Module 7: Inrichting risicomanagement en inleiding risicoanalyse Mr drs. Peter Steenwijk Nederlands Compliance Instituut
Even voorstellen: Peter Steenwijk Bedrijfskunde, Ondernemingsrecht en Internal Auditing Docent en onderzoeker Haagse Hogeschool Risicomanagement, Compliance, Corporate Governance en Ethiek. Research: witwassen en terrorisme financiering
Programma Introductie Definities Standaarden en Systemen Meten, Analyseren en Beheersen Cultuur en Risico Volwassenheid Focus: DNB en Risk Management Terugblik en Afsluiting
Aanpak 1. Leerdoelen 2. Combinatie van theorie en praktijk 3. Werkvorm: interactief voldoende gelegenheid tot het stellen van vragen
What the..?
Risico Management Risico Management is. Jouw definitie?
Stellingen: 1. Ik maak elk jaar een risico analyse 2. De compliance risico analyse wordt alleen door de CO uitgevoerd
Het waarom van risicomanagement
Definitie van Risico (J. Hopkin) An event with the ability to impact the mission, strategy, projects, routine operations, objectives, core processes, key dependencies and/or the delivery of stakeholder expectations
Anders gezegd..anything that can impact the fulfilment of corporate objectives and stakeholder expectations
Opdracht: Stakeholders Wat zijn de relevante stakeholders van jouw organisatie? Wat is het belang van SH s bij risico management? Is het belang van de stakeholders voldoende geborgd in de risico aanpak van je organisatie. Licht je antwoord toe.
Risks & Opportunities Risk Negative Positive Threat Opportunity
Risico Categorieën Hazard risk downside Control risk onzekerheid Opportunity risk upside Compliance risk Alles of Niets...
Types of risk Strategic risk Operational Risk Credit risk Market risk Reputation risk Compliance risk IT risk.
Risico Components Een organisatie beoordeelt elk individueel risico op: - Risico factor - Risico object - Likelihood (kans) - Impact (Gevolg)
Bruto versus Netto risico Bruto risico = inherent risk Voor beheersings maatregelen Netto risico = residu risico Na beheersings maatregelen
Dimensions of Risk - Coso Risk Appetite the desired level of risk that an entity will take in pursuit of its mission Risk Tolerance the acceptable variation in outcomes related to specific performance measures linked to objectives the entity seeks to achieve Risk Capacity the amount and type of risk an organisation is able to support 18
Appetite, Tolerance, Capacity en Key Risks Kans Zeer hoog 5 10 15 20 25 Hoog 4 8 12 16 20 Gemiddeld 3 6 9 12 15 Laag 2 4 6 8 10 Zeer laag 1 2 3 4 5 Gevolg
Risico attitude Drie types: - Agressief - Neutraal - Averse
Definitie Risico Managementsysteem* The set of activities within an organisation undertaken to deliver the most favourable outcome and reduce the volatility or variability of that outcome *(Hopkin, 2015)
Risico Standaarden en Systemen ISO COSO FIRM Bow Tie PESTLE Alternatieve benaderingen Simons De Caluwe (Verandermanagment en Cultuur)
Communication and Consoliadtion ISO-31000 Monitoring and Review Establish context Risk Assessment Risk identification Risk analysis Risk evaluation Risk treatment
Het COSO Framework: ERM (2004) en IC (1992)
Groepsopdracht: Bespreek met elkaar: Wat zijn de belangrijkste kenmerken van een slecht werkende risicomanagement systeem? Tijd: 15 minuten
De waarde van effectief risico management Focus on belangrijke issues Leaner en meaner Faciliteert in control statement Juiste keuzen maken Vergroot transparantie Verbetert management in het algemeen
Three lines of defense (*) (*) Swedbank
ERM versus de silo benadering van risico management
COSO en risico management Risk Assessment -the identification and analysis of relevant risks to the achievement of objectives, forming a basis for how the risks should be managed
COSO Enterprise Risk Management Enterprise risk management is a process, effected by an entity s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.
ERM en Holistische aanpak versus Silo Silo-benadering van risico s heeft aantoonbaar niet gewerkt Toezichthouder: Gebrekkig functioneren en deskundigheid van bestuur Gebrek aan overzicht / transparantie Onvoldoende zijn risico s in onderlinge samenhang beoordeeld door organisaties
ERM: voordelen Vergroot Kansen Identificeert en beheerst organisatie brede risico s Waardoor minder verrassingen en verlies Vermindert de variabiliteit van prestaties en kwaliteit Betere inzet van resources Agile: Anticipeert, identificeert en reageert op verandering
COSO 2017: het nieuwe framework
COSO 2017: Integratie van Strategie, Performance en Cultuur
Verschillen COSO 2004-2017 : 1. Aanjagen strategie discussie in de board 2. ERM en Performance meer op een lijn 3. Expliciete aandacht voor de rol van cultuur 4. Afbaken ER management en internal controls
Alternatieven voor COSO en ISO Firm Bow-Tie Pestle Simons De Caluwe
Andere benadering: Bow-Tie
Risk Maturity IACCM Business Risk Management Maturity Model (BRM3)
Risk versus Return
In Control Statement As the Board of Management of ASML Holding N.V. ("ASML" or the "Company"), we hereby state that we are responsible for the design, implementation and operation of the Company's internal risk management and control systems. The purpose of these systems is to adequately and effectively manage the significant risks to which the Company is exposed. Such systems can never provide absolute assurance regarding achievement of corporate objectives, nor can they provide an absolute assurance that material errors, losses, fraud and the violation of laws or regulations will not occur.
Opdracht: Hoe risicovolwassenheid is jouw organisatie??
Focus: Het vernieuwde toezicht van DNB
Focus in een notendop 1. Lessen uit de crisis van 2008 2. Instellingoverstijgend 3. Aandacht voor kwaliteit en strategie 4. Indringend en vasthoudend toezicht 5. Betere in en externe toetsing en verantwoording
5 toezichtsklassen
Analyse van macro naar micro
Beoordelingskaders
Risicoscores
Sluitstuk: interventie keuze DNB
Tenslotte.. Terugblik Vragen Afsluiting