ERM

Implementing Enterprise Risk Management

admin

Editors: Fraser; Simkins en Narvaez

Dit 650 blz tellend boek heeft de bedoeling een leerboek / oefeningenboek te zijn, dat mijn inziens gebruikt kan worden in een bachelorprogramma voor Enterprise Risk Management. Het is opgebouwd uit 35 hoofdstukken, eigenlijk 35 verhalen, waarvan elk afgerond wordt met een vragenlijst als leidraad voor een bespreking door een team studenten. Het wordt begeleid door een ander boek, nl. “Enterprise Risk Management – today’s leading research and best practices for tomorrow’s executives”. Dit laatste is het bijhorende theorieboek.

Betekent dit dat je eerst het theorieboek moet gelezen hebben? Niet als je reeds een goede basiskennis ERM hebt volgens mij.

Volgende zaken uit dit boek zijn me als smaakmakers het meest bijgebleven:

  • Het PAPA model van LEGO: Park, Adapt, Prepare en Act. Hierbij heeft men de bedoeling om de overkoepelende strategische respons te bepalen op basis van hoe snel dingen in een scenario veranderen tav de kans dat een scenario optreedt.
  • De bepaling van de Risk Appetite adhv 7 vragen, nl
  1. Hoeveel risico denken we dat we nu nemen? (Risk perception)
  2. Hoeveel risico nemen we feitelijk? Welk bewijsmateriaal hebben we daarbij? (Risk exposure)
  3. Hoeveel risico nemen we gewoonlijk graag? Als dit minder is dan onder punt 1. Dan voelen we ons niet comfortabel. (Risk propensity / culture)
  4. Hoeveel risico kunnen we aan / veilig nemen? (Risk capacity) Dit moet groter zijn dan onder de punten 1., 2. en 3.
  5. Hoeveel risico denken we dat we zouden moeten nemen? (Risk attitude)
  6. Hoeveel risico willen we feitelijk nemen? (Risk appetite)
  7. Hoe kunnen we maatregelen en limieten zetten binnen de processen, producten en business onderdelen om er zeker van te zijn dat onze totale risk appetite niet wordt overschreden? (Risk limits)
  • Wat UW (University of Washington) over zijn ERM Model besliste:
  1. Assess de risico’s in de context van de strategische objectieven, en identificeer de interrelatie van risicofactoren over heel het instituut, niet enkel per uitgeoefende functie.
  2. Behandel alle types van risico’s: compliance, financieel, operationeel, en strategisch.
  3. Kweek een algemene awareness dat aan individuen toestaat hun aandacht te focussen op risico’s met een strategische impact.
  4. Verbeter en versterk de cultuur van UW van compliance, en bescherm tegelijk de decentrale, samenwerkende entrepreneurs-geaardheid van het instituut.
  • ‘Three lines of defence’ van de TD Bank: 1) de business en de aansprakelijken, 2) het uitzetten van standaarden en het uitdagen van business om hun governance te verbeteren, alsook hun risico’s en controlegroepen hun verantwoordelijkheden en aansprakelijkheden, en 3) een onafhankelijke interne audit.
  • De ERM-objectieven van Zurich Insurance Group:
  1. Bescherm het basiskapitaal, zodat de risico’s die genomen worden niet boven de risico-tolerantie uitstijgen.
  2. Verbeteren van de waarde creatie en bijdragen tot een optimaal risk/return profiel.
  3. Ondersteunen van beslissingnemers met consistente, tijdige, correcte informatie over de risico’s.
  4. Beschermen van de reputatie en de brand door een gezonde cultuur van risico awareness en een gedisciplineerde en geïnformeerde risiconame.

 

Dit is slechts een kleine greep uit de waardevolle voorbeelden die het boek ten toon spreidt.

Practical Enterprise Risk Management

admin

Auteur: Gregory H. Duckert

Het boek bouwt logisch op vanuit corporate governance, en duidt daarin een aantal tekortkomingen, voornamelijk systeem implementatie. Daarna begint het feitelijke verhaal van risico en ERM. De ateur vloekt daarin tegen alles wat subjectieve inschattingen zijn van kans en impact en de bijhorende conclusies. Hij zweert bij koude feiten en data. Zo komt hij er toe dat risico assessment moet draaien rond de bedrijfsvoering. Risicomanagement is daarin een niet te missen tool. Na een overzicht van types van risico’s toont hij ons hoe we risico’s objectief moeten waarnemen. Hij spreekt daarbij over een data-gecenterd model waarbij het mogelijk is om de vinger aan de pols te houden op basis van alle data in het bedrijf, en om bench-marks te doen t.a.v. je eigen bedrijf. Door een invoeren van het begrip KRI (key risk indicatoren) i.p.v. KPI (key performance indicatoren) gekoppeld aan outcomes van de processen ipv de output en met een aantal analysetechnieken zoals trends, ratio’s, thresholds etc is het mogelijk om historische data op te bouwen en triggers te vinden waardoor er dingen mislopen d.m.v. root-cause analysis. Daarop kunnen dan maatregelen gedefinieerd en geïmplementeerd worden.

Daarnaast is het mogelijk om deze gegevens in handige tools te gieten, waardoor het gegeven netjes presenteert op vergaderingen doorheen de organisatie, de juiste KRI’s op het juiste niveau. Daarmee reikt hij een handvat naar hoe je risicomanagement kan brengen op de directieraad, of bij de board of directors.

Als voorlaatste hoofdstuk bespreekt de auteur het verschijnsel outsourcing en een select aantal risico’s daarvan in de verschillende stadia daarvan. Daarmee is het niet verwonderlijk dat hij bijv. de outsourcing van IT een foute zaak vindt, IT is volgens hem wel een core business van het bedrijf omdat alles ervan afhankelijk is.

De auteur besluit het boek met het eigenaarschap van ERM. Daarbij is het essentieel om weten dat iedereen zijn steentje bijdraagt. Iedereen heeft er wel op een of andere manier een rol in te spelen.