Rollen in Risk Management



Vergelijkbare documenten
Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Internal audit draagt bij aan comfort van commissarissen

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

Geïntegreerd jaarverslag Gasunie 2013

Compliancestatuut 2018

COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

Gedragseffecten in de (internal) audit-professie. 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018

II. VOORSTELLEN VOOR HERZIENING

Risk & Compliance Charter Clavis Family Office B.V.

Vragenlijst onderzoek

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005

Montae kennissessie 4 juli Rob Kragten

Meerwaarde Internal Audit functie. 16 maart 2017

Strategisch Risicomanagement

Corporate presentation. Risicomanagement Jeroen Baart

2014 KPMG Advisory N.V

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

REGLEMENT RISK- EN AUDITCOMMISSIE N.V. NEDERLANDSE SPOORWEGEN

Reglement Audit & Risk Committee van de Raad van Commissarissen (het Reglement )

RISICOMANAGEMENT IN DE PRAKTIJK

Inhoudsopgave. Inleiding 4. Programma 5. Module Theoretische Fundament 5. Module Praktijkproject 5. Rooster 6. Opleidingskosten 6

De uitdagingen van een kleine IAF

IORP II IMPLEMENTATIE RISK GOVERNANCE RONALD HAMAKER 27 SEPTEMBER 2018

Internal Audit Charter

BNG Compliance Charter

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.

Compliance Charter. a.s.r

De gedragscode Goed Bestuur van de Stichting Openbaar Primair Onderwijs Zuid- Kennemerland. (STOPOZ)

Inspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016

Controller controller verdedigingslinie controller procesrisico s verdedigingslinie 1a procesbeheersing verdedigingslinie 1b Risicomanagement taken

Beloningsbeleid van DAS Nederlandse Rechtsbijstandsverzekering N.V.

DOORSTAAT UW RISICOMANAGEMENT DE APK?

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

RISICOMANAGEMENT. Wat voegt risicomanagement toe?

Uitbestedingsbeleid Stichting Pensioenfonds NIBC

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Compliance risicoanalyse

Integraal risicomanagement

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

RISICOMANAGEMENT VOOR WONINGCORPORATIES

LCP Customer Due Diligence Module 3 7 juni mr. Musa Elmas CCP

De meerwaarde van de interne auditdienst voor het management

De onmisbare actuaris. VSAE congres 20 september 2011 Sabijn Timmers

Bent u 100% in Compliance?

Risk Management & Internal Audit en Kredietcrisis bij Financiële instellingen: Lessons learned

Governance-eisen IORP2 vormen puzzel voor pensioenfondsen

BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance

5-daagse bootcamp IT Risk Management & Assurance

Stichting Achmea Algemeen Pensioenfonds

REGLEMENT RISICOCOMMISSIE

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance

REGLEMENT RISICOCOMMISSIE VAN LANSCHOT N.V. EN F. VAN LANSCHOT BANKIERS N.V.

Grip op fiscale risico s

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

CONTROLSTATUUT WOONSTICHTING SSW

RISICO S VOORKOMEN. De hoofdrolspelers in het corporate governance INTERNE AUDIT IS HÉT INSTRUMENT VOOR GOED TOEZICHT - VINCENT MOOLENAAR.

CORPORATE GOVERNANCE CODE

over cultuur .10 toezichtsvragen

Reglement audit committee van de raad van commissarissen

Uitvoering van rechtstreeks verzekerde regelingen

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Hoe groot was de appetite voor risk appetite?

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

Implementatie Regeling beheerst beloningsbeleid Wft 2011 bij BNG

HET GAAT OM INFORMATIE

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

No Risk No Glory? k(no)w risks, k(no)w FUN, k(no)w opportunities, k(no)w future!

Risicomanagement functie verzekeraars onder Solvency II

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Reglement: Disclosurecommissie ASR Nederland N.V. Juni 2016

Risicomanagement functie verzekeraars onder Solvency II

REGLEMENT AUDITCOMMISSIE RAAD VAN COMMISSARISSEN STICHTING WOONSTAD ROTTERDAM

REGLEMENT EXECUTIVE COMMITTEE POSTNL N.V. Vastgesteld door de Raad van Bestuur op 29 september 2017

De notitie verantwoording Wet Werk en Bijstand 2004 geeft hiervoor de kaders weer.

ISO 9001: Business in Control 2.0

Waarde creatie door Contract Management

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Reglement audit committee

Een enerverend en inspirerend gesprek met Hans Nieuwlands. door Alina Stan en Marieta Vermulm

Visie op risicomanagement bij waterschap Hunze en Aa s

Risicomanagementfunctie verzekeraars onder Solvency II

Het belang van risicomanagement voor maatschappelijke organisaties Beheersing of buikpijn?

Remuneratierapport 2014 Loyalis N.V.

fysieke beveiliging onder controle Good Governance op het gebied van fysieke beveiliging Thimo Keizer

Mocht u vragen hebben dan kunt u mij op bovenstaande telefoonnummer bereiken.

Bijlage A Governance

Reglement risk committee van de raad van commissarissen

REGLEMENT AUDIT, RISK & COMPLIANCE

Matrix Comply-or-Explain Code Banken 2017

PRORAIL B.V. REGLEMENT VAN DE COMMISSIE COMPLIANCE EN INTEGRITEIT

Internal Audit Charter De Nederlandsche Bank

Data Protection Impact Assessment (DPIA)

Rijkswaterstaat in verandering...

Kwaliteitsmanagement: de verandering communiceren!

Internal Audit: cruciaal voor internal governance

Risico s managen is mensenwerk

Commissarissen Symposium

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni /2/2005 1

Transcriptie:

Rollen in Risk Management 10 oktober 2009 1 Inleiding In de afgelopen maanden heeft de Enterprise Risk Management-werkgroep een tweetal columns op de IIA website gepubliceerd: 1. Een algemene inleiding ERM; 2. De stappen in het ERM-proces. In deze serie is dit de derde column. Later zal in een afzonderlijke column een verdiepingsslag plaatsvinden op de rol van Internal Audit in het ERM-proces. De vijfde column gaat nader in op de vraag welke functies verantwoordelijk kunnen zijn voor de diverse stappen in het ERM-proces. De economische ontwikkelingen in de afgelopen jaren hebben op het gebied van risicobeheersing een aantal zaken duidelijk gemaakt. Ondermeer: De noodzaak voor organisaties om een deugdelijk allesomvattend en consistent risicobeheersingssysteem te hebben. Integraal risico management (verder ook wel aan te duiden als ERM ) dient verweven te zijn in alle haarvaten van een organisatie en behoort op alle managementlagen aandacht te krijgen. Continu is de vraag: Wat zijn de risico s en welke risico mitigerende acties zijn nodig? Uit de beantwoording kan ook voortvloeien dat er helemaal geen actie ondernomen hoeft te worden, omdat de consequenties van een risico te gering zijn dan wel dat de te ondernemen actie te kostbaar is of het fungeren van een organisatie belemmert. De afweging moet wel stelselmatig gebeuren. Ook al beschikte een organisatie over een risicobeheersingssysteem toch kwamen verschillende bedrijfstakken in de problemen. In een aantal gevallen viel te constateren dat er totaal onverwachts problemen optraden, ondanks het feit dat een organisatie aan risicobeheersing deed. Of dat een eerdere (vroegtijdige) signalering uit de risicoinventarisatie ten onrechte, zoals later zou blijken, in de wind was geslagen In het huidig maatschappelijk verkeer luidt in toenemende mate de roep aan organisaties om transparant over de risico s te zijn, ook naar buiten toe. Een ontwikkeling waarin sommige Europese landen al verder zijn qua implementatie dan Nederland. Deze column gaat niet in op de ERM uitgangspunten, omdat de grote lijnen worden verondersteld bekend te zijn. Wel de opmerking dat ERM een duidelijke link heeft naar de bedrijfsdoelstellingen, dat ERM de verantwoordelijkheid van de gehele organisatie is en dat het niet alleen om bedreigingen gaat maar ook om kansen. 2 Betrokken functies ERM behoort in de haarvaten van de bedrijfsvoering te zitten. Echter bij uitstek zijn een aantal functies in eerste instantie verantwoordelijk voor c.q. dragen bij aan de invoering en de handhaving van integraal risicomanagement, de daaropvolgende handhaving en de verdere verbetering van het risicomanagement systeem. In de praktijk houdt een veelvoud aan functies zich bezig met het managen van een breed spectrum aan risico s. In de veelvoud aan functies die zich met een of meer facetten van ERM bezighouden, schuilt een wezenlijk gevaar. Namelijk dat van verkokering of het Silo denken : 1

Enerzijds kan dit leiden tot: Inefficiënties het zelfde risico wordt door 2 verschillende functies gemonitored met de kans van 2 geheel verschillende follow-up acties. Anderzijds het gevaar dat een risico niet tijdig onderkend is de andere afdeling zal zich wel met het specifieke risico bezig houden. De risico s kunnen liggen op een breed gebied. Niet alleen operations, of business continuïteit maar ook op het gebied van disaster recovery, security, financial, environmental, public relations, enz. De voornaamste functies zullen hieraan bod komen. De betrokken functies zullen geplot worden tegen de indeling naar de Lines of Defence : 1ste Operations and Business Units; 2de Support Functions; 3de Internal Audit; 4de Oversight Functions. In de uitwerking komen alleen de interne functies aan de orde en blijven andere instanties, zoals de externe accountants buiten beschouwing. First Line of Defence Operations and Business Units Op diverse plaatsen in de organisatie vindt in de dagelijkse bedrijfsvoering risicobeheersing plaats. Het is een onderdeel van het primaire proces. Niet alleen in het productieproces, maar ook bijvoorbeeld op de procurement afdeling, of bij business development. Andere voorbeelden zijn: Customer support; Distributie; Produkt ontwikkeling. Lijnmanagement Risicobeheersing is een onderdeel van de dagelijkse bedrijfsvoering en naast het dagelijks managementtoezicht (een krachtige control) een onderdeel van de reguliere taak van het management. Bij het lijnmanagement ligt de primaire verantwoordelijkheid voor de toepassing van riskmanagement in al haar facetten. Zij bezitten het feitelijk eigenaarschap. Het is dus aan het lijnmanagement om periodiek en stelselmatig de risico s in beeld te brengen en per risico vast te stellen: de likelihood (waarschijnlijkheid dat een specifiek risico zich kan voordoen) en de impact (wat kunnen de consequenties zijn van een zich voltrokken risico?) Op grond van de afweging welke risico s men bereid is te nemen, maakt management een prioriteitsafweging en bepaalt welke acties ondernomen gaan worden om de risico s te beheersen. Essentieel is het om te weten wat de risk appetite van het management is. In de praktijk blijkt, mede door de abstractie van het begrip het moeilijk om (vooraf) op een inventariserende wijze bij het management te achterhalen wat mogelijke criteria voor het vaststellen van de risk appetite zijn. Een eventuele benaderingswijze is om bij een concreet benoemd risico met het management af te stemmen wat nog wel aanvaardbaar is en wat niet. Het is de verantwoordelijkheid van het lijnmanagement om een balans te vinden in de afweging van welke acties ondernomen moeten worden om de consequenties van de geïnventariseerde risico s te mitigeren en in welke mate het dan nog overblijvend restrisico acceptabel is. 2

Het is eveneens aan het management om te rapporteren over de risico s en de follow-up acties aan naast hoger management. Criteria om bepaalde risico s niet te rapporteren, zijn essentieel om vooraf te definiëren. Noot: In de praktijk neemt het management nog weleens klakkeloos alle risico s in de rapportage op en brengt geen onderscheid aan in belangrijkheid. ( Dat mag het naast hogere management doen! ) Periodiek dient gerapporteerd te worden over de uitkomsten van de risk assessment, de te ondernemen follow-up acties en de voortgang van eerdere follow-up acties. Raad van Bestuur Enerzijds krijgt de RvB de diverse divisies rapportages en anderzijds heeft ze haar eigen risk assessments. Deze laatste zijn veelal strategisch van aard. In gesprekken met (senior) management dient de RvB inzicht te krijgen hoe de andere echelons zijn omgegaan met het risicobeheersingssysteem en welke criteria zij hanteren om bepaalde risico s wel of niet aan de RvB rapporteren. Op hun beurt rapporteert de RvB aan de Raad van Commissarissen, in een enkel geval aan het Audit Committee. Echter als het niet alleen om financiële risico s gaat maar ook om strategische, tactische of operationele risico s kan niet volstaan worden met enkel te rapporteren aan het Audit Committee. Daarnaast is de sponsorrol van een lid van de RvB voor ERM cruciaal. Veelvuldig ligt die bij de CFO, maar het heeft de voorkeur dat de CEO die sponsorrol vervult. De invloed van voorbeeld gedrag van het topmanagement op de cultuur en gedrag van de organisatie (control environment) is evident. Dat geldt ook voor dit onderwerp. Second Line of Defence Support Functions De second Line of Defense wordt gevormd door de ondersteunende afdelingen. Voorbeelden van deze afdelingen zijn ondermeer: IT Tax Legal HR Finance/Control Elk geeft vanuit de eigen expertise een oordeel over de risico-inventarisatie opgesteld in de eerste Line of Defence. Niet alleen een kwalitatief oordeel, maar ook aanvullend op de geïnventariseerde risico s. Op deze wijzewordt mede een check op de volledigheid gekregen. Finance/Control hebben een belangrijke rol gezien het belang van de indirecte monitoring op de werking van de controls via de sleutelindicatoren in de reguliere managementrapportages. Risk management functie Veelal ligt aan het risicobeheersingssysteem een vaste procesgang ten grondslag. Ondermeer: Periodiciteit; Wijze van uitvoeren van risk assessments; Wijze van rapporteren over de risico s/follow-up/ realisatie van verbeteracties enz; Om aan deze procesgang invulling te geven en te bewaken dat die ook gevolgd wordt, kennen organisaties een Risk Officer (ook wel aangeduid als een Chief Risk Officer). De rol van deze functionaris gaat overigens veelal verder dan in deze column is aangegeven. 3

In het merendeel van de gevallen wordt een Risk Officer bijgestaan door een kleine staf van specialisten. Aanvullend op de eerder genoemde punten inzake de procesgang dienen zij ook inzicht hebben hoe de individuele divisies met ERM zijn omgegaan en te komen met voorstellen tot verbetering voor de procesgang. Overige afdelingen Andere afdelingen die in deze categorie thuishoren zijn Internal Control, Compliance afdelingen en andere op risk monitoring en beheersing geënte afdelingen. Afhankelijk van de typologie van een organisatie, of de aard van het productieproces kunnen er verbijzonderde risicobeheersing afdelingen ingesteld zijn. Bijvoorbeeld in de chemische industrie of in de financiële sector. Third Line of Defence Monitoring Functions Deze categorie kenmerkt zich niet alleen door een monitorende rol maar is ook soms richtinggevend voor de verdere inrichting van het risk management framework. Kenmerkend voorbeeld is Internal Audit. Deze afdeling draagt bij aan de assurance voor het topmanagement van een onderneming. Internal Audit In het recente verleden heeft deze functie in veel organisaties bijgedragen aan het invoeren en uitbouwen van het risicobeheersingssysteem. Veelal trad vermenging op van de rol van de Risk Management functie met die van de primaire Internal Audit functie. In een dergelijke situatie is het niet mogelijk om een audit uit te voeren op het ERM van de organisatie. Ook al zouden de auditors die de audit uitvoeren andere zijn dan de collega s betrokken bij het risicobeheersingssysteem. Juist door het uitvoeren van audits op de wijze waarop de organisatie het integraal risk management invult, draagt de Internal Audit Functie bij aan het realiseren van een volwassen ERM systeem. Het bijdragen bestaat enerzijds uit het geven van assurance aan topmanagement en anderzijds uit consulting. Fourth Line of Defence Oversight Functions. De functies in de vierde linie houden zich uit hoofde van hun toezichthoudende functie ook bezig met de het toezicht op de wijze waarop het risk management in de organisatie ingevuld wordt. De uitkomsten van de diverse risk assessment zijn van groot belang voor hun eigen activiteiten. Het meest sprekende voorbeeld in deze line of defense is de Raad van Commissarissen. Raad van Commissarissen Actief hoort deze Raad de Raad van Bestuur te bevragen over de risico s. Het zijn tenslotte de risico s waarover ook zij in een AvA verantwoording moeten afleggen. Vaak vindt een voorbehandeling van de risicorapportages plaats in het Audit Committee. Te verwachten valt dat in toenemende mate risicobeheersing (ook onder druk van wetgeving) een steeds grotere rol gaat spelen. Her en der wordt dit belang al geïllustreerd door de discussies over de vorming van afzonderlijke Risk Committees op het niveau van Raad van Commissarissen. Deze mogelijke trend wordt al voorafgegaan door de vorming van aparte Risk Committees op lager echelons in bedrijven. De externe accountant, andere certificerende toezichthouders en eventuele andere externe toezichthouders worden ook tot deze line of defence gerekend, maar daar wordt in deze column niet nader op ingegaan. 4

5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback