"Het adopteren van een ERM systeem; de kunst van gedragenheid creëren"

"Het adopteren van een ERM systeem; de kunst

van gedragenheid creëren"

Een verkennend onderzoek naar de factoren rondom de adoptie van een

Enterprise Risk Managementsysteem

Masterthesis

Rijksuniversiteit Groningen: faculteit Economie en Bedrijfskunde

Auteur: C. Dommerholt

Studentnummer: 1830384

Afstudeerrichting: MSc Accountancy en Controlling Afstudeerbegeleider: W.K. Zwaagman

2e

Beoordelaar: Dr. E.P. Jansen

2

Voorwoord

Voor u ligt het resultaat van mijn afstudeeronderzoek 'het adopteren van een ERM systeem; de kunst van gedragenheid creëren'. Dit afstudeeronderzoek is geschreven ter afsluiting van de master Accountancy & Controlling aan de Rijksuniversiteit Groningen.

Het vak Internal Control - Risk Management heeft mij geïnspireerd om mijn onderzoek te richten op risicomanagementsystemen. Na veel gelezen te hebben kwam ik erachter dat er weinig informatie was over de adoptie van een

risicomanagementsysteem. Hoe adopteer ik een risicomanagementsysteem binnen mijn organisatie? Ik kwam erachter dat de adoptie vaak een worsteling is, maar hoe komt dit eigenlijk? Dit zijn vragen die hebben geleid tot de start van dit onderzoek. Het is uiteindelijk een verkennend onderzoek geworden, waarbij meer informatie omtrent dit onderwerp is verzameld. Ik heb bewust gekozen voor praktijkonderzoek bij verschillende bedrijven gezien je in aanraking komt met verschillende zienswijzen en heel interactief bezig bent. Ik vond het heel interessant om te ervaren hoe men bezig is met de implementatie en de verschillende visies van de geïnterviewden. Ik heb hier ontzettend veel van geleerd.

Graag wil ik in dit voorwoord de mogelijkheid benutten om mijn

afstudeerbegeleider de heer W.K. Zwaagman en mijn tweede beoordelaar dr. E.P. Jansen te bedanken voor al hun inspiratie, enthousiasme en kritische gedachten. Daarnaast wil ik mijn naaste familie en vrienden bedanken die altijd vol belangstelling hebben meegeleefd met de voortgang van mijn onderzoek. Tot slot wil ik de geïnterviewden bij de bank en verzekeringsmaatschappijen bedanken. Zonder hun inzet was het niet mogelijk geweest de resultaten voor dit onderzoek te genereren zoals deze nu zijn.

Ik wens u veel leesplezier. Deventer, augustus 2011

3

Inhoudsopgave

1. Inleiding ... 5

1.1 Aanleiding en doel onderzoek ... 5

1.2 Relevantie... 7

1.3 Onderzoeksprocedure ... 9

2. Risico's, Risicobeheersing en Risicomanagement ... 10

2.1 Risico’s ... 10

2.2 Risicobeheersing ... 10

2.3 Risicomanagement en het COSO raamwerk ... 13

3. De kritieke succesfactoren van een ERM-adoptie ... 16

3.1 Implementatie ERP... 16

3.2 Implementatie ERM ... 19

3.3 Factoren adoptie ERM ... 23

4. Implementatie, adoptie en veranderingen binnen de organisatie ... 27

4.1 Implementatie ... 27

4.2 Veranderingen binnen de organisatie... 28

4.3 Adoptie... 30

4.4 Conceptueel model... 32

5. Opzet onderzoek ... 35

5.1 Onderzoekspopulatie en onderzoeksmethode ... 35

5.2 Van theorie naar interview ... 36

5.3 Analyse resultaten ... 36 6. Resultaten onderzoek... 38 6.1 Resultaten interviews ... 38 6.1.1 Onderneming A ... 38 6.1.2 Onderneming B ... 42 6.1.3 Onderneming C ... 44

4

6.2 Beantwoording van de deelvragen... 46

6.2.1 Deelvraag 1 ... 46

6.2.2 Deelvraag 2 ... 49

6.2.3 Deelvraag 3 ... 50

6.2.4 Deelvraag 4 ... 52

7. Conclusie, discussie en beperkingen... 57

7.1 Conclusie ... 57

7.2 Discussie en beperkingen onderzoek ... 59

8. Literatuurlijst ... 62

5

1. Inleiding

1.1 Aanleiding en doel onderzoek

Risicomanagement is een steeds vaker voorkomende term binnen organisaties. Een risicomanagementsysteem geeft de onderneming handvatten om

gestructureerd risico’s te managen en daarmee te beheersen. Voor

beursgenoteerde ondernemingen ligt het begrip risicomanagement verankerd in de Corporate Governance Code (2008), waaraan beursgenoteerde bedrijven behoren te voldoen. Deze code is ingesteld na de bekende boekhoudschandalen van Enron, WorldCom en Parmalat. Mede hierdoor hebben steeds meer ‘grote’ organisaties de laatste jaren een risicomanagementsysteem geïmplementeerd. Uit het onderzoek van AON (2008; 2010) kwam naar voren dat bijna tweederde (62%) van de onderzochte ‘grote’ ondernemingen een formeel Enterprise Risk Managementsysteem heeft geïmplementeerd. Een Enterprise Risk

Managementsysteem (ERM) is een risicomanagementsysteem dat is geïntegreerd binnen de gehele organisatie. Een veel voorkomend model voor de

implementatie van een ERM systeem is het COSO (2004) model. Dit is een algemeen aanvaard model voor risicomanagement en is tevens genoemd in de Corporate Governance Code. Het COSO model wordt veel gehanteerd in de praktijk (Droogsma, 2009) en daarnaast lijkt het geschikt te zijn voor elk type onderneming (COSO, 2004).

De financiële crisis heeft er mede toe geleid dat aan het succes van

risicomanagementsystemen wordt getwijfeld. Het blijkt dat de kwaliteit van risicomanagementsystemen niet altijd optimaal is (Droogsma, 2009). Omdat een ERM systeem grote voordelen kan opleveren, is het belangrijk om tot een

succesvolle implementatie te komen. Is de niet optimale kwaliteit van een ERM systeem het gevolg van een niet succesvolle implementatie? Het blijkt wel dat ondernemingen vaak problemen hebben bij de implementatie van een ERM systeem (Van Staveren, 2009). Implementatie van een nieuw systeem zoals een COSO risicomanagementsysteem gaat gepaard met veranderingen binnen een organisatie. Veranderingen die door de mensen in de organisatie moeten worden geaccepteerd en geadopteerd wil de verandering effectief zijn. Een verandering binnen de organisatie kan leiden tot weerstand.

6 Welke factoren zijn van invloed op de adoptie van een Enterprise Risk

Managementsysteem binnen een organisatie?

Dit is een vraag die mij heeft geïnspireerd tot het uitvoeren van dit onderzoek.

Dit onderzoek richt zich op de problematiek en de aspecten die een rol spelen bij de adoptie van een ERM systeem binnen een organisatie.

Vanuit de bestaande literatuur is er weinig bekend over de adoptie van

risicomanagement of aspecten die van invloed zijn op de adoptie van een ERM systeem binnen een organisatie. Beasley, Clune en Hermanson (2005) hebben een onderzoek uitgevoerd naar factoren die van invloed zijn op het stadium van adoptie binnen organisaties. Er ontbreekt echter inzicht rondom de factoren die van invloed zijn op de adoptie van een ERM systeem door de gebruikers binnen de organisatie. Onder adoptie wordt in dit geval verstaan de acceptatie en ingebruikname van het ERM systeem door de gebruikers binnen de organisatie.

Uit de beschreven problematiek leid ik de volgende probleemstelling, het doel en de vraagstelling af voor mijn onderzoek.

Probleemstelling

Het lukt ondernemingen niet altijd om een risicomanagementsysteem, zoals COSO te adopteren binnen de organisatie.

Doelstelling

Het doel van dit onderzoek is inzicht verschaffen in de problematiek en de factoren die van invloed zijn op de adoptie van een Enterprise Risk

Managementsysteem door de medewerkers van 'grote' ondernemingen. Vraagstelling

Welke factoren zijn van invloed op de adoptie van een Enterprise Risk Managementsysteem binnen 'grote' ondernemingen?

Met dit inzicht kunnen ondernemingen die een ERM systeem willen

implementeren, voorafgaand aan de implementatie, deze aspecten inregelen zodat de problemen bij de adoptie van risicomanagement worden beperkt.

7 Doelgroep

Het onderzoek is gericht op ‘grote’ ondernemingen. Ondernemingen vallen binnen het criterium groot wanneer zij aan 2 van de 3 onderstaande criteria voldoen:

Grote rechtspersonen Waarde activa > € 17.500.000

Netto-omzet > € 35.000.000 Aantal werknemers > 250

Figuur 1: grootte criteria (artikel 2:397 lid 1 BW)

Binnen het onderzoek is gekozen voor deze doelgroep omdat wordt verwacht, gezien de verplichting in de Corporate Governance Code voor beursgenoteerde ondernemingen en de bevinding uit het onderzoek van AON (2010), dat deze ondernemingen een formeel ERM systeem hebben geïmplementeerd of bezig zijn met het implementatietraject.

Om de doelgroep af te bakenen is het onderzoek gericht op de financiële sector. Via de site van de Kamer van Koophandel is een selectie gemaakt aan de hand van deze sector. Hierbij zijn de volgende branchetypen geselecteerd:

- Financiële instellingen;

- Verzekeringen/pensioenfondsen; - Overige financiële dienstverlening.

Dit resulteert in een lijst van ondernemingen die het object van onderzoek zullen worden (bijlage 1).

1.2 Relevantie

Onderzoeken hebben uitgewezen dat de implementatie van een

risicomanagementsysteem niet eenvoudig is. Een onderzoek onder 44 leidende verzekeraars in Noord Amerika, Europa, Azië en Australië heeft uitgewezen dat in 58 % van de respondenten ERM niet volledig geïntegreerd is in de organisatie. Daarnaast concludeert een onderzoek onder 200 financial executives dat de implementatie van risicomanagement een worsteling is (van Staveren, 2009).

8 Tevens blijkt uit recentelijk wereldwijd onderzoek dat aan het succes van

risicomanagement wordt getwijfeld. Uit het onderzoek van Treasury & Risk, Paisley (2008) onder verschillende typen ondernemingen blijkt dat slechts 60 tot 70 procent niet of slechts enigszins tevreden is met het functioneren van

risicomanagement. Dit wordt bevestigd door een onderzoek uitgevoerd door Ernst & Young (2009).

Er zijn onderzoeken geweest naar de factoren die van invloed zijn op het stadium van implementatie van ERM (Beasley et al. 2005 en Walker et al. 2002 en

Kleffner et al. 2003). Echter onderzoeken naar de problematiek en factoren die van invloed zijn bij een risicomanagement adoptie ontbreken. In de literatuur is veel onderzoek te vinden naar de implementatie van Enterprise Resource

Planning (ERP) systemen, de implementatie van ICT systemen en de kritieke succesfactoren hierbij (Somers & Nelson, 2001; Parr & Shanks, 2000; Sanchez & Bernal, 2007). Informatietechnologie (IT) is nauw verweven met ERM

(Ramamoorti & Weidenmier, 2006). Van Staveren (2009) maakt een vergelijking van de implementatie van ERM met de implementatie van ERP. Daarnaast zijn ERP systemen, IT systemen en ERM systemen allen informatiesystemen. Om de hiervoor genoemde redenen zal in het onderzoek gebruik worden gemaakt van deze bestaande literatuur om mogelijke factoren voor de adoptie van ERM systemen te formuleren.

In de hierboven beschreven literatuur wordt veelal uitgegaan van kritieke succesfactoren. Dit zijn volgens Rockart (1979) het beperkte aantal gebieden waarin resultaten, mits deze voldoende zijn, leiden tot succesvolle en effectieve prestaties van de organisatie. De vraag is of er een dergelijke 'standaard lijst' bestaat voor de adoptie van ERM. De uit het onderzoek verkregen informatie zal worden vergeleken met deze kritieke succesfactoren uit de literatuur en een antwoord worden gegeven op de vraag of een dergelijke 'standaard lijst' bestaat.

9 1.3 Onderzoeksprocedure

In dit onderzoek zal eerst verder het onderwerp Enterprise Risk Management toegelicht worden om zo de verschillende facetten ervan uiteen te zetten. Om inzicht te krijgen in mogelijke factoren die een rol spelen bij de adoptie van ERM zullen eerst mogelijke factoren worden bepaald vanuit de literatuurstudie. Deze literatuurstudie is gericht op de kritieke succesfactoren rondom de implementatie van een ERP- en een ERM systeem. Hier zal de link worden gelegd tussen de implementatie van een ERP en ERM systeem en zullen mogelijke factoren worden afgeleid voor de adoptie van een ERM systeem. Deze factoren en bijkomende facetten zullen een belangrijke basis zijn voor de interviews. Aansluitend zal aan de hand van een literatuurstudie dieper worden ingegaan op het onderwerp implementatie, organisatieverandering en adoptie in algemene zin. Naar aanleiding van de literatuurstudie zal een vragenlijst worden geformuleerd (onderzoeksinstrument). Vervolgens zal informatie uit de praktijk worden verzameld omtrent de adoptie van een ERM systeem, door middel van een interview, met iemand van de afdeling ‘internal control’ van ‘grote’

ondernemingen die verantwoordelijk zijn voor de implementatie en beheer van een risicomanagementsysteem. Deze informatie uit het onderzoek zal uiteindelijk leiden tot een overzicht van specifieke factoren, afgeleid vanuit de bestaande literatuur, die volgens de geïnterviewde personen van invloed zijn op de adoptie van ERM. Naast de factoren zal ook de specifieke invulling van deze factoren binnen de onderzochte ondernemingen een belangrijke aanvulling zijn. Tot slot zal de mate waarin deze factoren adequaat zijn ingeregeld binnen de

onderzochte ondernemingen leiden tot kritische kanttekeningen op de genoemde factoren.

De uitkomst van het onderzoek zal dan ook bestaan uit een rapport van specifieke factoren die van invloed zijn op de adoptie van ERM binnen de

onderzochte ondernemingen en kritische kanttekeningen omtrent deze factoren op de adoptie van ERM.

10

2. Risico's, Risicobeheersing en Risicomanagement

In dit hoofdstuk zal dieper worden ingegaan op het onderwerp Enterprise Risk Management. Allereerst zal in paragraaf 2.1 het begrip risico worden

gedefinieerd. Vervolgens wordt in paragraaf 2.2 het proces van risicobeheersing en de wijze waarop risico's kunnen worden beheerst beschreven. Tot slot wordt in paragraaf 2.3 ingegaan op het begrip risicomanagement en worden enkele raamwerken genoemd waaraan ERM opgehangen kan worden binnen de organisatie.

2.1 Risico’s

Er zijn drie soorten risico’s te onderscheiden binnen een onderneming (Williams, 2006). Risico’s die moeten worden gemanaged, bijvoorbeeld door het bestuur of door bepaalde wet- en regelgeving. Daarnaast zijn er de standaard frauderisico’s die gepaard gaan met de geldbeweging binnen de onderneming. Als derde zijn er de risico’s waarvoor geen wet- en regelgeving aan ten grondslag ligt en waar ondernemingen zelf kunnen kiezen of ze deze wel of niet beheersen. Williams noemt deze risico’s ook wel de ‘optional risks’.

Een risico is de kans maal de impact (Starreveld, 2002). Waarbij de kans

omschreven kan worden als de inschatting in de mate waarin de gebeurtenis zich voor kan doen en de impact als de inschatting van de schade die als gevolg van het risico optreedt.

Deze risico’s beïnvloeden de dagelijkse gang van zaken binnen ondernemingen. De kunst is om deze risico’s te beheersen, zodat winst wordt gegenereerd en verliezen worden geminimaliseerd.

2.2 Risicobeheersing

Een manier om deze risico’s te beheersen is de implementatie van een ERM (Enterprise Risk Management) systeem. Een dergelijk systeem geeft de

onderneming handvatten om gestructureerd risico’s te managen en daarmee te beheersen.

11 Risicomanagement helpt een onderneming haar risico’s te beheersen om snel in te kunnen spelen op risico’s en kansen.

Starreveld (2002) definieert risicomanagement als een systematisch proces van: - Het identificeren en analyseren van risico’s die de

ondernemingsdoelstelling bedreigen;

- Het inventariseren en selecteren van risicobeheersingstechnieken; - Het implementeren van de gekozen risicobeheersinginstrumenten en; - De continue evaluatie van dit proces.

Na het identificeren van risico’s die de ondernemingsdoelstelling bedreigen, dient er een bewuste keuze te worden gemaakt. Na het proces van onderkennen van de risico’s, zoals hierboven is beschreven, wordt door de organisatie er wel of niet iets aan het geïdentificeerde risico gedaan. Hierin wordt met bewuste keuze aangegeven dat wanneer een onderneming wel onderkent dat er bepaalde risico’s worden gelopen, maar op grond van bijvoorbeeld een kosten-batenanalyse besluit geen actie te ondernemen.

Bij het maken van een bewuste keuze speelt de risicohouding van de

onderneming een rol. Starreveld beschrijft de risicohouding als de mate waarin men bereid is risico’s te aanvaarden. Bij de risicohouding wordt onderscheid gemaakt in een risiconeutrale houding, een risiconemende houding en een risicoaverse houding. Hierin wordt bij de risiconemende houding de kans maal de impact optimistisch ingeschat. Daarentegen wordt bij de risicoaverse houding deze kans maal de impact te pessimistisch ingeschat. Het proces van risicobeheersing en risicomanagement kan schematisch als volgt weergegeven worden.

12 Figuur 2: Het beslissingsmodel (Starreveld, 2002)

De eerste stap in het model is de risico-identificatie en risicometing, waarin het identificeren en waarderen (kans x impact) van relevante risico’s plaatsvindt. Starreveld raakt hierbij het strategisch en operationeel niveau.

Op strategisch niveau vindt risicoanalyse plaats, waarbij gekeken wordt naar de externe factoren die de ondernemingsdoelstelling kunnen bedreigen. Dit zijn risico’s die betrekking hebben op politieke, economische, sociale en

technologische factoren, alsmede met concurrenten, substituten, leveranciers en afnemers.

Op operationeel niveau vindt risicoanalyse plaats, waarbij gekeken wordt naar de interne factoren die de ondernemingsdoelstelling kunnen bedreigen.

Na het inschatten van het risico-effect op de ondernemingsdoelstelling wordt een beheersstrategie gekozen. De volgende beheersstrategieën zijn volgens

Starreveld te onderscheiden: - Risico-eliminatie - Risicobeperking; • Door overdracht, • Door vermindering; - Risicobehoud.

Risico-eliminatie heeft betrekking op het treffen van maatregelen om de oorzaak van het risico weg te nemen. Risicobeperking houdt in dat er maatregelen

13 worden getroffen zodat een deel van de gevolgen aan anderen wordt

overgedragen.

Bij risicobehoud wordt er doelbewust voor gekozen om niets te ondernemen en de mogelijke gevolgen van het risico te accepteren.

Risicomanagement is een vorm van internal control, een controle gericht op het waarborgen van de integriteit, doelmatigheid en doeltreffendheid van de

operationele activiteiten (Starreveld, 2002). Internal control benadrukt hier het operationele aspect.

2.3 Risicomanagement en het COSO raamwerk

Als risicomanagement op een adequate wijze is geïmplementeerd in een organisatie zorgt risicomanagement ervoor dat een balans wordt verkregen tussen het benutten van kansen om winst te genereren en het minimaliseren van verliezen (Standards Australia and Standards New Zealand 2004a).

Risicomanagement is er zogezegd op gericht om de optional risks te beheersen. Het management van een organisatie is verantwoordelijk voor het behalen van de organisatiedoelstellingen en wil met een hoge mate van waarschijnlijkheid deze doelstellingen behalen. Door toepassing van ERM wordt beoogd de risico’s van het niet behalen van de organisatiedoelstellingen te beheersen en in te spelen op kansen.

Operationele risico’s zijn de meest voorkomende risico’s en worden ook gezien als de meest gevaarlijke risico’s (Williams, 2006). Dit komt doordat deze risico’s vaak eigenaardig zijn en sterk afhankelijk van het bedrijf en de marktsituatie verschillen. Daarnaast zijn operationele risico’s vaak complex en samenhangend. Beheersing van het ene risico kunnen gevolgen hebben voor risico’s op andere gebieden.

Een zeer bekend risicobeheersingsmodel is het ‘Enterprise risk management framework’ van de Committee of Sponsoring Organisations (2004). Dit model staat beter bekend als het COSO-model en wordt tevens genoemd als voorbeeld in bepaling II.1.4 van de Corporate Governance Code (2008).

14 COSO gaat uit van maximale waarde van de onderneming door het op adequate wijze beheersen van risico’s en inspelen op kansen die zich voor kunnen doen (Risicomanagement van de onderneming, 2004). COSO definieert

risicomanagement dan ook als volgt:

‘Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.’

Hierbij benadrukt COSO dat risicomanagement een continu proces is dat door de gehele onderneming wordt uitgevoerd en gedragen wordt door werknemers op elke laag van de organisatie. Daarnaast is het verankerd in de strategie en

nemen de mensen binnen een onderneming een risicohouding in ten aanzien van de te accepteren risico’s. Risicomanagement is ontwikkeld om potentiële

gebeurtenissen, als deze zich voordoen, te managen binnen de risicohouding. Het proces van risicomanagement moet relevante informatie vervaardigen richting het management van de organisatie omtrent de beheersing van risico’s en het bereiken van de doelen van de organisatie.

Voor een verdere beschrijving van de verschillende facetten van het COSO raamwerk wordt verwezen naar bijlage 2.

Andere raamwerken die in de wereld worden gebruikt voor ERM zijn: • Association of Insurance and Risk Managers (AIRMIC).

• ALARM—The National Forum for Risk Management in the Public Sector (UK)

• AS/NZ 4360:2004 (Australië/New Zeeland). • British Standard 31100.

• Criteria of Control (CoCo) (Canada).

• Combined Code on Corporate Governance (UK). • Federation of European Risk Management Associa- tions (FERMA).

15 • Internal Control (Hong Kong).

• Institute of Risk Management (IRM).

• ISO 31000 (International Organization for Standardization). • King Report on Corporate Governance (King i) and

King Report on Corporate Governance in South Africa (King 2).

• Risk and Insurance Management Society (RIMS) Risk Maturity Model.

Dit onderzoek richt zich op het Enterprise Risk Managementsysteem in algemene zin en maakt hierbij niet direct onderscheid in het raamwerk waar de organisatie haar ERM systeem aan heeft opgehangen.

16

3. De kritieke succesfactoren van een ERM-adoptie

In paragraaf 2.3 wordt gesproken over het COSO-model als een Enterprise Risk Management (ERM) framework. Enterprise houdt hier in dat het een systeem is dat verankerd zit in de gehele onderneming.

In hoofdstuk 1 is uiteengezet dat de implementatie van een ERM systeem te vergelijken is met de implementatie van een ERP systeem. In dit hoofdstuk zullen aan de hand van literatuur allereerst in paragraaf 3.1 de factoren in kaart worden gebracht die van belang zijn bij de adoptie van een ERP systeem en vervolgens in paragraaf 3.2 bij de adoptie van een ERM systeem. Tot slot zullen deze factoren in paragraaf 3.3 met elkaar worden vergeleken en een theoretisch onderbouwd overzicht met mogelijke factoren voor de adoptie van een ERM systeem worden gegenereerd.

3.1 Implementatie ERP

De voorwaarden voor het falen of succes in de implementatie van een ERP-systeem werden uitvoerig bestudeerd in verschillende onderzoeken. In mijn onderzoek maak ik gebruik van deze onderzochte factoren voor het definiëren van mogelijke factoren voor ERM-systemen.

ERP staat voor Enterprise Resource Planning. Een ERP systeem is een geïntegreerd standaard softwarepakket dat administratieve en bestuurlijke ondersteuning biedt voor een groot deel van de primaire en ondersteunende processen binnen een organisatie (Muntslag, 2001). Er zijn verschillende

onderzoeken gedaan naar de kritieke succesfactoren voor de implementatie van een ERP systeem. Het onderzoek van Sanchez en Bernal (2007), geeft een verzameling van deze kritieke succesfactoren.

Het onderzoek van Sanchez en Bernal (2007) maakt een vergelijking tussen 9 artikelen. In deze vergelijking is gekeken in hoeverre kritieke succesfactoren

17 terugkomen in de verschillende wetenschappelijke artikelen. De vergelijking ziet er als volgt uit:

Figuur 3: Vergelijking kritieke succesfactoren (Sanchez & Bernal, 2007)

Sanchez en Bernal hebben deze factoren teruggebracht tot 14 kritieke

18 de duidelijkheid van de omschrijvingen en hoe relevant de factoren werden

gevonden.

Deze 14 kritieke succesfactoren voor de implementatie van een ERP systeem zijn getoetst onder 48 middelgrote en grote ondernemingen in Mexico.

Sanchez en Bernal (2007)

- Top management support - Change managementplan - Bussiness proces reengineering - ERP system selection

- Project management - Vision statement and adequate business plan - Project champion - Communication

- End users involvement - Teamwork composition for the ERP project - Training and support for users - Tests and problem solutions

- Having external consultants - To facilitate of changes in the organizational structure in the “legacy systems” and in the IT infrastructure

Figuur 4: 14 succesfactoren (Sanchez & Bernal, 2007)

Hieruit kwam naar voren dat deze lijst relevant is voor de onderzochte entiteiten en daarmee belangrijke kritieke succesfactoren zijn voor de implementatie van een ERP systeem.

Uit bovenstaande literatuur gebruik ik het overzicht van Sanchez en Bernal (2007) als mogelijke factoren die zich voordoen bij implementatie. Deze keuze maak ik omdat het artikel in mijn literatuurstudie de meest recente is en daarnaast een beknopt overzicht geeft van kritieke succesfactoren die in de verschillende artikelen empirisch zijn getoetst. De kwaliteitstoets die hieraan hangt is de wetenschappelijkheid van het artikel van Sanchez en Bernal. Het is een onderzoek uitgevoerd in Mexico, maar in hun onderzoek wordt gebruik gemaakt van wetenschappelijke onderzoeken uitgevoerd in de Westerse landen (Europa en Verenigde Staten). Daarbij worden in dit onderzoek de

overeenkomsten en verschillen in de onderzochte kritieke succesfactoren tussen Mexico en de Westerse landen uiteengezet. Bij deze vergelijking kan worden gesteld dat de factoren in Mexico en de Westerse landen overeenkomen, enkel de kritikaliteit van de onderzochte factoren verschilt onderling.

Discussie:

De beperking in het onderzoek van Sanchez en Bernal is dat in hun onderzoek geen onderscheid wordt gemaakt in de verschillende fasen van het

19 implementatietraject en daarmee niet expliciet ingaan op de adoptie van het systeem binnen de organisatie. Daarnaast blijven de factoren vrij algemeen, waardoor niet expliciet een concrete invulling van de factor wordt genoemd. Wel worden in dit onderzoek de factoren onderverdeeld in subcategorieën. Sanchez en Bernal benoemen hier de 'human factors'. Omdat mijn onderzoek zich richt op de adoptie en daarmee op de mensen (gebruikers) binnen een organisatie zullen deze factoren mee worden genomen in het verdere onderzoek.

Human factors

- Teamwork composition - Communication

- Project champion - End users involvement

figuur 5: Human succesfactors (Sanchez & Bernal, 2007)

Teamwork composition wordt hier beschreven als het openstaan voor het nieuwe

project en het kennen van de verschillende facetten van het nieuwe systeem. Het belang van duidelijke communicatie over het project door het

topmanagement richting de gehele organisatie (gebruikers). Een leidende persoon (champion) die het project leidt. Tot slot de betrokkenheid van de gebruikers van het nieuwe systeem bij het hele implementatietraject (end user

involvement).

De 4 factoren van Sanchez en Bernal zullen in paragraaf 3.3 verder worden toegelicht en eventueel worden aangevuld of onderstreept door andere onderzoeken.

3.2 Implementatie ERM

In dit hoofdstuk wordt vanuit de bestaande literatuur over kritieke succesfactoren van implementatie van ERM systemen een overzicht van mogelijke factoren bepaald.

Schanfield en Helming (2008) zetten vier factoren uiteen die van belang zijn bij de implementatie van een ERM systeem:

- Alle individuen moeten zijn getraind voor de basis risicomanagement skills;

20 - Een risico framework moet worden aangepast aan de behoeften van de

organisatie en risico toleranties moeten worden vastgesteld door het bestuur;

- Internal auditors moeten leren over het ERM proces; - Externe auditors moeten bij het proces worden betrokken.

De internal auditors moeten nauw betrokken zijn bij de implementatie van ERM. Dit mede gezien het feit dat banken ondernemingen gaan raten op basis van adequaat risicomanagement. Wanneer een onderneming er niet in slaagt een stabiele rating te krijgen kan dit leiden tot hogere financieringskosten

(Schanfield, Helming, 2008). Daarnaast is een positieve relatie gevonden tussen de ondersteuning van de CEO en de CFO door de interne auditfunctie (Droogsma, 2009).

Schanfield en Helming benadrukken ook het belang dat de termen en begrippen van risicomanagement bekend zijn binnen de gehele organisatie. Het is

belangrijk de definitie van risico uiteen te zetten binnen de organisatie omdat deze onderhevig zijn aan verschillende interpretaties. Dit komt tevens naar voren uit het artikel van Droogsma (2009), waaruit blijkt dat begrippen rondom

risicomanagement vaak verschillend worden gedefinieerd. Het betreft hier onder meer de volgende begrippen: Environmental risk, Financial risk, strategic risk en risk appetite. Gezien het belang van deze begrippen voor het vormgeven van risicomanagement is het van groot belang dat deze begrippen eenduidig worden gedefinieerd.

Essentieel bij de implementatie is de selectie van een ERM framework, zodat een framework kan worden gekozen die het beste aansluit bij de organisatie.

Daarnaast dienen externe auditors worden betrokken bij de implementatie van een ERM systeem. Uit onderzoek van Beasley (2005) is een positieve relatie bevonden tussen de mate van implementatie van ERM en de aanwezigheid van een big four accountantskantoor.

21 Naast het onderzoek van Schanfield en Helming onderkennen Bowling & Rieger (2005) 3 succesfactoren voor de implementatie van ERM.

- Focus on strategy and business objectives

ERM vereist een focus op de overheersende strategische - en operationele doelstellingen. Een brede erkenning van deze strategie en doelstellingen bij alle medewerkers, draagt zorg voor een bewustwording. Dit wordt bevestigd in het onderzoek van Drew, Kelley en Kendrik (2006). Hier wordt het punt omschreven als allignment, waarin medewerkers de relatie zien tussen de procedures, werk en strategische doelstellingen. Hier wordt benadrukt dat het creëren van een goede, interne allignment een passend niveau van risicomanagement

ondersteunt.

Daarnaast dient het topmanagement nauw betrokken te zijn bij het ERM proces. Voornamelijk bij de discussie rond de internal environment (eerste component van de COSO cubus).

- Think Broadly About the Expansive Range of Risks Facing Your Organization ERM vereist een brede scope van de risicocategorieën. Daarnaast wordt het belang van voldoende resources benadrukt zoals een leidende persoon bij de implementatie en de assistentie van consultants.

- Recognize that ERM is a multi year journey

ERM maakt deel uit van een natuurlijke evolutieproces wat gedurende de tijd evalueert tot een Full Enterprise Risk Managementsysteem. Een specifieke groep belast met risicomanagement moet ervoor zorgen dat deze ERM evolutie wordt en blijft ondersteunt door de gehele organisatie gedurende de jaren. Uit de onderzoeksgegevens en interviews bij zes bedrijven, waaronder

bandenfabrikant Pirelli en chemiebedrijf Clariant, komen negen kenmerken van een succesvolle ERM-benadering naar voren (AON, 2010):

1. Nauwe betrokkenheid van de directie / raad van bestuur

2. Een senior executive als drijvende kracht achter het ERM-proces 3. Een `ERM-cultuur´ in alle lagen van de organisatie

4. Betrokkenheid van alle stakeholders

22 6. Integratie van financieel en operationeel risico voor besluitvorming 7. Geavanceerde methoden en technieken voor risicomanagement 8. Identificatie van nieuwe risico´s met behulp van interne en externe informatie

9. Verschuiving van het voorkomen van risico´s naar benutten van risico´s

Uit de bovenstaande onderzoeken van AON (2010), Beasley et al (2005), Bowling en Rieger (2005), Schanfield en Helming (2008) en Drew et al (2006) zijn een aantal factoren te onderscheiden die in de verschillende onderzoeken zijn benoemd. Deze factoren worden in de onderzoeken gerelateerd aan de implementatie van ERM. De onderzoeken zijn geselecteerd op basis van

relevantie en recentheid. De omschrijving van de factoren zijn gelijk gehouden aan de omschrijving van de factoren door de auteurs van de verschillende onderzoeken. De genoemde factoren in de onderzoeken zijn als volgt te herleiden:

Critical successfactors mentioned _AO

N , 2 0 10 Beas ley , Cl u ne en H er m an son (2 0 0 5) B ow li n g & R ie g er, 2 0 0 5 S ch a n fi eld e n He lm in g , 2 00 8 Dre w , K e ll e y en K e n d rik ( 2 0 0 6 )

1_{Ondersteuning top management} • • •

2_{Leidende persoon} • •

3Externe auditors • • •

4_Training •

5Vision statement and adequate business plan • •

6_{ERM framework selection} •

7_{Focus on strategy and business objectives} • •

8Communicatie tussen alle lagen •

9_{ERM cultuur in alle lagen van de organisatie} •

10_{Internal auditors} •

11Brede scope van risicocategorieën •

12_{Betrokkenheid van alle stakeholders} •

13Integratie van financieel en operationeel risico

voor besluitvorming

14_{Geavanceerde methoden en technieken}

voor risicomanagement

15_{Identificatie van nieuwe risico´s met behulp}

van interne en externe informatie

16Verschuiving van het voorkomen van risico´s

naar benutten van risico´s

•

• •

•

23

Discussie:

Als we kijken naar de genoemde factoren (figuur 6) in de onderzoeken van Enterprise Risk Managementsystemen zijn deze vrij algemeen. Verder wordt geen concreet implementatieadvies gegeven voor een risicomanagementsysteem en wordt er geen onderscheid gemaakt in de menselijke factoren die van belang zijn voor de adoptie van het systeem. Toch kan een overzicht worden

gegenereerd van de 'human factors' rondom de adoptie van ERM. Hierbij zijn de factoren geselecteerd die qua omschrijving direct betrekking hebben op de gebruikers van ERM (adoptie). De volgende factoren gaan hierbij direct de gebruikers van ERM aan.

Human factors

- Alle individuen moeten zijn getraind voor de basis risicomanagement skills

- Een brede erkenning van deze strategie en doelstellingen bij alle medewerkers, draagt zorg voor een bewustwording

- Organisatie waarin medewerkers de relatie zien tussen de procedures, werk en strategische doelstellingen

- Een specifieke groep belast met risicomanagement moet ervoor zorgen dat deze ERM evolutie wordt en blijft ondersteunt door de gehele organisatie gedurende de jaren

- Een `ERM-cultuur´ in alle lagen van de organisatie - Goede communicatie over risicomanagement Figuur 7: Human factors ERM

Voor het onderzoek zullen deze aspecten mee worden genomen in het interview.

3.3 Factoren adoptie ERM

In paragraaf 3.1 is tot een overzicht gekomen met belangrijke factoren (human factors) voor de implementatie van een ERP systeem. In paragraaf 3.2 is tot een lijst gekomen met mogelijke factoren (human factors) voor de implementatie van een ERM systeem. In het volgende overzicht zijn de gevonden factoren van ERP en ERM naast elkaar gezet om de overlappingen/overeenkomsten en verschillen in kaart te brengen.

24

ERP ERM

1. Teamwork composition

ERM cultuur in alle lagen van de organisatie

2. Communication Communicatie tussen alle lagen 3. Project champion Leidende persoon

4. End users involvement Specifieke groep belast met RM Figuur 8: Overeenkomsten tussen kritieke succesfactoren van ERM en ERP.

Op basis van de onderzoeken rondom ERP en ERM is te concluderen dat de human factors overeenkomsten hebben. Teamwork composition, het openstaan voor het nieuwe systeem en kennen van de facetten van het nieuwe systeem, is te vergelijken met de factor ERM cultuur in alle lagen van de organisatie. ERM cultuur in alle lagen van de organisatie wordt hier omschreven als het kennen van de terminologie van ERM en de open houding ten aanzien van ERM.

Communicatie wordt zowel bij ERP als ERM benadrukt als belangrijke factor bij het implementatietraject. Een project champion of leidende persoon wordt eveneens bij de verschillende onderzoeken van ERP en ERM benadrukt. Tot slot wordt de betrokkenheid van de gebruiker bij ERP genoemd. Deze factor is te vergelijken met de factor 'specifieke groep belast met RM' genoemd in de

onderzoeken rondom ERM. Hierbij wordt de betrokkenheid van personen uit alle lagen van de organisatie (gebalanceerd implementatieteam) benadrukt.

Hieruit kan worden geconcludeerd dat de menselijke factoren die van belang zijn bij de adoptie van een ERP systeem overeenkomen met de factoren genoemd bij de adoptie van een ERM systeem. Daarmee acht ik de factoren die van belang zijn voor de adoptie van een ERP systeem vergelijkbaar met de factoren voor de adoptie van een ERM systeem en daarmee bruikbaar voor mijn onderzoek. Dit bevestigt dat naast het feit dat ERP en ERM beiden informatiesystemen zijn er tevens overeenkomsten zijn in de factoren genoemd bij de implementatie. De factoren zijn echter nog vrij algemeen en zullen hieronder nader worden toegelicht.

ERM cultuur in alle lagen van de organisatie

Steeds meer wordt ERM gezien als een core business gespitst op strategie en de dagelijkse operationele activiteiten. Hierdoor ontstaat er de behoefte om het personeel, leiders en bestuur vanuit alle lagen van de organisatie op te leiden

25 voor het proces van ERM. Het instellen van een duidelijke

verantwoordelijkheidsplicht ten aanzien van risico’s is belangrijk in het creëren of veranderen van een risicocultuur. Uit het onderzoek van AON (2010) kwam naar voren dat een aantal organisaties wel succesvol senior management in het ERM proces heeft betrokken, maar bij de meeste organisaties is het niet gelukt het midden management in het ERM proces te betrekken. De experts van AON (2010) benadrukken het belang dat het proces van risicomanagement wordt gekoppeld aan prestatiemetingen van de werknemers in de gehele organisatie en aan het proces van het nemen van beslissingen. Dat zijn indicatoren dat het proces wordt gedragen door de organisatie en er een ERM cultuur aanwezig is.

Communicatie

Communicatie tussen de verschillende afdelingen en functionarissen binnen de organisatie. Hiervoor is een communicatieplan nodig dat ervoor zorgt dat er duidelijke communicatie binnen de gehele organisatie (Finney, 2007). Deze factor wordt tevens benadrukt bij ERM. De zevende component van COSO

benadrukt tevens het belang van een goede communicatie. Daarnaast dienen er duidelijke doelstellingen en een duidelijke koppeling tussen de business

doelstellingen en strategie te worden geïdentificeerd (Finney, 2007). Dit wordt onder ERM ook benadrukt. Hier wordt de term allignment aangehaald en bekendheid van de medewerkers met de strategische doelen. Een brede

erkenning van deze strategie en doelstellingen bij alle medewerkers, draagt zorg voor een bewustwording. Dit wordt bevestigd in het onderzoek van Drew, Kelley en Kendrik (2006). Hier wordt het punt omschreven als allignment, waarin medewerkers de relatie zien tussen de procedures, werk en strategische doelstellingen. Hier wordt benadrukt dat het creëren van een goede, interne allignment een passend niveau van risicomanagement ondersteunt.

Leidende persoon

Aan de hand van twee uitgevoerde casestudies benadrukken Parr & Shanks (2000) het belang van een ‘champion’ in een ERP project. Een ervaren leider binnen een project met de nodige kennis en verantwoordelijkheden zijn leidend voor een succesvolle implementatie. Bowling & Rieger (2005) benadrukken de

26 term leidende persoon bij ERM implementaties in de vorm van bijvoorbeeld een chief risk officer (CRO).

Specifieke groep belast met RM

Nauwe betrokkenheid van de eindgebruikers bij het implementatieproces. De betrokkenheid van de eindgebruikers wordt genoemd onder het hebben van een gebalanceerd implementatieteam, met leden van alle afdelingen binnen de organisatie (Finney, 2007). In het vervolg van dit onderzoek wordt deze factor dan ook omschreven als 'betrokkenheid gebruikers'.

Conclusie:

Zoals in hoofdstuk 1 is bekritiseerd is het de vraag of het houden aan een lijst van factoren, de zogeheten kritieke succesfactoren, leidt tot een succesvolle adoptie van ERM. In de verschillende onderzoeken rondom ERM en ERP wordt wel veelvuldig gebruik gemaakt van kritieke succesfactoren. De genoemde factoren zullen mee worden genomen in het verdere onderzoek en de mate waarin deze factoren adequaat zijn ingeregeld binnen de onderzochte ondernemingen zullen eventueel leiden tot kritische kanttekeningen bij de genoemde factoren.

27

4. Implementatie, adoptie en veranderingen binnen de

organisatie

In dit hoofdstuk wordt ingegaan op het proces van implementatie en de veranderingen die hiermee gepaard gaan binnen de organisatie. Bij deze

veranderingen wordt hier expliciet de veranderingen voor de mensen binnen de organisatie bedoeld (human factors). In paragraaf 4.1 wordt allereerst het begrip implementatie beschreven. Vervolgens worden in paragraaf 4.2 de veranderingen binnen de organisatie op de medewerkers uiteengezet bij een implementatie. In paragraaf 4.3 wordt het begrip adoptie beschreven en de wijze waarop het begrip adoptie wordt gehanteerd binnen dit onderzoek. Tot slot wordt in

paragraaf 4.4 het conceptueel model geformuleerd en de deelvragen die in het verdere onderzoek zullen worden beantwoord.

4.1 Implementatie

Implementatie kan worden beschreven als "een procesmatige en planmatige invoering van vernieuwingen en/of veranderingen van bewezen waarde met als doel dat deze een structurele plaats krijgen in het handelen, in het functioneren

van organisatie(s)" (Zorg Onderzoek Nederland, 1997).

Bij een implementatietraject kunnen drie fasen worden onderscheiden (Rogers, 1995).

Adoptiefase: fase waarin blootstelling aan de vernieuwing plaatsvindt en een

houding hierop wordt gevormd. Is die houding positief en wordt de vernieuwing als nieuwe werkwijze geaccepteerd dan spreken we van adoptie.

Implementatiefase: fase waarin de vernieuwing daadwerkelijk in gebruik wordt

genomen en in de dagelijkse routines wordt ingevoerd.

Behoud/Bevestigingsfase: fase waarin continuering van het gebruik van de

28 4.2 Veranderingen binnen de organisatie

Implementatie gaat gepaard met een organisatorische verandering en het overwinnen van de weerstand van de gebruikers van het nieuwe systeem.

Affectieve medewerking in een verandering binnen een organisatie wordt ook wel innovatie adoptie genoemd. Adoptie van een innovatie wordt hier beschreven als 'een beslissing, specifiek gemaakt door senior managers binnen de organisatie, dat medewerkers de innovatie gaan gebruiken in hun werk (Michealis,

Stegmaier, Sonntag, 2009).

Volgens Aladwani (2001) is de eerste stap bij een verandering in een organisatie het identificeren en evalueren van het gedrag van individuele gebruikers en invloedrijke groepen. Belangrijke aspecten bij de identificatie hiervan zijn: . Wie zijn de individuen en / of groepen die weerstand geven?

. Wat zijn hun behoeften?

. Welke overtuigingen en waarden hebben ze? . Wat zijn hun belangen?

De beantwoording van deze vragen is volgens Aladwani een goed startpunt in het onderkennen van mogelijke weerstand op de implementatie door gebruikers van de innovatie. Overtuigingen en waarden van gebruikers zijn goede

indicatoren van wat hun weerstand tegen een verandering binnen de organisatie kan veranderen. Een voorbeeld van weerstand is; het loopt al jarenlang goed zonder hulp van de innovatie. Andere gebruikers weten niet hoe ze het werk moeten gaan doen of zijn bang hun baan kwijt te raken na de innovatie.

Volgens Pijpers verschilt de mate van adoptie per individu en is het gebaseerd op de volgende vijf karakteristieken van een innovatie:

- Relative advantage: dit is de mate waarin het nieuwe systeem als beter wordt gezien dan het oude systeem dat het vervangt.

- Compatibility: hier wordt de mate waarin het nieuwe systeem consistent is met de bestaande waarden en de behoeften van degenen die het nieuwe systeem gaan gebruiken bedoeld. Als het nieuwe systeem niet verenigbaar is met de bestaande waarden, zullen eerst nieuwe waarden moeten worden geaccepteerd.

29 - Complexity: de mate waarin het nieuwe systeem wordt gezien als moeilijk te begrijpen, te leren en te gebruiken.

- Trialability: de mate waarin met een nieuw systeem gedurende korte tijd mag worden geëxperimenteerd. Als een manager in een organisatie mag ‘spelen’ met een nieuw systeem, vermindert zijn onzekerheid en gaat acceptatie sneller. - Observability: de mate waarin de resultaten van het nieuwe systeem zichtbaar zijn voor anderen. Zichtbaarheid is een zeer sterke factor in de discussie over en acceptatie van nieuwe technologieën.

De 'relative advantage' en de 'complexity' worden in de literatuur gerelateerd aan de 'perceived usefulness' en 'perceived ease of use' (Sanford en Hyunok, 2010).

Perceived usefulness: mensen zullen een nieuw systeem al dan wel of niet gebruiken afhankelijk van of ze denken dat het helpt hun werk beter uit te voeren.

Perceived ease of use: het systeem is te ingewikkeld of de inspanning die ervoor nodig zijn wegen niet op tegen de geschatte baten.

Deze vijf karakteristieken worden beïnvloed door de wijze van communiceren over de innovatie. Aladwani (2001) noemt het communiceren van de voordelen van het nieuwe systeem door de senior managers als effectieve

communicatiestrategie. Een andere communicatiestrategie is het geven van een algemene beschrijving door de senior managers van de wijze waarop het

geïmplementeerde nieuwe systeem zal gaan werken. Aladwani maakt hier de vergelijking met de marketing. Marketeers gebruiken deze strategie om een open houding van de gebruikers te waarborgen voor een nieuw product. Het leren aan elk van de verschillende groepen gebruikers hoe de innovatie werkt is belangrijk in het creëren van bewustzijn. Deze communicatiestrategieën dragen bij aan het creëren van acceptatie van de innovatie door de gebruikers. In de literatuur wordt de acceptatie van een informatiesysteem ook wel de diffusie genoemd (Pijpers, Monfort, Heermstra, 2002). Diffusie is een bijzondere vorm van communicatie, waarbij de boodschap bestaat uit informatie over het nieuwe systeem.

30 Bij deze communicatie is het wegnemen van de genoemde voorbeelden van weerstand essentieel. Als de werknemer zich realiseert dat de innovatie een kans is voor het verbeteren van zijn of haar baan, dan is er belang voor de innovatie (Aladwani, 2001). Verandermanagers zijn hierbij belangrijk om de gebruikers te overtuigen van de innovatie. Deze verandermanagers dragen positief bij aan het ontwikkelen van sterke gevoelens bij de gebruikers in de richting van de

acceptatie en vaststelling van de innovatie.

Pijpers benadrukt de term 'sociaal systeem'. Dit zijn een aantal afhankelijke groepen met een gemeenschappelijk doel. De cultuur van de organisatie speelt hierbij een rol alsmede de aanwezigheid van verandermanagers. De

verandermanagers kunnen het gedrag en de houding van mensen in sterke mate beïnvloeden. Mensen binnen de organisatie zullen op basis van de vijf

karakteristieken een mening vormen over het nieuwe systeem. De mening is het belangrijkste stuurmiddel in het besluit tot acceptatie.

In het beïnvloeden van gedrag van medewerkers zijn twee uitersten te

onderscheiden: afdwingen en inspireren. Inspireren is effectiever omdat deze eerder leidt tot een blijvende gedragsverandering (Nivra debatbijeenkomsten, 2009). Michaelis, et al. (2009) benadrukken het belang van charismatische leiders in het beïnvloeden van het gedrag en de behoefte om te veranderen. Charismatische leiders motiveren de waarden, behoeften, voorkeuren en ambities van volgelingen. Charismatische leiders worden hier omschreven als effectieve leiders die visies verwoorden die zijn gebaseerd op normatieve ideologische waarden en die innovatieve oplossingen bieden voor grote

maatschappelijke problemen. Ze staan voor innovatief veranderen, en zijn over het algemeen effectiever onder vormen van sociale stress en crisis. Met andere woorden charismatisch leiderschap zorgt ervoor dat volgelingen meer open staan voor organisatorische wijzigen. Met name wanneer een leider charismatisch is en volgelingen zich identificeren met de leider, zullen nieuwe innovaties, die de oude manieren van doen ter discussie stellen, meer kans van slagen hebben.

4.3 Adoptie

Uit bovenstaande blijkt dat de adoptie en acceptatie van een innovatie vaak op eenzelfde wijze worden gehanteerd in de literatuur. Adoptie is de acceptatie van een innovatie door de gebruikers. Michealis et al. (2009) beschouwt de adoptie

31 echter als een beslissing op een hoger niveau in de organisatie dat de innovatie gebruikt gaat worden. In dit onderzoek wordt de term adoptie breder getrokken en als volgt beschouwd:

Adoptie = accepteren en in gebruik nemen van een innovatie door de gebruikers. Aansluitend bij de fasen van implementatie van Rogers (1995) betekent dit dat het begin van de adoptiefase wordt beschouwd als vaststelling van de innovatie door de senior managers en het onderzoek zich richt op de fase tussen de adoptiefase en implementatiefase. De kennismaking en ingebruikname van de innovatie door alle gebruikers van de innovatie.

Bij de acceptatie worden in dit onderzoek factoren beschouwd als communicatie rondom de innovatie door de senior managers naar de gebruikers en het vormen van een houding hierop door de gebruikers (adoptiefase). Bij ingebruikname worden in dit onderzoek factoren beschouwd die van belang zijn voorafgaand aan de daadwerkelijke implementatiefase (begin implementatiefase) zoals training en inzet van verandermanagers.

Het onderzoeksgebied ziet er na deze afbakening als volgt uit:

Adoptiefase Implementatiefase Behoudfase

Einde

implementatietraject risicomanagementsyste em

Weerstand tegen de verandering

onderzoeksgebied

Figuur 9: onderzoeksgebied implementatie

In het vervolg van dit onderzoek wordt onder adoptie dan ook verstaan de acceptatie en ingebruikname van het Enterprise Risk Managementsysteem door de gebruikers in de organisatie.

Uit literatuur rondom veranderingen binnen een organisatie bij een innovatie komt naar voren dat de relative advantage, compatibility, complexity, triability

32 en observability en de invloed van de verandermanagers op de werknemers belangrijke invloed hebben op de adoptie van een nieuw systeem binnen de organisatie. Voor het onderzoek zullen deze aspecten mee worden genomen in het interview.

4.4 Conceptueel model

Uit de beschreven literatuur omtrent risicomanagement en implementatie kunnen we de volgende drie factoren onderscheiden die mogelijk van invloed zijn op de adoptie van een Enterprise Risk Managementsysteem:

- Communicatie - Implementatieteam - Organisatiebeleid

Bovengenoemde factoren zijn tot stand gekomen uit het samenvoegen van enkele subcategorieën die worden beschreven in de literatuur.

De factor 'communicatie' komt tot stand uit de volgende subcategorieën: - introductie Enterprise Risk Management (paragraaf 3.3/4.2);

- verandermanagers (paragraaf 4.2);

- brede erkenning van strategie en doelstellingen (paragraaf 3.3).

De factor 'implementatieteam' komt tot stand uit de volgende subcategorieën: - leidende persoon (paragraaf 3.3);

- betrokkenheid implementatie mensen uit alle lagen van de organisatie (paragraaf 3.3);

- betrokkenheid externe auditors / consultants (paragraaf 3.3).

De factor 'organisatiebeleid' komt tot stand uit de volgende subcategorieën: - risicomanagement als onderdeel van het nemen van beslissingen (paragraaf 3.3);

- risicomanagement als onderdeel van de prestatiemetingen (paragraaf 3.3); - training ten aanzien van de facetten van risicomanagement (paragraaf 3.3).

33 Veronderstelt wordt dat deze factoren op een bepaalde wijze van invloed zijn op de acceptatie en ingebruikname van een Enterprise Risk Management systeem. Hierbij speelt weerstand tegen de verandering een centrale rol.

Op basis van de beschreven literatuur kan het volgende conceptueel model worden gerealiseerd.

Acceptatie en ingebruikname Enterprise Risk Managementsysteem

Communicatie Organisatiebeleid Implementatieteam

Weerstand

Figuur 10: conceptueel model

Uit het verdere onderzoek zal de specifieke informatie dienen te worden

verzameld rondom de verschillende factoren bij de acceptatie en ingebruikname van een Enterprise Risk Managementsysteem.

Op basis van het conceptueel model en de beschreven theorie kunnen de volgende deelvragen geformuleerd worden:

- Op welke wijze is de factor 'communicatie' van invloed op de acceptatie en ingebruikname van een Enterprise Risk Managementsysteem door de

geïnterviewde personen?

- Op welke wijze is de factor 'implementatieteam' van invloed op de acceptatie en ingebruikname van een Enterprise Risk Managementsysteem door de

34 - Op welke wijze is de factor 'organisatiebeleid' van invloed op de acceptatie en ingebruikname van een Enterprise Risk Managementsysteem door de

geïnterviewde personen?

- In hoeverre zijn de factoren 'communicatie', implementatieteam' en

'organisatiebeleid' adequaat ingeregeld binnen de onderzochte ondernemingen volgens de geïnterviewde personen?

35

5. Opzet onderzoek

In dit hoofdstuk zal worden beschreven hoe het onderzoek tot stand is gekomen. Allereerst zal in paragraaf 5.1 de onderzoekspopulatie en - methode worden toegelicht. Vervolgens zal in paragraaf 5.2 de totstandkoming van het interview worden uiteengezet. Tot slot wordt in paragraaf 5.3 ingegaan op de wijze van analyseren van de interviewresultaten.

5.1 Onderzoekspopulatie en onderzoeksmethode

De onderzoekspopulatie bestaat uit 'grote' organisaties in de financiële sector waarbij een formeel Enterprise Risk Managementsysteem is/wordt

geïmplementeerd. Er is gekozen voor de financiële sector omdat de financiële dienstverlening en energie & utilities bedrijven beduidend vaker een formeel risicomanagement beleid hebben dan andere branches (PwC, 2006). Het blijkt ook dat bedrijven in de banken-, onderwijs- en verzekeringssector verder zijn met hun implementatie van Enterprise Risk Management (Beasley et al, 2005). Dit heeft ook te maken met de specifieke wetgeving in deze sectoren zoals Solvency en Basel. Hierdoor is de verwachting dat organisaties in de financiële sector voldoende ervaring hebben met de implementatie en daarmee de adoptie van een ERM systeem om de benodigde gegevens te verkrijgen.

Er is gekozen voor een kwalitatief onderzoek voor de beantwoording van de probleemstelling. Kwalitatief onderzoek is een geschikte onderzoeksmethode omdat deze ingaat op motieven en meningen en daarnaast biedt deze methode mogelijkheden om meer diepgaande informatie te verkrijgen per respondent. Deze diepgaande informatie is vereist om meer inzicht te krijgen in de

problematiek en specifieke invulling van de factoren die van invloed zijn op de adoptie van het ERM systeem. Het nadeel is dat deze onderzoeksmethode vaak een relatief smalle steekproef oplevert.

Om een hoge respons te krijgen binnen de beperkte onderzoekspopulatie is gekozen voor een drietal rechtstreekse interviews. Aangezien het een

verkennend onderzoek is, is er bewust voor gekozen om een drietal interviews af te nemen bij verschillende organisaties. Dit geeft voor het onderzoek een breder beeld omtrent de problematiek rondom de adoptie van een ERM systeem. In de

36 onderzoekspopulatie zijn een bank en een tweetal verzekeringsmaatschappijen betrokken. De geïnterviewde personen hebben bij de implementatie van het risicomanagementsysteem een ondersteunende rol (staffunctie).

5.2 Van theorie naar interview

In hoofdstuk 3 en 4 is tot een drietal variabelen gekomen die mogelijk van invloed zijn op de adoptie van een risicomanagementsysteem. Deze variabelen 'communicatie', 'implementatieteam' en 'organisatiebeleid' zijn als topics

meegenomen in de vragenlijst. Middels de subcategorieën genoemd in paragraaf 4.4 zijn theoretische variabelen afgeleid. Dit zijn variabelen die een rechtstreekse vertaling zijn van het doel van het interview (Emans, 1990). Aangezien deze theoretische variabelen vaak complex zijn om direct als vraag in het

interviewschema te verwerken, zijn er eerst 'ruwe' variabelen afgeleid. Deze ruwe variabelen zijn vragen die gezamenlijk een antwoord geven op de

theoretische variabelen, in dit geval de subcategorieën genoemd in paragraaf 4.4. Middels deze 'ruwe' variabelen is uiteindelijk tot een interviewschema gekomen (bijlage 3).

In beginsel is er eerst een open vraag (brede benadering) gevolgd door

specifieke vragen (smalle benadering). Deze specifieke vragen stonden van te voren niet allemaal vast gezien de interviewer hier anticipeerde op het antwoord op de open vraag door de geïnterviewde. Er is daarom gekozen voor een

halgestructureerd interview om zo zoveel mogelijk informatie te verkrijgen van de geïnterviewde en hiermee een zo goed mogelijke impressie te krijgen van de adoptie van een Enterprise Risk Managementsysteem.

5.3 Analyse resultaten

Om de resultaten van het drietal interviews met elkaar te kunnen vergelijken is er bij een aantal 'smalle' vragen gekozen voor een keuzemogelijkheid 'ja of nee' of '1, 2, 3, of 4'. Bij de keuzemogelijkheid 1 t/m 4 is de keuze 1 'geheel niet' en de keuze 4 'geheel wel'. De duur van de interviews varieerde tussen één uur en anderhalf uur. Elk interview is opgenomen op een bandrecorder en vervolgens uitgewerkt. Voordat de resultaten van het interview in het onderzoek zijn verwerkt zijn deze eerst nog gecontroleerd door de betreffende geïnterviewde

37 om ervoor te zorgen dat er geen onjuistheden of verkeerde interpretaties in het onderzoek worden verwerkt.

De geïnterviewden hebben het verzoek gedaan om de ingewonnen informatie anoniem te verwerken in dit onderzoek. Daarom worden de naam van de bank en verzekeringsmaatschappijen in kwestie niet genoemd. De naam van de geïnterviewde persoon wordt eveneens niet genoemd. Bij het onderzoek zijn de volgende ondernemingen en personen betrokken.

Onderneming Soort onderneming

Aantal geïnterviewde personen

Functie geïnterviewde persoon

A Bank 1 Businesscontroller

B Verzekeringsmaatschappij 2 Hoofd financiën en Risk & Compliance Officer

C Verzekeringsmaatschappij 1 Manager Risk, Tax, Treasury en fraudebeheersing

38

6. Resultaten onderzoek

In dit hoofdstuk zijn de onderzoeksresultaten weergegeven. Allereerst wordt een analyse gemaakt van de resultaten per geïnterviewde onderneming in een casus vorm. Vervolgens zal de analyse van deze onderzoeksresultaten leiden tot het beantwoorden van de vier deelvragen.

6.1 Resultaten interviews

Hieronder zijn de resultaten van de interviews uiteengezet in een casus vorm. Hierin wordt eerst een beschrijving gegeven van de verandering en vervolgens ingegaan op de daadwerkelijke implementatie.

6.1.1 Onderneming A

Verandering

Persoon 1 geeft aan dat ongeveer 1,5 jaar geleden een nieuw hulpmiddel voor risicomanagement is geïmplementeerd. Risicobeheersing wordt nu formeel middels dit hulpmiddel vastgelegd. Voor de implementatie was er nog geen formeel hulpmiddel om risicobeheersing vast te leggen. Persoon 1 is zelf ongeveer een jaar in dienst en heeft daarom maar een deel van de implementatie meegemaakt.

Implementatie

Persoon 1 geeft aan dat nadat door de directie is besloten om het systeem te gaan implementeren de manager Control en een businesscontroller zijn aangesteld om de implementatie te gaan leiden. De manager Control en de businesscontroller hebben een vrij technisch project gemaakt voor de

implementatie. In een interne nota zijn de voordelen van het systeem vastgelegd alleen is deze nota en de voordelen van het systeem niet verder

gecommuniceerd.

De eerste kennismaking voor de gebruikers van het nieuwe systeem was in het 'management team' overleg. Hierbij waren alle managers van de verschillende afdelingen aanwezig. Volgens persoon 1 was de introductie hier puur een weergave van de werking van het nieuwe systeem. De uitleg was voornamelijk "klikken door het systeem heen". Er werd nagenoeg niet gecommuniceerd over

39 het doel en de voordelen van het nieuwe systeem. Voor de implementatie

hadden de managers van de verschillende afdelingen niks met vastleggingen van risicomanagement te maken. Nu moeten zij wel een aantal aspecten gaan

vastleggen. De reacties van de managers gingen voornamelijk over het feit dat zij het 'controle op controle' vonden. Controle doet de afdeling 'control' wel en de managers voelen zich hier dan ook niet meteen verantwoordelijk voor.

Daarna is er een presentatie geweest voor alle gebruikers van alle afdelingen. Deze presentatie was eveneens vrij technisch en "klikken door het systeem heen". Volgens persoon 1 ontbrak het bij de presentatie aan het creëren van draagvlak. Hierdoor werden dan ook eerst enkel de nadelen van het systeem gezien. Uiteindelijk is het bij de vrij technische presentatie gebleven en heeft de ingebruikname van het systeem vrijwel direct plaatsgevonden. Er was een handboek en als er vragen waren konden de gebruikers deze stellen. Er is niet geëxperimenteerd met het nieuwe systeem. Dit kon wel volgens persoon 1, maar hier is geen aandacht voor geweest vanuit het implementatieteam.

Het implementatieteam van het nieuwe systeem bestond zoals gezegd uit de manager Control en een businesscontroller. De manager Control was bij de implementatie de leidende persoon, de zogeheten projectleider. De

businesscontroller is belast met de specifieke taak om de introductie van het systeem te communiceren binnen de organisatie. Volgens persoon 1 moet deze businesscontroller, naast de specifieke vakkennis, ook kennis hebben van veranderingen en dient zij tevens op te treden als verandermanager. Deze specifieke eigenschap van veranderingmanager ontbrak bij deze communicatie. Door omstandigheden (bedrijf was in fusie) is in het voortraject geen rekening gehouden met mogelijke vormen van weerstand die op zouden treden en is deze fase eigenlijk te snel doorlopen. "De eerste indruk was dat het systeem heel technisch is en dan zie je dat mensen er niet mee gaan werken. De toegevoegde waarde is niet duidelijk overgebracht". Uiteindelijk heeft de businesscontroller, na ingebruikname van het nieuwe systeem, elke manager individueel mee door het systeem genomen. Deze individuele benadering werkte wel. De managers kregen hierdoor meer affiniteit met het nieuwe systeem en het was zo beter te begrijpen. Volgens persoon 1 lag het probleem voornamelijk dat het

40 probeerde draagvlak te krijgen voor het nieuwe systeem in plaats van andersom. Bij de communicatie rondom het nieuwe systeem zijn geen mensen buiten de organisatie om betrokken geweest. Dit zou volgens persoon 1, gezien de

tekortkoming bij de communicatie, wel een goede aanvulling zijn geweest. Een consultant die meer aandacht kan bieden ten aanzien van de communicatie van het systeem binnen de organisatie. In het implementatieteam zaten naast de manager en de businesscontroller verder geen gebruikers van andere afdelingen. Volgens persoon 1 was dit ook één van de redenen dat het systeem weinig

draagvlak kreeg van de gebruikers in eerste instantie. Het implementatieteam had niet de capaciteiten om de gebruikers echt te bereiken.

De eerste reacties bij ingebruikname waren voornamelijk dat het systeem vrij technisch is. Er dienen veel gegevens te worden ingevuld. Voorbeeld van een reactie van een manager "soms lijkt het wel of ik enkel dingen invul om het systeem te bevredigen". Daarnaast zijn er in eerste instantie ook nog een aantal gegevens buiten het systeem om verwerkt. Dit werd ervaren als dubbel werk.

Organisatiebeleid

Bij de implementatie van het nieuwe systeem zijn specifieke trainingen geweest voor de procescontroller. Dit betrof 1 cursus waarbij voornamelijk inhoudelijk werd ingegaan op de werking en vastleggingen in het systeem. De managers zijn niet betrokken geweest bij de cursussen. Deze cursus heeft volgens persoon 1 wel bijgedragen aan een betere acceptatie van het systeem. Daarnaast is er zoals al eerder gezegd een presentatie geweest over de werking van het nieuwe systeem, waarbij alle gebruikers betrokken waren. De rest is op de werkvloer geleerd nadat het systeem in gebruik is genomen.

Ten aanzien van de terminologie krijgen de procescontrollers en

businesscontrollers specifieke cursussen. Volgens persoon 1 is er wel enige discussie over de terminologie die komt kijken bij risicomanagement. Persoon 1 geeft aan dat de interpretatie van het probleem en risico's nogal eens verschillen tussen de gebruikers. Het kost veel tijd om de discussies omtrent deze

terminologie duidelijk te krijgen. Bij de implementatie van het nieuwe systeem is hier wel aandacht aan besteed.

41 Verantwoordelijkheden ten aanzien van risicomanagement liggen vast in

functieprofielen. "Als mensen zich niet verantwoordelijk voelen werkt het niet". Iedereen neemt verantwoordelijkheid en geeft verantwoordelijkheid. Aan het begin van het implementatietraject was er nog gedeelde verantwoordelijkheid. Hierbij waren soms meerdere mensen verantwoordelijk voor een taak binnen risicomanagement. Bij problemen is het dan lastig om iemand hierop te wijzen. Volgens persoon 1 werkt gedeelde verantwoordelijkheid dan ook niet. Persoon 1 geeft aan dat er niet direct sprake is van prestatiemeting. Er vindt enkel

prestatiemeting plaats op de inhoud van het werk en niet inhoudelijk over risicomanagement.

Slot

Volgens persoon 1 zijn de belangrijkste elementen bij de communicatie van het systeem de communicatie over het doel en de voordelen van het nieuwe

systeem. De positieve aspecten van het nieuwe systeem vallen niet snel op. Belangrijk om aan te tonen dat het systeem wat toevoegt. Als het werk makkelijker wordt zal dit bijdragen aan meer draagvlak.

Daarnaast zijn belangrijke elementen bij het implementatieteam de leidende persoon die draagvlak kan creëren bij de gebruikers binnen de organisatie. Het is belangrijk dat bij de introductie van het systeem gebruikers uit alle afdelingen van de organisatie zijn betrokken. Dit om meer draagvlak te creëren. Tot slot de externe consultant die meer aandacht kan bieden voor communicatie binnen de organisatie.

Resumerend is de essentie van het nieuwe systeem niet duidelijk overgebracht binnen de organisatie volgens persoon 1. "Als je iets belangrijk vindt moet je het ook belangrijk maken. Over de implementatie verder binnen de organisatie A had beter nagedacht moeten worden. Er is inhoudelijk begonnen in plaats van eerst 'commitment' en gedragenheid creëren. Dit heeft de acceptatie van het nieuwe systeem niet bevorderd".

Persoon 1 geeft op dit moment ten aanzien van de adoptie van het

risicomanagementsysteem binnen onderneming A het cijfer '6'. Langzaam is er steeds meer draagvlak. Echter is het nog niet volledig geadopteerd.

42

6.1.2 Onderneming B

Verandering

Persoon 1 geeft aan dat in het kader van Solvency II men bezig is met de implementatie van een risicomanagementsysteem binnen de organisatie. Naast de verplichting uit Solvency II wil het management zelf ook graag een

risicomanagementsysteem om adequaat risico's te kunnen managen. Als hulpmiddel voor risicomanagement wordt het Financiële Instellingen

Risicoanalyse Methode (FIRM) gebruikt. Dit hulpmiddel wordt nu al gebruikt op hoger strategisch niveau om strategische risico's in kaart te brengen en te beheersen. Vanaf september 2011 wil men het hulpmiddel voor

risicomanagement ook in gebruik nemen op operationeel niveau van de organisatie om ook de procesrisico's in het risicomanagementsysteem te betrekken.

Implementatie

Persoon 1 geeft aan dat op dit moment in het teamoverleg met de teamleiders van de verschillende afdelingen is gecommuniceerd over de toekomstige

ingebruikname van FIRM. Het hoofd financiën heeft hier aangegeven dat in het kader van Solvency II een risicomanagementsysteem zal worden

geïmplementeerd. De eerste reacties waren niet geheel positief. Het wordt eerst ervaren als een maatregel die wordt opgelegd door anderen (Solvency II). Voorbeeld reactie: "Wij worden de dupe omdat er bij de grotere financiële instellingen dingen mis gaan."

Persoon 1 geeft aan dat middels een nieuwsbrief deze aankomende verandering is gecommuniceerd bij de gebruikers. "De mensen weten dus al wel dat er wat gaat gebeuren". De reacties waren niet geheel positief. "Het is al 30 jaar goed gegaan, moet er nu echt iets veranderen?" Echter langzamerhand snappen mensen wel dat de tijd en de markt verandert.

Voor de implementatie van dit nieuwe systeem is een Risk en Compliance Officer aangetrokken die dit proces gaat leiden. Daarnaast zijn er bij de implementatie consultants betrokken. De consultants begeleiden enkel het hoofd financiën en Risk en Compliance Officer bij de eisen ten aanzien van Solvency II en zullen niet verder bij de implementatie betrokken worden. De Risk en Compliance Officer