Door majoor (R.) mr. M. Antzoulatos-Borgstein, MSc LLM1
Inleiding
In het eerste deel van dit drieluik , “Een Introductie in Export Controls en Compliance”, is het theoretische fundament gelegd voor de opvolgende delen van het drieluik. Dit tweede deel, “Enterprise Risk Management, Strategie en Compliance”, gaat in op risicomanagement, strategie en het belang daarvan voor organisaties die compliant willen zijn en tegelijkertijd maximale effectiviteit en efficiëntie van hun investeringen in compliance systemen willen bereiken. Daar waar gesproken wordt over compliance, kan daaronder mede worden verstaan export compliance.
In het onderstaande worden de volgende onderwerpen behandeld: Uitleg van het begrip Enterprise Risk Management (ERM); Hoofdcategorieën van ERM systemen; Voordelen van een dynamisch ERM systeem; Het belang van een dynamisch strategiemodel; Toepassing van dynamische modellen in relatie tot compliance; Integrated Compliance Strategy (ICS); ERM, ICS en ICP. Het artikel wordt afgesloten met een samenvatting.
In het derde deel van dit drieluik worden de onderwerpen die in de eerste twee delen aan bod zijn gekomen nader in verband gebracht met defensieorganisaties. Achter elk deel is een literatuurlijst opgenomen, alsmede een begrippenlijst. Woorden die schuingedrukt in de tekst voorkomen worden in die begrippenlijst verklaard.
Uitleg van het begrip ERM
Risicomanagement als specialisme kwam tot ontwikkeling vanaf 1960 en ontwikkelde door in de decennia daarna. De intrede van ERM gaf vooral verbreding van het te behandelen risicopalet (D’Arcy, 2001). ERM nam een hoge vlucht in het midden van de jaren ’90 van de vorige eeuw. Aan de basis ligt de neoliberale opvatting over organisaties als geïntegreerde, zelfregulerende entiteiten, wiens activiteiten kwantitatief en modelmatig gereguleerd kunnen worden (Power, 2009). Hoewel deze opvatting beperkingen kent, heeft dit de algemene aanvaarding van ERM als het middel bij uitstek om risico’s te managen niet in de weg gestaan (Fraser en Simkins, 2016; D’Arcy, 2001) en past het bij de tendens dat stake holders meer en betere vormen van oversight eisen (Beasly, Clune, Hermanson, 2005, p. 522). Hoewel ERM is ontstaan binnen het domein van internal controls, beoogt het een managementfilosofie te zijn die reasonable assurance biedt ten aanzien van het behalen van organisatiedoelstellingen (Arena, Arnaboldi en Azzone, 2010; COSO, 2004).
ERM wordt door sommigen omschreven als een systematiek die organisaties in staat stelt om structuur aan te brengen in de zekerheid van onzekerheden. Door middel van ERM wordt beoogt om risicomanagement te koppelen aan organisatiestrategie en het bepalen van organisatiedoelen. Daardoor is ERM verbonden met de domeinen internal control, verantwoording en besluitvorming (Arena, Arnaboldi en Azzone, 2010, p. 659). ERM laat zich lastig concreet definiëren, omdat het niet een afgebakend onderwerp betreft, maar conceptueel van aard is (Power, 2009, p. 849). ERM kan het beste worden omschreven als een raamwerk of proces dat is ontwikkeld en wordt toegepast om organisatierisico’s te identificeren, te beoordelen en te managen met als oogmerk het bieden van een redelijke mate van zekerheid met betrekking tot het behalen van de doelstellingen van een organisatie, inclusief doelstellingen op het gebied van compliance (Antzoulatos-Borgstein, 2018). Voorop staat dat ERM een gestandaardiseerde benadering voorstaat bij het managen van risico’s (D’Arcy, 2001, p. 4).
ERM wordt vaak in verband gebracht met het in 2004 gepubliceerde document van de Committee of Sponsoring Organizations of the Treadway Commission (COSO) getiteld ‘Enterprise Risk Management – Integrated Framework’ (COSO, 2004). Met dit framework wordt beoogt managers op elk niveau in de organisatie ondersteuning te bieden bij hun besluitvorming en planning, mede door een richtlijn te geven hoe ERM kan worden ontworpen en geïmplementeerd. ERM wordt in dit verband voorgesteld als een driedimensionale matrix, bestaande uit acht elementen: internal environment, objective setting, event identification, risk assessment, risk response, control activities, information and communication, monitoring. Deze elementen worden beschouwd als voorwaardelijk voor het behalen van strategische, operationele, rapportage en compliance doelstellingen (Arena, Arnaboldi en Azzone, 2010, p. 661).
Hoewel COSO een heldere definitie en een normatieve omschrijving bevat van ERM, laat de praktijk een minder homogeen beeld zien. Verschillende organisaties, en zelfs onderdelen binnen dezelfde organisaties, zijn geneigd om hun ERM systemen op uiteenlopende wijzen in te richten en te implementeren (Arena, Arnaboldi en Azzone, 2010 pp. 659-660). Ten dele is dit verdedigbaar, omdat geen enkele organisatie hetzelfde is en een one-size-fits-all systeem niet bestaat. Anderzijds, is het risico van deze heterogene toepassing dat verarming van het concept kan optreden, resulterend in systemen die niet datgene doen wat ze zouden moeten doen: risico’s managen door, enerzijds, de ontwikkeling en implementatie van internal controls en mitigerende maatregelen waarmee material risks worden gereduceerd tot restrisico’s die in overeenstemming zijn met de beoogde risk appetite en, anderzijds, door het monitoren van die controls en de op basis daarvan gegenereerde feedback te gebruiken om aanpassingen aan het systeem door te voeren (Power, 2009). Wanneer risico’s niet adequaat gemanaged worden, kan dat schadelijk zijn voor de organisatie als geheel, bijvoorbeeld doordat organisatiedoelstellingen niet behaald worden of omdat er material non-compliances worden begaan. Material non-compliances kunnen op hun beurt een negatief effect hebben op het behalen van organisatiedoelstellingen (Antzoulatos-Borgstein, 2017).
Het bovenstaande maakt ook duidelijk wat ERM wel is: een conceptueel model dat kan helpen om risico’s in kaart te brengen, te structureren en te managen. Het laat echter ook zien wat ERM niet is: een one-size-fits-all oplossing waarmee alle risico’s die een organisatie loopt kunnen worden afgedekt. ERM blijft een conceptueel model en daardoor per definitie imperfect (Gordon, Loeb, Tseng 2009, p. 303).
Hoofdcategorieën van ERM systemen
Vanwege de hierboven genoemde imperfectie, waarschuwt Power (2009, pp. 850-851) dat een heilig geloof in ERM risicovol is. Volgens hem zijn ERM systemen, en het daarmee samenhangende begrip risk appetite, producten van het neoliberale wereldbeeld, waarin organisaties worden beschouwd als geïntegreerde, zelfregulerende eenheden. Het risico van dit uitgangspunt, alsmede van een onevenredig vertrouwen op de modelmatige werkelijkheid, is, volgens Power, dat de kwaliteit van de verbinding met de bredere maatschappij, waarin deze organisaties acteren en waarvan zij een onlosmakelijk onderdeel vormen, dreigt te worden gereduceerd. Als dat gebeurt, dan nemen de risico’s voor organisaties (bijvoorbeeld het risico om door overheden of andere stake holders) ter verantwoording te worden geroepen of te worden bestraft, juist toe. Daarom is een zuiver kwantitatieve benadering van risico’s onvoldoende, maar dienen bij ERM ook kwalitatieve overwegingen in beschouwing te worden genomen.
ERM systemen zijn in twee hoofdcategorieën onder te brengen:
-
Rule-based systems
-
Principle-based systems
Rule-based systems hebben als vertrekpunt dat organisaties logisch categoriseerbare entiteiten zijn met kwantificeerbare belangen, activiteiten en risico’s. Deze systemen hebben als voordelen dat ze uitgaan van op te volgen regels, bewijsvergaring dat die regels daadwerkelijk worden opgevolgd (control), wat kwantificeerbare en auditeerbare informatie oplevert (monitoring). Daardoor gaat er een zekere aantrekkingskracht vanuit: het biedt gereguleerde transparantie aan het (intrinsiek chaotische) proces van risicomanagement en het geeft weinig ruimte voor uiteenlopende interpretaties. Nadelen zijn er ook, zoals een te grote nadruk op het volgen van regels, kwantificering van informatie en uitvoering van audits, wat leidt tot een significante werklast, toename van (regel)druk voor managers en werknemers. Daarnaast stimuleert het routinematig handelen, waardoor een checklist cultuur kan ontstaan (Power, 2009, pp. 851-852; Arena, Arnaboldi en Azzone, 2010, p. 660). Ook kan een organisatie blind worden voor risico’s die er wel zijn, maar niet geadresseerd worden door bestaande regels (Loeb, 2016).
Principle-based systems zijn niet gebaseerd op beheersing van risico’s door middel van prescriptieve regels en checklists, maar kenmerken zich door een lossere structuur van niet-prescriptieve richtlijnen (Burgemeestre, Hulstijn en Tan, 2009) en stress-testing. Dergelijke richtlijnen laten meer ruimte voor interpretatie en stimuleren creativiteit, diversiteit van opvattingen, onderlinge verbondenheid en wederzijdse afhankelijkheid van actoren binnen en buiten de organisatie, bij belangenafwegingen. Dit soort systemen hebben als voordelen dat ze interactiviteit bieden en uitnodigen tot bredere, verbeeldingsrijke, maatschappelijke discussies (Power, 2009, p. 852; Holt, 2004). In een dynamische omgeving biedt dit een goede basis voor de vereiste flexibiliteit van handelen (Loeb, 2016). Het grootste nadeel van dit soort systemen is echter dat ze minder tegemoetkomen aan de behoefte tot controleerbaarheid van risicomanagement processen, vanwege het ontbreken van een detaillistische structuur. Tegelijkertijd waarschuwt Holt dat een te grote afhankelijkheid van structuren en modellen, een organisatie star maakt, waardoor het onvoldoende in staat is om zich aan te passen aan verandering (Holt, 2004, pp. 8-9).
Voordelen van een dynamisch ERM systeem
De synthese van beide bovengenoemde hoofdcategorieën is een risicomanagementsysteem dat helderheid en controleerbaarheid biedt aan gebruikers, maar ook voldoende ruimte biedt voor creativiteit, bredere onderlinge verbondenheid en wederzijdse afhankelijkheid van actoren (intern en extern) erkent en de maatschappelijke discussie stimuleert (Burgemeestre, Hulstijn en Tan, 2009). Het is niet gezegd dat een ERM systeem dat uitgaat van het aanbrengen van structuur daarvoor niet de juiste basis zou kunnen bieden, maar het creëren en onderhouden van een (te) technisch, star, bureaucratisch apparaat is ongewenst. Risicomanagement gaat immers om het continu balanceren tussen orde en chaos om doelen te bereiken die op zichzelf steeds aan verandering of begrenzing onderhevig kunnen zijn, en daardoor continu in beweging blijven. De toepassing van statische structuren of modellen past niet bij die werkelijkheid (Holt 2004, p. 11). Beter is het om een meer holistische benadering te kiezen en zachte aspecten, zoals menselijk gedrag, communicatie, onderlinge relaties en cultuur te integreren met de meer technische aspecten van ERM, zoals structuren en systemen (Arena, Arnaboldi en Azzone, 2010, p. 773; Gordon, Loeb, Tseng, 2009).
Het belang van een dynamisch strategiemodel
Ook binnen het domein van de managementtheorie is er, ten aanzien van strategiemodellen, overeenstemming dat dynamische modellen meer voordelen bieden dan statische modellen. Vooral modellen die een continu afstemming propageren tussen zogenaamde harde elementen en zachte elementen, worden beschouwd als effectief (Radomska, 2014; Bryan, 2008; Higgins, 2005; Kaplan, 2005; Porter, 1991). Vooral binnen complexe organisaties, die regelmatig te maken hebben met grote veranderingen (en de daarmee gepaard gaande risico’s), is een dynamisch model het meest geschikt (Higgins, 2005; Porter, 1991).
Het meest bekende en meest gebruikte dynamische strategiemodel is het 7-S Model van McKinsey (figuur 1). Dit model werd in de jaren ’80 van de vorige eeuw ontwikkeld en is sindsdien, in fundamenteel opzicht, onveranderd gebleven. Het model wordt gekenmerkt door een verdeling van harde en zachte elementen (figuur 2) die elk betrokken zijn bij de ontwikkeling, implementatie en toepassing van strategie. De kracht van dit model is dat het geen enkel element in belangrijkheid boven een ander element stelt, maar de nadruk legt op coördinatie tussen de verschillende elementen, in plaats van op hiërarchie of structuur (Antzoulatos, 2017, pp. 11-14; Bryan 2008; Kaplan 2005). Binnen hun gezamenlijke context en aan tijd en ruimte gebonden, kunnen bepaalde elementen wel toenemen of juist afnemen in urgentie. Het is de taak van de organisatie als geheel, daarbij gestuurd door het management, om dit continu spel van afstemming tussen elementen zodanig te spelen dat de organisatiedoelstellingen, in de realiteit van voortdurend veranderende interne en externe omstandigheden, bereikt worden.
Figuur 1:
Figuur 2:
Toepassing van dynamische modellen in relatie tot compliance
De ERM benadering houdt, onder meer, in dat risicomanagement nadrukkelijk wordt verbonden met strategie en doelbepaling (Arena, Arnaboldi en Azzone, 2010, p. 659, Gordon, Loeb, Tseng, 2009, p. 303; COSO, 2004). Risicomanagement en strategiebepaling hebben gemeenschappelijk dat beide het meeste renderen als gebruik gemaakt wordt van dynamische, in plaats van statische modellen. Een ERM systeem dat de positieve eigenschappen van zowel rule-based systems, als die van principle-based systems combineert, lijkt dynamisch genoeg om een checklistcultuur te voorkomen, maar voldoende houvast te bieden om niet te ontaarden in chaos.
Om de door Arena, Arnaboldi en Azzone benoemde risico’s van heterogene toepassing te beperken, is het van belang dat een ERM systeem niet geïsoleerd functioneert, maar is verbonden met het grotere strategische organisatieperspectief (Arena, Arnaboldi en Azzone, 2010 pp. 659-660). Een ERM systeem hoort daarom te passen binnen, dan wel op zijn minst afgestemd te blijven met, de organisatiestrategie en de doelstellingen van de organisatie. Binnen complexe organisaties lijkt de combinatie van een dynamisch strategiemodel en een dynamisch ERM systeem het meest effectief.
Hoewel dynamische modellen en systemen de meest optimale richting lijken te geven aan strategiebepaling en risicomanagement, zijn er factoren die het uiteindelijke resultaat van die systemen kunnen beïnvloeden en die tot nu toe onbenoemd zijn gebleven. In de eerste plaats betreft dit menselijk gedrag, dat van nature onvoorspelbaar is en zich lastig in modellen laat vangen. Daarnaast betreft dit het fenomeen van conflicterende belangen. Hoewel de harmoniegedachte die uitgaat van het 7-S Model een nastrevenswaardige is, zijn er voldoende incidenten geweest die aantonen dat wellicht meer nodig is dan alleen afstemming en bevordering van harmonie. Wellicht dat een stap verder gegaan mag worden door te streven naar integratie van belangen, in combinatie met een daarop gerichte afstemming van harde en zachte doelstellingen binnen een dynamisch model (Antzoulatos-Borgstein, 2017, pp. 16-19; Diepenbrock, 2017; Jaeger, 2016; PWC, 2016; Crotty, 2009).
Integrated Compliance Strategy (ICS)
In relatie tot compliance kan een strategie (waarmee een ERM systeem een actieve relatie onderhoudt) die uitgaat van integratie van belangen en doelstellingen een Integrated Compliance Strategy (Antzoulatos-Borgstein, 2017) worden genoemd. Met name grote, complexe organisaties hebben baat bij een geïntegreerde benadering (Gordon, Loeb, Tseng, 2009, p. 305). Het uitgangspunt van zo’n geïntegreerde strategie is dat de focus niet alleen ligt op traditionele (harde en meetbare) doelstellingen, zoals financiële prestaties (FP), maar ook op de zachtere en minder eenvoudig meetbare doelstellingen, zoals ethische en compliance gerelateerde doelstellingen (EC). Dit uitgangspunt vereist een andere strategische benadering die niet de nadruk legt op de harde elementen van het 7-S Model, maar aan de zachte elementen tenminste een gelijkwaardig gewicht toekent. Dit vereist ook een andere managementstijl, waarbij niet alleen gestuurd wordt op eenvoudig meetbare output (zoals financiële prestatiegegevens), maar ook op moeilijk meetbare output (zoals organisatiecultuur, imago van de organisatie, positie in de maatschappij).
De basis voor het Integrated Compliance Strategy (ICS) Model wordt gevormd door het 7-S Model (figuur 1). Het verschil is vooral de gevisualiseerde tweedeling tussen harde elementen (3-S), gericht op meetbare doelstellingen, zoals financiële prestaties, en zachte elementen (4-S), zoals organisatiecultuur, ethische en compliance doelstellingen, waarbij de integratie van beide helften leidt tot ICS. Het ICS Model is weergegeven in figuur 3. Dat behoefte bestaat aan het ICS Model blijkt uit verschillende incidenten, die als gemene deler hebben dat de betrokken organisaties weliswaar beschikten over een bedrijfsstrategie, een ERM systeem en een compliance organisatie, maar dat de focus teveel was gericht op 3-S en te weinig op 4-S (Antzoulatos-Borgstein, 2017; Diepenbrock, 2017; Crotty, 2009). Daardoor was er onvoldoende grip op het (proactief) beteugelen van de negatieve uitwassen van menselijk gedrag, zoals perverse prikkels (waaronder het systeem van prestatiebeloningen, in relatie tot een groeiende bereidheid tot het nemen van steeds grotere risico’s) en de daarmee samenhangende drijfveren tot non-compliance, bijvoorbeeld door middel van management override van controlemechanismen (Antzoulatos-Borgstein, 2017, pp. 18 en 19; Berzins en Sofo, 2008). Geïntegreerde compliance inspanningen vragen een andere benadering dan traditionele strategieën en systemen, maar leveren ook meer op, zoals een beter imago, een constructiever relatie met stake holders (zoals klanten, aandeelhouders en autoriteiten), een grotere loyaliteit onder medewerkers (Steiner en Wollschlager, 2005, p. 5), maar ook betere financiële prestaties op langere termijn (Antzoulatos-Borgstein, 2017, p. 46; Loeb, 2016, p. 5).
Figuur 3:
ERM, ICS en ICP
Power (2009) benadrukt het belang van dynamische systemen door het inherente risico van rule-based compliance te erkennen. Dat risico bestaat uit het niet doordringen van de essentie van compliance doelstellingen in de besluitvorming en bedrijfsvoering door managers. Als dat gebeurt vormt compliance geen integraal deel van de bedrijfsvoering, maar verwordt het tot een toevoeging, met als risico dat het de aandacht krijgt die het verdient. Dat kan weer tot gevolg hebben dat compliance risico’s onvoldoende worden onderkend en gemitigeerd, waar nodig.
Tot nu toe zijn ERM systemen en organisatie strategieën aan bod gekomen, welke in verband zijn gebracht met compliance. Gesteld werd dat dynamische, geïntegreerde modellen de voorkeur verdienen. Wat nog niet specifiek aan de orde is gesteld, is hoe die modellen zich verhouden tot de implementatie van compliance doelstellingen. Het middel bij uitstek om compliance doelstellingen te implementeren in een organisatie is een Internal Compliance Program (ICP). ICP’s adresseren internal controls, zoals training, intern beleid en procedures, maar ook monitoring activities, zoals interne en externe audits, (geautomatiseerde) gegevensverwerking en steekproeven.
De indeling en vormgeving van een ICP verschilt naar gelang de specifieke behoefte van de organisatie waarin het programma uitgevoerd wordt. De effectiviteit van een ICP is in grote mate afhankelijk van de mate van integratie met het ERM systeem en met de organisatiestrategie (Arena, Arnaboldi en Azzone, 2010). Het spreekt voor zich dat die integratie beter slaagt als het ICP qua opzet aansluit bij de aard van andere modellen. Maakt een organisatie gebruik van dynamische modellen, dan verdient het niet de voorkeur dat een ICP te prescriptief is. Beter is het als het ICP fungeert als een raamwerk, waardoor voldoende ruimte wordt gelaten voor interpretatie of nadere invulling op een lager niveau in de organisatie. Daar waar binnen de organisatie behoefte bestaat aan duidelijke instructies kan dit worden opgelost door binnen het raamwerk van het ICP specifieke instructies vast te stellen voor specifieke interne doelgroepen.
Samenvatting
Risicomanagement bestaat al enkele decennia, met ERM als meest recente toevoeging. ERM is te beschouwen als een managementfilosofie, uitgewerkt in systemen, die van conceptuele aard zijn. Dit maakt ERM systemen enerzijds toepasbaar in uiteenlopende organisaties. Anderzijds, brengt het ook uitdagingen met zich mee, omdat de implementatie per definitie context-gebonden is en de vertaalslag van conceptuele veronderstellingen naar toepassing in de praktijk niet altijd eenvoudig is. Daarbij is het zelden raadzaam om een te detaillistische, op de specifieke context gerichte, vertaalslag te maken, omdat dit de homogeniteit (en herkenbaarheid van het systeem), alsmede de flexibiliteit in toepassing kan ondermijnen. Daarnaast dient voldoende ruimte te zijn voor zowel kwantitatieve als kwalitatieve overwegingen. Met name voor grote, complexe organisaties lijkt een dynamisch model, dat de positieve eigenschappen van zowel rule-based systems als die van principle-based systems combineert, het meest doeltreffend.
Omdat ERM een natuurlijke verbinding heeft met strategie en besluitvorming ten aanzien van organisatiedoelstellingen (inclusief doelstellingen op het gebied van compliance), verdient het aanbeveling dat organisatiestrategie en ERM systeem op elkaar zijn afgestemd. Een dynamisch strategiemodel dat uitstekend past bij een dynamisch ERM systeem is het 7-S Model, dat zich kenmerkt door zijn conceptuele eenvoud, waardoor het toepasbaar is in uiteenlopende contexten. Dynamiek en flexibiliteit worden bereikt door het uitgangspunt van continu afstemming tussen de verschillende harde en zachte elementen.
Ondanks ERM systemen en strategiemodellen, komt het voor dat op het bredere palet van organisatiedoelstellingen, compliance doelen het onderspit delven wanneer zij om de gunst strijden met de hardere doelstellingen binnen een organisatie, zoals financiële prestaties. Dit komt ook voor bij organisaties die gebruik maken van voornoemde dynamische modellen. Dit zou een indicatie kunnen zijn dat afstemming van elementen niet voldoende is, maar dat integratie van doelstellingen, vertaald naar een specifieke, dynamische en geïntegreerde organisatiestrategie plaats zou moeten vinden. Uit onderzoek blijkt dat organisaties die zich bedienen van zo’n ICS niet alleen beter presteren op het gebied van compliance, maar het ook in financieel opzicht beter doen (Antzoulatos-Borgstein, 2017).
Om ERM en ICS concepten te kunnen vertalen naar de praktijk en richting te geven aan de geïntegreerde implementatie van ethische en compliance doelstellingen in de bedrijfsvoering van een organisatie, alsmede aan het monitoren van de werking van internal controls, is een ICP vereist. De indeling en vormgeving van een ICP verschilt per organisatie en de effectiviteit ervan is voor een aanzienlijk deel afhankelijk van de mate van afstemming en integratie met het ERM systeem en de organisatiestrategie. Binnen een context van dynamische modellen past een raamwerk ICP beter dan een ICP dat te beschrijvend van aard is en daardoor eerder statisch dan dynamisch is. Een te grote nadruk op prescriptie, structuur en regels gaat immers ten koste van flexibiliteit en werkt een checklistcultuur in de hand. Het risico daarvan is die van de zelf likkende lolly: het systeem wordt bevredigd, maar risico’s worden, vanwege een te grote nadruk op bureaucratie, niet meer adequaat gemanaged. Als dat gebeurt is de kans op material non-compliances en schade groot (Diepenbrock, 2017; Loeb, 2016).
Begrippenlijst:
|
Enterprise Risk Management (ERM)
|
Raamwerk of proces dat is ontwikkeld en wordt toegepast om organisatierisico’s te identificeren, te beoordelen en te managen met als oogmerk het bieden van een redelijke mate van zekerheid met betrekking tot het behalen van de doelstellingen van een organisatie, inclusief doelstellingen op het gebied van compliance. Een voorbeeld van een ERM raamwerk is COSO’s ERM – Integrated Framework.
|
|
Harde elementen
|
Term ontleend aan het 7-S Model van McKinsey, waarmee de volgende drie elementen worden aangegeven: organisatiestrategie (strategy), organisatiestructuur (structure) en managementsystemen (systems).
|
|
Integrated Compliance Strategy (ICS)
|
Organisatiestrategie die dynamisch van aard is. ICS is gebaseerd op het 7-S Model van McKinsey, maar gaat verder dan onderlinge afstemming van harde elementen (3-S) en zachte elementen (4-S) van het model door de financiële prestatiedoelstellingen te integreren met de ethische en compliance doelstellingen van een organisatie.
|
|
Internal Compliance Program (ICP)
|
Programma dat het belang van management commitment en resource planning adresseert in relatie tot ethische en compliance doelstellingen van een organisatie. Een ICP geeft richting aan de implementatie van ERM systemen, internal controls (zoals beleid, procedures en training) en monitoring activities (zoals interne en externe audits).
|
|
Internal control
|
Activiteit, beleid of procedure binnen een organisatie, die is geïmplementeerd om waarde te genereren of om risico te minimaliseren.
|
|
Management override
|
Bewust handelen of nalaten door het management van een organisatie, dat leidt tot schending van internal controls. Door die schending(en) wordt de succesvolle werking van een risicomanagementsysteem ondermijnd en komen de organisatiedoelstellingen in gevaar.
|
|
Material non-compliance
|
Schending van een norm (zoals een bepaling in een wet, contract of in intern beleid) die aanzienlijke materiele schade (doorgaans uitgedrukt in geld) tot gevolg heeft. De financiële gevolgen van material non-compliances kunnen, zeker als het meerdere betreft over een relatief korte rapportageperiode, zichtbaar zijn op de balans van een organisatie. Material non-compliances kunnen het behalen van organisatiedoelstellingen negatief beïnvloeden.
|
|
Material risk
|
Term afkomstig uit de accountancy. De ‘materiality’ van een risico wordt uitgedrukt in termen als kans dat het risico zich voordoet (likelyhood) en impact van het risico, als het zich voordoet (impact). Een risico met een kleine likelyhood kan nog steeds ‘material’ zijn als de impact ervan groot is. Ook kleine risico’s, die afzonderlijk niet material zijn, kunnen, als deze zich op grote schaal voordoen, tezamen een material risk vormen.
|
|
Monitoring activities
|
Activiteiten van voortdurende aard (zoals geautomatiseerde systeemevaluaties) of tijdelijke aard (zoals audits), of een combinatie van beide, welke tot doel hebben om zeker te stellen dat de componenten van interne controle, waaronder control activities, aanwezig en werkend zijn.
|
|
Oversight
|
Supervisie. Dit kan in handen zijn van een overheidsinstantie of een daartoe in het leven geroepen commissie (extern), maar ook van een raad van bestuur of het management van een organisatie (intern).
|
|
Principle-based system
|
Systeem dat is gebaseerd op richtlijnen in plaats van harde, prescriptieve regels. Principle-based systems geven ruimte voor verschillende interpretaties en toepassingen, in tegenstelling tot rule-based systems, die uitgaan van regels die niet voor meerdere interpretaties vatbaar zijn.
|
|
Risk appetite
|
Aard en mate van risico, welke een organisatie bereid is om na te streven of te nemen (ISO 31000:2018, Risk management – Guidelines in relatie tot ISO/Guide 73:2009, Risk Management – Vocabulary).
|
|
Rule-based system
|
Systeem dat tot in detail vastlegt welk gedrag beloond wordt en welk gedrag bestraft. Dergelijke systemen verschaffen duidelijkheid aan de gebruiker, omdat in regels is vastgelegd wat mag en wat niet mag. De nadelen van deze systemen zijn echter dat geen enkel systeem in staat is om uitputtend te beschrijven, dat de focus op regels blindheid kan veroorzaken voor risico’s die niet door die regels worden geadresseerd, maar wel significant zijn, en dat gebruikers een vals gevoel van veiligheid kunnen krijgen door te voldoen aan checklists.
|
|
Stakeholder
|
Persoon, groep of verband met een belang in de organisatie. Stakeholders kunnen invloed uitoefenen op, of worden beïnvloed door de acties, doelen, strategieën of het beleid van de organisatie. Voorbeelden van Stakeholders zijn: crediteuren, directeuren, werknemers, overheidsdiensten, eigenaren, aandeelhouders, leveranciers, klanten, vakbonden, lobbyisten en de bredere maatschappij waarin de organisatie actief is, c.q. zijn hulpbronnen uit betrekt.
|
|
Stress-testing
|
Proces om te bepalen wat de capaciteit is van een systeem (zoals een ERM systeem) om een bepaalde mate van effectiviteit te behouden onder verzwaarde omstandigheden. Dit behelst een zekere acceptatie van het zich voordoen van risico’s om te zien of het systeem werkt en om daarvan te leren.
|
|
Zachte elementen
|
Term ontleend aan het 7-S Model van McKinsey, waarmee de volgende vier elementen worden aangegeven: managementstijl (style), gedeelde waarden/organisatiecultuur (shared values), personeel (staff) en unieke eigenschappen van de organisatie (skills).
|
|
7-S Model
|
Dynamisch strategiemodel dat is ontwikkeld in de jaren ’80 van de twintigste eeuw, door consultants van het Amerikaanse bureau McKinsey. Dit model beschouwt organisatiestrategie als een van zeven elementen die voorkomen in een organisatie en die onderling moeten worden afgestemd. Binnen dit model worden drie harde elementen onderscheiden: strategy, structure en systems en vier zachte elementen: style, shared values, staff en skills. De sleutel tot succesvolle toepassing van dit model is het bewaren van balans tussen alle zeven elementen. Omdat organisatiebelangen snel kunnen veranderen is het bewaren van die balans een dynamisch proces. Wat de ideale mix van belangenafstemming is, verschilt niet alleen per organisatie, maar ook per periode.
|
|
3-S
|
Term ontleend aan het ICS model van Antzoulatos-Borgstein. Het behelst afstemming tussen de drie harde elementen (strategy, structure en systems) van het 7-S Model van McKinsey.
|
|
4-S
|
Term ontleend aan het ICS Model van Antzoulatos-Borgstein. Het behelst afstemming tussen de vier zachte elementen (style, shared values, staff en skills) van het 7-S Model van McKinsey.
|
Literatuurlijst:
Antzoulatos-Borgstein, M. (2017) ‘Integrated Compliance Strategy. A research into the effects of business strategy on the compliance maturity level of aerospace and defence organisations’. MSc thesis for the Executive Master in International Trade Compliance (EMITC) programme, Londen, University of Liverpool Management School, 1 september 2017.
Antzoulatos-Borgstein, M. (2018) ‘Een Introductie in Export Controls en Compliance. Deel I van een drieluik’. Militair Rechtelijk Tijdschrift, Jaargang 111, Vol. 2.
Arena, M.; Arnaboldi, M.; Azzone, G. (2010) ‘The organizational dynamics of Enterprise Risk Management’. Accounting, Organizations and Society, Vol. 35, pp. 659-675.
Aubin, Y.; Idiart, A. (2011) ‘Export Control Law and Regulations Handbook. A Practical Guide to Military and Dual-Use Goods, Trade Restrictions and Compliance’. Global Trade Law Series, Vol. 33, 2nd Edition, Alphen aan den Rijn: Kluwer Law International.
Beasly, M.S.; Clune, R.; Hermanson, D.R. (2005) ‘Enterprise risk management: An empirical analysis of factors associated with the extent of implementation’. Journal of Accounting and Public Policy, Vol. 24, pp. 521-531.
Berzins, M.; Sofo, F. (2008) ‘The inability of compliance strategies to prevent collusive conduct’. Corporate Governance, 8(5), pp. 669-680.
Bryan, L. (2008) ‘Enduring Ideas: The 7-S Framework’. McKinsey Quarterly, March. Beschikbaar via: https://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/enduring-ideas-the-7-s-framework (geraadpleegd op: 2 mei 2018).
Burgemeestre, B.; Hulstijn, J.; Tan, Y.H. (2009) ‘Rule-based versus Principle-based Regulatory Compliance’. Frontiers in Artificial Intelligence and Applications, Vol. 205, pp. 37-46.
Committee of Sponsoring Organizations of the Treadway Commission (2004) ‘Enterprise Risk Management – Integrated Framework’. COSO, september.
Crotty, J. (2009) ‘Structural causes of the global financial crisis: a critical assessment of the new financial architecture’. Cambridge Journal of Economics, 33(4), pp. 563-580. Beschikbaar via: https://academic.oup.com/cje/article/33/4/563/1730705 (geraadpleegd op: 2 mei 2018).
D’Arcy, S.P. (2001) ‘Enterprise Risk Management’. Journal of Risk Management of Korea, Vol. 12, Nr. 1, pp. 1-24.
Diepenbrock, G. (2017) ‘Ethics and compliance officers face challenges to their legitimacy, study finds’. Phys. Org, 18 May. Beschikbaar via: https://phys.org/news/2017-05-ethics-compliance-officers-legitimacy.html (geraadpleegd op: 20 april 2018).
Fraser, J.R.S.; Simkins, B.J. (2016) ‘The challenges of and solutions for implementing enterprise risk management’. Business Horizons, Vol. 59, pp. 689-698.
Gordon, L.A.; Loeb, M.P.; Tseng, C.Y. (2009) ‘Enterprise risk management and firm performance: A contingency perspective’. Journal of Accounting and Public Policy, Vol. 28, pp. 301-327.
Higgins, J. (2005) ‘The Eight ‘S’ of Successful Strategy Execution’. Journal of Change Management, 5(1), pp. 3-13.
Holt, R. (2004) ‘Risk management: The talking cure’. Organization 11(2), pp. 251-270.
International Organization for Standardization (2018) ‘ISO 31000:2018 – Risk management’. Beschikbaar via: https://www.iso.org/iso-31000-risk-management.html (geraadpleegd op: 24 mei 2018).
International Organization for Standardization (2009) ‘ISO Guide 73:2009’. Beschikbaar via: https://www.iso.org/iso-31000-risk-management.html (geraadpleegd op: 24 mei 2018).
Jaeger, J. (2016) ‘State of Compliance: Aligning compliance & business strategy’. Compliance Week, 13(154), pp. 39-40.
Kaplan, R.S. (2005) ‘How the balanced scorecard complements the McKinsey 7-S model’. Strategy & Leadership, 13(3), p. 41.
Loeb, H. (2016) ‘Principles-Based Regulation and Compliance: A Framework for Sustainable Integrity’. Huffington Post, 4 mei. Beschikbaar via: https://www.huffingtonpost.com/harlan-loeb/principlesbased-regulaton_b_7204110.html?guccounter=1 (geraadpleegd op: 24 mei 2018).
Porter, M.E. (1991) ‘Towards a Dynamic Theory of Strategy’. Strategic Management Journal, Vol. 12, Special Issue: Fundamental Research Issues in Strategy and Economics, pp. 95-117.
Power, M. (2009) ‘The risk management of nothing’. Accounting, Organizations and Society, 34 (6-7), pp. 849-855.
Price Waterhouse Coopers (2016) ‘State of Compliance Study 2016’. Beschikbaar via: https://www.pwc.com/us/en/services/risk-assurance/library/state-of-compliance-study.html (geraadpleegd op: 2 mei 2018).
Radomska, J. (2014) ‘Model of successful strategy execution: revising the concept’. Problems of Management in the 21st Century, 9(3), pp. 213-222.
Steiner, J.; Wollschlager, E. (2005) ‘Compliance Program Strategies for Organization-Wide Accountability’. Journal of Health Care Compliance, July-August, pp. 5-12.