Enterprise Risk Management (ERM)
Wat is Enterprise Risk Management (ERM)?
Enterprise Risk Management (ERM) is een op plannen gebaseerde bedrijfsstrategie die tot doel heeft gevaren, gevaren en andere potentiële rampen – zowel fysiek als figuurlijk – die de activiteiten en doelstellingen van een organisatie kunnen verstoren, te identificeren, in te schatten en erop voor te bereiden.
De discipline roept bedrijven niet alleen op om alle risico’s waarmee ze worden geconfronteerd in kaart te brengen en om te beslissen welke risico’s ze actief beheren, maar het houdt ook in dat het actieplan beschikbaar wordt gesteld aan alle belanghebbenden, aandeelhouders en potentiële investeerders, als onderdeel van hun jaarverslagen. Industrieën zo uiteenlopend als luchtvaart, bouw, volksgezondheid, internationale ontwikkeling, energie, financiën en verzekeringen maken allemaal gebruik van ERM.
Bedrijven beheersen al jaren risico’s. Historisch gezien hebben ze dit gedaan door verzekeringen te kopen: eigendomsverzekering voor letterlijke, schadelijke verliezen als gevolg van branden, diefstallen en natuurrampen; en aansprakelijkheidsverzekering en wanpraktijkenverzekering om rechtszaken en claims van schade, verlies of letsel af te handelen. Maar een ander belangrijk element in ERM is een bedrijfsrisico – dat wil zeggen obstakels die verband houden met technologie (met name technologische storingen), toeleveringsketens van bedrijven en uitbreiding – en de kosten en financiering daarvan.
Meer recentelijk hebben bedrijven dergelijke risico’s via de kapitaalmarkten beheerd met afgeleide instrumenten die hen helpen de ups en downs van moment-tot-moment-bewegingen in valuta’s, rentetarieven, grondstoffenprijzen en aandelen te beheersen. Vanuit wiskundig oogpunt waren al deze risico’s of “blootstellingen” redelijk eenvoudig te meten, met resulterende winsten en verliezen die rechtstreeks naar de bottom line gingen.
Belangrijkste leerpunten
- De bedrijfsstrategie voor ondernemingsrisicobeheer identificeert en bereidt zich voor op gevaren met de activiteiten en doelstellingen van een bedrijf.
- ERM is een nieuwe en evoluerende managementdiscipline die samen met het bedrijfs- en regelgevingslandschap van het afgelopen decennium is veranderd.
- Wat “beste praktijken” in ERM zijn, moet nog worden gedefinieerd.
- ERM-vriendelijke bedrijven zijn te vinden door speciale ERM-websites te doorzoeken.
Inzicht in Enterprise Risk Management
Moderne bedrijven worden echter geconfronteerd met een veel diversere verzameling obstakels en potentiële gevaren. Hoe bedrijven omgaan met de risico’s die eenvoudige metingen of een raamwerk voor management trotseren, valt ook onder de paraplu van ERM. Dit potentieel voor blootstelling omvat cruciale risico’s zoals reputatie, dagelijkse operationele procedures, juridisch en personeelsbeheer, financieel, het risico van falen van interne controlesystemen met betrekking tot de Sarbanes-Oxley Act van 2002 (SOX), en in het algemeen bestuur.
Projectmanagers en andere professionals die met ERM werken, richten zich op het beoordelen van de risico’s die relevant zijn voor hun bedrijven of bedrijfstakken, het prioriteren van die risico’s en het nemen van weloverwogen beslissingen over hoe ermee om te gaan. De risicobeheerplannen die ze opstellen, maken een schatting van de impact van verschillende rampen en schetsen mogelijke reacties als een van deze rampen zich voordoet. De Environmental Protection Agency (EPA) vereist bijvoorbeeld dat faciliteiten die met extreem gevaarlijke stoffen te maken hebben, risicobeheerplannen ontwikkelen om aan te pakken wat ze doen om het gevaar te verminderen en wat ze zullen doen als zich een ongeval voordoet.
Naast just-in-case-plannen en -producten, zoals een lijst van alternatieve leveranciers of een verzekeringspolis, passen bedrijven die hun risico’s met succes beheren ook routinepraktijken toe om de potentiële gevaren die ze hebben geïdentificeerd te beheersen. In veel gevallen worden nieuwe functies gecreëerd, zoals risicomanagers voor ondernemingen, of worden nieuwe afdelingen ontwikkeld om risicobeheer te integreren in de dagelijkse activiteiten, inclusief onderhoud van apparatuur en teams voor kwaliteitscontrole of verzekering.
Voordelen van ERM
Bij het creëren van ERM-initiatieven moeten bedrijven zich niet alleen richten op de keerzijde van risico’s, maar ook op het positieve. De traditionele benadering was om ons te concentreren op negatieven – bijvoorbeeld de verliezen als gevolg van valuta- of rentetransacties op financiële markten, of financiële verliezen die zouden kunnen worden veroorzaakt door een verstoring in een toeleveringsketen of een cyberaanval die de informatietechnologie van een bedrijf schaadt.
Bij het denken over de positieve kanten worden bedrijven nu verondersteld rekening te houden met concurrentiekansen en strategische voordelen die kunnen voortvloeien uit het behendige risicobeheer. Sommige van deze “betere beslissingen” hebben betrekking op zaken als waar u een fabriek of kantoor in het buitenland kunt vinden op basis van een risicoanalyse die de politieke omgeving in een land zou onderzoeken.
Het “voordeel” omvat ook het focussen op preventieve maatregelen die een bedrijf helpen mogelijke rampen op de weg te vermijden. Sommige van deze acties omvatten bijvoorbeeld het bepalen wanneer en hoe fysieke activa moeten worden onderhouden en vervangen.
Op deze manier kan het bedrijf onverwachte en kostbare defecten aan fabrieken en apparatuur vermijden die kunnen leiden tot stillegging, explosies of andere gebeurtenissen die de werknemers, gemeenschappen en het publieke profiel van een bedrijf in gevaar brengen. In het besef dat hun belangrijkste en meest waardevolle bezit hun imago is, werken sommige bedrijven proactief bij het omgaan met door de mens veroorzaakte of natuurrampen.
Omdat het een nieuwe managementdiscipline is, evolueren de “best practices” van ERM nog steeds.
ERM en investeren
Bestuderen hoe bedrijven omgaan met het ongelooflijk diverse aantal risico’s waarmee ze worden geconfronteerd, kan een uiterst belangrijke rol spelen bij de besluitvorming over investeringen. Kennis van individuele “risicoprofielen” van bedrijven kan investeerders ertoe aanzetten om opkomende bedrijven te identificeren en te investeren in het vertrouwen dat ze kunnen voldoen aan de bedrijfsdoelstellingen en de verwachtingen van investeerders (niet alleen in goede maar ook in slechte tijden).
Het kan ook helpen om beter te begrijpen welke bedrijven u via een nieuwe fabriek of kantoor in uw gemeenschap kunnen toelaten, in de overtuiging dat ze al het mogelijke zouden doen om milieuschade te voorkomen en werknemers goed te behandelen.
Tot nu toe, met name in de VS, heeft de overgrote meerderheid van de bedrijven zeer weinig informatie over hun algemene risicoprofielen beschikbaar gesteld aan belanghebbenden. Bedrijven in veel andere geïndustrialiseerde landen, zoals Canada, het VK en Australië, zijn veel opener over risico- en ERM-activiteiten.
De situatie staat echter op het punt te veranderen nu de ratingbureaus rekening gaan houden met het vermogen van een bedrijf om ERM te beheren. Stakeholders zullen beginnen te zien dat er een overvloed aan nieuwe risicogerelateerde gegevens en informatie voor hen beschikbaar is. Dit verhaal over risicobeheer zal de komende tien jaar waarschijnlijk sterk toenemen.
Een goede indicatie dat een bedrijf bij effectieve ERM werkt, is de aanwezigheid van een Chief Risk Officer (CRO) of manager die is aangewezen om de ERM-inspanningen te coördineren.
ERM-vriendelijke bedrijven vinden
Het is een moeilijke taak voor investeerders om erachter te komen welke bedrijven eraan werken om risico’s vanuit een ondernemingsbreed perspectief te beheren – en het is nog moeilijker om te ontdekken wie dit effectief doet. Veel bestuursleden van bedrijven begrijpen ERM niet, omdat ze denken dat het gewoon weer een potentieel kostbare, moeilijk te meten regelgevingsfiat van Washington is.
Vele anderen zijn van mening dat effectieve ERM kan worden bereikt door simpelweg hun SOX-gerelateerde rapportage- en controleactiviteiten uit te breiden, wat niet het geval is.
Momenteel wordt het branche door branche afgebakend, maar weinig of geen bedrijven promoten zichzelf als “de beste van het beste” op het gebied van ERM of risicobeheer. Dus hoe weet u wie er hard werkt aan effectieve ERM? Een manier is om het executive rooster voor een chief risk officer (CRO) te controleren.
Hoewel CRO’s het vaakst worden aangetroffen in de energie, bank- en verzekeringssector, gaan ook agressievere productiebedrijven in die richting. Een andere aanwijzing is te vinden in een klein aantal bedrijven met managers die specifiek verantwoordelijk zijn voor het coördineren van hun ERM-inspanningen. Deze managers zullen de woorden “ondernemingsrisico” in hun titel hebben. Intensief extra speurwerk van beleggers kan waardevolle dividenden opleveren.
Door simpelweg online naar “enterprise risk management” te zoeken, krijgen investeerders toegang tot talrijke recente conferentieagenda’s over dit onderwerp. Investeerders moeten er dan rekening mee houden welke bedrijven leidinggevenden hebben die lezingen geven over ERM. Bekijk ook de websites van de weinige verenigingen die zich bezighouden met het promoten van ERM, zoals de Risk & Insurance Management Society in New York of het Committee of Chief Risk Officers.
De Conference Board in New York heeft ook een speciale praktijk om bedrijven en hun ERM-inspanningen te onderzoeken, en de National Association of Corporate Directors heeft een ietwat gedateerd maar onschatbaar Blue Ribbon-rapport opgesteld over hoe de leden van de raad van bestuur over risico’s denken – en hoe dat moet veranderen.
Speciale overwegingen
Als een waarschuwing: het feit dat een bedrijf een CRO heeft – of opschept over wat het doet in ERM – betekent niet dat u het op zijn woord moet geloven. U moet dieper kijken en uitvoerige vragen stellen aan investor relations executives.
Jarenlang heeft de banksector er prat op gegaan te beschikken over de beste risicobeheer- en ERM-programma’s in elke sector. Dat alles kon echter de kredietcrisis en de ineenstorting van de hypotheekleningen in 2007 niet voorkomen.
Voorbeeld van Enterprise Risk Management
Een van de meest modelverhalen over reputatierisicobeheer in de geschiedenis van het bedrijf betreft Johnson & Johnson. De farmaceutische gigant vond zijn reputatie en zijn aandelenkoers ernstig gekneusd in 1982 na onthullingen dat iemand had geknoeid met flessen van zijn pijnstiller Tylenol en deze had vergiftigd, met verschillende doden tot gevolg.
Het bedrijf reageerde snel, verwijderde en verving zijn producten in winkels, werkte volledig samen met wetshandhavingsinstanties en hield de media (en dus het publiek) overal op de hoogte. Het doortastende optreden en de eerlijke open communicatie tijdens de crisis hielpen binnen enkele maanden bij het herstel van de aandelenwaarde.
Van 2006 tot 2008 is het recente streven naar bedrijven om te bewijzen dat ze ” groen gaan “, in de hoop dat agressief milieurisicobeheer hun producten, fabrieken, toeleveringsketen en andere activiteiten positief zal positioneren bij huidige en toekomstige klanten.