Module 5: Inrichting risicomanagement en inleiding risicoanalyse

Transcriptie

1 Module 5: Inrichting risicomanagement en inleiding risicoanalyse Mr drs. Peter Steenwijk Nederlands Compliance Instituut

2 Even voorstellen: Peter Steenwijk Bedrijfskunde, Ondernemingsrecht en Internal Auditing Docent en onderzoeker Haagse Hogeschool Risicomanagement, Compliance, Corporate Governance en Ethiek. Research: witwassen en terrorisme financiering

3 Programma Introductie Definities Standaarden en Systemen Meten, Analyseren en Beheersen Compliance Risico Monitoring Cultuur en Risico Volwassenheid Focus: DNB en Risk Management Terugblik en Afsluiting

4 Aanpak 1. Leerdoelen 2. Combinatie van theorie en praktijk 3. Werkvorm: interactief voldoende gelegenheid tot het stellen van vragen

5 What the..?

6

7 Risico Management Risico Management is. Jouw definitie?

8 Stellingen: 1. Ik maak elk jaar een risico analyse 2. De compliance risico analyse wordt alleen door de CO uitgevoerd

9 Het belang van risicomanagement afw

10 Risk versus Return

11 Definitie van Risico (J. Hopkin) An event with the ability to impact the mission, strategy, projects, routine operations, objectives, core processes, key dependencies and/or the delivery of stakeholder expectations

12 Anders gezegd..anything that can impact the fulfilment of corporate objectives

13 Stakeholders In paren: Wat zijn de relevante stakeholders van jouw organisatie? Wat is het belang van SH s bij risico management?

14 Risks & Opportunities Risk Negative Positive Threat Opportunity

15 Risico Categorieën Hazard risk downside Control risk onzekerheid Opportunity risk upside Compliance risk Alles of Niets...

16 Types of risk Strategic risk Operational Risk Credit risk Market risk Reputation risk Compliance risk IT risk.

17 Risico Components Een organisatie beoordeelt elk individueel risico op: - Risico factor - Risico object - Likelihood (kans) - Impact (Gevolg)

18 Bruto versus Netto risico Bruto risico = inherent risk Voor beheersings maatregelen Netto risico = residu risico Na beheersings maatregelen

19 Dimensions of Risk - Coso Risk Appetite the desired level of risk that an entity will take in pursuit of its mission Risk Tolerance the acceptable variation in outcomes related to specific performance measures linked to objectives the entity seeks to achieve Risk Capacity the amount and type of risk an organisation is able to support 19

20 Appetite, Tolerance, Capacity en Key Risks Kans Zeer hoog Hoog Gemiddeld Laag Zeer laag Gevolg

21 Risico attitude Drie risico attitude types: - Agressief - Neutraal - Averse

22 Definitie Risico Management (J. Hopkin) The set of activities within an organisation undertaken to deliver the most favourable outcome and reduce the volatility or variability of that outcome (Hopkin, 2010)

23 Waarom Risico Management? Focus on belangrijke issues Leaner en meaner Faciliteert in control statement Juiste keuzen maken Vergroot transparantie Verbetert management in het algemeen

24 Risico Standaarden en Systemen ISO COSO FIRM Bow Tie PESTLE Alternatieve benaderingen Simons De Caluwe (Verandermanagment en Cultuur)

25 Vraag: Wat zijn de belangrijkste kenmerken van een slecht werkende risicomanagement systeem?

26 Communication and Consoliadtion ISO Monitoring and Review Establish context Risk Assessment Risk identification Risk analysis Risk evaluation Risk treatment

27 Het COSO Framework: ERM en IC

28 COSO en risico management Risk Assessment -the identification and analysis of relevant risks to the achievement of objectives, forming a basis for how the risks should be managed

29 ERM versus de silo benadering van risico management

30 COSO Enterprise Risk Management Enterprise risk management is a process, effected by an entity s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.

31 ERM en Holistische aanpak versus Silo Silo-benadering van risico s heeft aantoonbaar niet gewerkt Toezichthouder: Gebrekkig functioneren en deskundigheid van bestuur Gebrek aan overzicht / transparantie Onvoldoende zijn risico s in onderlinge samenhang beoordeeld door organisaties

32 In control Statement As the Board of Management of ASML Holding N.V. ("ASML" or the "Company"), we hereby state that we are responsible for the design, implementation and operation of the Company's internal risk management and control systems. The purpose of these systems is to adequately and effectively manage the significant risks to which the Company is exposed. Such systems can never provide absolute assurance regarding achievement of corporate objectives, nor can they provide an absolute assurance that material errors, losses, fraud and the violation of laws or regulations will not occur.

33 Alternatieven voor COSO en ISO Firm Bow-Tie Pestle Simons De Caluwe

34 Andere benadering: Bow-Tie

35 Het Monitoren van Compliance Risico s

36 4 Stellingen 1. Bij ons is de compliance monitoring goed ingericht 2. De compliance officer monitort wel, maar controleert niet 3. Compliance monitoring is saai 4. Monitoring is een taak voor compliance officer en Internal Auditor

37 Monitoren stap 7 in het COSO Framework

38 Monitoren door de Compliance Officer Het op systematische wijze verzamelen van overtuigende informatie over de naleving van (interne) wet- en regelgeving om vast te stellen in hoeverre de organisatie voldoet aan (interne) wet- en regelgeving om over de naleving te rapporteren en adviseren aan het management.

39 Waarom Monitoren? Business test of risico beheersing (controls) werkt Ontwikkelingen bijhouden Profileren t.o.v. andere bedrijven in de sector Medewerkers en management bij de les houden Organisatie blijvend uitdagen, scherp houden Agenda van voortdurende verbetering

40 Wat wil je vaststellen met compliance monitoring Werking van beheersingsmaatregelen; wordt beleid nageleefd Zijn er afdoende maatregelen geformuleerd of is er behoefte aan aanvullende maatregelen/beleid

41 Three lines of defense (*) (*) Swedbank

42 Controleren en monitoren (1) Controleren Activiteit of proces met als doel de tijdige identificatie en bijstelling van fouten Monitoren Activiteit of proces met als doel de tijdige identificatie en bijstelling van de oorzaak (rootcause) van fouten COSO Guidance on Monitoring September 2007

43 Compliance Auditing Volgt na identificatie, beoordeling key compliance risico s en en monitoring van de controls. Volgende stap, na monitoring, in het beheersingsproces Onafhankelijk oordeel over compliance met in- en externe regelgeving Steun management voor continue compliance en identificatie van compliance risico s Check op bias of overrulen door operationeel management Aanvulling op interne monitoringssysteem

44 Elkaar aanvullen: Monitoren en Audit Output van monitoring= input ten behoeve van controles Output van controles = input ten behoeve van monitoring

45 Uitgangspunten monitoring plan Focus op kritische en hoge compliance risico s (inherent en netto) Tijdig identificeren root cause van non-compliance Belangrijke compliance risico mitigeringsactiviteiten Routine business transacties met compliance risico of eisen Implementatie en borging van compliance beleid en borging Compliance met wet- en regelgeving, gedragsregels en business principes

46 Ontwerp variabelen Complexiteit en en schaal van de business Risico profiel en eisen toezichthouder Rollen (wie doet wat), frequentie, infrastructuur en kennis Voor, gedurende of na een business activiteit High level (kritieke risico s) of detail monitoring (minor risks) Waar zitten de key risico s Wat wil de top?

47 Variabelen (2) Aantal transacties in een bepaald proces Kosten van monitoring Uitvoeringsaspecten (automatiseren/handmatig) Risico van non-compliance (hoog/laag) Motieven voor medewerkers om niet compliant te werken Wel of geen zelf-monitoring

48 Voorbeeld Compliance Rapportage

49 Risk Maturity IACCM Business Risk Management Maturity Model (BRM3)

50 Hoe mature is jouw organisatie??

51 Focus: Het vernieuwde toezicht van DNB

52 Focus in een notendop 1. Lessen uit de crisis van Instellingoverstijgend 3. Aandacht voor kwaliteit en strategie 4. Indringend en vasthoudend toezicht 5. Betere in en externe toetsing en verantwoording

53 5 toezichtsklassen

54 Analyse van macro naar micro

55 Beoordelingskaders

56 Risicoscores

57 Sluitstuk: interventie keuze DNB

58 Tenslotte.. Terugblik Vragen Afsluiting