Een (vals) Gevoel van Veiligheid? Utrecht, 29 mei 2013 drs. Ron W.J. van Loon RA E ronvanloon@gmail.com 1
Een (vals) gevoel van veiligheid Control en control missers Het concept van riskmanagement In control statements: Toegevoegde waarde? De oplossing: COSO en risk self assessments? Waarom COSO ook niet werkt Over witte en zwarte zwanen Maar wat dan wel? 2
Een actueel kernbegrip: Control Het kernprobleem: Is het management van een organisatie in staat om rustig te slapen De oplossing: Geen enkele 100% sluitende oplossing Een veelvoud van concepten, modellen, denkwijzen, artikelen en adviseurs: Administratieve Organisatie Coso, Coco, Cadbury Corporate Governance,Tabaksblat, SOX Riskmanagement, ISO 31000, M_O_R EFQM / INK -.. 3
Basisconcept voor beheersing: het regelkringconcept Norm vgl norm-meting, selectie ingreep Zonder: - norm - meting - mogelijkheid tot ingreep: meting ingreep GEEN BE- HEERSING Proces 4
Wat is control? Weten waar je naar toe wilt Weten waar je naar toe gaat Kunnen ingrijpen als het nodig is Geen onverantwoorde risico s lopen Dit betekent niet alle risico s vermijden! 5
De wereld zit vol control missers! Samas Ahold Vestia 6
De controle-pyramide External audit Internal audit Verbijzonderde interne controle In proces ingebouwde interne controle Zelfcontrole 7
8
Risk en riskmanagement
Een van de definities van Risico De invloed van onzekere toekomstige gebeurtenissen op de strategische, financiële of operationele doelstellingen van een organisatie. Upward en downward risk Meten: Kans en schade Wat is uw risk appetite? Staatsloterij Casino Hypotheek met variabele rente Sportwagen / motor
Soorten risico s Naar soort schade: Financieel risico Reputatierisico Kwaliteitsrisico Veiligheidsrisico Naar aard: Compliance risico Kredietrisico Marktrisico Renterisico Liquiditeitsrisico Operationeel risico Crimineel risico Bedrijfsrisico
Oorzaak gevolg effect relaties: n op n op n 1 2 A 1 2 3 B 3 Oorzaken Gevolgen Effecten
Riskmanagement
De Risk Management Cycle Identify Risks Monitor & Report Measure Risks Manage (= Implement Control Measures)
De voordelen van Risk Management Reductie van risico s Leidend tot reductie van operational losses Leidend tot verhoging van zekerheid Leidend tot verhoging aandeelhouderswaarde Te vertalen in lagere kapitaalvereisen Bijprodukten: Betere AO / IC Verhoging gevoel van assurance
Risk terminologie Inherent risk (inherent risico) Het risico dat inherent (vanzelfsprekend verbonden) is aan een proces / produkt / afdeling etc. MINUS Internal Control activities De maatregelen van interne controle gericht op het mitigeren (beheersbaar maken / reduceren) van het inherent risk Residual risk (restrisico) Het risico dat overblijft na implementatie van IC-maatregelen
17
In control statements Gebakken lucht of te koesteren fenomeen
Code Tabaksblat In het jaarverslag verklaart het bestuur dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn en geeft hij een duidelijke onderbouwing hiervan (blz. 9). Het ligt in de rede dat het bestuur in de verklaring over de interne risicobeheersings- en controle-systemen aangeeft welk raamwerk of normenkader (zoals bijvoorbeeld het COSO raamwerk voor interne beheersing) hij heeft gehanteerd bij de evaluatie van het interne risicobeheersings- en controlesysteem. (blz. 33) Commissie Corporate Governance, De Nederlandse corporate governance code, 2003.
The Board of Management is responsible for internal control in the Company and has implemented a risk management and control system that is designed to ensure that significant risks are identified and to monitor the realization of operational and financial objectives of the Company. Furthermore the system is designed to ensure compliance with relevant laws and regulations. The Company has designed its internal control system in accordance with the recommendations of the Committee of Sponsoring Organizations of the Treadway Commission (COSO), which recommendations are aimed at providing a reasonable level of assurance. Source: Annual report 2005, page 219
Wat is de scope van in control? Tabaksblat: ALLES Sarbanes Oxley: Betrouwbaarheid van het jaarverslag Frijns:,,,,,,,, 21
Het downdrillen van ICS Als de directie hangt dan moet de rest ook hangen Gelaagd systeem van verklaringen Nut? Afdwingen? Globaal of detail?
Wat is in control? Garantie dat niets mis gaat? Verklaring over betrouwbare rapportage? Verklaring over kwaliteit management? Ook een zeewaardig schip kan zinken! Gebakken lucht of te koesteren fenomeen?
In control volgens Paape Een organisatie is in control als zij beschikt over een Management Control Systeem (MCS) dat haar in staat stelt binnen een vooraf gedefinieerde periode in x% van de gevallen/tijd binnen een vooraf gedefinieerde risicotolerantie te blijven. Indien buiten die risicotolerantiegrens wordt getreden, stelt het MCS de organisatie in staat dat tijdig te constateren en te herstellen.
Is in control digitaal of analoog In control of niet in control: 1:0 Meer of minder in control: Schaal van 1-100 25
Elementen van in control zijn 1. De missie/visie/strategie; 2. De wijze waarop doelen tot stand komen; 3. De structuur van de organisatie; 4. De wijze waarop key performance indicators worden bepaald; 5. Hoe de performance wordt gemeten; 6. De leiderschapsstijl; 7. De wijze waarop met beloningen wordt omgegaan; 8. De cultuur of tone at the top van de organisatie; 9. Hoe het gedrag van mensen wordt beïnvloed en mensen worden gemotiveerd; 10. De wijze waarop feedback is georganiseerd; 11. Het gebruik van informatie- en communicatiesystemen; 12. Hoe monitoring plaatsvindt; 13. Wat de onderneming doet om de veranderingen in de omgeving te onderkennen en daarop in te spelen (lerendvermogen); 14. Hoe de samenhang tussen de hiervoor genoemde elementen geborgd wordt.
De conclusie van Paape Verklaren dat een organisatie in control is, is geen eenvoudige zaak, zo niet onmogelijk. Een MCS is een complex geheel van een groot aantal samenstellende delen. Als het al enigszins zinvol is, dient daarbij te worden aangegeven welke risicotolerantie in acht is genomen
28
Wat is control? Weten waar je naar toe wilt Weten waar je naar toe gaat Kunnen ingrijpen als het nodig is Geen onverantwoorde risico s lopen Dit betekent niet alle risico s vermijden! 29
Het instrumentarium voor risk management Voorlichting / roadshows Operational loss database Risk Self Assessments Key risk indicators Operational risk approval process In Control Statements Operational auditing
Risk self assessments Anders dan bij een audit wordt een Risk Self Assesment door de business zelf uitgevoerd Risk mgt afdeling treedt op als facilitator tijdens workshops Duidelijke voordelen: Minder bedreigend Uitnodiging tot meedenken in plaats van lijdend voorwerp Commitment Mogelijke nadelen: Zelfgenoegzame types leiden niet tot zinvolle conclusies Collisiegevaar als de auditor ook facilitator is
Kans Risk identification, risk assessment, risk mitigation H L Schade H
RSA, de issues De rol met auditing afbakening, gebruik van data Selectie van processen De methodiek, de wijze van vastleggen De follow up
Process Components COSO ERM framework Objectives
De COSO II risico tabel Events: Objec- Risk Risk Control tives: Assess- Response: Activities: 1 2 3 4 ment: A - - A, A, O/S, M * B - -- C - - --.. X - -- * Accept, Avoid, Outsource / Share, Mitigate 35
Summary of Updates Codification of 17 principles embedded in the original Framework Control Environment Risk Assessment Control Activities Information & Communication Monitoring Activities 1. Demonstrates commitment to integrity and ethical values 2. Exercises oversight responsibility 3. Establishes structure, authority and responsibility 4. Demonstrates commitment to competence 5. Enforces accountability 6. Specifies relevant objectives 7. Identifies and analyzes risk 8. Assesses fraud risk 9. Identifies and analyzes significant change 10. Selects and develops control activities 11. Selects and develops general controls over technology 12. Deploys through policies and procedures 13. Uses relevant information 14. Communicates internally 15. Communicates externally 16. Conducts ongoing and/or separate evaluations 17. Evaluates and communicates deficiencies
Some new elements Reporting Internal and external External: financial and non-financial Specific document for external financial reporting Attention for the dependence on technology Specific attention for fraud risk Fraud triangle (opportunity, attitude, rationalization) Reporting fraud, theft Attention for outsourcing risks Commitment to competence: Attract, develop and retain competent staff
Some new elements Accountability Deviations Incentives Pressures From risk appetite risk tolerance Internal controls: attention for general controls, IT controls, specify dependency on controls Quality aspects of information Sufficient, timely, current, correct (accurate and complete), accessible, protected, verifiable, retained 38
Some new elements The lines of defense model From first to third line of defense Limitations of the model Preconditions, such as strategy, structure Human judgments Breakdowns Management override Collusion 39
The 4 Lines of Defense 4. External audit / external authorities 3. Internal audit 2. Staff (risk management, Compliance) 1. Line management 40
Waarom RSA ook niet alijd werkt Samad-Khan: Why COSO is flawed COSO / Risk self assessments worden uitgevoerd door amateurs in plaats van door risk managers Analogie van de dokter die de patiënt vraagt naar de diagnose Daardoor veel vals-positieve risico s (grote kans, grote schade): ghost risks Daarnaast onterecht geen aandacht voor vals-negatieve risico s (kleine kans, enorme schade) Dus geen aandacht voor de black swans! Verder is een risico geen puntschatting maar een verzameling van kans-schade mogelijkheden (bv. Kans en schade op auto-ongeluk)
Het boek: The black swan» His second non-technical book, about unpredictable events, Published in 2007, It sold, as of March 2009, close to 1.5 million copies, Stayed 17 weeks on the New York Times Bestseller list, translated into 31 languages. 42
Figure 1: One thousand and one days of history 43 43
The main element The Black Swan refers to a surprise that occurs and which you totally didn t expect based on your past experience and knowledge. The Black Swan problem in its original form is about the question: How can we know the future, given knowledge of the past? Mistaking a naïve observation of the past as something representative of the future is our only cause of our inability to understand the Black Swan. 44 44
Criticism on the Bell curve Why the bell curve is popular? Because it sucks the randomness out of life, it allows certainties through averaging. In bell curve, as the sample size increase, the distribution will be narrower and narrower. Uncertainties in bell curve vanishes under averaging. 45
Wat is dan wel de oplossing? Think of the unthinkable Stress testing Scenario analysis Game playing What if sessions Import creativity! Develop contingency plans Maak onderscheid tussen gewoon management en risk management 46
Een (vals) gevoel van veiligheid Control en control missers Het concept van riskmanagement In control statements: Toegevoegde waarde? De oplossing: COSO en risk self assessments? Waarom COSO ook niet werkt Over witte en zwarte zwanen Maar wat dan wel? 47
Dank u voor uw aandacht 48