PT MSc Update 24 september 2010 Internal control & risicomanagement

Transcriptie

1 . PT MSc Update 24 september 2010 Internal control & risicomanagement

2 Personalia Prof. dr Leen Paape RA RO CIA Dean Nyenrode School of Accountancy & Controlling/ lid College van Bestuur Hoogleraar Bestuurlijke Informatie Verzorging Nyenrode 2

3 Leerdoelen Aan het eind van deze avond kennen we: De belangrijkste lessen van de huidige crisis De basics van Management Control De belangrijkste elementen van goed risicomanagement Dat het vooral gaat om gedragsbeïnvloeding 3

4 Ninety percent of what we call management consists of making it difficult for people to get things done. Peter Drucker 4

5 Risico-Regel-Reflex (RRR) Incidenten worden niet voorkomen door steeds nieuwe regels. Ze gebeuren gewoon. Wen er maar aan. Risicobestrijding is een kwestie van prioriteiten stellen Culturele reflex als er iets mis gaat: helpen, actief worden Advies: Bezint eer ge begint Prof. dr Margot Trappenburg, NRC, 16 mei

6 Activiteit Geluksscore Tijd per dag??? Sociaal contact Waar worden we gelukkig van? Ontspannen Bidden/mediteren Eten TV kijken Winkelen Eten koken Telefoongesprek Zorgen voor kids Huishouden ???? Forensen

7 Met wie hebben we het fijn? Samenzijn met Geluksscore Tijd per dag Vrienden Familie Partner Kinderen Klanten Collega s Alleen????

8 Hoe ziet onze dag qua geluk er uit?

9 Schade van de crisis IMF schat verlies op $ miljard (anderen schatten $ miljard) Gigantische reddingsoperaties door overheden Nederlands begrotingstekort ongeveer 6% Garanties Minister Bos 861 miljard Te bezuinigen in de komende jaren 30 miljard De Grote Recessie: 20 jaar lang last! 9

10 De Mallemolen Lloyd Blankfein; CEO Goldman Sachs: We re doing Gods work! Goldman Sachs ontving $ 23 miljard steun Betaalt $ 20 miljard aan bonussen "Everybody should be happy!" 10

11 Collateral damage. Zelfmoorden : + 2,4% Dodelijke hartaanvallen : + 2,7% Moorden: : + 2,4% Kindersterfte : + 3 tot 10% Ondervoeding : miljoen We re doing Gods work!" 11

12 The Warning(s) DNB (1995) Brooksley Born (1998) Michel Callon (1998) John Geanakoplos (2000) Warren Buffet (2003) Frank Partnoy (2003) Jules Muis (2004) Barings (1995) LTCM (1998) Enron (2002) Allied Irish Bank (2002) Refco (2005) Amaranth (2006) 12

13 13

14 Wat hadden die organisaties gemeen? Goede naam Sterke reputatie Uitstekend track record Bewonderde CEO s Goede producten Veel aandeelhouders Veel toezichthouders Gerespecteerde commissarissen Risicomanagers Hoge salarissen Hogere bonussen Goed personeel Veel pagina s over risk mgt Handtekening accountant Goede adviseurs Internal audit En een in control statement 14

15 Usual & Unusual suspects Bankiers Toezichthouders Analisten Managers Credit rating agencies Journalisten Commissarissen Centrale banken Wetenschappers Risicomanagers Regelgevers Politiek Justitie Verzekeraars Bedrijven Accountants Controllers Juristen Eigenlijk iedereen! 15

16 Confessions of a risk manager No one took ownership Risk management response was half hearted We trusted rating agencies The pressure on risk management was immense Although a separate reporting line to the board existed it hurt our relationship with bankers and traders; spoilsports We lacked communication skills and tact Benefit of the doubt to the risk takers 16

17 Callon (1998) Framing/disentanglement Overflowing How is it possible to become homo clausus when survival requires one to be homo apertus? 17

18 Kerviel in his own words Geen winstbejag an sich Ik wilde erbij horen Verkeerde universiteit gevolgd Mijn bazen wisten ervan (directe baas hielp mee!) Zolang ik winst maakte was het okay Je verliest het besef dat het over zoveel geld gaat Business Week, 30 januari

19 Credit Rating Agencies Let s hope we are all wealthy and retired by the time this house of cards falters 19

20 Regulatory Capture 'Regulation is not about the public interest at all, but it is a process, by which interest groups seek to promote their private interest (...) Over time, regulatory agencies come to be dominated by the industries regulated. (Richard Posner) 20

21 The Good, The Bad, and The Ugly Brooksley Born Rubin, Greenspan, Summers 21

22 Alan Greenspan wordt wakker I made a mistake in presuming that the self interest of organizations, specifically banks and others, were such that they were best capable of protecting their own shareholders and their equity in the firms. So the problem here is something which looked to be a very solid edifice, and indeed, a critical pillar to market competition and free markets, did break down. I still do not understand fully why it happened and, obviously, to the extent that I figure out where it happened and why, I will change my views. I found a flaw in the model that I perceived is the critical functioning structure that defines how the world works, so to speak. Alan Greenspan, October

23 Adam Smith (The Wealth of Nations) The proposal of any new law or regulation which comes from [businessmen] ought always to be listedned to with great precaution, and ought to be adopted till after having been long and carefully examined, not only with the most scrupulous but with the most suspicious attention. It comes from an order of men whose interest is never exactly the same with that of the public, who have generally an interest to deceive and even oppress the public, and who accordingly have upon many occasions both deceived and oppressed it. 23

24 Thomas Hobbes Homo homini lupus De oorlog van allen tegen allen Leviathan Animal Spirits (Akerlof & Shiller) 24

25 Management Control 25

26 In Control; wanneer ben je dat? Een organisatie is in control als zij beschikt over een Management Control Systeem (MCS) dat haar in staat stelt binnen een vooraf gedefinieerde periode in x% van de gevallen/tijd binnen een vooraf gedefinieerde risicotolerantie te blijven. Indien buiten die risicotolerantiegrens wordt getreden stelt het MCS de organisatie in staat dat tijdig te constateren en te herstellen. (Paape, 25 juni 2008) 26

27 In/Out of Control? Duur aantal rood gearceerde vlakken<x% (=risicotolerantie) Bedrijfsresultaat Risicotolerantie Verwacht bedrijfsresultaat Werkelijk bedrijfsresultaat Tijd (bijvoorbeeld boekjaar/kalenderjaar)

28 WFT Tax control SOX framework Basel II Veiligheid Financial Operational EDP Control Solvency II COSO II Arbo Compliance Performance Tabaksblat In Control? ISO Management Integriteit EFQM/INK IT IC Milieu Doelmatigheid 28

29 Management Control Systeem (MCS) 29

30 Wat is control? Goede control is het vertrouwen dat er geen belangrijke onverwachte gebeurtenissen optreden 30

31 Functie van control Gedrag beïnvloeden zodat doelen worden gehaald Integreren van alle inspanningen organisatiebreed Informatie over de performance verstrekken Faciliteren van de implementatie van strategische plannen 31

32 MCS Raamwerk 1. De missie/visie/strategie; 2. De wijze waarop doelen tot stand komen; 3. De structuur van de organisatie; 4. De wijze waarop key performance indicators worden bepaald; 5. Hoe de performance wordt gemeten; 6. De leiderschapsstijl; 7. De wijze waarop met beloningen wordt omgegaan; 8. De cultuur of tone at the top van de organisatie; 32

33 MCS Raamwerk 09. Hoe mensen worden gemotiveerd; 10. Hoe feedback is georganiseerd; 11. Het gebruik van informatie- en communicatiesystemen; 12. Hoe monitoring plaatsvindt; 13. Hoe in te spelen op de omgeving; en tot slot 14. De samenhang tussen de hiervoor genoemde elementen. 33

34 De systeemhiërarchie van Boulding Niveau Naam Aspect 9 Transcendentie Zingeving 8 Sociaal systeem Waarden en normen op groepsniveau 7 Mens Zelfbewustzijn, beleid, doelgericht handelen 6 Dier Doelgerichtheid; bewustzijn 5 Plant Taakverdeling en coördinatie; samenwerking; interactie met omgeving; aanpassen 4 Cel Zelfhandhaving 3 Thermostaat Terugkoppeling 2 Uurwerk Tijd; eenvoudige bewegingen 1 Raamwerk Statische structuur 34

35 Beheersingssystemen 1. Bureaucratisch systeem 2. Marktmechanisme 3. Sociaal mechanisme (belief systems) Het sociale mechanisme gaat aan belang winnen! 35

36 Mogelijkheid om output te meten Controlvarianten (Ouchi) Hoog Kennis van het transformatieproces Imperfect Perfect Gedrag of outputmeting (Apolloprogramma) Outputmeting (Modeboutique) Laag Gedrag (specific actions) meting (Tinnen blikfabriek) Personnel (Clan) control (Researchlab) Indien keuze mogelijk is een bedrijfseconomische afweging nodig 36

37 Control per mechanisme Mechanisme: Markt Bureaucratisch Sociaal/Clan moeilijkheidsgraad Control via: Prijs Reciprociteit Regels/regelkring/toezicht Reciprociteit Legitiem gezag Informeel/cultuur/tradities Reciprociteit Legitiem gezag Shared values/beliefs 37

38 Control en vertrouwen Trust (vertrouwen) heeft grote waarde! Control kan trust vergroten realisatie verhoogt vertrouwen ingrijpen bij afwijkingen geeft duidelijkheid persoonlijke feedback is mogelijk Trust is een eerste vereiste voor effectieve control 38

39 Vertrouwen (1) Kees Cools; Controle is goed, vertrouwen is beter Honesty in accounting (Salterio/Webb, 2006) Geen toezicht: 35% vertelt de waarheid Minder dan 10% is eerlijk in alle situaties belief system bevordert eerlijkheid Grotere beloning leidt tot meer liegen Meer nadruk op budgetten en accounting leidt ook tot meer liegen 39

40 Vertrouwen (2) Prisoner s Dilemma Speltheorie: Tit-for-tat Trucking Game 40

41 The trucking game Start A Destination B Destination A Start B Each company has indirect route A shared one lane short route Best solution is cooperation to go one at a time on the shared route (Deutsch & Krauss, 1960) Lecture 16 41

42 The trucking game Start A Destination B Destination A Start B Each company has indirect route A shared one lane short route Best solution is cooperation to go one at a time on the shared route (Deutsch & Krauss, 1960) Lecture 16 42

43 The trucking game Start A Destination B Destination A Start B Each company has indirect route A shared one lane short route Best solution is cooperation to go one at a time on the shared route (Deutsch & Krauss, 1960) 43

44 Use of a threat Start A Destination B Destination A Start B Gates owned by one company or the other (or both) on single lane road REDUCES use of the most efficient strategy When both companies have gates the losses are even greater (Deutsch & Krauss, 1960) 44

45 Referentiemodellen Cybernetica Mintzberg (Structuring in Fives) Morgan (8 metaforen) Anthony Ouchi Porter Hofstede COSO Merchant EFQM/INK Rabbit Hill Deming cycle KAD+ Simons 7 S n (McKinsey) CoCo Roth 45

46 Risk Management 46

47 De geneugten van Risk Management 47

48 Risico: is all about volatility of performance 48

49 In Control: Risico bewust, risico acceptatie? 49

50 Derivaten Eind 2008 waarde van derivatentransacties: $ miljard = 16x de totale marktwaarde van alle aandelenbeurzen wereldwijd = 10x het mondiale bruto binnenlands product 50

51 And Most of Our Conscious Thinking is Counter-Factual Daniel Kahneman (2002 Nobel Laureate in Economics) For having integrated insights from psychological research into economic science, especially concerning human judgment and decision-making under uncertainty 51

52 De vijand zit van binnen. Linearity Hindsight Pattern Seeking Habituation Overcompensation Supposed Causality Myopia Regret & Emotional Amplification 52

53 Perceptie speelt een belangrijke rol A Nuclear Power B Nuclear Power Positive Positive Information says Benefit is high. Risk inferred to be low Information says Risk is low. Benefits inferred to be high C Nuclear Power D Nuclear Power Negative Negative Information says Benefit is low. Risk inferred to be high Information says Risk is high. Benefit inferred to be low Model showing how information about benefit (A) or information about risk (B) could increase the overall affective evaluation of nuclear power and lead to inferences about risk and benefit that coincide affectively with the information given. Similarly, information could decrease the overall affective evaluation of nuclear power as in C and D. 53

54 Verlies weegt veel zwaarder 54

55 Waar gaat het om? Risicomanagement is niets anders dan gewoon management Het woord risico is toegevoegd Zorg ervoor dat medewerkers zich voortdurend bezinnen op de balans tussen risico/kans en beheersing Dat blijkt echter in de praktijk nog niet mee te vallen 55

56 Hoe doen we dat dan? Toedienen van prikkels.. Risicoprofiel in businessplan (1x p/j) Verbeteracties volgen via kwartaalrapportages (4x p/j) Incidenten melden in maandrapportages (12x p/j) Risico analyse bij investeringen, nieuwe diensten/producten, IT systemen, etc. (enkele tientallen keren p/j) Allerlei interne en externe veranderingen en gebeurtenissen laten analyseren (50x (?) p/j) En.. Vooral bij ontmoetingen vragen hoe het staat met zijn of haar risico s! 56

57 Risk Management Pyramid WHY PERFORMED? Strategy: Defines the organisation s approach to risk management, risk appetite and risk tolerance Vision and Strategy Policies HOW PERFORMED? Process: Defines the organisation's risk management processes, procedures, practices and tools Monitor Identify RISK MANAGEMENT PROCESSES Assess Control Respond HOW SUSTAINED? Structure: Defines the structures and techniques used to support, promote and drive risk management throughout the organisation Organisation Structures Performance Measurement Human Resource Mechanisms Management Education Information and Communications Assurance Culture 57

58 Enterprise Risk Management Framework (COSO II) 58

59 ERM Framework Components Corporate culture Organizational Structure Risk appetite Risk philosophy Ethical values Source of events Positive/negative impact Identification method Categorization Alignment with strategy SMART objectives Risk tolerance Risk categorization Risk prioritization Assessment of likelihood and impact Quantitative and qualitative Evaluation of selection risk responses Resource allocation Infrastructure Data Reporting Communication lines and channels Policies and procedures General controls Application controls Separate evaluations Ongoing evaluations 59

60 Key Concepts Portfolio View Enterprise risk management requires an entity to take a portfolio view of risk. 1. Management considers how individual risks interrelate. 2. Management develops a portfolio view from two perspectives: Business unit level Entity level 60

61 Risk Appetite and Risk Tolerance Risk appetite is defined as the degree of risk, on a broad-based level, that an organisation or other entity is willing to accept in pursuit of its goals Risk tolerance is defined as the acceptable level of variation around the achievement of a specific business objective and should be aligned to an organisation s risk appetite 61

62 Risk Tolerances Measure Market share Units of production Number of staff hired (net) Product quality index 25 Percentile 150,000 units 180 staff 4.0 sigma Target Tolerances Acceptable Range 20% 30% -7,500 / +10, / sigma Strategy Expand production of our topfive selling retail products to meet increased demand Related Objectives Increase production of Unit X by 15% in the next 12 months Increase new staff by 180 (net) across all manufacturing divisions Maintain product quality of 4.0 sigma Measures Units of Production Number of staff hired Product quality by sigma Risk Appetite Accepts that the company will consume large amounts of capital investing in new assets, people and processes Accepts that competition could increase (e.g. through predatory pricing, etc) as we seeks to increase market share, thereby reducing profit margins Does not accept erosion of product quality Strategic Objectives To be in the top quartile of product sales for retailers of our products Measures 1Market Share Mission To be a leading producer of premium household products in the regions in which we operate 62

63 Rapporteren over risico s 1. Hoe groter hoe meer er gerapporteerd wordt 2. Vooral kwalitatief (95%) en nauwelijks kwantitatief (5%) 3. Onvolledig en niet coherent 4. Niet te lezen en te begrijpen; alleen door wetenschappers en academici 5. Lelijk nieuws wordt niet verborgen gehouden Linsley & Shrives, The British Accounting Review, 2006, Linsley & Lawrence, Accounting, Auditing & Accountability Journal, 2007,

64 Nut van een ICV? 1. Onder druk wordt alles vloeibaar, en het wordt er beter van 2. Wijzen op verantwoordelijkheid helpt, je denkt nog eens na 3. De weg is belangrijker dan het doel (doel-middel relatie) 4. Maar ik zou een joekel van een disclaimer opnemen 64

65 Rapporteren over In Control Wat rapporteren we? We zijn leuk bezig en doen ons best? Dit zijn onze risico s en zoekt u het maar uit We hebben de financiële rapporteringsrisico s in control We zijn in control? We zijn in control gegeven de volgende uitgangspunten? 65

66 66

67 In Control? I know it when I see it! 67

68 Onze dataset (N=825!) Industry Number % Wholesale and retail Transportation Manufacturing Financial services Business services Telecom and IT Energy and utilities Public sector and not-for-profit Unknown

69 ERM Maturity Risk management incident-driven; no plans for ERM Risks actively controlled in specific areas; consider ERM Risks identified, assessed, and controlled in specific areas; plan for ERM Strategic, financial, operational, and compliance risks identified, assessed, and controlled; implementing ERM Strategic, financial, operational, and compliance risks identified, assessed, and controlled; ERM is implemented 69

70 ERM maturity in onze dataset Stage 1 Stage 2 Stage 3 Stage 4 Stage % 38.3% 23.2% 12.9% 11.4% Mean = 2.68 st.dev

71 What effects ERM maturity? (statistically significant) Being stock listed Having a Chief Risk Officer Having an Audit Committee Size (revenue/budget) Being a Financial Services company Being owner managed 71

72 What doesn t effect ERM maturity? (statistically significant) Applicable governance codes Institutional ownership Having a Big 4 auditor Rapid growth Energy Sector Public Sector 72

73 Perceived effectiveness Industry Wholesale and retail Transportation Manufacturing Financial services Business services Telecom and IT Energy and utilities Public sector and not-for-profit Total Mean

74 What drives perceived ERM effectiveness? (statistically significant) ERM stage of maturity! Frequency of risk assessments More frequent risk reporting Retrospective richness Prospective richness 74

75 What doesn t help perceived ERM effectiveness? (statistically significant) Use of COSO!! (applied by 21.5% only) Quantification of risk tolerance (done by one third only) Use of quantitative risks assessment techniques Engagement of lower level management Size (revenue/budget) 75

76 Conclusions (1) 1. ERM maturity still in early stages 2. No difference in perceived effectiveness between organizations that do and those who do not apply COSO 3. Quantification of risk tolerance may not make sense 4. Financial Services firms have more developed ERM, but are less satisfied with their effectiveness 5. Public Services organizations have equally developed ERM systems and are also less satisfied: no one size fits all? 76

77 Conclusions (2) Mandatory implementation resulted in relatively sophisticated ERM systems from a technical point of view, but may not (yet) have resulted in systems that actually work 77

78 Je gaat het pas begrijpen als je het ziet. 78

79 Leerdoelen Aan het eind van deze avond kennen we: De belangrijkste lessen van de huidige crisis De basics van Management Control De belangrijkste elementen van goed risicomanagement Dat het vooral gaat om gedragsbeïnvloeding 79

80 Must read! Akerlof & Shiller: Animal Spirits Arianna Huffington: Pigs at the trough William Cohan: House of Cards Kets de Vries: Leiderschap Ontraadseld Frans de Waal: De Aap in ons Joel Bakan: The Corporation Nassim Taleb: The Black Swan/Fooled by Randomness Tim Harford: Waarom we doen wat we doen Loretta Napoleoni: Rogue Economics Richard Layard: Happiness Frank Partnoy: Infectious Greed Jeroen Smit: De Prooi Jared Diamond: Ondergang (Collapse) John Clarke: Working with Monsters 80