Elke bouwer en schepper van vorm en leven kijkt uit naar de solide grond, naar de rots waarop hij kan bouwen, Franz Marc (1880-1916).
4.1. Introductie
In dit hoofdstuk staat de compositie van het theoretisch model met betrekking tot de beheersing van reputatierisico‟s centraal. Allereerst wordt er een introductie gegeven over risicomanagement en verschillende risicomanagement systemen. Na de selectie van het in deze masterthesis te gebruiken risicomanagement systeem, wordt er in paragraaf 4.3 dieper ingegaan op het communicatie-element binnen het risicomanagement systeem. Dit met als doel stakeholders bij het proces van reputatierisico beheersing te betrekken. Tot slot wordt, in combinatie met de bij de beantwoording van deelvraag 3 geïdentificeerde handvatten van reputatierisico beheersing, een theoretisch model samengesteld voor de beheersing van reputatierisico‟s. Dit model dient als basis bij de analyse van de drie geselecteerde casestudies.
4.2. Risicomanagement
In deze paragraaf wordt een introductie gegeven op risicomanagement, waarbij allereerst een definitie van risicomanagement wordt gegeven. Vervolgens worden de verschillende stappen binnen het proces van risicomanagement geïdentificeerd om tot slot te leiden tot een beschrijving van het gekozen risicomanagement systeem.
4.2.1. Definiëring risicomanagement
Risicomanagement is een veelbesproken thema in de wetenschappelijke literatuur, wat heeft geresulteerd in een scala aan definities. Deze paragraaf heeft tot doel inzichtelijk te maken welke zienswijzen er met betrekking tot de definiëring van risicomanagement zijn, echter niet om tot een eenduidige definitie te komen.
Shortreed en McColl (2000) geven de volgende definitie van risicomanagement: “Coordinated
activities to direct and control an organization with regard to risk”. En Aart en Martherus (1990)
beschrijven risicomanagement als: “De interactieve en iteratieve functie in het managementproces die
tot doel heeft de onzekerheden die de doelstellingen van een organisatie in positieve of negatieve zin kunnen beïnvloeden, op bedrijfseconomische wijze zo volledig en systematisch mogelijk te beheersen.”
“Van onzichtbaar naar inzichtelijk” Myrthe Smeenk In de wetenschappelijke literatuur wordt voor risicomanagement veelvuldig de term enterprise risk
management gebruikt (Liebenberg en Hoyt (2003), Beasley et al., (2005). Een risicomanagement
systeem wordt door Emanuels (2005) omschreven als: “Het systeem dat het management in staat stelt
om relevante risico‟s, die het behalen van de doelstellingen van de organisatie bedreigen, te kunnen identificeren, te prioriteren, te analyseren en te beheersen”. The Committee of Sponsoring
Organizations of the Treadway Commission (COSO, 2004) definieert Enterprise Risk Management als:“Enterprise risk management is a process, effected by an entity‟s board of directors, management
and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives”.
Bovenstaande definities analyserend, kan er gesteld worden dat er bij risicomanagement sprake is van een bewuste omgang met en het bewust aangaan van risico‟s. Het doel van risicomanagement is op een zo effectief en efficiënt mogelijke wijze te komen tot het realiseren van de doelstellingen van de organisatie, waarbij risicomanagement zeerzeker niet gericht is tegen het nemen van risico‟s, maar met het zorgvuldig omgaan met deze risico‟s (Droogsma, 2009).
4.2.2. Bepaling Risk Management Systeem
In deze paragraaf wordt, nadat eerst een korte introductie is gegeven op de verschillende risicomanagement systemen en processtappen, het geselecteerde risicomanagement systeem toegelicht.
In bovenstaande definities wordt het risicomanagement systeem gekarakteriseerd als een iteratief proces. Dit proces bestaat uit meerdere stappen, waarbij tabel 4.1 een niet limitatief overzicht geeft van de in het verleden geïdentificeerde stappen binnen de verschillende risicomanagement processen.
“Van onzichtbaar naar inzichtelijk” Myrthe Smeenk
Auteur (s) Stappen
Emanuels en De Munnik (2006) Doelen, risico‟s, maatregelen, bewaking en bijsturing Bouman (2009) Doelstellingen, identificeren risico‟s, bepalen impact en
waarschijnlijkheid, bepalen omgang met risico, implementeren risicoreactie en managen restrisico COSO (2004) Internal environment, objective setting, event
identification, risk assessment, risk response, control activities, information and communication, monitoring Hubbard (2009) Identification, assessment, prioritization, monitor and
control
Hillson (2002) Planning, identification, risk analysis, risk response, monitoring and control
Shortreed en McColl (2000) Decision making, risk assessment and treatment options, operations to reduce risk en stakeholders
PwC (2006) Identificeer, analyseer, reageer, monitor en rapporteer Tabel 4.1: Verschillende stappen in het risicomanagement proces (Douna, 2010)
Hoewel bovenstaande stappenplannen niet identiek zijn wat betreft terminologie, is er zeerzeker een rode lijn te onderkennen. Als basis voor het theoretisch model aangaande de beheersing van reputatierisico‟s is het model van Shortreed en McColl (2000) geselecteerd. Eén van de basisbeginselen bij de beheersing van reputatierisico‟s zoals gesteld is in paragraaf 3.4.2., is de bewustwording van het feit dat het beheersen van een reputatie een inside out en outside in kwestie is: enerzijds dient de organisatie duidelijk de waarden, visie, regels en procedures te communiceren naar stakeholders, en duidelijk te maken op basis waarvan bepaalde (belangrijke) besluiten worden genomen. Het model (grafisch weergegeven in figuur 4.1) is afkomstig uit de onderzoeksstroming naar de menselijke gezondheidszorg en milieu, waarbij een duidelijke rol is weggelegd voor de stakeholders bij de beheersing van risico‟s. De auteurs Shortreed en McColl (2000) stellen het volgende over besluiten aangaande risicomanagement: “A good risk management decision emerges
from a decision-making process that elicits the views of those affected by the decision, so that differing technical assessments, public values, knowledge, and perceptions are considered”.
Een besluit aangaande risicomanagement dient verschillende technische bepalingen, publieke waarderingen, kennis en percepties in ogenschouw te nemen. Hiermee wordt het door Larkin (2003)
“Van onzichtbaar naar inzichtelijk” Myrthe Smeenk gestelde belang van communicatie met, en het meten van de perceptie en verwachtingen van stakeholders, onderstreept. Stakeholders worden in onderstaand model van Shortreed en McColl (2000) enerzijds betrokken bij het besluitvormingsproces met betrekking tot de beheersing van risico‟s, anderzijds spreken zij hun zorgen uit over, en blijkt de betrokkenheid bij de organisatie en haar activiteiten.
Decision Making
Risk Assessment and Treatment Options
Operations to reduce risk
Stakeholders
Context
Monitoring & Actions Risk Control
Options
Engage
Concern
Figuur 4.1: Risicomanagement Systeem
Het model van Shortreed en McColl (2000) bestaat uit 4 basiselementen, die zijn ontwikkeld om risico‟s te identificeren, te verminderen en te beheersen en waarmee stakeholders op een effectieve, efficiënte en transparante wijze worden bediend. De 4 basisbeginselen zijn: het maken van beslissingen (decision-making), risico bepaling en behandelingsopties (risk assessment en treatment
options), activiteiten om risico‟s te verminderen (operations to reduce risk) en stakeholders. In
tegenstelling tot de andere risicomanagement systemen in tabel 4.1, wordt bij dit model dus een basisplaats toebedeeld aan stakeholders. Naast de basiselementen zijn er een aantal supplementaire stappen die het model compleet maken, bijvoorbeeld de context waarin de organisatie functioneert, en de mate waarin monitoring plaatsvindt. De elementen uit het model zullen hieronder nader worden toegelicht. Ter verduidelijking van de processtappen zullen, indien noodzakelijk, verwijzingen worden gedaan naar het wereldwijd geaccepteerde risicomanagement systeem COSO (2004).
“Van onzichtbaar naar inzichtelijk” Myrthe Smeenk
Decision Making (basiselement 1)
Binnen deze processtap gaat het om het nemen van een besluit omtrent de beheersing van een risico, dat als een separate stap is opgenomen, en dient volgens de auteurs Shortreed en McColl (2000) op twee manieren plaats te vinden. Allereerst wordt bij de beoordeling van de reactiemogelijkheden op risico‟s gebruik gemaakt van specifieke criteria die in de context zijn bepaald. Daarnaast worden ook specifieke zorgen en/of opmerkingen van stakeholders (gegenereerd tijdens evaluaties en dergelijke) meegenomen bij de bepaling van de juiste reactiemogelijkheid op een bepaald risico of risico‟s. De beslissing wordt tevens beïnvloed door de verschillende risk control options en de operations to
reduce risk.
Risk assessment (basiselement 2a)
Bij de stap „risk assessment‟, oftewel de beoordeling van het risico, worden risico‟s geanalyseerd om op deze manier als basis te dienen voor de beheersing ervan. Analyse van de risico‟s vindt plaats aan de hand van de kans en de impact. Bij de beoordeling van het risico wordt gebruik gemaakt van zowel kwalitatieve als kwantitatieve methoden. Het bepalen van het risico van een gebeurtenis betreft niet een eenmalige activiteit, het is een iteratief proces dat continu gaande is in de organisatie.
Risk treatment options (basiselement 2b)
Doorgaans worden er in de literatuur vier mogelijke strategieën bepaald met betrekking tot het reageren op risico‟s. Allereerst bestaat er voor een organisatie de mogelijkheid het risico bij een bepaalde activiteit te accepteren; het verwachte verlies (de kans vermenigvuldigd met de impact) valt binnen de risicotolerantie. Het management van een organisatie kan er daarnaast voor kiezen om bepaalde risico‟s te vermijden door activiteiten die deze risico‟s generen, te beëindigen. Ook bestaat er voor het management de mogelijkheid een risico te delen, waarbij de organisatie een gedeelte van de activiteiten overdraagt aan een derde, of het risico verzekert. Tot slot kan het management van een organisatie risico‟s mitigeren; het management implementeert hiertoe beheersingsmaatregelen, opdat risico‟s beperkt worden. De keuze van de reactie wordt bepaald door het effect ervan op de kans en impact van het risico, waarbij tevens een afweging wordt gemaakt tussen de kosten en de baten. Op basis van verschillende „risk treatment options‟ worden er door de organisaties activiteiten geselecteerd die het risico dienen te verminderen/beheersen (in het model aangeduid als „operations to
“Van onzichtbaar naar inzichtelijk” Myrthe Smeenk
Stakeholders (basiselement 3)
Het model laat zien dat stakeholders en organisaties op twee wijzen met elkaar communiceren: de organisatie informeert de stakeholders, en de stakeholders informeren de organisatie. Er is sprake van
inside out en outside in communicatie. Kennis over zorgen en betrokkenheid van stakeholders bij de
organisatie (concerns) wordt onder andere verkregen middels evaluaties. Het betrekken van de stakeholder bij risicomanagement en bijbehorende besluiten (engaging) vindt doorgaans plaats middels risico communicatie, ofwel: “exchange or sharing of information about risk between the
decision-maker and other stakeholders”. Risico communicatie kan bijvoorbeeld betrekking hebben op
het bestaan, de aard, het soort, de kans, de verscheidenheid, de acceptatie of de behandeling van risico‟s. Risico communicatie, zowel de vorm topdown als bottom-up, zorgt ervoor dat de personen binnen de organisatie duidelijkheid hieromtrent verkrijgen, waardoor zij hun verantwoordelijkheden op een effectieve wijze kunnen uitvoeren. Tevens vindt er effectieve communicatie plaats met externe partijen (onder andere consumenten, leveranciers en regelgevers). Communicatie kan via verschillende kanalen plaatsvinden, te denken valt aan memoranda, e-mails, video‟s en handleidingen. Een meer extreme vorm van het betrekken van stakeholders bij het risicomanagement en het bijbehorende besluitvormingsproces betreft het aangaan van samenwerkingsverbanden. Voor de communicatie met betrekking tot risico‟s en de beheersing hiervan met stakeholders binnen en buiten de organisatie wordt verwezen naar paragraaf 4.3.
Operations to reduce risk (basiselement 4)
Op basis van de „risk treatment options‟ worden bepaalde acties geselecteerd. Hierbij kan gedacht worden aan opleiding en training, het instellen van standaarden en prestatie indicatoren, het toetsen van daadwerkelijke prestaties en het stellen van doelen.
Context (supplementair element)
De context van de organisatie wordt door de auteurs omschreven als: “The strategic, organizational
and risk management context in which the rest of the process will take place”. De interne omgeving
betreft de toon van de organisatie, die de risicobereidheid van de mensen bepaald, en vormt de basis voor alle andere componenten van risicomanagement. Factoren waaruit de interne omgeving van een organisatie bestaat zijn bijvoorbeeld de filosofie omtrent risicomanagement, risico bereidheid, toezicht van de Raad van Bestuur, integriteit, ethische waarden en de manier waarop het management verantwoordelijkheden toewijst (COSO, 2004). Binnen deze stap dienen criteria geformuleerd te worden waarmee risico‟s geëvalueerd kunnen worden, en dient er een duidelijk structuur te zijn
“Van onzichtbaar naar inzichtelijk” Myrthe Smeenk waarop een analyse van risico‟s plaats kan vinden. De interne omgeving voorziet de organisatie van een structuur, en op verschillende niveaus worden doelen geformuleerd.
Risk control options (supplementair element)
De bij de vorige stap geïdentificeerde reacties op risico‟s dienen op een effectieve en efficiënte wijze uitgevoerd te worden. Om dit te bewerkstelligen stelt de organisatie beleid en procedures vast, die in de gehele organisatie geïmplementeerd dienen te worden. Hierbij kan men denken aan functiescheiding, autorisaties, authenticaties, beveiliging van activa, prestatie-indicatoren, reviews et cetera. Beheersingsactiviteiten dienen als een mechanisme voor het managen van het bepalen van bepaalde doelen.
Monitor (supplementair element)
Een continue vorm van monitoren (het bepalen van de aanwezigheid en werking) is noodzakelijk om het risicomanagement proces effectief en efficiënt te laten verlopen, en op deze wijze daar waar nodig aanpassingen te verrichten (COSO, 2004). Monitoren kan op verschillende manieren plaatsvinden, waarbij onderscheid gemaakt kan worden tussen voortdurende monitoring of afzonderlijke evaluaties (of een combinatie hiervan). Voortdurende monitoring (bijvoorbeeld trainingen, aanbevelingen van accountants, communicatie met externe partijen) vindt plaats in de normale lijn van management activiteiten, de frequentie van afzonderlijke evaluaties (een evaluatie van het risicomanagement systeem) hangt af van de effectiviteit van de voortdurende monitoring en de bepaling van risico‟s.
Een beperking aan dit model wordt gevormd door de afwezigheid van objective setting (het stellen van doelen), een stap die bij COSO (2004) een belangrijke rol speelt. Gezien de hierboven vermeldde doelstelling van een risicomanagement systeem (het op een zo effectief en efficiënt mogelijke wijze komen tot het realiseren van de doelstellingen), start het risicomanagement proces doorgaans met het identificeren van doelen. Zonder doelen is het niet mogelijk om risico‟s die de continuïteit van de organisatie in het nauw kunnen drijven, te identificeren en te beheersen. Het stellen van doelen veronderstelt dat deze stap binnen het risicomanagement proces aan de strategische laag binnen de organisatie wordt toegewezen. Deze zienswijze sluit aan bij het in paragraaf 3.4.2. vermelde feit dat de beheersing van reputatierisico‟s verheven dient te worden naar het strategische niveau binnen de organisatie, en op deze manier het identificeren en het bepalen van de prioriteit van risico‟s de aandacht krijgt die het nodig heeft. Deze benadering wordt in de literatuur (Droogsma, 2009; Chapman en Ward, 2004) doorgaans bestempeld als een top-down benadering. Na het stellen van
“Van onzichtbaar naar inzichtelijk” Myrthe Smeenk strategische doelen, kunnen deze worden doorvertaald in operationele, rapportage en compliance doelstellingen. De doelen liggen op één lijn met de in de eerste stap geïdentificeerde risicobereidheid en risicotolerantie.
4.3. Stakeholder approach
“The key feature of reputation is effective management of stakeholder relationships”, aldus Larkin (2003). Freeman (1984) onderkent dat stakeholders het behalen van doelstellingen van organisaties kunnen beïnvloeden, of zelf worden beïnvloed door het behalen van de doelstellingen. Juist het behalen van deze doelstellingen behoort tot de intentie van risicomanagement processen en de implementatie ervan. Het raadplegen van stakeholders, en het gebruik van stakeholder analyses wordt een steeds populairder hulpmiddel bij het managen van een organisatie. Door het verzamelen en analyseren van data over stakeholders, is het voor een organisatie mogelijk grip te krijgen op de verwachtingen van stakeholders en mogelijk voordelen mee te behalen (Brugha en Varvasovszky, 2000). Freeman (1984) stelt dat organisaties die gemanaged worden op basis van optimale bevrediging van stakeholders beter presteren en groeien dan organisaties die zich slechts focussen op aandeelhouders (shareholders). Concluderend kan er gezegd worden dat inmenging van stakeholders bij de beheersing van reputatierisico‟s vanuit dit opzicht benadrukt wordt.
Het belang van het benaderen en het betrekken van stakeholders bij het managen en beheersen van een organisatie werd reeds al benadrukt door Larkin (2003). Zonder in herhaling te vervallen, kan hieromtrent bijvoorbeeld verwezen worden naar het identificeren en prioriteren van stakeholders en naar het bepalen van de verwachtingen van stakeholders. Middels continue communicatie met interne én externe stakeholders, dat zowel formeel als informeel plaats kan vinden, kunnen deze verwachtingen in kaart worden gebracht (Young en Hasler, 2010; Resnick, 2004; Wicki, 2007).
Figuur 4.2 (Jackson, 2002) geeft de betrokkenheid van stakeholders in verschillende gradaties weer, en koppelt hier vervolgens een communicatieniveau aan. Dit proces wordt echter gestart met het identificeren van de stakeholders, waarbij aangesloten wordt bij Larkin (2003). Na vaststelling van de stakeholders van de organisatie, identificeert Jackson (2002) vijf strategieën aangaande de betrokkenheid van deze stakeholders. Van laag naar hoog zijn dit respectievelijk: informeren, bijbrengen/onderwijzen, het testen van reacties, het zoeken naar ideeën en alternatieve oplossingen en tot slot het zoeken naar consensus. Informeren en bijbrengen/onderwijzen worden voornamelijk gekarakteriseerd door een door de organisatie geïnitieerde eenzijdige communicatie. Het testen van
“Van onzichtbaar naar inzichtelijk” Myrthe Smeenk reacties vereist een tweezijdige communicatie, waarbij zowel de organisatie als de geïdentificeerde stakeholders informatie met elkaar uitwisselen. Tot slot is er bij het zoeken naar ideeën, alternatieve oplossingen en consensus sprake van een gedeelde besluitvorming. Deze laatste stap sluit aan bij het in de vorige paragraaf vastgestelde risicomanagement systeem. Hierbij wordt de stakeholder naast het proces van besluitvorming geplaatst.
Setting Objectives: Communication: Informing One-way Education
Two-way Testing reactions
Seeking ideas and alternative solutions
Shared decision-Seeking concensus making
Identify Stakeholders D e g re e o f in v o lv e m e n t
Figuur 4.2: Levels of stakeholder involvement
Communicatie is een belangrijke processtap bij de beheersing van (reputatie)risico‟s omdat op deze wijze het gat tussen de verwachtingen van stakeholders en de daadwerkelijke prestatie van de organisatie gedicht kan worden. De definitie van risico communicatie van de U.S. National Research Council (1989) onderstreept dit:“An interactive process of exchange of information among
individuals, groups, and institutions (that) raises the level of understanding of relevant issues or actions for those involved and satisfies them that they are adequately informed within the limits of available knowledge”
Middels communicatie over risico‟s en de beheersing hiervan wordt er een begrip gecreëerd dat de verwachtingen van de stakeholders en de prestaties van de organisatie meer op één lijn zal brengen. Het hebben van een communicatiestrategie en –plan draagt hieraan bij. Door middel van een open extern communicatie kanaal is het voor consumenten en leveranciers mogelijk significante input te leveren met betrekking tot het ontwerp of de kwaliteit van producten/services. Op deze manier kan de organisatie tijdig een veranderende vraag of behoeften signaleren. Daarnaast is het voor organisaties
“Van onzichtbaar naar inzichtelijk” Myrthe Smeenk mogelijk om te bepalen of de risico bereidheid en risico tolerantie op één lijn liggen met leveranciers en andere business partners (COSO, 2004).
Bovenstaand model benadrukt het belang van het hebben van een goede communicatie met stakeholders. Het zal worden gebruikt bij de bepaling van het theoretisch model betreffende de beheersing van reputatierisico‟s.
4.4. Samenstellen theoretisch model
In deze paragraaf worden de basis- en supplementaire elementen uit het risicomanagement systeem van Shortreed en McColl (2000) en het stakeholder involvement model van Jackson (2002) gecombineerd met de door Larkin (2003) geformuleerde stappen met betrekking tot de beheersing van reputatierisico‟s. Op deze wijze wordt een model gegenereerd waarmee reputatierisico‟s beheerst kunnen worden. Deze dient tevens als basis voor de inrichting en rapportage van de casestudies. Er wordt getracht duplicering van het reeds geschrevene zoveel mogelijk te voorkomen middels het maken van verwijzingen. Het model is grafisch weergegeven in appendix A.
1. Context
Bij de context van de organisatie gaat het om de toon van het management, de wijze waarop er met risico‟s wordt omgegaan, maar ook zeker de waarde die wordt gehecht aan de reputatie van de organisatie (de reputatie als een waardevolle activa). En indien er van het laatste sprake is, wordt er geaccepteerd dat de reputatie van de organisatie wordt gecreëerd door de perceptie van de stakeholders van de organisatie? De verantwoordelijkheid voor het hebben en houden van een goede reputatie behoort bij de gehele organisatie te liggen: er dient sprake te zijn van een holistische aanpak wat betreft de beheersing van reputatierisico‟s. Middels het implementeren van een code of conduct