen is wel gebleken dat onze aanpak eigenlijk de juiste was, de verzekeringen waren wel in orde. We hebben toen ook vlot een

aantal scenario’s aan elkaar geplakt om zo snel mogelijk weer aan de slag te gaan. Ook wat slachtofferzorg betreft, zouden we dit liefst zo snel mogelijk afhandelen. We willen die liever vandaag dan morgen betalen.

Ziet u een impact op het risicogedrag van de organisatie? Ja dat is zeker een interessante vraag. Er is

nu veel meer een impact op het gedrag van de mensen. Medewerkers komen nu vaker naar mij en ze appreciëren mijn inbreng. De onderhandelingspositie van klanten en leveranciers is veranderd over de jaren heen. Ze hebben nu meestal hogere eisen. Daarom spendeer ik nu veel meer tijd aan het

onderhandelen over clausules. De awareness voor risico’s is enorm gestegen. Contractuele en andere maatregelen om risico’s te reduceren, om ze te beperken binnen uw risk appetite, worden nu heel aandachtig bekeken. Daar voel ik een enorme impact.

CIV

Hoe ziet u de risk management functie evolueren in de toekomst? Ik lees wel eens dat de risk

management functie zal verdwijnen in de toekomst, omdat het in elke functie ingebakken zit. Zoals het feit dat een CRO niet echt nodig is. Dat hangt samen met de maturiteit van uw organisatie. Als elke

afdeling zijn eigen risico’s opvolgt, dan heb je dat eigenlijk niet meer nodig. Dus ofwel gaan die allemaal in maturiteit stijgen en is er tijd over om nog aan risk management te doen. Dan kan je risk management schrappen als functie. In elke functie en rol is risk management dan al aanwezig. Dat is

wat ik wel eens lees. Aan de andere kant denk ik dat alles steeds complexer wordt, zo ook de risico’s en compliance vereisten. Dus ik zie dat toch wel meer geformaliseerd worden naar de toekomst toe. Ik zit tussen de twee. Het kan allebei. Het hangt af van de focus van uw directie en CEO. Ik denk dat er

meer regelgeving zal komen, dat men meer zal moeten doen. Interne audit zal ook wel een rol blijven spelen. Je kan het niet volledig laten overlappen met risk management. Ik denk niet dat ze morgen

gaan zeggen dat ze risk management gaan afschaffen. Misschien zal het meer richting een compliance functie evolueren, om na te gaan of alles correct wordt nageleefd in elke afdeling.

CV

Appendix 17: Organisational Chart Brussels Airport

Source: Brussels Airport Company, 2017.

CVI

Appendix 18: Interview Ardo

Sinds wanneer en in welke mate is er binnen uw bedrijf bewust aandacht voor risicobeheer? We zijn

hier altijd wel al mee bezig geweest. Als je bepaalde risico’s ontdekt, wil je die vermijden. Maar je moet natuurlijk een afweging maken ten opzichte van de kosten die er zijn om het risico te dekken. We moeten ook bepalen op welke termijn we het risico willen dekken. Natuurlijk moet je altijd ook wel

nog een bepaalde mate van risico nemen, anders mis je belangrijke opportuniteiten. Ik kan hier eigenlijk niet echt een datum op plakken.

Wordt er hierbij gebruik gemaakt van een formeel kader? Een soort handleiding of leidraad van hoe aan risicobeheer gedaan wordt? Wij hebben zeker geen echt formeel beleid. Alles varieert ook sterk

naargelang het soort risico waarmee je te maken hebt. Er zijn bepaalde risico’s die goed beheerd kunnen worden en andere die moeilijker zijn om te gaan managen. Bijvoorbeeld, bij ons worden muntrisico’s systematisch ingedekt op basis van een aantal interne regels en procedures.

Dus jullie werken niet op basis van een risico framework om risico’s te beheren? Nee dat doen we

niet, dat is te formeel voor ons bedrijf. We bepalen onze eigen regels en procedures om risico’s in te dekken. Wij proberen al deze risico’s volledig in te dekken voor een jaar ver zodat wij geen risico’s meer lopen. Ik denk dat dit op zich niet zo sterk verschilt van andere bedrijven of beursgenoteerde

ondernemingen. Risico’s zijn risico’s en moeten worden aangepakt. Of je nu wel of niet beursgenoteerd bent, elk bedrijf wordt geconfronteerd met allerlei risico’s en onzekerheden. Beursgenoteerde bedrijven moeten hun risico’s uitgebreid rapporteren aan externe aandeelhouders.

Maar hoe je daar dan als bedrijf mee omgaat, dat kies je zelf. Elk bedrijf kan voor zichzelf uitmaken of ze het risico al dan niet gaan indekken. Waarschijnlijk is dit bij ons wel iets minder formeel bepaald.

Kan u een voorbeeld geven van hoe risico’s binnen uw bedrijf worden beheerd? Ja, één van onze grootste risico’s is de aankoop van de grondstoffen bij onze leveranciers. Prijzen voor onze eindklanten

worden één keer per jaar vastgelegd. Wij willen dus ook geen risico’s nemen op grondstoffen. Wij kopen grondstoffen aan bij de boeren maar die prijzen schommelen natuurlijk. Om die risico’s af te dekken gaan wij vaste prijzen afspreken met onze leveranciers voor een volledig jaar. Wij werken altijd

in een jaarcyclus. Tenzij voor bepaalde uitzonderingen zoals onze financiering op lange termijn. Onze sector zorgt er ook voor dat wij risico’s kunnen indekken. Bijvoorbeeld in markten voor verse

producten, gaan de prijzen elke dag schommelen op veilingen. Bij ons in de diepvriesindustrie blijven die prijzen veel constanter. Als wij gaan verkopen aan supermarkten, kunnen wij die prijzen op lange termijn vastleggen. Aan de inputzijde proberen wij dan ook alles vast te leggen. Dit omvat zowel de

lonen, grondstofprijzen, energieprijzen, munten, … Overal waar we kunnen, proberen we de risico’s in te dekken. Maar soms kan dit niet en dan moet je het risico lopen. Wij kijken ook altijd of onze leveranciers hun voorwaarden wel navolgen, om toch zeker te zijn dat we geen risico lopen. Dit heet

contractbegeleiding van boeren en gebeurt op alle niveaus; productrisico, kwaliteitsrisico, …

Worden deze risico’s geïdentificeerd op basis van de strategische richting van het bedrijf? Nee, elke afdeling bepaalt zijn eigen risico’s. Dit wordt niet rechtstreeks bepaald op basis van de strategie.

Werden er binnen uw bedrijf formele rollen benoemd in het kader van risicobeheer? Wie is er binnen de organisatie verantwoordelijk voor RM? Elke afdeling moet zijn eigen risico’s analyseren en kijken

hoe hiermee moet worden omgegaan. Zoals ik al zei is elk risico anders, dus elke afdeling pakt dit aan op zijn eigen manier.

Dus er bestaat niet zoiets als een overkoepelend orgaan of een eindverantwoordelijke voor risicobeheer? Nee, niet echt. Risico’s worden echt per afdeling behandeld. Financiële risico’s worden behandeld in de financiële afdeling. Dit is wel volledig centraal beheerd voor alle verschillende landen.

Als de risico’s te groot zijn, gaan we dit centraal behandelen. De verschillende risico’s die vasthangen

CVII

met onze aankopen bij leveranciers worden behandeld door de individuele afdelingen. Er moeten contracten opgesteld worden die de prijzen vastleggen. De risico’s in de aankoop van food wordt door

één afdeling behandeld, anderzijds worden risico’s bij de aankoop van non-food, verpakkingsmaterialen en dergelijke, behandeld door een aparte afdeling. Elke afdeling rapporteert

de belangrijkste risico’s dan wel aan het directiecomité. Zij zijn altijd op de hoogte van de voornaamste risico’s.

Er is geen expliciete functie binnen het directiecomité die hiervoor benoemd is? Nee, dit wordt behandeld door alle leden van het directiecomité samen. Dat bestaat uit drie personen; de managing director, dat ben ik, de CEO en de Chief Operations Officer. Samen nemen wij de belangrijke

beslissingen. Ik zal een voorbeeld geven. We handelen eigenlijk in 2 verschillende munten, in dollars en ponden. We kopen en verkopen evenveel in dollars, dus dit risico is eigenlijk uitgevlakt. Het is een

soort natuurlijke hedge. Ons enig muntrisico zijn ponden. Elk jaar krijgen we een bepaald aantal ponden binnen, en die moeten we elk jaar gaan indekken. Onze contracten worden na de zomer opgesteld in Engeland. Maar in juni kwam de Brexit. Dan kwam de vraag natuurlijk wat we met de

pond gingen doen. Als de Brexit er kwam, zou de pond zeker dalen, anders niet. Dit was een belangrijke beslissing die door het directiecomité als geheel behandeld moest worden.

In welke mate is de raad van bestuur betrokken in risicobeheer? Bepaalde risico’s moeten natuurlijk wel naar boven gerapporteerd worden en besproken worden door de raad van bestuur. De ExCo

bespreekt deze met de board. Bijvoorbeeld muntrisico’s, financieringsrisico’s. Men moet daarbij wel overeenkomen over een bepaalde strategie.

Is de interne audit functie betrokken in risk management? Wij werken op dit moment met een externe auditor. We zijn nu net gestart met een interne auditafdeling, maar dat moet nog volledig

worden opgebouwd. Is er een bepaalde reden waarom u vanaf nu wil werken met een interne auditor? Is dit een eigen

keuze of naar aanleiding van bepaalde gebeurtenissen of regels? Nee, dit is volledig onze eigen keuze. Het is niet omdat we niet onderworpen zijn aan de regelgevingen zoals beursgenoteerde bedrijven, dat we er niet zelf voor kunnen kiezen om bepaalde zaken ook in te voeren. Het moet alleen voldoende

opbrengen in vergelijking met de kosten.

Hoe verloopt de interne rapportering en informatievoorziening omtrent risico’s? De verschillende afdelingen rapporteren de voornaamste risico’s naar ons directiecomité. Daar worden beslissingen genomen over contracten en acties om de risico’s aan te pakken. Zeker voor de belangrijkste risico’s,

zoals grondstoffen en financiële risico’s, worden de beslissingen centraal genomen. Belangrijk is ook de opvolging van de risico’s in de verschillende landen waar we actief zijn. Dit om ervoor te zorgen dat

men in alle landen op dezelfde manier te werk gaat en men niet alles zelf kan bepalen zonder enige goedkeuring.

Hoe zou u de risico appetijt van uw bedrijf omschrijven? Zeer risicoavers. Wij proberen overal waar mogelijk risico’s in te dekken.

Hoe zou u de risicograad van uw sector omschrijven? De voedingssector is een redelijk stabiele sector, mensen blijven hoe dan ook consumeren. Bijvoorbeeld, de klimaatsveranderingen hebben een

enorme impact op de aanvoer van grondstoffen. Maar omdat onze leveranciers zo sterk geografisch verspreid zijn, is dit weggewerkt. Dat is een natuurlijke manier van spreiden. Ten tweede zitten we ook met heel veel soorten groenten, waardoor dat risico weeral afvlakt. De oogsten mislukken nooit

allemaal tegelijk. Dan heb je ook nog de spreiding op basis van de soort markten waarin we actief zijn. We leveren aan retail, restaurants, bedrijven, … Dus door al die manieren van spreiding, hebben we een natuurlijke indekking van de risico’s.

CVIII

Jullie onderhouden ook sterke contacten met de Engelse markt. Wat is de impact van de Brexit voor

uw bedrijf? De Brexit heeft ons zeker veel geld gekost. De pond is sterk gedaald in waarde. Wij hebben aanvankelijk geprobeerd om onze prijzen te verhogen bij klanten in Engeland. Maar dat is ons niet

gelukt. Dus dat risico is nog altijd niet ingedekt. Vandaag schommelt de pond sterk. Dat kan eens goed en eens slecht zijn, dus de situatie is nog zeer onzeker. Op korte termijn is dat een financieel verlies omdat het niet ingedekt is. Op lange termijn zal dit wel verdwijnen of op zijn minst afzwakken. Ofwel

zullen we akkoorden bereiken met klanten over hogere prijzen, ofwel zal de pond zich herstellen. Engeland zal wel moeten overeenkomen met Europa want anders zullen alle producten een taks krijgen van 16%. Ook de producten die zij exporteren naar Europa. Ze gaan dus niet veel keuze hebben

dan tot een akkoord te komen. Zeker ook omdat hun klimaat het niet toelaat om alles zelf te gaan telen. Het probleem is dat mensen steeds nationalistischer gaan worden, en hun grenzen gaan sluiten.

De laatste jaren was er de tendens om alles te gaan globaliseren, maar nu begint dit volledig om te keren. Rusland heeft bijvoorbeeld plots een verbod ingevoerd op invoer van onze producten. Zij hebben onze sector volledig lamgelegd. Enige oplossing hierbij is om actief op zoek te gaan naar andere

markten.

Ziet u de risk management functie binnen Ardo nog veranderen in de toekomst? Ik denk niet dat dit nog sterk zal veranderen. We zijn al een zeer risicoavers bedrijf. Dus het is niet omdat we geen formele systemen hanteren, dat we geen aandacht hebben voor de risico’s die we lopen. Beursgenoteerde

bedrijven moeten natuurlijk aan de buitenwereld gaan tonen dat risico’s ingedekt zijn. Bij ons is dat anders, we zijn een familiaal bedrijf. Alle aandeelhouders kennen het bedrijf en alles wordt op een informele manier besproken. We maken niet echt gebruik van formele rapporteringssystemen.

CIX

Appendix 19: Interview Company A

Waar situeert uw functie zich binnen de organisatie? Ik rapporteer aan de corporate CFO. Risk

management en verzekeringen worden hier bij ons samengenomen. De CFO is mijn baas, dus de man die wereldwijd verantwoordelijk is voor de financiën van onze organisatie. Ik ben verantwoordelijk voor het risicobeheer en alles wat met verzekeringen te maken heeft. Verzekeringen is een tool om

risico’s te beheren, maar is niet een doel op zich. Ik doe die zaken wereldwijd voor het bedrijf. In de segregation of duties, rapporteer ik naar de CFO, dat is mijn baas. Ik heb dus een relatief onafhankelijke functie. Dit moet ook, de Europese regulering gaat daar ook meer en meer naar toe.

Sinds wanneer en in welke mate is er binnen het bedrijf bewust aandacht voor risicobeheer? We zijn

hier heel vroeg mee begonnen. In 1999 is ons bedrijf op de beurs gegaan als een Belgisch bedrijf, met dus een Belgische raad van bestuur. In die raad van bestuur zat de toenmalige rector van de KU Leuven. Op dat moment zat ik ook in de verzekeringssector en toen ben ik aangetrokken geweest om hier

oorspronkelijk verzekeringen te doen. Alles moest hier toen nog van nul beginnen. In 2002 is er onder zeer zware impuls van de rector van de KU Leuven risicobeheer geïntroduceerd.

Dus jullie waren hier eigenlijk al mee bezig nog voor de invoering van de Belgian Code on Corporate Governance? Ja, wij waren er toen al sterk mee bezig. We hebben een aantal voordelen. Een groot

deel van onze activiteit is health care. Deze sector heeft enorm veel regels. Wij waren al verplicht om allerlei zaken te doen conform met Europese richtlijnen. Ten tweede zitten we ook in een sector waar data security en privacy erg belangrijk zijn. Daar is een zeer strikte regelgeving voor. Ik zetel ook in het

fiduciary committee, privacy committee, security committee, risk assessment committee, enz. Deze comités bestonden al allemaal. Bij ons kan er geen enkele investering boven een bepaald bedrag

gebeuren zonder dat het risk assessment committee zijn goedkeuring geeft. Europa heeft nu nieuwe reguleringen uitgegeven i.v.m. de privacy, maar dit hadden wij eigenlijk al allemaal. Er moeten louter nog enkele administratieve zaken worden aangepast. In vergelijking met andere bedrijven, heb ik het

geluk gehad dat het op vlak van risicobeheer hier omgekeerd gegaan is. Ik moest de hogere bedrijfsniveaus niet gaan overtuigen van de nood aan risk management, dit was iets wat van bovenaf werd opgelegd.

Dus er was een duidelijke support van bovenaf? Ja inderdaad, dat heeft het grote voordeel dat wij

zeer veel ervaring hebben op vlak van risicobeheer omdat we zeer vroeg met die dingen zijn begonnen. In de markt toen sprak men wel al veel over risicobeheer, maar in feite was er daar nog niet zoveel van waar. Wij waren echt één van de allereerste. In het begin was ons risk management zeer sterk

gebaseerd op ERM. Dat doen we trouwens nog steeds. Ik ben verantwoordelijk voor de methodologie en zorg ervoor dat de methodologie overal hetzelfde is en dat wij onze risico’s bepalen op een manier zoals in ERM voorzien is. Bovendien moest alles echt gebeuren zoals het hoort, door die invloed van

de universiteit. Dit was in het begin echt overdreven. Echt alles moest tot in het kleinste detail correct verlopen. Er kwam weerstand vanuit de andere afdelingen omdat iedereen meende dat het nu toch

ook goed ging. Dus men begreep eigenlijk niet waarom alles plots zo sterk moest veranderen. Heeft u hier verandering kunnen inbrengen? Ja, op dat moment zat ons bedrijf ook in een volledige

omschakeling op vlak van activiteiten. Wat wij toen deden, doen wij nu absoluut niet meer. Dus dat konden wij ook goed gebruiken. Ik heb dan vrij vlug ook de steun gekregen van de mensen on the field.

Maar men bleef erbij dat het te grondig gebeurde. Toen hebben we besloten om enkel de belangrijkste risico’s aan te pakken. Elk risico dat ofwel in het jaarverslag komt, dat onze cijfers beïnvloedt, of dat onze business in gevaar brengt, gaan we aanpakken. Alles wat daaronder zit, is niet van belang. Dus

vooral de strategische risico’s zijn belangrijk voor mij. De kleinere operationele risico’s, daar kijken we niet echt naar. Voor al die zaken zijn er natuurlijk wel procedures. Die procedures proberen we zoveel mogelijk te standaardiseren over de hele wereld, wat niet altijd even evident is.

CX

Was er in de beginfase een impact van de beursnotering van het bedrijf? Wel, ik denk eerlijkgezegd dat de omschakeling van activiteiten een grotere impact had dan de beursnotering van het bedrijf. Die

omschakeling heeft er vooral voor gezorgd dat we de mensen beter mee kregen in ons verhaal.

Is er een formeel ERM systeem aanwezig in de organisatie? Ja, dat is sterk gebaseerd op de Australian Standards. Ik wou een onafhankelijk en goed systeem. Die Australian Standards waren op dat moment de norm, en wij zijn daarop voortgegaan. Uiteraard speelt COSO daarin een rol. COSO is ook niet het

vernieuwende, COSO heeft gewoon een standaardisatie ontwikkeld. Is er op niveau van het topmanagement een CRO aangesteld? Nee, wij hebben nog steeds geen CRO

aangesteld. Ik zal niet zeggen dat die er nooit zal komen. Het is zoals in veel bedrijven, de man/vrouw maakt soms de positie en omgekeerd. Ik ben hier gekomen en heb alles opgestart. Ik ben betrokken

bij alles wat rond risicobeheer draait. We staan zeer dicht bij de board en zeer dicht bij het ExCo niveau, only a telephone call away.

Dus er is eigenlijk niet echt nood aan een CRO op dit moment? Inderdaad, de banden zijn zo nauw dat de nood zich niet voordoet. Er zijn weinig mensen die mij zouden tegenspreken, dus daarom

hebben wij dat niet. Ik stop hier binnen enkele jaren, dan zal dat waarschijnlijk wel anders zijn. U vermeldde dat op niveau van topmanagement de CFO een belangrijke rol speelt op vlak van

risicobeheer? Ja, de CFO is eindverantwoordelijk voor wat ik doe. Het is niet uitsluitend de CFO die op dat niveau verantwoordelijk is, maar hij stuurt het wel. We zijn een zeer verticaal gestuurd bedrijf . Corporate is zeer klein, we zijn slechts met een 50-tal mensen. Maar tot in het uiterste van de wereld,

gaan de procedures verticaal naar corporate. Alles gaat in een rechtstreekse lijn naar hier zodat we een zeer sterke controle hebben. Wij, als eindverantwoordelijken, worden zeer sterk gesteund door

de raad van bestuur en het ExCo. Dus als ik iets zeg, luisteren de mensen wel, want anders hebben ze problemen met de CEO of andere leden van het ExCo.

Bestaat er een risicocomité op topmanagement level? Ja en nee. Wij zijn daar op dit moment mee bezig. Er worden enorm veel risico’s beheerd maar via comités en structuren die al vroeger bestonden. Bijvoorbeeld, wij hebben kwaliteitscomités, dat is eigenlijk ook risico. Maar die liepen al. Die

kwaliteitscomités komen voor in mijn risicoprofielen, maar intern is het een kwaliteitscomité. We hebben enorm veel comités in dat verband omdat we ons niet kunnen permitteren dat er iets fout

loopt. We hebben comités die zorgen voor de logistiek, business continuity, compliance, enz. Dat zijn eigenlijk allemaal soorten risicocomités, maar die noemen niet zo. Daar zijn we nu ook mee bezig.

Wat is de rol van de raad van bestuur op vlak van risicobeheer? Wij hebben een raad van bestuur die zeer actief is. Maar ik zou zeggen, via het ExCo, het directiecomité. De board is veel meer dan

controlerend of raadgevend. Maar uiteraard is het directiecomité uiteindelijk verantwoordelijk voor de uitvoering. Maar dat staat zo dicht bij de raad van bestuur dat dit voor mij een beetje hetzelfde is. Het directiecomité is enorm actief, amper controlerend, eerder partner, coach. De raad van bestuur

ziet risicobeheer als ondersteuning om de strategie van het bedrijf te kunnen realiseren. Zij ontwikkelen een strategie en van daaruit hebben zij een actieve rol, waar zij aan mij dan deelprojecten van hun strategie geven en mij vragen wat er allemaal kan tegenvallen. Maar als je eigenlijk puur de

vraag stelt wie er nu actief mee bezig is, dan is dat wel het directiecomité, ExCo. Maar het is zeer transparant, die mannen zien elkaar heel veel.

Dus er wordt hier wel aan strategic risk management gedaan? Ja, dat is echt wel de bedoeling. Een riskmanager heeft eigenlijk als taak om de globale strategie van het bedrijf te ondersteunen. De raad

van bestuur bepaalt de strategie en het is aan ons om dan aan te geven wat de problemen en risico’s zijn die hiermee gepaard gaan. Dat is eigenlijk een definitie van wat wij doen, dat moet het zijn. Maar er is nog veel werk.

CXI

Bestaat er op niveau van de raad van bestuur een afzonderlijk risicocomité? In 2003 hadden we hier

een corporate risicocomité opgericht zoals de regels het voorstellen. Hierin zat de CFO, opnieuw omwille van segregation of duties. De CFO is voorzitter van het risicocomité, terwijl de CEO voorzitter

is van het interne auditcomité. Interne audit rapporteert aan de CEO, ik rapporteer aan de CFO. Is dit comité op niveau van de raad van bestuur of op ExCo niveau? Eigenlijk tussen de twee. Het is

niet op niveau van de raad van bestuur, maar zowel auditcomité als risicocomité zitten in de raad van bestuur. Het is een orgaan dat maandelijks rapporteert aan de raad van bestuur. Maar de CFO en CEO zetelen natuurlijk wel in de board. Maar je kan niet zeggen dat het op niveau van de raad van bestuur

zit. Oorspronkelijk waren er twee comités. Maar we hebben dan vrij vlug gezien dat er veel mensen zijn die in die twee comités zitten, zoals de CFO, legal, internal auditor, hoofd van de engineering, …

Sinds een tiental jaar hebben we het interne auditcomité en risicocomité samen genomen. Dat is een orgaan dat samenkomt en beide zaken beheert. Maar de rapportering gebeurt via het auditverslag. Vroeger had ik een apart verslag voor risicobeheer. Maar eigenlijk gaf iedereen zowat hetzelfde.

Maar risicobeheer is dus een belangrijke taak van het auditcomité? Het meer dan louter de controle

op risk management? Absoluut, de interne auditor en ik staan hiërarchisch op hetzelfde niveau. In veel andere bedrijven is de interne auditor baas van risk management. Hier niet, wij werken samen. Wij werken eigenlijk op basis van drie insteken. De interne audit heeft zijn auditplan elk jaar en voert

zijn audits uit. Het gevolg van de audits is dat hij groen, oranje en rood kan toekennen naargelang de staat van het proces. De interne audit geeft zijn verslagen aan mij, en het is mijn taak om dan de geauditeerde bij te staan zodat die zo snel mogelijk in orde is. Dus de interne auditor is de negatieve

controleur, ik ben diegene die helpt om alles in orde te brengen, good and bad. Dit is niet expliciet zo, maar het komt daarop neer. Dit was de eerste insteek. Ten tweede, elk jaar op het einde wordt er een

auditplan opgesteld en risicobeheer is daar een onderdeel van. Dus de interne audit gaat zelf voorstellen doen van wat ze gaan bekijken naast de jaarlijks terugkerende zaken. Daar zijn wij bij betrokken en in die planning werken wij altijd samen. Dus interne audit en risicobeheer kan je niet uit

elkaar halen. Dat is zeker de collega waar ik het meest bij zit. Vrij vaak gebeurt de rapportering door elkaar. Het is zeer moeilijk te scheiden. De derde insteek is een vraag van het veld zelf en dit op alle vlakken. Mensen vragen ons dan welke gevolgen bepaalde activiteiten hebben op onze business en

dan moeten wij een risicoanalyse maken.

Hoe verloopt de risicorapportering en informatievoorziening op niveau van topmanagement en de raad van bestuur? De risicobeheerder is een onafhankelijke functie, die rechtstreeks toegang heeft tot de top. Ik zie heel vaak de CEO, CFO enz. Vaak is dit in een informele setting. We hebben ook een erg

vlotte cultuur, heel toegankelijk. Een beetje zoals de open Amerikaanse cultuur. Er is natuurlijk ook een formele rapporteringslijn en dat verloopt via interne audit. In het auditrapport is er systematisch

een onderdeel risicobeheer. Hoe frequent is dit? Het is meer dan per kwartaal, ik denk zo’n 4 à 5 keer per jaar. Dan wordt een

formeel rapport opgesteld. In welke mate komt risicobeheer aan bod tijdens meetings op ExCo niveau of board niveau? Ik kom

vrij vaak bij de raad van bestuur. Als er raad van bestuur is, moeten wij altijd stand-by zijn. Eén op de vier keer bellen ze mij en moet ik extra uitleg geven. De CFO heeft een bepaalde vraag of een rapport

waar bijkomende informatie vereist is. Hij doet dat dan niet zelf, maar belt gewoon naar mij. Er gebeurt hier zeer veel informeel. Alles wordt natuurlijk achteraf wel geformaliseerd in verslagen, maar op dat vlak is het een zeer flexibel bedrijf.

Worden er visuele tools gebruikt tijdens de risicorapportering? Dat wordt voornamelijk gebruikt in die deelcomités. Ik gebruik dat niet zo vaak voor de rapportering naar het ExCo niveau. We zijn wel

CXII

aan het zoeken samen met interne audit om dat effectief een beetje professioneler te maken in de rapportering.

U werkt in een sector met veel technologische vooruitgang en voortdurende veranderingen. Denkt

u dat dit een impact heeft op de manier waarop aan risicobeheer gedaan wordt? Ik denk niet dat er veel fundamentele verschillen zijn tussen sectoren. Wij wisselen ook ervaringen uit met andere bedrijven via allerlei organisaties, zoals BELRIM en FERMA. Dus dat loopt over verschillende sectoren

heen. Wij hebben heel veel contacten en er wordt heel veel samengewerkt in de mate dat confidentialiteit dit toelaat. Maar op het eerste zicht lijkt dat wel zo, omwille van de cultuur en de activiteit. Elk bedrijf heeft zijn eigen cultuur. Wij hebben een anonieme organisatie, een

managementbedrijf , dus er is hier niemand eigenaar. Er zitten geen aandeelhouders in het beheer. Dus dat is helemaal anders dan voor een familiaal bedrijf.

Zijn er nog variabelen waarvan u denkt dat die een impact hebben op de manier waarop u werkt? Verder denk ik dat er vooral veel rekening wordt gehouden met de geopolitieke situatie, de

veranderende wereld. Die veranderende situatie voel je ook aan de vragen en de manier waarop men ons projecten toewijst. Men komt veel meer bij mij dan vroeger. Je voelt dat wel duidelijk, ik ben

dagelijks bezig met die zaken. Mensen hebben nu veel meer een risicogevoel, omdat de impact veel groter is. Ook de crisis heeft een grote impact gehad, 2008 was zeker een ijkpunt. De laatste 5 à 6 jaar is er veel onstabiliteit, zowel economisch als politiek. Dit heeft zeker een impact. Wij zijn relatief

gespreid in de wereld dus dat valt nog wel mee. Maar als je zo’n dingen hebt als Brussel, dan doet dat mensen nadenken. Dan vraagt men ons plots of wij wel verzekerd zijn tegen terrorisme. Ze vragen ons hoe dit bij ons zit. Niemand weet dat, want vroeger zou niemand hiernaar gevraagd hebben. Maar nu

wordt die vraag plots gesteld in de raad van bestuur. Dit zorgt voor meer interactie met de beslissers. Op die manier wordt dat dus actiever.

Wordt de RM functie binnen het bedrijf geëvalueerd? Ja dit gebeurt, maar niet door het auditcomité. Het wordt geëvalueerd door het bestuur. De raad van bestuur gaat nakijken hoe wij onze taken

uitvoeren. Zij onderzoeken of we wel de juiste acties ondernemen en hoe onze kostenstructuur eruit ziet. Maar mijn persoonlijke evaluatie gebeurt door de CFO.

Welke impact ziet u van de manier waarop RM hier georganiseerd is? Kan u hier concrete voorbeelden van geven? Ja, we kunnen dat ten eerste zien aan de theoretische situatie waar we zijn

als de regularisatie op ons afkomt. Dan zien we dat we goed bezig zijn want het wordt zo gedaan. We zien het ook aan de evolutie van onze activiteiten. De manier waarop er gewerkt wordt, hoe er aan preventie gedaan wordt, dat is zo omdat wij dat hebben gevraagd, gezegd, bepaald. In het algemeen

weet iedereen hier dat er aan risicobeheer gedaan wordt, en dat ze dat beter ook doen.

Bent u tevreden over de huidige manier van werken op vlak van risicobeheer? Het voordeel van al zo lang bezig te zijn is ook een stuk nadeel. Wij werken nog zeer klassiek. Bijvoorbeeld, het ideale waar ik al lang naar streef is dat wij zouden geïntegreerd zijn online. Wanneer een risico verandert, dat er

dan zoals bij SAP of eender wat maar op de knop moet gedrukt worden. Dus dat risicobeheer dan automatisch op de hoogte is en het profiel kan aanpassen. Nu is alles nog zoals toen we begonnen zijn. Eén keer per jaar vraag ik aan de landen en de businessgroepen hoe hun situatie is veranderd t.o.v.

vorig jaar. Dit is nog zeer veel werk en dus eigenlijk een achterstand omdat het niet online gebeurt. Nu zie ik wel dat de risico’s die wij bepalen en bijhorende ranking overeenkomen met de praktijk. Als er

problemen zijn zien we dat deze er zijn waar wij een hoog risico zagen. Dus we lopen wel gelijk, het is niet dat we wereldvreemd werken. Dat is het enige, de administratieve aanpak zou beter kunnen. Wij staan redelijk ver en ik ben daar heel tevreden mee.

Ziet u nog bepaalde evoluties in de toekomst op vlak van risicobeheer binnen uw bedrijf? Ik denk dat als ik hier wegga, men zal gaan nadenken. Dus ik denk wel dat de structuren dan gaan veranderen. Er

CXIII

zal een jongere persoon in de plaats komen. Risicobeheer is een gebied waarin veel ervaring nodig is dus er is zeker wel een aantal jaar ervaring vereist. Er zijn ook andere modellen mogelijk, zoals

verzekeringen apart van risk management, dat zal moeten blijken. Er kan misschien een CRO komen die een veel breder platform heeft, die risicobeheer meer in de diepte naar zijn verantwoordelijkheid

trekt. Dat is nu niet het geval, ik zorg enkel voor de methodologie. Maar bijvoorbeeld financiën en HR komen daar niet in tussen. Dat is mijn verantwoordelijkheid niet. Ik kijk enkel of alles volgens de regels van het risicobeheer verloopt. Dat kan gebeuren, ik weet dat ook niet zeker. Ik kan enkel suggesties

geven. Maar ik vermoed dat zoals in veel andere bedrijven, wanneer een bepaalde figuur verdwijnt, de structuur niet noodzakelijk dezelfde zal blijven.

CXIV

Appendix 20: Interview Company B

Waar kan uw functie gesitueerd worden binnen de organisatie? Ik ben interne auditor bij ons bedrijf .

Ik ben ook de enige, dus het is een éénmansdepartement. Deze functie bestaat een 5-tal jaar, daarvoor bestond er helemaal niets en gebeurde alles enkel extern. Ik doe vooral personele audits, een soort werkverdeling tussen wat onze externe bedrijfsrevisor doet. Hij doet vooral financiële audits, ik focus

vooral op rationele audits. Vanuit dat standpunt probeer ik een auditplan op te maken dat risk-based is. Dus ik ga afwegen waar de risico’s liggen en waarop mijn audits eerst moeten gefocust zijn. Dat is mijn functie vandaag. Ik rapporteer aan het auditcomité. Binnen het bedrijf hebben we naast de raad

van bestuur een auditcomité dat ook verantwoordelijk is voor risk management.

Sinds wanneer en in welke mate is er binnen het bedrijf bewust aandacht voor risicobeheer? Ons bedrijf is een fusiebedrijf, beide bedrijven waren ervoor al beursgenoteerd. Na de fusie zijn ze beursgenoteerd gebleven. Als ik naar het verleden teruggrijp, dan hebben wij vanaf die fusie in 2005

aandacht gehad voor risk management in ons corporate governance charter. Dat is het formele aspect, ik denk dat het in de praktijk toen eerder impliciet was dan formeel. Dat is vandaag de dag ook nog

een beetje het geval. Maar dus formeel is dat kader al lang aanwezig, zeker vanaf 2005. We zijn daar extra gevoelig voor geworden omdat wij een IT bedrijf zijn. Wij voeren klantenprojecten uit en we hebben enkele zeer grote projecten gehad die financieel nogal zwaar doorwogen. Dus met andere

woorden, waar we verlies op gemaakt hebben. Toen is dat gevoel er wel gekomen. We merkten dat er meer aandacht moest zijn voor risico’s, zeker bij projectmanagement en de opmaak van offerten. Vandaag is dat vooral nog in de operationele omgeving. Waar zitten onze zwaarste risico’s? Vooral in

projectmatig werken omdat dit vaak tegen een vaste prijs gebeurt. Dus de manier waarop daarmee wordt omgegaan is zeer sterk onderhevig aan risico’s. Wat ook speelt, is het zware gewicht van

information security op onze sector. Wij beheren data van klanten ofwel in hun datacenter of in ons datacenter. Die data protection en security weegt enorm zwaar door. In de toekomst staat ook de GDPR heel hoog op de agenda, dat is de General Data Protection Regulation, een Europese wetgeving

die geldt vanaf volgend jaar. Daar worden risico’s wel heel zwaar ingeschat. Heeft de crisis een impact gehad op jullie manier van werken rond risk management? Nee, niet direct

denk ik. Vooral die accidenten met een aantal grote projecten hebben de aandacht sterk verhoogd. Dit had een grote impact op de corporate resultaten dus dan verhoogt die aandacht automatisch. Maar

op zich hebben wij de crisis zelf niet zo zwaar gevoeld zou ik durven zeggen. Het jaarverslag vermeldt dat er een risk management policy werd opgesteld. Wat houdt dit precies

in? Dit is sterk projectmatig gericht. Er moet bij elk project een lijst gemaakt worden van de financiële en operationele risico’s. Er moet worden nagegaan of de juiste mensen beschikbaar zijn en of we over de juiste knowhow beschikken. Er moeten ook bepaalde risicobudgetten worden voorzien. We gaan

een bepaalde prijs afgeven, maar we voorzien bv. 10% risicobudget. In de projectfase moet dat dan echt beheerd worden. Eigenlijk is het de bedoeling om dit uit te breiden naar andere items, maar die

stap hebben we nog niet echt gezet. Hoe ziet de rolverdeling eruit op vlak van risicobeheer? Zijn er risk managers aangesteld of is er een

risicodepartement? Nee, formeel zijn er rollen weggelegd voor de board en het auditcomité. Daaronder is het dan vooral bij mij en bij het operationeel management. Zij moeten in de praktijk

interne controles doorvoeren en risico’s mee beheren. De externe auditor is uiteraard ook betrokken, die kijkt daar ook naar. Als er één formele persoon zou zijn, is dat onze Secretary General. Hij maakt deel uit van het executive management. Hij is ook vertegenwoordigd op board level en is secretaris

van het auditcomité en van de board meetings. Hij is eigenlijk onze legal counsel. Als er een aanspreekpunt is voor risico, dan is dat bij hem uiteraard. Dus er is niet echt sprake van een risicocomité op management niveau? Nee, dat klopt.

CXV

Is er een rol weggelegd voor de CFO op vlak van risicobeheer? Nee niet direct. Indirect natuurlijk wel, hij is verantwoordelijk voor de budgetten. In de budgetprocedures komt dit natuurlijk wel aan bod,

maar dan zijn het wel hoofdzakelijk financiële risico’s. Als je kijkt naar de operationele risico’s, dan ligt dat eerder bij de Secretary General en zal ik daar ook naar kijken. Ik rapporteer niet aan de CFO.

Formeel rapporteer ik aan de general manager, dat is een hiërarchische lijn. Maar functioneel rapporteer ik aan het auditcomité, dit ook om de onafhankelijkheid te waarborgen van onze functie.

Dus er is geen CRO aangesteld in het bedrijf… Nee die is er niet expliciet. Als er een CRO zou komen, dan zou de Secretary General dat worden. Maar formeel is die vandaag zeker niet benoemd.

Denkt u dat dit in de toekomst zou kunnen veranderen? Ja, misschien wel maar niet per se onder die benaming. Wij zijn op dit moment sterk bezig met information security, GDPR, maar ook

databeveiliging in het algemeen. Dus daar zijn we nu wel aan het werken naar externe certificaten, omdat dat in onze sector wel vrij belangrijk is. Vooral dan certificaten vanuit ISO standpunt. Ik denk als er daar een verantwoordelijke zal zijn, zal dat ook terug de Secretary General zijn, de legal counsel.

Wat is de rol van de raad van bestuur op vlak van risicobeheer? Ik zit natuurlijk niet in de board maar

ik zie natuurlijk ook wel de verslagen. Ze hebben een eerder toezichthoudende, controlerende rol. Als ik de agenda van de raad van bestuur bekijk, zie ik geen vast agendapunt rond risicobeheer. Het zal natuurlijk wel aan bod komen, onder andere in de strategiebepaling. Daar speelt dat uiteraard wel een

belangrijke rol. Maar het is dus eerder een aspect dat zijdelings aan bod komt, niet echt formeel. Meer als onderdeel van strategische of budgetoefeningen. Expliciet zie ik dat toch niet op de agenda staan.

U vermeldde dat het auditcomité verantwoordelijk is voor risk management, er is dus geen afzonderlijk risicocomité op board level? Nee, dat is er inderdaad niet.

Is de raad van bestuur als geheel ook nog betrokken bij risk management of enkel het auditcomité afzonderlijk? Het auditcomité is daar het meest actief mee bezig. Zij komen minstens 4 keer per jaar

samen, soms zelfs tot 6 keer. Ik ben daar zelf ook aanwezig en vaak ook de externe auditor. Deze gaat in eerste instantie de financiële rapportering bekijken en de risico’s daarop bepalen. Dat is dus de taak van de externe auditor. Men luistert dan ook naar mij want ik hou ook een lijst bij van processen en

daar staat een risico-assessment op, een inkleuring van groen, geel en rood. De typische kleuren waarmee ik aangeef waar ik de meeste risico’s zie of wat uit de audits komt. Die rapportering gaat dan

naar de raad van bestuur. Los daarvan, als je kijkt naar strategische oefeningen, dan zal de raad van bestuur daar wel een aparte rol in hebben die niet op het auditcomité aan bod komt. Dus eigenlijk hebben beide wel een aparte rol in risk management.

Strategic risk management is één van de laatste nieuwe trends, waarbij bedrijven meer gaan

focussen op de strategische risico’s voor de organisatie en niet louter de operationele risico’s behandelen. Is er binnen uw bedrijf al sprake van SRM? Is er tijdens de opstelling van de strategie aandacht voor de bijhorende risico’s en onzekerheden? Wel, formeel hebben wij daar een proces

voor. Dus in de zin van dat er strategische oefeningen gebeuren. Dat zou in principe nu ongeveer moeten gebeuren, in dit kwartaal en in het volgend kwartaal. Daarna worden een aantal items eruit gelicht en die worden dan verder behandeld op strategisch niveau. Dat wordt dan vertaald in

budgetoefeningen die dan later op het jaar aan bod komen. Daar neemt het management dan de beslissingen en zij stemmen dat af met de raad van bestuur. Dat is het proces, maar ik heb niet de

indruk dat dit altijd systematisch gevolgd wordt. Ik ben op dit moment bezig met een risico-assessment doorheen de organisatie via een aantal interviews.

Wat houdt zo’n risico-assessment precies in? Dat zijn een 20-tal interviews op het management niveau. Dit vindt niet plaats bij het auditcomité of bij de raad van bestuur. Ik interview enkel managers en divisiemanagers. Hierbij worden een aantal processen geëvalueerd op vlak van probabiliteit en

CXVI

maturiteit. Dit alles wordt beoordeeld met een aantal commentaren daarbij. Eigenlijk is dit er om de risico’s te achterhalen. Je zou kunnen zeggen dat de risicobepaling vanuit de raad van bestuur of vanuit

management moet komen zodat audit zich daarop kan enten. Maar in de praktijk gebeurt dat dus zeer onregelmatig. Die oefening werd een 3-tal jaar geleden uitgevoerd en viel dan weer volledig stil. Dus

nu hebben we zelf vanuit het auditcomité het initiatief genomen om een assessment uit te voeren. Een deel daarvan gaat op het einde naar het management team en naar het auditcomité. Ten eerste om de risico’s in kaart te brengen, hoe kijkt de organisatie daar zelf tegen aan. Ten tweede ook om het

auditplan hier dan op te baseren. U ziet dus dat het eerder een initiatief is vanuit interne audit zelf, dan dat de organisatie daar zelf systematisch mee bezig is.

Dus er is wel nog werk op vlak van SRM? Ik hoorde onze CFO ook zeggen dat we dat in praktijk niet goed genoeg doen omdat strategische beslissingen aan bod komen in het budgetproces. Maar dat is

niet de goede manier van werken. We moeten beide van elkaar loskoppelen. Eerst moet men de strategie bepalen en het strategisch traject gaan uitwerken, alsook de bijhorende risico’s analyseren. Dan pas moet dit vertaald worden naar de budgetten. Als dat tijdens budgetten al ter sprake komt,

dan doorkruist dat elkaar en zijn we niet goed bezig. Dus ja, we hebben een proces, maar volgen we dat altijd? Soms wel, soms niet. Een aantal jaar terug hebben we dat wel gevolgd. Als je onze website

bekijkt, zie je dat we een nieuwe strategie aan het ontwikkelen zijn. Zo’n 3 jaar terug is daar hard aan gewerkt. Maar of we dat nu systematisch doen, nee niet echt.

Hoe verloopt de risico rapportering en informatievoorziening in het kader van risicobeheer? Op het operationeel niveau zie ik dat men tijdens de budgetoefening wel risico’s gaat detecteren. Maar dan vooral zeer sterk financieel gericht, welke risico’s of opportuniteiten zijn er om ons budget te halen.

Daar wordt dat in kaart gebracht. Maar dat is dan puur in de budgetoefening en vaak financieel gericht. Het operationele aspect zit bijna volledig bij mij. Ik voer mijn audits uit en ga dit rapporteren naar het

management team. Van daaruit gaat het dan naar het auditcomité. Daar komen dan de audits en risico-assessments aan bod. Er wordt een lijst van processen bijgehouden met een inkleuring van waar we ergens staan en wat onze grootste risico’s zijn. Over strategische risico’s heb ik nog geen

rapporteringen gezien. Het zal natuurlijk wel aan bod komen, maar eerder informeel of in het kader van besprekingen dan dat het echt systematisch wordt bijgehouden.

Worden er visuele tools gebruikt? U vermeldde al het gebruik van kleuren om risicoprofielen bij te houden… Ja inderdaad. Ik maak een overzicht van de processen, hun impact, score op probabiliteit,

maturiteit inschatten, de risk owner enz. We werken inderdaad vaak met kleuren hierbij. Er wordt ook een Excel file opgemaakt waarin alle projecten opgenomen zijn en bijhorende risico’s. Op projectmatig vlak zijn we goed bezig, op andere vlakken kan dit nog wel beter.

Worden alle risico’s gerapporteerd of is er een bepaalde beslissingsregel om vast te stellen welke

risico’s moeten gerapporteerd worden aan de hogere bedrijfsniveaus? Wel, voor het assessment ben ik nu alle processen aan het doorlopen. Klein of groot maakt niet echt uit. Uiteraard gaan we hier moeten in selecteren. Als je 20 interviews doet, krijg je zeer uiteenlopende meningen. Mensen

interpreteren het ook anders, of zien het vanuit hun eigen bril. Dus ik ga wel moeten kijken want nu gemiddeld als hoog wordt ingeschat en dat ga ik dan rapporteren. Naar het management toe zal dat beperkt blijven tot een zeer algemeen beeld waarbij ik dan de top 5 eens zal uitlichten. Als ik teveel

informatie zou voorzien, zou een groot deel daarvan toch weer verloren gaan.

Hoe frequent gebeurt de rapportering? U vermeldde al dat het auditcomité zo’n 4 tot 6 keer per jaar samenkomt? Ja inderdaad, minstens 4 keer maar meestal is dat wel meer. Daarnaast wordt er voor eventuele audits ook nog gerapporteerd naar de betrokkene uiteraard, en ook telkens naar de CEO.

De eindbespreking gebeurt telkens met de CEO erbij, dit ook om gewicht te geven aan audit en de opvolging van acties. Dat is eigenlijk wel goed, dat die ondersteuning er is van het management.

CXVII

Zijn er bepaalde variabelen waarvan u denkt dat deze een impact hebben op de manier waarop aan risk management gedaan wordt in het bedrijf? Binnen het bedrijf denk ik dat de sector zeker

meespeelt. Dan denk ik vooral aan de data privacy, databeveiliging, enz. Daarnaast denk ik dat risico’s niet alleen impact hebben op het financiële, maar ook op ons imago en op onze klanten. We willen

natuurlijk niet negatief in de krant komen. Dus imago speelt wel sterk, misschien nog meer dan het financiële risico. Zeker omdat er hier veel data beheerd wordt, ook van de overheid, universiteiten , enz. Vanuit die sector worden er ook wel meer en meer certificaten gevraagd om na te gaan of men

compliant is met dit soort zaken. Dat wordt meer en meer formeel naar een ISO 27 000 en andere standaarden. Wat nog meespeelt, is de bedrijfsgrootte en ook het bedrijfsmodel. Als je bij ons intern kijkt, dan profileren wij ons als een single source provider, dat wil eigenlijk zeggen dat we voor onze

klant alle diensten leveren op ICT gebied. Het risico daar is vooral dat je moet kunnen samenwerken binnen uw bedrijf omdat je ergens wel moet opsplitsen binnen bepaalde business units. Maar

anderzijds vereisen bepaalde aanbestedingen dan wel één algemene offerte. Dus daar speelt wel het risico van de omvang van het bedrijf en de opsplitsing in business units. Anderzijds willen we ook dat iedereen op dezelfde manier werkt, de processen moeten toch wel conform zijn met elkaar. Wat niet

altijd even makkelijk is gezien de grootte van het bedrijf. Beursnotering speelt natuurlijk ook, dit brengt een aantal verplichtingen met zich mee. Op een bedrijf als het onze weegt dat vrij zwaar door omdat

wij een relatief klein bedrijf zijn qua omzet. Dus die beursnotering brengt nogal veel verplichtingen met zich mee zoals informatie die je moet binnenshuis houden. Dat is ook weer gerelateerd met ons imago, dat we niet negatief in het nieuws willen komen.

Wordt de risk management functie regelmatig geëvalueerd? Op zich is dit ook een deeltje van mijn risk assessment. Maar formeel ligt dit bij de raad van bestuur en per delegatie dus bij het auditcomité.

Gebeurt dat echt? Nee, niet echt, formeel zou het moeten en zo staat het ook beschreven in het corporate charter, maar ik heb nog nooit meegemaakt dat men de functie formeel gaat evalueren.

Impliciet gebeurt dit wel, vanuit het auditcomité gaat men dit wel deels doen. De organen zijn er wel en worden deels gebruikt, maar een formele organisatie zoals beschreven staat wordt zelden gevolgd.

Welke impact heeft risk management op de organisatie? U vermeldde al de impact op het imago van het bedrijf, zijn er nog andere zaken waar u een duidelijk effect ziet? Dat is moeilijk te meten. Ik hoor onze CEO soms zeggen dat wij risicoavers dreigen te worden. Als onderneming moet je natuurlijk een

aantal risico’s nemen, anders doe je geen business meer. Dus als men te sterk gaat focussen op risico’s, omwille van een aantal slechtlopende projecten, dan gaat men soms de andere kant uit. Je moet

ergens de kerk in het midden houden. Wat je dus eigenlijk moet doen, en wat wij nog te weinig doen, al proberen we dat wel, is het bijhouden van een soort risicoportfolio. Daarin zie je dan hoeveel risico je aankan, wat de risico appetijt is. Het management moet dan incalculeren hoeveel risico we vandaag

hebben, met welke projecten we nu bezig zijn en hoe dat loopt. Ze moeten de financiële impact ervan nagaan alsook onderzoeken of we nog meer risico kunnen aangaan. Dat gebeurt nu deels impliciet,

maar er is nog geen echt formeel portfolio. Bent u persoonlijk tevreden over de huidige werking van risicobeheer binnen het bedrijf? Persoonlijk

denk ik dat het nog iets formeler mag. Ik vraag dit ook in mijn assessment; “als er nog zaken zijn die ik voor u kan doen, zeg het dan”. Ik overloop processen en ga met management afwegen waar onze risico’s liggen. Hier ga ik dan op focussen. Nu vraag ik dus ook expliciet aan de mensen of zij nog

bepaalde zaken anders willen zien, dan plan ik dat in. Je kan beter vanuit het management mee iets opbouwen van onderuit dan dat je top-down gaat werken. Je moet de mensen meekrijgen. Er kan dus

zeker nog meer aandacht voor komen. Zijn wij echt een top risico bedrijf? Nee dat denk ik ook niet. Als je kijkt naar omzet, is dat vrij vlak. Er zijn een aantal issues die op ons afkomen, zoals data protection en GDPR en daar zijn we dan wel mee bezig. Hebben wij echt een globaal risicomanagement? Dat kan

nog wel wat beter.

CXVIII

Worden er best practices uitgewisseld met andere bedrijven i.v.m. risk management? Nee, op vlak van audit wel, maar voor risicobeheer is dat nog niet echt het geval. Er worden wel sessies

georganiseerd rond risicobeheer door Deloitte en KPMG, dus daar vangen we wel iets op. Wat wel nog beter kan, denk ik, is vooral op strategisch niveau. Ik zie daar geen output van komen of ik zie het ook

niet doorstromen naar de rest van de organisatie. Ik denk dat dit nog te impliciet aan bod komt. Ik denk dus wel dat SRM nog beter kan. Strategische risico’s zijn zeer belangrijk, zeker ook omdat we actief zijn in een volatiele, sterk evoluerende markt. Daar moeten we natuurlijk wel op inspelen.

Hoe ziet u de risk management functie evolueren in de toekomst? Structureel denk ik dat we daar wel op vooruit gaan, zeker in het kader van GDPR en data protection. Men is meer bezig met de

uitwerking van vaste procedures en richtlijnen. Daar is nu ook een security officer voor verantwoordelijk, hij zal dit opvolgen. Wat dat betreft zijn we wel beter bezig. Maar dat is sterk

datagericht. Voor de rest denk ik dat er zeker enkele zaken zullen blijken uit de assessment. Dan hoop ik maar dat men dit ook zal aanpakken binnen de organisatie. Op dit moment is er vooral een gebrek aan systematische en regelmatige processen binnen de organisatie op vlak van risicobeheer. Alles

gebeurt nog te impliciet en naar aanleiding van bepaalde gebeurtenissen.

CXIX

Appendix 21: Company characteristics

Company/

Characteristics

Firm Size (annual revenue and #

of employees)

Industry Complexity

(# of BUs and geographic scope) Ownership Type Board Characteristics

Telenet

- €2.43 billion - ± 3300 empl.

telecommunications - 3 BUs: private, B2B sales & role sale function (other org. using Telenet’s network)

- geo.: BEL (+ LUX)

- publicly traded on BEL20 - Liberty Global: 56.54% of shares - public: 33.29%

- remainder: employees & other investors

- 10 members: CEO + 9 non-executive - 3 independent - large influence of the majority

shareholder, Liberty Global

Colruyt

- €9.18 billion

- 29 683 empl.

retail & wholesale - active in different sectors (food

and non-food) - geo.: BEL + NLD + LUX + FRA

- publicly traded on BEL20

- Colruyt family: 51.88% of shares - remainder: held by the free float

- 9 members (6 family members)

- 2 executive, 7 non-executive - 2 independent

Proximus

- €5.87 billion - ± 14 000 empl.

telecommunications - 3 operational segments: consumer, enterprise and

wholesale - geo.: BEL (+ NLD + LUX)

- publicly traded on BEL20 - Belgian state: 53.5% + 1 share

- remainder: company itself, retail investors & internat. institutional shareholders

- 14 members - 7 appointed by the Belgian State

- 7 independent

Raffinerie

Tirlemontoise

- €530 million - ± 600 people

sugar production - 4 BUs: sugar, Orafti, Surafti and PPE - geo.: active worldwide

- private - 100% controlled by the German food concern Südzucker

- 9 members: delegates of parent company Südzucker

Brussels Airport

Company

- €497 million - directly: 780 empl.

- indirectly: 60 000 empl.

airport - 2 key segments: air transportation (80%) and real

estate (20%)

- Belgian State (25%) - private investors (75%)

- 11 members - CEO, chairman, 6 members designated by

private investors and 3 appointed by the Belgian State

Ardo - €868 million - ± 3800 empl.

frozen food - functional structure, no separate BUs

- private - family owned

- 10 members - 7 family members + 3 independent

Company A - > €2.5 billion - > 10 000 empl.

digital imaging & information technology

- 3 BUs with own strategy, markets and customers - geo.: 7 countries

- publicly traded - internat. institutions and mutual funds

- 7 members - 4 independent

Company B

- > €230 million - ± 1000 empl.

information technology - 3 key divisions - geo.: BEL + NLD + LUX

- publicly traded - public investors (> 50%)

- large Belgian company (14%) - remainder: institutional shareholders

- 8 members - 7 non-executive + executive chairman

- 5 independent

CXX

Appendix 22: RQ1 and RQ2 - Risk oversight structure and SRM

Company/ Topics

RM Department Risk Role of the Ex. Level Risk Responsibility in the ExCo Risk Role of the BoD Board Level Risk

Committee SRM

Telenet

- decentralised: ownership is spread across different functional areas - RM department: central oversight

function (12 members): overview & alignment - “Make sure that different risk areas speak the same language”

- indicate risk owners, recommend actions - consider a consolidation with the

compliance department

- receive reporting - risk manager: wants more support from the top

- no CRO appointed in the ExCo - CFO: final resp. for RM - CRO would help to increase

the attention to RM from the top: “as member of the ExCo, he would have a greater participation and draw more

attention to RM”

- verify management’s actions - receive reporting - determine the risk appetite

and profile

- no separate risk committee: “over-ambitious for the

company” - role fulfilled by the AC: assists and advises the board on RM + annual

review of RM systems and procedures - final resp. remains with

the board as a whole

- no formal system - ERM exercise to respond to the external demand for more

attention to strategic risks - ExCo & board prefer a “light approach”

Colruyt

- decentralised: every domain has to identify and manage its own risks - assistance from the RM team:

corporate function (7 members) - combined with internal audit

- members of the ExCo are actively dealing with RM - CEO is the trigger for the risk

programme - develop the risk approach in collaboration with the RM

team

- no CRO appointed in the ExCo - corporate risk manager can be regarded as the firm’s CRO

- no need for a CRO because of the high level of support from the top

- board places great importance on RM - wanted to increase the

professionality of RM - appointed a risk manager and asked for a risk

programme - involved in the risk approach

- no separate risk committee: would overlap with audit committee

- AC: financial risks - board as a whole: strategic risks

- Coris programme is based on the strategy - risks are identified in the context

of the strategy - strategic risks as category in risk universe

Proximus

- RM department combined with internal audit

- determine the firm’s risk appetite

- oversee the key risks - discuss the risk approach in accordance with the strategy

- no CRO appointed in the ExCo - RM and Compliance

Committee: CCAO, CFO and CSO - director of ARC can be regarded as the firm’s CRO: just

below the executive level - no need for a CRO because of the direct reporting line to the

ExCo

- “RM is very important for the board”

- fully aware of the risks - assess the effectiveness of RM

- no separate risk committee: benefits

would not outweigh the costs - role fulfilled by the AC

and compliance committee: assists and advises the board

- ERM framework to respond to risks that could affect the strategy

- ”SRM is the nr.1 priority of this org.” - “Risk assessment and evaluation

takes place as an integral part of the annual strategic planning cycle”.

- survey to identify strategic risks

Raffinerie

Tirlemontoise

- decentralised: different plants identify their own risks - director of the legal department is

the final responsible for RM - no RM department - RM is group function: controlled

by parent company, Südzucker

- director of legal department gathers and analyses risk information

- “The strategy, guidelines and procedures for RM are now completely determined by our

parent company”

- no CRO appointed in the ExCo - final responsible: director legal department

- no need for CRO because RM is controlled by the group - the group has a separate risk

committee

- limited role - board members are representatives of the

Südzucker - board: RM is very important

- no separate risk committee - role fulfilled by

Südzucker’s board: separate risk committee - no AC

- “In my view ERM is a hot topic” - “RM has evolved from pure operational … to the assessment

of risks of investments, new products etc.” - increasing attention to strategic

risks - no risk register or formal SRM

CXXI

Company/ Topics

RM Department Risk Role of the Ex. Level Risk Responsibility in the ExCo Risk Role of the BoD Board Level Risk

Committee SRM

Brussels

Airport

- RM department: corporate risk

manager - monitor the risks that transcend the departments

- combined with insurance management

- CEO created the RM

department - “Everything stands or falls with the directorate”

- proposals on the firm’s risk approach and its risk appetite

- no CRO appointed in the ExCo

- “You could say that our CEO is the CRO” - CEO delegated RM to CFO and

he delegated it to the risk manager - no need for a CRO

- “The impact of the board is

extremely limited” - “completely pointless element”

- receive reporting - give approval

- no separate risk

committee - role fulfilled by the AC - AC: only receives

reporting

- focus on strategic risks

-‘Strategic Vision 2040’: risks associated with this plan have been identified

Ardo

- no separate risk department or

elaborated risk approach: “That would be too formal for our company”

- risks are implicitly considered as part of the business operations - every department has to assess

and manage its own risks - some internal habits and procedures to guide decision-

makers in RM

- receive reporting

- being aware of the key risks - take risks into account when determining the strategy,

investments and budgets - decide on contract terms and mitigating actions

- no CRO appointed in the ExCo

- no risk committee, the ExCo as a whole is responsible for the firm’s risks

- overlap with the executive

level because of the close family ties - has to come to agreements

with the ExCo on risk strategies

- no risk committee

- no AC - board as a whole responsible for RM

- “No, every department has to

determine its own risks. This is not directly established based on the strategy of the firm”

- no SRM - key risks are only implicitly related to the business strategy

Company A

- corporate risk manager is part of the company’s small corporate management team

- risk manager: responsible for RM and insurance management

- RM was imposed by the ExCo and the board - most active role in the firm’s

RM - identifies and assesses risks

- no CRO appointed in the ExCo - CFO: the final resp. for RM - different executive

committees responsible for quality, security, business continuity etc.: they all deal

with risks in their own area - no need for a CRO because of high level of support from the

top and direct reporting lines

- a lot of support for RM - “coach”, “partner” - a very active role in the firm,

also in the context of RM - initial demand for RM came from the board

- determine risk appetite - evaluate RM function

- risk committee and AC merged into one committee: AC: internal

audit and RM works together (“good and bad”)

- board develops strategy in close collaboration with RM function - “A risk manager has to support

the global strategy of the company” - still room for improvement

Company B

- no independent RM department - RM is a responsibility of the internal auditor and the operational

management

- final resp. for RM rests with the ExCo and the board

- no CRO appointed in the ExCo - no risk committee in the ExCo - CFO: indirectly involved in RM

- limited role in RM - rather “supervisory, controlling”

- supervision of internal control and risk framework - determine risk appetite

- AC: oversee the RM process and advise the board + risk assessment

- the secretary general can be seen as “the point of contact for RM”

- limited attention to risks during the strategy process - still a lot of room for

improvement

CXXII

Appendix 23: RQ3 - Internal risk reporting and provision of information

Company/Topics Reporting Line Frequency and Timing Content Use of Visual Tools

Telenet

- RM department → CFO (ExCo) - RM department → AC → board

- reporting to the AC on a quarterly basis - reporting to CFO happens just

occasionally: “The CFO is just part of the standard reporting lines”.

- towards AC: written reports, presentations and financial reports

- centrally managed data warehouse and repository with information on internal controls and actions: monthly

follow-up

- risk and control matrix for every risk area: too detailed to report

- risk map per area: maturity level, evolution over time, date of last audit - risk scorecard per risk: risk owner, initial

# of issues, evolution etc.

Colruyt

- RM team → CEO (= chairman of the board) & COO & CFO (ExCo) - RM team → AC → board

- on a quarterly basis - operational units: annual review of risk score and every six months a follow-up

- results of the Coris programme - key risks - for each domain: risks, risk

categories, risk scores and their evolution over time

- risk matrices: risk score based on impact and likelihood - risk universe: categorization of the risks

- “push the button to see the risks”

Proximus

- Director of ARC → CCAO (ExCo)

- Director of ARC → AC → board - RM committee → CCAO (ExCo) - RM committee → AC → board

- weekly meetings

- a lot of face-to-face interaction between director ARC and ExCo - director ARC attends quarterly AC

- key risks and associated information - risk scorecards: probability, impact,

velocity, BU level, mitigating actions, KRIs, early warnings and risk owner - wants to increase the use of scorecards

Raffinerie

Tirlemontoise

- plant managers → safety and environmental coordinator

→ director of legal department → CEO (→ German director of legal department Südzucker) - CEO + RM department Südzucker → board of R.T.

- dir. of legal dep. attends board meetings as secretary

- reporting from the director of the legal

department: especially operational risks from the plants - strategic risks are discussed during the

executive board meetings

- reporting towards CEO: 2/3 times a

month (mainly through personal communication) - reporting towards the board of R.T.:

on a quarterly basis

- aware of the existence

- do not use them

Brussels Airport

- risk manager → CFO & CEO (ExCo) → AC → board - risk manager → treasury - risk manager attends part of the AC

- risk manager reports on a quarterly basis to ExCo and AC

- top 10/top 20 risks to CEO and CFO: content remains quite stable over time - weakness: strive for general

consensus on the reported risks

- internal risk register - colour codes, risk scorecards - risk is measured on likelihood and

impact: both the inherent risk and the managed risk

Ardo - “We do not really make use of formal reporting systems” - every division reports to the ExCo

- ExCo reports the key risks to the board

- informal information sharing and transparency between executive level and

board level because of the close family ties

N/A N/A

Company A

- risk manager → CEO & CFO (ExCo) - “the corporate risk manager is an independent function with easy access to the top”

- AC → board - risk manager: stand-by at board meetings

- informal information exchange - open and accessible culture - very frequent reporting

- risk manager: stand-by at board meetings - AC quarterly reports to the board

N/A - only used in discussions in the executive committees - room for improvement

Company B - internal auditor → general manager

- internal auditor → AC → board - secretary general is informed

- on a quarterly basis - key risks

- not too much information

- colours for maturity levels & risk profiles

- overview: processes + risk profile, impact, probability, risk owner etc.

CXXIII

Appendix 24: RQ4 - Determinants

Company/ Det. Firm Size Type of Industry Complexity Ownership Type Board Charcs. Other Determinants

Telenet

- separate RM

department

- telecommunications: data security

is very important - new EU law: GDPR

N/A - Corp. Gov. Code → establishment

of AC - Large influence of Liberty Global (majority shareholder): has to

comply with the SOX (US): risk control framework + increased risk awareness

N/A - not enough support from the top: RM needs

more resources

Colruyt

- large company →

most advanced ERM programme

- no influence of the industry on the

RM system: “the basic steps of the process always remain the same, regardless of the sector” + sharing

best practices - impact of the type of risks - roles and responsibilities depend on the type of organisation

- complexity of

the group (diversification and

globalisation) → increased attention to RM

- family business → “When it is your

own money … you will deal more carefully with risks” + “a certain risk aversion”

- no impact of the Corp. Gov. Code: “compliance is not our driving force to install certain things”

N/A - increased attention to RM at the request of the

chairman of the board - “One of the most important key success factors that determine whether your programme stands or

falls, is the overall support, assistance, belief and mindset of the top”, “condition sine qua non” - support of the top → no CRO needed - other success factor: “personal involvement on

the field” - “the entire approach depends on the support from the top, the company culture …”

Proximus

N/A - share best practices with other Belgian companies, benchmarking - telecommunications: attention to data privacy and security

- new EU law: GDPR

N/A - “According to me, there is a large difference between companies listed on the BEL20 and other companies”

- Corp. Gov. Code → redevelop systems - Belgian State: no influence

N/A - growing importance of ERM → redevelop risk systems - board: RM is very important

Raffinerie

Tirlemontoise

- not really an influence on RM

- company has to comply with regulations - new legal obligations relating to the environment and security

- “IT security has become a hot topic” - food safety is a key risk →

department of quality gets bigger - sharing best practices to strengthen the company

- “The more BUs, the larger the exposure to risks”

- impact on number of risks, structure of RM

remains the same

- large influence of Südzucker: “The strategy, guidelines and procedures for RM are now completely determined by our parent

company” → integration → synergies - Südzucker controls the company’s

RM → no CRO needed

- delegates of Südzucker

- massive explosion in sugar factory → start of RM - support of the top (Südzucker) for RM: “We have a good and correct system which is supported by the management” + “leadership by example is very

important” - German Corp. Gov. Code → RM requirements for Südzucker

- limited impact of terrorism

CXXIV

Company/ Det. Firm Size Type of Industry Complexity Ownership Type Board Charcs. Other Determinants

Brussels Airport

N/A - company has to comply with Belgian and European regulations

- “Risks are varying depending on the industry” - “RM approach depends on the

impact on your business processes” + “Your business processes determine on which risks you will

focus” - data security is important

N/A - private company, but it also has to comply with multiple regulations:

AC is obliged - “Everything is independent of the shareholding”

- “The Belgian State is not actively managing the company, they do not intervene”

- “Anglo-Saxon shareholders are very sensitive for certificates”

- Belgian State has a right of

veto and appoints the chairman of

the board

- corporate culture: determines whether people work safely + determines whether risks are being

identified - “culture and ownership are the key words”: the company has to be in touch with RM and

responsibilities need to be delegated - compliance is often the incentive to do things - impact of terrorism

- bond issue → RM is very important for the company’s creditworthiness

Ardo

- substantial size; however no formal

RM systems, but own rules & procedures to cover

risks

- sector allows the company to cover risks in a natural way: spread

activities across different markets - “Food sector is a quite stable industry”

- activities are geographically

spread: natural way of covering risks

- “Whether or not your company is publicly traded, every company

faces a wide range of risks and uncertainties” - family business: “All shareholders

know the company and everything is being discussed in an informal way” + no formal reporting systems

- family members

- impact of the ever-changing world

Company A

N/A - plenty of rules and regulations

- data security and privacy are very important - new EU law: GDPR

- no fundamental differences with other sectors - sharing best practices

- activities are

spread across the world → weakens the

different risks

- no significant influence of the

stock notation - “anonymous organisation”: different corporate culture

compared to family businesses

N/A - rector of the KU Leuven: trigger for RM

- RM is strongly supported by the top → no need for a CRO - influence of the reorientation of activities →

increased awareness for RM - influence of the geopolitical situation, the ever-changing world

- the crisis → a lot of instability - “If a certain person disappears, the structure will not necessarily remain the same”

Company B

- smaller company:

less developed RM systems - small company:

larger influence of regulations related to the stock

exchange listing

- data security and privacy

- new EU law: GDPR

N/A - publicly listed company →

compliance with regulations: AC is obliged

N/A - attention to RM since the merger

- loss-making projects underlined the need for more efficient risk assessments - crisis: no significant impact

- board: controlling role, no real support for RM - interviewee: support of the top is important to carry people with you

CXXV

Appendix 25: RQ4 – Summary table

Company/ Determinants

Firm Size Type of Industry Level of Regulation Complexity Ownership Type Board

Characteristics Support from the

Top Disruptive Global

Events

Telenet

Colruyt

Proximus

Raffinerie

Tirlemontoise

Brussels Airport

Ardo

Company A

Company B

LEGEND

Strong impact

Moderate impact

No impact

CXXVI

Appendix 26: RQ5 - Consequences of risk oversight

Company/Topics Impact on the Company’s Results Impact on the Company’s Risk Culture

Telenet

- new systems and practices have a positive influence on the operational

results: e.g. detection of revenue leakage - benefits primarily occur during the first years of implementation - impact on the results is often invisible because of RM’s preventive

character

- change in minds of the people: increased awareness for RM

- they understand that formal structures & systems are necessary

Colruyt - added value for the company: positive impact on the operations

- no measurement of the exact impact on the results

- increased internal awareness for RM

- no increase in risk aversion

Proximus - positive influence of controlled risk-taking on the return for shareholders - a lot of synergies from the merger of RM and internal audit

- growing awareness for ERM over the years: “Solely focusing on operational risks does not suffice”

Raffinerie

Tirlemontoise

- no notion of the added value of RM for the company - “difficult exercise” - less internal accidents so they assume it has a positive influence

- awareness campaign - significant impact on risk culture - more risk averse

Brussels Airport

- RM is important for the firm’s credit rating (bond trading) - “Actually, the impact of the attacks was not that big, since a substantial

part of it was covered in advance” (of course the human consequences were a lot worse) - report credit rating agency mentions the firm’s resilience or flexibility

- substantial increase in the awareness for RM - “Colleagues are more likely to come to me and they appreciate my

contribution” - more resources are allocated to RM

Ardo - company uses a natural way of reducing its risks: spreading activities

across different countries and different type of vegetables and fruit - no formal RM system/structure → no impact on the results

N/A

Company A - mature level of RM

- a step ahead of new regulations → cost savings - everyone is aware of the importance of RM - disadvantage of their early lead: very traditional systems

Company B - difficult to measure

- sometimes the opposite effect: increase in risk aversion - possible solution: development of a risk portfolio

CXXVII