Risk Management & Internal Audit en Kredietcrisis bij Financiële instellingen: Lessons learned

Transcriptie

1 Risk Management & Internal Audit en Kredietcrisis bij Financiële instellingen: Lessons learned Afstudeerreferaat Sandra Annema-Killop Alphen aan den Rijn, augustus 29 Executive Master of Internal Audit Amsterdam Business School

2 Executive Summary Er is momenteel een crisis gaande, waarvan de impact nog steeds duidelijk voelbaar is. Het begint in februari 27 als de eerste Europese bank meldt dat er problemen zijn met de Amerikaanse hypothekenportefeuille. In januari 28 zijn er significante verliezen op de aandelenbeurzen. De AEX begint een neerwaartse spiraal die in acht maanden de helft van de waarde van de beleggingen doet verdampen. In september 28 gaat Lehmann Brothers onderuit, AIG blijft dit lot bespaard doordat de Amerikaanse overheid hier wel met een kapitaal injectie van 8 miljard dollar ingrijpt. Aandelenkoersen raken wereldwijd in een vrije val. In oktober 28 wordt FORTIS genationaliseerd. ING en AEGON krijgen een kapitaalinjectie. Ook in 29 is de impact van de crisis merkbaar. In 29 komen Europa en Amerika met maatregelen: in april 29 is EU het eens over meer financieel toezicht en in juni 29 belooft de Amerikaanse president Obama beter financieel toezicht. Bij bovengenoemde ontwikkelingen speelt de vraag Waar waren Risk Management en Internal Audit tijdens de crisis? Hadden ze de crisis kunnen voorkomen? Hadden ze een zodanige positie binnen de organisatie moeten bekleden en hun kerntaken zodanig moeten invullen dat zij de impact hadden kunnen mitigeren? Dit referaat is met name gericht op de praktijk. In dit referaat wordt antwoord gegeven op de vragen: Hebben Risk Management en Internal Audit een rol gespeeld ter voorkoming van de crisis? Welke lessen hebben zij geleerd en welke maatregelen hebben zij genomen naar aanleiding van de huidige crisis. Bij de beantwoording van bovengenoemde vragen is gekeken naar de kerntaken van Risk Management en Internal Audit en de daadwerkelijke invulling hiervan. Ook is gekeken naar de positie van Risk Management en Internal Audit binnen de organisatie. Het onderzoek om antwoord te krijgen op deze vragen bestaat uit een theoretisch deel en een beperkte toetsing in de praktijk. Het theoretisch deel bestaat met name uit inventarisatie van recente publicaties en onderzoeken. Voor het praktijkdeel zijn interviews gehouden met managers van Internal Audit afdelingen en managers van Risk Management afdelingen bij ING NV, ABN AMRO Bank N.V. en AEGON NV. Dit onderzoek beperkt zich tot financiële instellingen ten behoeve van de vergelijkbaarheid van de antwoorden. Risk Management Risk Management had over het algemeen vóór de crisis (nog) geen sterke positie. Dit blijkt uit het theoretisch deel en het praktisch deel van het onderzoek. Daarom heeft Risk Management de negatieve effecten van de crisis niet kunnen voorkomen. Uit theoretisch onderzoek en het onderzoek uit de praktijk blijkt ook dat Risk Management haar kerntaken onvoldoende heeft uitgevoerd of heeft kunnen uitvoeren, vaak mede door gebrek aan steun en begrip vanuit senior management en Bestuur. Ondanks het verbeterde profiel is de risicofunctie nog steeds aan het worstelen met het verkrijgen van invloed. Daarnaast is er ook nog geen beroepsorganisatie voor Risk Management die de belangen van deze beroepsgroep zou kunnen behartigen. De gebeurtenissen die hebben geleid tot de crisis, laten zien dat er tekortkomingen zijn in de monitoring van risico s. Deze tekortkomingen blijken uit het feit dat bijna alle Risk Management tools onvoldoende in staat zijn gebleken om de financiële impact te laten zien op een manier dat senior management daar wat aan had. Dit laat enerzijds de technische beperkingen zien van de Risk Management tools en anderzijds dat de meeste kwantitatieve modellen voorspellingen doen over het heden of de toekomst met gegevens / informatie die gedateerd zijn. Uit onderzoek blijkt tevens dat ondanks de implementatie van een Risk Management functie en processen, dit vaak niet heeft bijgedragen tot: 2

3 Werkelijke vermindering van risico s Een zichtbare koppeling tussen risico management en prestaties van de organisatie Een bewezen verband tussen risico-beheer, controle en zekerheid Een beter begrip van niet-kwantificeerbare risico s, d.w.z. algemene bedrijfsrisico s. Een belangrijke lesson learned naar aanleiding van de crisis is dus dat de positie van Risk Management in veel organisaties niet sterk genoeg is. Een verbetermaatregel hierbij is dat het aansturen van het risicobeleid expliciet en zichtbaar behoort plaats te vinden op het hoogste niveau binnen de organisatie. De positie van Chief Risk Officer (CRO) zal in dit geval deel moeten uitmaken van de Raad van Bestuur (RvB). Naar aanleiding van de crisis zullen de volgende belangrijke veranderingen plaatsvinden in de kerntaken van Risk Management (lessons learned): Er moet een governance systeem worden ontwikkeld waar risico's kunnen worden gemanaged en waarbij een ieder in de organisatie de risk appetite van de organisatie snapt en zijn rol in het mitigeren van de risico's. Deze risk appetite moet door de Raad van Bestuur zijn goedgekeurd en moet het fundament vormen voor de risicocultuur en het systeem van beheersing binnen de organisatie. De focus van Risk Management is zich steeds meer aan het verschuiven van tactisch niveau naar strategisch niveau Risk Management moet een verantwoordelijkheid hebben bij het beoordelen van nieuwe business, producten en transacties Meer communicatie en samenwerking tussen Risk Management en de Business Units om er voor zorg te dragen dat beslissingen worden genomen conform de risk appetite, vastgesteld door de leiding van de organisatie Duidelijke, tijdige en nauwkeurige rapportage aan senior management en Raad van Bestuur over het nemen van risico s en monitoren van risico s Een gedegen methode van risicoanalyse voor de juiste input voor succesvol risicomanagement. Voorwaarde hierbij is dat het informatiemodel geïntegreerd moet zijn en zowel intern als extern gericht moet zijn. Een tweede voorwaarde is een stevige positie voor Risk Management en voldoende draagvlak door topmanagement voor risicomanagement Internal Audit Internal Audit heeft wel de juiste kerntaken uitgevoerd, echter voor het geven van assurance over de belangrijkste risico s had meer focus moeten zijn op emerging risks, operationele risico s en op de behoeften van de stakeholders (met name RvB, Audit Committee, Senior management, aandeelhouder, externe accountant en toezichthouders). Dit blijkt uit het theoretisch deel en het praktisch deel van het onderzoek. Daarom heeft Internal Audit geen rol gespeeld ter voorkoming van de crisis. Heeft de crisis impact gehad op de positie van Internal Audit? Uit het theoretisch onderzoek en het praktijk onderzoek blijkt dat de positie van Internal Audit in veel organisaties goed is. Internal Audit valt rechtstreeks onder de CEO en rapporteert rechtstreeks aan het Audit Committee. De crisis heeft echter wel impact (gehad) op de invulling van de kerntaken door Internal Audit. De belangrijkste ontwikkelingen in de invulling van de kerntaken zijn: In zijn assurance rol legt Internal Audit nu meer nadruk op de beoordeling van de effectiviteit van het proces van risicomanagement Traditioneel keken de Internal Auditors vooral naar operationele risico s en risico s voor de betrouwbaarheid van de (financiële) informatie. Steeds meer wordt ook de beheersing van tactische en strategische risico s onderzocht 3

4 Het auditen van project- en programmamanagement. Traditioneel richtte de audit zich voornamelijk op de staande organisaties. Tegenwoordig draagt Internal Audit steeds meer bij aan lopende projecten en programma s. Programma s zijn gericht op strategische organisatieveranderingen en het behalen van doelstellingen. Dergelijke veranderorganisaties zijn complex en kennen vaak grote risico s. Daarom is het belangrijk een beeld te hebben van de mate waarin kritieke programma s aansluiten op de strategische doelstellingen Integriteit en compliance. De maatschappij verwacht van organisaties en haar bestuurders dat deze zich integer gedragen. Niet integer gedrag kan leiden tot grote reputatie- en financiële schade. Aanvullend op de bovengenoemde (verbeter) maatregelen zouden nog onderstaande maatregelen kunnen worden ingevoerd: Betere samenwerking en afstemming van activiteiten en plannen tussen Internal Audit en de andere lines of defence (met name Risk Management en Compliance) Indien Internal Audit onvoldoende kan steunen op de werkzaamheden die door Risk managers en / of Compliance officers zijn verricht, zou Internal Audit de getroffen maatregelen door Risk Management en Compliance moeten verifiëren of onderzoeken. Dit om meer zekerheid te verkrijgen over de beheersing, teneinde daarover assurance te kunnen geven.

5 Inhoudsopgave 1. Inleiding Achtergrond en aanleiding Probleemstelling en onderzoeksvragen Werkwijze 6 1. Opbouw referaat 7 2. Rol Risk Management en Internal Audit tijdens huidige crisis Rol Risk Management tijdens de crisis Rol Internal Audit tijdens de crisis Lessons Learned en (verbeter)maatregelen Risk Management 16. Lessons learned en (verbeter)maatregelen Internal Audit 2 5. Praktijktoets Deel I Rol Risk Management, kerntaken en invulling daarvan en (verbeter) maatregelen n.a.v. de crisis Deel II Rol Internal Audit, kerntaken en invulling daarvan en (verbeter) maatregelen n.a.v. de crisis Conclusie Literatuurlijst 33 Bijlage1: Het NIVRA in het maatschappelijk debat Inzicht in onzekerheid : Onderzoek naar de risicoparagrafen in de jaarverslagen 27 van beursfondsen Bijlage 2: Protocol voor interviews en vragenlijst Bijlage 3: Uitkomsten interviews 5

6 1. Inleiding 1.1 Achtergrond en aanleiding Nog steeds lijken bedrijven verrast door de huidige crisis en de gevolgen daarvan. Deze crisis is nog gaande en de verwachting is dat de gevolgen daarvan nog enige tijd zichtbaar zullen zijn. Er zijn inmiddels diverse onderzoeken geweest naar de mogelijke oorzaken van deze crisis. De vraag die hierbij gesteld wordt is: Was deze crisis te voorspellen en / of te voorkomen? Sommigen menen dat Risk Management een (betere) rol had moeten spelen in het voorkomen van de crisis of het verminderen van de impact daarvan. Anderen beweren echter dat dit meer een taak is voor Internal Audit. Het bovenstaande vormde voor mij de aanleiding om voor mijn referaat een onderzoek te wijden aan de rol van Risk Management en Internal Audit tijdens de crisis binnen financiële instellingen en de lessons learned. 1.2 Probleemstelling en onderzoeksvragen Doelstelling van dit onderzoek is om vast te stellen of en hoe Risk Management en Internal Audit een rol hebben gespeeld tijdens de huidige crisis, wat zij daarvan hebben geleerd.. Voor het onderzoek zijn de volgende onderzoeksvragen gedefinieerd: 1. Hebben Risk Management en Internal Audit een rol gespeeld ter voorkoming van de huidige crisis, c.q. waar waren Risk Management en Internal Audit tijdens de crisis? 2. Welke lessen heeft Risk Management geleerd van de huidige crisis en welke maatregelen hebben ze naar aanleiding daarvan getroffen? 3. Welke lessen heeft Internal Audit geleerd van de huidige crisis en welke maatregelen hebben ze naar aanleiding daarvan getroffen?. Welke maatregelen hebben Risk Management en Internal Audit genomen bij 3 grote Nederlandse financiële instellingen naar aanleiding van de huidige crisis? 1.3 Werkwijze Dit referaat is met name gericht op de praktijk. Het onderzoek bestaat uit een theorie deel, aangevuld met een beperkte toetsing in de praktijk. Het theoretisch deel bestaat met name uit inventarisatie van recente publicaties en onderzoeken. Literatuur voor dit onderzoek is geselecteerd via de IIA website, het archief van AEGON Concerndocumentatie, door op internet te zoeken op onderwerpen als Internal Audit en de kredietcrisis en Risk Management en de kredietcrisis. Daarnaast zijn ontwikkelingen over de crisis bijgehouden via en het Financieele Dagblad. Voor de toetsing in de praktijk zijn interviews gehouden bij 3 grote Nederlandse financiële instellingen met managers van de Internal Audit afdeling en de Risk Management afdeling. Het onderzoek beperkt zich tot financiële instellingen, ten behoeve van de vergelijkbaarheid van de antwoorden. Het betrof ING N.V., ABN AMRO Bank N.V. en AEGON N.V. 6

7 1. Opbouw referaat Het referaat is alsvolgt opgebouwd: In hoofdstuk 2 worden de rol van Risk Management en Internal Audit tijdens de huidige crisis behandeld In hoofdstuk 3 worden de lessons learned en (verbeter) maatregelen Risk Management behandeld Hoofdstuk gaat over de lessons learned en (verbeter) maatregelen Internal Audit In hoofdstuk 5 worden de resultaten uit de praktijktoets weergegeven Hoofdstuk 6 bevat de conclusie In hoofdstuk 7 is de literatuurlijst opgenomen. 7

8 2. Rol Risk Management en Internal Audit tijdens huidige crisis Naar aanleiding van de huidige crisis en de impact daarvan, wordt onder stakeholders en overige betrokkenen de vraag gesteld wat de rol was / is van Risk Management en Internal Audit tijdens deze crisis. Deze vraag wordt beantwoord aan de hand van de positie in de organisatie, de kerntaken en invulling daarvan door Risk Management en Internal Audit. Op deze vragen wordt in paragraaf 2.1 en 2.2 antwoord gegeven. 2.1 Rol Risk Management tijdens de crisis In deze paragraaf wordt antwoord gegeven op de vraag heeft Risk Management een rol gespeeld ter voorkoming van de huidige crisis, c.q. waar was Risk Management tijdens de crisis?. Deze vraag wordt beantwoord vanuit de theorie door eerst de positie van Risk Management in de organisatie te beoordelen en vervolgens wordt gekeken naar de kerntaken en de invulling daarvan door Risk Management. Positie Risk Management in de organisatie Bij Risicomanagement wordt gedacht aan ERM( Enterprise Risk Management). Uit de onderzoeken van de IIA en PWC ligt de focus van de bevindingen en aanbevelingen meer op ERM dan op Operational Risk Management. In sommige organisaties zijn deze functies samengevoegd. Waar in dit rapport wordt gesproken over ERM wordt ook Operational Risk Management bedoeld. Definitie ERM volgens Chapman, 26: Een proces, tot stand gebracht door de Raad van Bestuur, het management en andere personeelsleden, dat wordt toegepast bij het bepalen van de strategie en in de gehele organisatie wordt uitgevoerd om een redelijke zekerheid te verschaffen met betrekking tot het bereiken van de organisatie doelstellingen via de: Identificatie van gebeurtenissen die invloed kunnen hebben op de organisatie; De beheersing van risico s rekening houdend met de graad van risico-aversie van de organisatie (accepteren van risico s). Rollen en verantwoordelijkheden binnen ERM (de belangrijkste spelers): Raad van Bestuur (sponsor van ERM, tone at the top ) Raad van Commissarissen (toezicht op ERM-proces) Audit Committee (toezicht op resultaten uit ERM-proces) Internal Audit (third line of defence) Risk Management / Compliance (Second line of defence: (de bewaker van de spelregels, faciliteren van ERM-proces, reikt methoden en technieken aan, challenget senior management, steunt business bij identificeren & managen van risico s) De business (first line of defence: implementeren van ERM). (M.J.M. de Munck, Risk Management & Compliance, januari 29) Volgens de position paper update 28 van Internal Auditors in Nederland (Instituut van Internal Auditors, het Koninklijke NIVRA en NOREA) hebben de andere assurance functies waaronder Risk Management, meer een operationele, continue rol en vormen de second line of defence. Risk Management als assurance functie maakt onderdeel uit van de interne 8

9 beheersingssystemen van de organisatie. Internal Audit beoordeelt de effectiviteit van deze assurance functie en wordt daarom aangeduid als de third line of defence. Volgens de Adviescommissie Toekomst Banken, onder leiding van Cees Maas (29) is de positie van Risk Management binnen de organisatie niet sterk genoeg. Hij adviseert daarom dat in ieder geval binnen banken de Raad van Commissarissen naast een Audit Committee dient te beschikken over een Risk Committee en de voorzitter van de Risk Committee dient zitting te hebben in het Audit Committee. Ook geeft hij aan dat de positie van de Chief Risk Officer (CRO) deel moet uitmaken van de Raad van Bestuur en steviger verankerd moet zijn in de organisatie. Strikwerda (29) bevestigt dat de positie van Risk Management niet sterk is, doordat er in de samenleving nog geen klimaat is waarin risico s en onzekerheden openlijk kunnen worden besproken. Deze worden volgens Strikwerda (29) snel procedureel weggeduwd in de vorm van in-control verklaringen. Volgens een onderzoek van IIA (GAIN) (29) naar de impact van de financiële crisis op Internal Audit had beter Risk Management de impact van de crisis niet kunnen voorkomen. Mede door gebrek aan steun en begrip vanuit senior management en het Bestuur. Volgens het onderzoek van de KPMG (29) naar de rol van Risk Management bij financiële instellingen tijdens de crisis en de lessons learned is ondanks het verbeterde profiel de risicofunctie nog steeds aan het worstelen met het verkrijgen van invloed. Kerntaken en invulling Risk Management De Kerntaken van Risk management volgens Chapman (26) zijn: Identificeren, prioriteren, analyseren en beheersen van risico s die het behalen van de organisatiedoelstellingen kunnen beïnvloeden. Volgens de werkgroep Enterprise Risk Management en Internal Audit die onder de Commissie Vaktechniek van de IIA valt, is Risk Management, het effectief en bewust omgaan met onzekerheden in de organisatie. Dit kan door alle risico s die verbonden zijn met de dagelijkse activiteiten te identificeren, meten, beheersen, communiceren en monitoren. Volgens de Adviescommissie Toekomst Banken, onder leiding van Cees Maas (29) is één van de oorzaken van de huidige crisis, dat banken de afgelopen tijd veelal het zicht op complexe risico s zijn kwijtgeraakt, terwijl het goed beheren van risico s juist tot de kerncompetenties behoort. Daarnaast heeft tekortschietend risicobeleid ertoe geleid dat vitale risico s niet of verkeerd zijn beheerd. Uit het IIA (GAIN) (29) onderzoek naar de impact van de financiële crisis op Internal Audit blijkt dat bedrijven waarbij Enterprise Risk Management (ERM) niet in staat is geweest om de organisatie op tijd te waarschuwen en te adviseren over risico s betreffende subprime leningen enkele gemeenschappelijke tekortkomingen hebben. De gemeenschappelijke tekortkomingen zijn: Ineffectieve risico- identificatie en assessment kanalen Gebrek aan communicatie en documentatie over risk appetite, die de organisatie bereid is te accepteren om haar doelstellingen te behalen Onvolledige ERM rapportage Onvoldoende monitoring van lopende risico s. Definitie Risk appetite (volgens Adviescommissie Toekomst Banken onder leiding van Cees Maas, (29)): De bereidheid van de organisatie het risico te accepteren op een zekere mate van verlies en daling van het vermogen uitgaande van uitzonderlijke omstandigheden die zich binnen een 9

10 bepaalde periode kunnen voordoen. Bij het vaststellen van de risk appetite dient rekening te worden gehouden met de strategie, de doelstellingen, de concurrentiepositie en het karakter van de organisatie. Volgens deze Adviescommissie heeft het Risk Committee van de Raad van Commissarissen de taak de besluitvorming en de discussies in de Raad van Commissarissen over de risk appetite van de organisatie en over het feitelijke risicoprofiel voor te bereiden. Het bovenstaande geldt volgens de Adviescommissie Cees Maas specifiek voor banken, maar zou ook voor andere financiële instellingen kunnen gelden. Want ook zij hebben in meer of mindere mate te maken gehad met de gevolgen van de huidige crisis. De gebeurtenissen die hebben geleid tot de crisis op de kredietmarkt en de impact van de crisis hebben laten zien dat er tekortkomingen zijn in de monitoring van risico s en het uitvoeren van Risk Management. Deze tekortkomingen blijken uit het feit dat bijna alle Risk Management tools onvoldoende in staat zijn gebleken om de financiële impact te laten zien op een manier dat senior management daar wat aan had. Dit laat de technische beperkingen zien van de Risk Management tools en dat de meeste kwantitatieve modellen voorspellingen doen over het heden of de toekomst met gegevens / informatie die gedateerd zijn. Het bovenstaande blijkt uit het onderzoek van The Counterparty Risk Management Policy Group (CRMPG) (28) naar Systemic risks. Een andere uitkomst uit dit onderzoek laat zien dat veel bedrijven niet in staat zijn gebleken om in totaliteit zicht te krijgen over de risico s die zij lopen. Dit is het gevolg van onderstaande oorzaken: Inadequate risico aggregatiesystemen In systemen en processen werd geen rekening gehouden met alle gebeurtenissen. Deze werden buiten scope geacht. SILO vorming in de business en bij Risk Management. De onderdelen die zich bezig houden met risicobeheersing werkten niet of onvoldoende samen. Niet in staat zijn gebleken om risico s te begrijpen. Medewerkers die zich bezighouden met risico s aangaan en risicobeheersing moeten alle aspecten van risicostrategie, krediet, markt, liquiditeit en operationele risico s begrijpen en de implicaties in relatie tot risk appetite. Uit bovengenoemd onderzoek blijkt eveneens dat bedrijven die met de crisis verliezen hebben geleden een inadequate communicatie lieten zien tussen senior management, business lines en Risk Management. Daarnaast hebben deze bedrijven onvoldoende de koppeling gelegd tussen financiering, markt, liquiditeit en kredietrisico. In 28 is een rapport verschenen van een onderzoek door Deloitte naar Enterprise Risk Management and Assurance Frameworks. Definitie assurance framework gehanteerd voor dit onderzoek: Een management rapport, waarbij de organisatiedoelstellingen, processen en / of projecten worden gekoppeld met de bijbehorende risico s en beheersmaatregelen voor die risico s. Uit bovengenoemd onderzoek blijkt dat slechts de helft van de respondenten het gevoel had dat zijn organisatie een goed begrip had van de risico s waarmee zij werd geconfronteerd, in staat was deze risico s te prioriteren en effectief op deze risico s kon reageren. Verder blijkt dat sommige organisaties onvoldoende zekerheid hadden over de risico s waarmee zij werden geconfronteerd. Dit zal een probleem blijven, omdat er een tekort is aan mensen met de juiste capaciteiten. Uit dit onderzoek blijkt tevens dat ondanks de implementatie van een Risk Management functie en processen, dit niet heeft bijgedragen tot: Werkelijke vermindering van risico s als gevolg van het Risk Management proces Een zichtbare koppeling tussen risico management en prestaties van de organisatie 1

11 Een bewezen verband tussen risico-beheer, controle en zekerheid Een beter begrip van niet-kwantificeerbare risico s, d.w.z. algemene bedrijfsrisico s De bovengenoemde issues worden niet veroorzaakt door een gebrek aan middelen of budget, maar door een gebrek aan duidelijke focus. Wat is de oorzaak van de huidige issues (Deloitte, 28): Complexiteit Silo aanpak Cultuur Compliance focus Bureaucratie Processen zijn te complex gemaakt, waardoor er een verhoogd niveau is van bureaucratie en dit heeft bijgedragen tot een risicomanagement benadering die in veel organisaties is gericht op proces en niet op inhoud Risk Management heeft zich geëvolueerd tot een stand-alone-proces, die geresulteerd heeft in een SILO aanpak die niet geïntegreerd is in de bedrijfsprocessen Men heeft gefaald in het introduceren en ontwikkelen van een risicomanagement cultuur in de gehele organisatie of risicomanagement werd gezien als het domein van financiën. Processen zijn reactief ingesteld ten behoeve van naleving van wet- en regelgeving en niet proactief om risico s te beheersen die hebben geresulteerd in brandbestrijding en niet proactief managen van risico s Risk Management processen hebben getracht teveel risico s op teveel niveaus te beheersen met als gevolg een vermindering van de schaarse beschikbare capaciteit en een onvermogen om zich te richten op de belangrijkste gebeurtenissen / informatie. De Senior Supervisors Group (28) heeft onderzoek gedaan naar risicomanagement bij een aantal grote dienstverlenende organisaties. Aan dit onderzoek hebben deelgenomen: French Banking Commission The German Federal Financial Supervisory Authority The Swiss Federal Banking Commission The U.K. Financial Services Authority The office of the comptroller of the Currency in United States The securities and exchange commission in United States The Federal Reserve in United States Tijdens dit onderzoek is gekeken naar de effectiviteit van Risicomanagement gedurende de huidige crisis. Uit bovengenoemd onderzoek naar risicomanagement bij diverse bedrijven, is gebleken dat bedrijven die de crisis tot nu toe succesvol hebben overleefd o.a. het volgende gemeen hebben: Effectieve organisatiebrede risico-identificatie en risicoanalyse. Tussen Senior management (chief executive officer, chief risk officer en andere bestuursleden), leden van business lines en beheersfuncties is sprake van effectieve communicatie en het delen van kwalitatieve en kwantitatieve informatie. Hierdoor konden zij in een vroeg stadium de (belangrijkste) risico s identificeren en beheersmaatregelen vaststellen. Consequente toepassing van onafhankelijke en strenge waarderingspraktijken binnen de organisatie. Bedrijven pasten kritische en strenge richtlijnen toe voor de waardering van effecten. 11

12 Doeltreffend beheer van liquiditeit, kapitaal en balans. Bij deze bedrijven werd de treasury functie directer gekoppeld aan de risicomanagement processen. Informatieve en responsieve risicometing en management rapportages en processen. Balans tussen Risk Appetite en Risk Control. Begrip voor en reageren op nieuwe risico s (emerging risks). Bij deze organisaties is gebleken dat senior management een grote rol speelde in het begrijpen van nieuwe risico s en het mitigeren van buitensporige risico s. Timing en de kwaliteit van de informatie stroom naar senior management. In een periode van snelle marktontwikkelingen is de timing en nauwkeurigheid van informatie aan senior management cruciaal. Breedte en diepte van interne communicatie in de organisatie. Binnen deze organisaties werd de informatie van alle onderdelen van de organisatie verzameld en in 1 keer verspreid aan senior management en de rest van de organisatie. Volgens een onderzoek van KPMG (29) naar Risk Management en de kredietcrisis hebben met name de volgende elementen van Risico management het meest bijgedragen tot het ontstaan van de kredietcrisis (Respondenten mochten hierbij meerdere antwoorden kiezen): Onvoldoende Risk Governance (volgens 5% van de respondenten) Slechte Risk Culture (volgens 8% van de respondenten) Onvoldoende rapporteren en meten van risico s (volgens 2% van de respondenten) Onvoldoende vaststelling en monitoring van risk appetite (volgens % van de respondenten) Onvoldoende niveau van risico expertise op Bestuurdersniveau (volgens 39% van de respondenten) Onvoldoende risicosystemen en kwaliteit van data (volgens 32% van de respondenten) Gebrek aan vaardigheden en ervaring onder riskmanagers (volgens 29% van de respondenten) Een andere mogelijke oorzaak voor de kredietcrisis is dat sommige Risk Management agenda s (plannen) en budgetten de laatste jaren gedreven werden door het naleven van wet- en regelgeving. Te denken valt bijvoorbeeld aan BASEL II en Sarbanes-Oxley. Door deze compliance focus is Risk Management mogelijk afgeleid om zich te richten op de bredere organisatorische risico s. Volgens een artikel in het Financieele Dagblad (FD), van mei 29 over een onderzoek van Ernst & Young naar risicobeheersing van bedrijven, vindt 8% van de bedrijven dat risicobeheersing op dit moment tekortschiet. Het probleem is dat bedrijven te fragmentarisch met het risicoprofiel bezig zijn, een deel ligt bij de Juridische afdeling, een ander deel op marketing. De vraag is of de juiste risico s zijn geanalyseerd. Het ging de laatste jaren steeds over compliance, maar het gaat niet alleen om wet- en regelgeving. Samenvatting In deze paragraaf is vanuit de theorie antwoord gegeven op de vraag heeft Risk Management een rol gespeeld ter voorkoming van de huidige crisis, c.q. waar was Risk Management tijdens de crisis?. Het antwoord op deze vraag is: Risk Management heeft geen significante rol gespeeld ter voorkoming van de huidige crisis. Gezien haar positie en invulling van de kerntaken had Risk Management deze crisis ook niet kunnen voorkomen. Uit diverse onderzoeken (o.a. Adviescommissies toekomst banken (29), IIA onderzoek naar impact Financiële crisis op Internal Audit (29) en Strikwerda (29)) 12

13 blijkt dat de positie van Risk Management niet sterk genoeg is. Tevens blijkt uit een onderzoek van de IIA (29) dat beter Risk Management de crisis niet had kunnen voorkomen, mede door gebrek aan steun en begrip vanuit senior management en Bestuur. Ondanks het verbeterde profiel is de risicofunctie nog steeds aan het worstelen met het verkrijgen van invloed. Ook is er geen beroepsorganisatie voor Risk Management die de belangen van deze beroepsgroep zou kunnen behartigen. 2.2 Rol Internal Audit tijdens de crisis In deze paragraaf wordt antwoord gegeven op de vraag heeft Internal Audit een rol gespeeld ter voorkoming van de huidige crisis, c.q. waar was Internal Audit tijdens de crisis?. Deze vraag wordt beantwoord vanuit de theorie door eerst de positie van Internal Audit in de organisatie te behandelen en vervolgens wordt gekeken naar de kerntaken en de invulling daarvan door Internal Audit. Positie Internal Audit in de organisatie De internationaal aanvaarde definitie van Internal Auditing luidt als volgt, (De Internal Audit in Nederland, position paper update 28): Internal Auditing is an independent and objective assurance and consulting activity designed to add value and improve an organization s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of Risk Management, control and governance processes. Een vertaling naar de Nederlandse praktijk geeft het volgende beeld (De Internal Audit in Nederland, position paper update 28): De Internal Audit Functie (IAF) onderzoekt of de opzet en werking van processen op het gebied van risicomanagement, beheersing en besturing toereikend zijn om de doelstellingen van de organisatie te realiseren. Zij geeft daarmee assurance en adviseert daarover aan het verantwoordelijke management, het bestuur en de Auditcommissie. Dienstverlening aan de verschillende governance spelers ziet er als volgt uit (De Internal Audit in Nederland, position paper update 28): Speler Raad van Commissarissen Auditcommissie Raad van Bestuur Lijnmanagement Assurance functies Externe accountant en toezichthouders Essentie rol van de Internal Audit Functie Assurance Assurance en advies Assurance en advies Afstemming: effectiviteit activiteiten Afstemming: efficiëntie activiteiten De Adviescommissie Toekomst Banken onder leiding van Cees Maas (29) geeft geen aanbevelingen voor de positie en rol van Internal Audit. In het onderzoeksrapport van de adviescommissie worden voornamelijk aanbevelingen gegeven betreffende governance en Risk Management, maatschappelijke rol van banken, toezicht en regulering en toekomst banken in Nederland. Tijdens een discussiebijeenkomst op 23 juni 29 georganiseerd door het NIVRA, gaf Cees Maas toe dat de rol van de Interne Accountants Dienst in het rapport van de Adviescommissie onderbelicht is en zeker meer aandacht had verdiend. 13

14 Echter volgens een artikel van Arie Molenkamp (29), waar waren de Internal Auditors?, Heeft de kredietcrisis niet aangetoond dat de Internal Auditfunctie al een positie als onafhankelijk en kritisch toetsorgaan heeft verworven. Het heeft er alle schijn van dat de Internal Auditfunctie de haar toegedichte rol ( het verstrekken van aanvullende zekerheid over de kwaliteit van corporate governance en internal control ) niet altijd heeft kunnen waarmaken. Een dergelijke rol veronderstelt dat men in hoge mate moet kunnen aantonen dat structuren, producten, risico s, thema s (bijvoorbeeld integriteit) en omstandigheden wel of niet in overeenstemming zijn met de doelstellingen en de context van de organisatie. Organisatorisch is Internal Audit wel goed gepositioneerd, onder de CEO met een directe rapportagelijn naar de Audit Committee. Kerntaken en invulling Internal Audit Kerntaken van de Internal Audit functie (Position Paper update IIA 28) zijn: Geven van Assurance over risicobeheerssystemen (incl. compliance) Geven van Assurance over de beheersing van de belangrijkste risico s Evalueren van in control statements / risicorapportages Geven van Assurance over betrouwbaarheid (financiële) managementinformatie Geven van Assurance over naleving regelgeving. Toegestane adviestaken Internal Audit functie indien er voldoende waarborgen zijn (Position Paper update IIA 28): Adviseren over opzet risicobeheersystemen Begeleiden van implementatie beheerssystemen Faciliteren van control (risk) self assessments Begeleiden / uitwerken van te treffen beheersmaatregelen (ter goedkeuring door management) Deelnemen in projecten als materiedeskundige. Volgens een artikel van Arie Molenkamp (29), is het slechts de taak van de Internal Auditor om aanvullende zekerheid te leveren op die vlakken, waar uit het oogpunt van risico s de topleiding een second opinion wenst. Tijdens zijn onderzoek zal de auditor de voor zijn onderzoek relevante frameworks op opzet en bestaan toetsen; audit maakt zelf geen deel uit van het control framework. Uit een onderzoek van IIA (29) naar de impact van de financiële crisis op Internal Audit, blijkt dat het merendeel van de respondenten van mening is dat Internal Auditors meer hadden kunnen doen om hun organisatie te helpen de belangrijkste risico s te identificeren om de huidige impact te mitigeren. Volgens de IIA president, Richard Chambers, komt deze mening voort uit de gedachte dat veel Internal Audit activiteiten hebben gefaald om enige zekerheid te verschaffen over de effectiviteit van Risk Management binnen hun organisatie. Volgens IIA standaard 212 luidt het risicomandaat van Internal Audit als volgt: Evalueren van de effectiviteit en bijdragen tot verbetering van risicomanagement processen. Uit ditzelfde onderzoek van de IIA blijkt dat een groot deel van de activiteiten van Internal Audit is verschoven naar het aanpakken van de risico s als gevolg van de huidige crisis. Uit het onderzoek van de IIA (29) naar de impact van de financiële crisis op Internal Audit en het onderzoek (IIA 29) naar heroriëntatie van Internal Audit strategie blijkt, dat Internal Audit zich meer moet richten op de veranderende behoeften van stakeholders om voldoende toegevoegde waarde te leveren. Internal Audit had meer een financial en compliance focus. 1

15 Sinds de crisis is Internal Audit haar Audit plan meer aan het koppelen aan de bedrijfsstrategie en de huidige risico s en is haar prioriteiten aan het verschuiven van een financial en compliance focus naar een meer operationele en ERM effectieve strategie. Samenvatting In deze paragraaf is vanuit de theorie antwoord gegeven op de vraag heeft Internal Audit een rol gespeeld ter voorkoming van de huidige crisis, c.q. waar was Internal Audit tijdens de crisis?. Het antwoord op deze vraag is: Internal Audit had geen rol kunnen spelen ter voorkoming van de crisis, maar had wel een sterkere rol kunnen spelen in het mitigeren van de impact van de crisis voor de organisatie. Internal Audit heeft wel de juiste kerntaken uitgevoerd, echter voor het geven van assurance over de belangrijkste risico s, had meer focus moeten zijn op emerging risks, operationele risico s en op de behoeften van de stakeholders (o.a. RvB, Audit Committee, Senior management, aandeelhouder, externe accountant en toezichthouders). De behoeften van deze stakeholders veranderen vaak mee met de ontwikkelingen. Internal Audit moet constant nagaan wat de behoeften van de stakeholders zijn en daarop inspelen. Dit om er voor te zorgen dat hun prestaties en activiteiten overeenkomen met de behoeften van deze stakeholders. 15

16 3. Lessons Learned en (verbeter)maatregelen Risk Management In dit hoofdstuk wordt antwoord gegeven op de vraag welke lessen heeft Risk Management geleerd van de huidige crisis en welke verbetermaatregelen zouden zij naar aanleiding daarvan treffen?. Deze vraag wordt beantwoord vanuit de theorie door eerst de lessons learned en verbetermaatregelen voor wat betreft de positie van Risk Management in de organisatie te beoordelen en vervolgens wordt gekeken naar lessons learned en verbetermaatregelen voor wat betreft de kerntaken en de invulling daarvan door Risk Management. Positie Risk Management in de organisatie Een van de lessons learned naar aanleiding van de crisis is dat de positie van Risk Management in veel organisaties niet sterk genoeg is. Een verbetermaatregel hierbij is dat het aansturen van het risicobeleid expliciet en zichtbaar behoort plaats te vinden op het hoogste niveau binnen de organisatie. De positie van Chief Risk Officer (CRO) zal in dit geval deel moeten uitmaken van de Raad van Bestuur (RvB). De Chief Executive Officer (CEO) is expliciet verantwoordelijk voor de risicocultuur en de risk appetite binnen de organisatie. Daarnaast moet de Chief Risk Officer in alle fasen van het besluitvormingsproces bij alle belangrijke beslissingen, die gevolgen kunnen hebben voor het risicoprofiel van de organisatie betrokken worden (Adviescommissie toekomst banken onder leiding van Cees Maas, 29). De Raad van Commissarissen dient minimaal een keer per jaar de risk appetite van de organisatie goed te keuren en zo nodig bij te stellen. Het Risk Committee van de Raad van Commissarissen bereidt de besluitvorming en de discussies in de Raad van Commissarissen over de risk appetite van de bank en over het feitelijke risicoprofiel voor (Adviescommissie toekomst banken onder leiding van Cees Maas, 29). Afgewogen oordeelsvorming kan alleen plaatsvinden als de informatiestroom richting de Raad van Bestuur en, waar nodig, naar de Raad van Commissarissen vanuit de organisatie in kwalitatief en kwantitatief opzicht optimaal is. De Raad van Commissarissen dient het systeem van risicobeheer zo in te richten dat hij tijdig en voortdurend op de hoogte is van de risico s die op het gealloceerde kapitaal gelopen worden. De Raad van Commissarissen dient periodiek te beoordelen of de producten die de organisatie voert of de klantgroepen die de organisatie bedient, passen binnen het algehele risicobeleid en het karakter van de organisatie. Nieuwe producten kunnen niet op de markt worden gebracht of worden gedistribueerd zonder uitdrukkelijke instemming van de risicomanagementfunctie in de organisatie. Risk Management is verantwoordelijk voor het adequaat functioneren van het zogeheten Product Approval Process dat organisaties behoren te hebben. Aan productmanagers en commerciële managers moeten duidelijke instructies worden gegeven dat zij er voor verantwoordelijk zijn dat de uitkomsten van het Product Approval Process blijvend worden gerespecteerd. (Onderzoekscommissie Cees Maas, 29) Definitie Product Approval Process (onderzoekscommissie Cees Maas, 29): Product Approval Process is de procedure volgens welke door de organisatie wordt beslist of zij een bepaald financieel product voor eigen rekening en risico en / of ten behoeve van haar klanten zal produceren of distribueren. Bij het product approval process zijn doorgaans verscheidene afdelingen binnen de organisatie betrokken. In het goedkeuringsproces worden zorgvuldige afwegingen gemaakt over de in het geding zijnde risico s, waaronder ook die ten aanzien van de vereiste zorgplicht en de van toepassing zijnde business principles. Het is de 16

17 verantwoordelijkheid van de Raad van Bestuur over adequate processen te beschikken die compliance met de interne en externe regelgeving waarborgen. In de particuliere sector is naar aanleiding van de huidige crisis consensus dat een sterke, onafhankelijke Risk Management functie nodig is. Dit wordt vaak bereikt door het in de organisatie hebben van een Chief Risk Officer (CRO) met een sterke rapportagelijn die de belangrijkheid van de functie promoot. De CEO en de Raad van Bestuur moeten er voor zorgdragen dat de persoon die de CRO rol vervult een gezien lid is binnen het topmanagement team en die in staat is om onafhankelijk beslissingen te beïnvloeden betreffende het aangaan van risico s, risk appetite en mitigeren van risico s, (The Counterparty Risk Management Policy Group (CRMPG), 28 naar Systemic risks) Een grote meerderheid van de respondenten (77%) aan het KPMG onderzoek (29) naar de crisis en Risk Management, is van mening dat een meer robuuste risicocultuur in de organisatie geïmplementeerd moet worden waarbij de tone at the top cruciaal is. Daarnaast is een meer gezaghebbende risico management functie nodig ter verbetering van de positie van Risk Management. Uit bovengenoemd onderzoek blijkt ook dat ter verbetering en versteviging van de positie van Risk Management de CRO een centrale rol zou moeten spelen bij strategische planningsprocessen en meer betrokken zou moeten worden bij belangrijke initiatieven vanuit de Business Lines. Risicobeheersing in bedrijven moet omhooggetrokken worden naar de Raad van Bestuur en de Raad van Commissarissen (artikel FD, Ernst & Young, mei 29). Eén persoon binnen de organisatie met voldoende status moet verantwoordelijk zijn voor Risk Management. Dit kan zijn de CEO, CFO of CRO (IIA, Refocusing Internal Audit Strategy, 29). Kerntaken en invulling Risk Management In onderstaand schema zijn de belangrijkste wijzigingen in de kerntaken van Risk Management weergegeven: Lessons learned Naar aanleiding van de crisis is de focus van ERM zich steeds meer aan het verschuiven van tactisch niveau naar strategisch niveau Meer samenwerking tussen de diverse Risk Management afdelingen en een geïntegreerde Risk Managementplanning Ten behoeve van investeringsbeslissingen is er een ontwikkeling gaande, dat (potentiële) investeerders vaker en in begrijpelijke taal informatie willen over risico s Risk Management moet een verantwoordelijkheid hebben bij het beoordelen van nieuwe business, producten en transacties Bron IIA, Refocusing Internal Audit Strategy, 29 IIA, Refocusing Internal Audit Strategy, 29 IR (Investor Relations) magazine, april 29 The Counterparty Risk Management Policy Group (CRMPG), 28 naar Systemic risks) 17

18 Lessons learned Duidelijke, tijdige en nauwkeurige rapportage over het nemen van risico s, monitoren van risico s en risicomanagement aan senior management en Raad van Bestuur Meer communicatie en samenwerking tussen treasury en Risk Management en met business units om er voor zorg te dragen dat beslissingen worden genomen conform de risk appetite, vastgesteld door de leiding van de organisatie Sinds de huidige crisis wordt meer stress testing toegepast door Risk Management als een middel om risico s te meten Een gedegen methode van risicoanalyse voor de juiste input voor succesvol risicomanagement. Voorwaarde hierbij is dat een informatiemodel geïntegreerd moet zijn en zowel intern als extern gericht moet zijn. Een tweede voorwaarde is een stevige positie voor Risk Management en voldoende draagvlak van topmanagement voor risicomanagement. Betere communicatie en samenwerking tussen Risk Management en de business Meer interactie tussen business lines, Internal Audit, Risk Committee en Audit Committee Hechtere samenwerking tussen Risk Management en Internal Audit Er moet derhalve een governance systeem worden ontwikkeld waar risico's kunnen worden gemanaged en waarbij een ieder in de organisatie de risk appetite van de organisatie snapt en zijn rol in het mitigeren van de risico's. Deze risk appetite moet door de Raad van Bestuur zijn goedgekeurd en moet het fundament vormen voor de risicocultuur en het systeem van beheersing binnen de organisatie. Er is, voornamelijk op senior niveau, een tekort aan mensen met de juiste Risk Management capaciteiten en ervaring. Ook risk managers moeten zich blijven ontwikkelen, om het profiel van de functie te verhogen Senior management moet een risico profiel hanteren die overeenkomt met de Bron The Counterparty Risk Management Policy Group (CRMPG), 28 naar Systemic risks) The Counterparty Risk Management Policy Group (CRMPG), 28 naar Systemic risks) The Counterparty Risk Management Policy Group (CRMPG), 28 naar Systemic risks) Artikel Partake Consulting over Risk Management & Compliance, april 29 KPMG, Risk Management in banking beyond the credit crisis, 29 KPMG, Risk management in banking beyond the credit crisis, 29 KPMG, Risk Management in banking beyond the credit crisis, 29 KPMG, Risk Management in banking beyond the credit crisis, 29 KPMG, Risk Management in banking beyond the credit crisis, 29 KPMG, Risk Management in banking beyond the credit crisis, 29 18

19 Lessons learned risicotolerantie van de Raad van Bestuur. Bron Uit een onderzoek van KPMG (29) naar Risk Management en de crisis blijkt dat de meeste respondenten dit jaar en het komend jaar hun focus zullen richten op (respondenten konden meerdere antwoorden geven): Rapportage en meten van risico s (51% van de respondenten) Risico cultuur (7% van de respondenten) Risico systemen en kwaliteit data (6% van de respondenten) Vaststelling en monitoren risk appetite (% van de respondenten) Risk Governance (3% van de respondenten) Communicatie met business en overige disciplines die zich met assurance en beheersing bezighouden (3% van de respondenten) CRO krijgt meer invloed bij volgende beslissingen (KPMG, 29): Ontwikkeling nieuwe producten Strategie ontwikkeling Investeringen in nieuwe markten Enkele tools die Risk Management functies zullen of gaan gebruiken om risico s te meten en te beheersen naar aanleiding van de crisis: Value at risk Basel II credit risk models Stress testing Scenario analysis Samenvatting In dit hoofdstuk is vanuit de theorie antwoord gegeven op de vraag welke lessen heeft Risk Management geleerd van de huidige crisis en welke verbetermaatregelen zouden zij naar aanleiding daarvan treffen?. Het antwoord op deze vraag is: De belangrijkste les en verbetermaatregel naar aanleiding van de crisis voor wat betreft de positie van Risk Management in de organisatie is dat de positie van Risk Management binnen de organisatie versterkt moet worden. Dit wordt bewerkstelligd door een Chief Risk Officer die deel uitmaakt van de Raad van Bestuur en die betrokken wordt bij alle strategische issues en planningen en (belangrijke) initiatieven vanuit de Business lines. Belangrijkste lessons learned en aanbevelingen voor wat betreft invulling van kerntaken door Risk Management is meer en betere samenwerking, communicatie en afstemming van activiteiten tussen Risk Management en de overige lines of defence (met name Internal Audit, Compliance). Een tweede belangrijke aanbeveling is een duidelijke, tijdige, nauwkeurige en geïntegreerde rapportage over het nemen van risico s, monitoren van risico s en risicomanagement aan senior management en Raad van Bestuur. Een derde belangrijke aanbeveling voor Risk Management naar aanleiding van de huidige crisis is een gedegen methode van risicoanalyse voor de juiste input voor succesvol risicomanagement. 19

20 . Lessons learned en (verbeter)maatregelen Internal Audit In dit hoofdstuk wordt vanuit de theorie antwoord gegeven op de vraag welke lessen heeft Internal Audit geleerd van de huidige crisis en welke verbetermaatregelen zouden zij naar aanleiding daarvan treffen?. Deze vraag wordt beantwoord door eerst de lessons learned en verbetermaatregelen voor wat betreft de positie van Internal Audit in de organisatie te beoordelen en vervolgens wordt gekeken naar lessons learned en verbetermaatregelen voor wat betreft de kerntaken en de invulling daarvan door Internal Audit. Positie Internal Audit in de organisatie Indien goed gepositioneerd, dat wil zeggen dat Internal Audit onder de CEO valt en rechtstreeks rapporteert aan het Audit Committee, zal Internal Audit in een positie zijn om zekerheid te verschaffen over de meest relevante risico s in de organisatie als ook zekerheid verschaffen over de effectiviteit van de ERM Functie (Price Waterhouse Coopers, 29). Naar aanleiding van de huidige crisis worden Chief Audit Executives steeds meer gevraagd om de leiding te nemen bij het geven van zekerheid over de effectiviteit van de Risk Management processen. Hierdoor krijgt Internal Audit een belangrijke rol als strategische partner. Uit het onderzoek van de IIA, naar refocusing Internal Audit strategy, 29 onder Internal Auditors blijkt dat Internal Audit een goede positie heeft in de organisatie. Het Audit Committee is sinds de crisis meer op Internal Audit aan het steunen om stakeholders te informeren over ERM strategieën en veranderingen in het audit plan. Internal Audit besteed meer tijd aan het communiceren met en het voorbereiden van het overleg met het Audit Committee. Daarnaast maakt het Audit Committee meer tijd vrij voor het overleg met Internal Audit. Uit bovengenoemd onderzoek blijkt eveneens dat Internal Audit wordt gevraagd een grotere rol te spelen in toezicht en governance van de organisatie. Dit zijn ook onderwerpen die meer aandacht krijgen van het Audit Committee. Falend governance binnen organisaties wordt ook gezien als één van de oorzaken van de crisis. Tijdens bovengenoemd onderzoek van de IIA werd aan respondenten gevraagd of Internal Audit goed is gepositioneerd in het governance proces van de organisatie. Respondenten gaven aan dat zij direct rapporteren aan het Audit Committee, echter is er tussen respondenten een groot verschil in de administratieve rapportage lijn. Enkelen rapporteren rechtstreeks aan de CEO, anderen hebben een rapportage lijn naar de CFO en de CRO. Respondenten vinden de inhoud van de administratieve rapportages en de relatie met de leiding binnen de organisatie het belangrijkste. Ondanks de verschillen in administratieve rapportage lijn vinden alle respondenten dat zij een goede positie hebben in de organisatie en op de hoogte zijn van en betrokken worden bij strategische business initiatieven en issues. Kerntaken en invulling Internal Audit Mede als gevolg van de huidige crisis zal er binnen banken een zekere herijking plaatsvinden van de rol, de omvang en het takenpakket van Internal Audit. Het uitgangspunt dat auditdiensten aanvullende zekerheid moeten verstrekken aan het resultaatverantwoordelijke management, kan resulteren in een meer gedecentraliseerde structuur van de auditfunctie. Het toepassen van ratingsystemen, zoals nu bij enkele grote banken, zal naar verwachting tegen het licht worden gehouden. Het toepassen van deze managementmethode door de auditfunctie, zeker in een situatie waar het cijfer bepalend is voor de (omvang van) de bonus 2