PT MSc Update 24 september 2010 Internal control & risicomanagement .
Personalia Prof. dr Leen Paape RA RO CIA Dean Nyenrode School of Accountancy & Controlling/ lid College van Bestuur Hoogleraar Bestuurlijke Informatie Verzorging Nyenrode
2
Leerdoelen Aan het eind van deze avond kennen we: ¾ De belangrijkste lessen van de huidige crisis ¾ De basics van Management Control ¾ De belangrijkste elementen van goed risicomanagement ¾ Dat het vooral gaat om gedragsbeïnvloeding
3
“Ninety percent of what we call ‘management’ consists of making it difficult for people to get things done.” Peter Drucker 4
Risico-Regel-Reflex (RRR) Incidenten worden niet voorkomen door steeds nieuwe regels. Ze gebeuren gewoon. Wen er maar aan. Risicobestrijding is een kwestie van prioriteiten stellen Culturele reflex als er iets mis gaat: helpen, actief worden Advies: Bezint eer ge begint Prof. dr Margot Trappenburg, NRC, 16 mei 2010
5
Activiteit
Waar worden we gelukkig van?
Geluksscore
Tijd per dag
???
4.7
0.2
Sociaal contact
4.0
2.3
Ontspannen
3.9
2.2
Bidden/mediteren
3.8
0.4
Eten
3.8
2.2
TV kijken
3.6
2.2
Winkelen
3.2
0.4
Eten koken
3.2
1.1
Telefoongesprek
3.1
2.5
Zorgen voor kids
3.0
1.9
Huishouden
3.0
1.1
????
2.7
6.9
Forensen
2.6
1.6
Met wie hebben we het fijn? Samenzijn met
Geluksscore
Tijd per dag
Vrienden
3.7
2.6
Familie
3.4
1.0
Partner
3.3
2.7
Kinderen
3.3
2.3
Klanten
2.8
4.5
Collega’s
2.8
5.7
Alleen
2.7
3.4
????
2.4
2.4 7
Hoe ziet onze dag qua geluk er uit?
6
8
10
12
14
16
18
20
22 8
Schade van de crisis IMF schat verlies op $ 11.000 miljard (anderen schatten $ 25.000 miljard) Gigantische reddingsoperaties door overheden Nederlands begrotingstekort ongeveer 6% ‘Garanties’ Minister Bos € 861 miljard Te bezuinigen in de komende jaren € 30 miljard De Grote Recessie: 20 jaar lang last!
9
De Mallemolen … Lloyd Blankfein; CEO Goldman Sachs: We’re doing Gods work! ¾Goldman
Sachs ontving $ 23 miljard steun ¾Betaalt $ 20 miljard aan bonussen ¾"Everybody should be happy!"
10
Collateral damage……. •Zelfmoorden •Dodelijke hartaanvallen •Moorden: •Kindersterfte •Ondervoeding
: + 2,4% : + 2,7% : + 2,4% : + 3 tot 10% : + 100 miljoen
“We’re doing Gods work!"
11
The Warning(s) DNB (1995) Brooksley Born (1998) Michel Callon (1998) John Geanakoplos (2000) Warren Buffet (2003) Frank Partnoy (2003) Jules Muis (2004)
Barings (1995) LTCM (1998) Enron (2002) Allied Irish Bank (2002) Refco (2005) Amaranth (2006)
12
13
Wat hadden die organisaties gemeen?
Goede naam Sterke reputatie Uitstekend track record Bewonderde CEO’s Goede producten Veel aandeelhouders Veel toezichthouders Gerespecteerde commissarissen
Risicomanagers Hoge salarissen Hogere bonussen Goed personeel Veel pagina’s over risk mgt Handtekening accountant Goede adviseurs Internal audit En een ‘in control statement’ 14
Usual & Unusual suspects Bankiers Toezichthouders Analisten Managers Credit rating agencies Journalisten Commissarissen Centrale banken Wetenschappers Risicomanagers
Regelgevers Politiek Justitie Verzekeraars Bedrijven Accountants Controllers Juristen Eigenlijk iedereen!
15
Confessions of a risk manager
No one took ownership Risk management response was half hearted We trusted rating agencies The pressure on risk management was immense Although a separate reporting line to the board existed it hurt our relationship with bankers and traders; spoilsports We lacked communication skills and tact Benefit of the doubt to the risk takers
16
Callon (1998) Framing/disentanglement Overflowing How is it possible to become homo clausus when survival requires one to be homo apertus?
17
Kerviel in his own words Geen winstbejag an sich • Ik wilde erbij horen • Verkeerde universiteit gevolgd • Mijn bazen wisten ervan (directe baas hielp mee!) • Zolang ik winst maakte was het okay • Je verliest het besef dat het over zoveel geld gaat •
Business Week, 30 januari 2008.
18
Credit Rating Agencies
Let’s hope we are all wealthy and retired by the time this house of cards falters
19
Regulatory Capture 'Regulation is not about the public interest at all, but it is a process, by which interest groups seek to promote their private interest (...) Over time, regulatory agencies come to be dominated by the industries regulated.‘ (Richard Posner)
20
The Good, The Bad, and The Ugly
Brooksley Born
Rubin, Greenspan, Summers 21
Alan Greenspan wordt wakker…… ‘I made a mistake in presuming that the self interest of organizations, specifically banks and others, were such that they were best capable of protecting their own shareholders and their equity in the firms. So the problem here is something which looked to be a very solid edifice, and indeed, a critical pillar to market competition and free markets, did break down. I still do not understand fully why it happened and, obviously, to the extent that I figure out where it happened and why, I will change my views. I found a flaw in the model that I perceived is the critical functioning structure that defines how the world works, so to speak’. Alan Greenspan, October 2008. 22
Adam Smith (The Wealth of Nations) The proposal of any new law or regulation which comes from [businessmen] ought always to be listedned to with great precaution, and ought to be adopted till after having been long and carefully examined, not only with the most scrupulous but with the most suspicious attention. It comes from an order of men whose interest is never exactly the same with that of the public, who have generally an interest to deceive and even oppress the public, and who accordingly have upon many occasions both deceived and oppressed it. 23
Thomas Hobbes
Homo homini lupus De oorlog van allen tegen allen Leviathan ‘Animal Spirits’ (Akerlof & Shiller)
24
Management Control
25
In Control; wanneer ben je dat? Een organisatie is ‘in control’ als zij beschikt over een Management Control Systeem (MCS) dat haar in staat stelt binnen een vooraf gedefinieerde periode in x% van de gevallen/tijd binnen een vooraf gedefinieerde risicotolerantie te blijven. Indien buiten die risicotolerantiegrens wordt getreden stelt het MCS de organisatie in staat dat tijdig te constateren en te herstellen. (Paape, 25 juni 2008)
26
In/Out of Control? Duur aantal rood gearceerde vlakken<x% (=risicotolerantie) Bedrijfsresultaat
Risicotolerantie
Verwacht bedrijfsresultaat Werkelijk bedrijfsresultaat
Tijd (bijvoorbeeld boekjaar/kalenderjaar)
WFT
Tax control SOX framework Basel II Veiligheid Financial Operational Solvency II Control EDP COSO II Arbo Performance Compliance Tabaksblat
In Control? Management Integriteit ISO EFQM/INK IT
Milieu Doelmatigheid
IC
28
Management Control Systeem (MCS)
29
Wat is control?
Goede control is het vertrouwen dat er geen belangrijke onverwachte gebeurtenissen optreden
30
Functie van control Gedrag beïnvloeden zodat doelen worden gehaald • Integreren van alle inspanningen organisatiebreed • Informatie over de performance verstrekken • Faciliteren van de implementatie van strategische plannen •
31
MCS Raamwerk 1. 2. 3. 4. 5. 6. 7. 8.
De missie/visie/strategie; De wijze waarop doelen tot stand komen; De structuur van de organisatie; De wijze waarop ‘key performance indicators’ worden bepaald; Hoe de performance wordt gemeten; De leiderschapsstijl; De wijze waarop met beloningen wordt omgegaan; De cultuur of ‘tone at the top’ van de organisatie;
32
MCS Raamwerk 09. Hoe mensen worden gemotiveerd; 10. Hoe feedback is georganiseerd; 11. Het gebruik van informatie- en communicatiesystemen; 12. Hoe monitoring plaatsvindt; 13. Hoe in te spelen op de omgeving; en tot slot 14. De samenhang tussen de hiervoor genoemde elementen.
33
De systeemhiërarchie van Boulding Niveau 9 8 7 6 5
Naam Transcendentie Sociaal systeem Mens Dier Plant
4 3 2 1
Cel Thermostaat Uurwerk Raamwerk
Aspect Zingeving Waarden en normen op groepsniveau Zelfbewustzijn, beleid, doelgericht handelen Doelgerichtheid; bewustzijn Taakverdeling en –coördinatie; samenwerking; interactie met omgeving; aanpassen Zelfhandhaving Terugkoppeling Tijd; eenvoudige bewegingen Statische structuur
34
Beheersingssystemen 1. 2. 3.
Bureaucratisch systeem Marktmechanisme Sociaal mechanisme (belief systems)
Het sociale mechanisme gaat aan belang winnen!
35
Controlvarianten (Ouchi) Mogelijkheid om output te meten
Hoog
Laag
Kennis van het transformatieproces Perfect Imperfect Gedrag of Outputmeting outputmeting (Modeboutique) (Apolloprogramma)
Gedrag (specific Personnel (Clan) actions) meting control (Tinnen blikfabriek) (Researchlab)
Indien keuze mogelijk is een bedrijfseconomische afweging nodig 36
Control per mechanisme Control via:
Mechanisme:
Bureaucratisch
Sociaal/Clan
moeilijkheidsgraad
Markt
Prijs Reciprociteit Regels/regelkring/toezicht Reciprociteit Legitiem gezag Informeel/cultuur/tradities Reciprociteit Legitiem gezag Shared values/beliefs
37
Control en vertrouwen Trust (vertrouwen) heeft grote waarde! Control kan trust vergroten realisatie verhoogt vertrouwen ingrijpen bij afwijkingen geeft duidelijkheid persoonlijke feedback is mogelijk Trust is een eerste vereiste voor effectieve control
38
Vertrouwen (1) Kees Cools; Controle is goed, vertrouwen is beter Honesty in accounting (Salterio/Webb, 2006) ¾ Geen toezicht: 35% vertelt de waarheid ¾ Minder dan 10% is eerlijk in alle situaties ¾ ‘belief system’ bevordert eerlijkheid ¾ Grotere beloning leidt tot meer liegen ¾ Meer nadruk op budgetten en accounting leidt ook tot meer liegen
39
Vertrouwen (2) Prisoner’s Dilemma Speltheorie: Tit-for-tat Trucking Game
40
The trucking game
Start A
Destination A
Each company has indirect route A shared one lane short route Best solution is cooperation to go one at a
Destination B
time on the shared route Start B
(Deutsch & Krauss, 1960) Lecture Lecture 16 16
41
The trucking game
Start A
Destination A
Each company has indirect route A shared one lane short route Best solution is cooperation to go one at a
Destination B
time on the shared route Start B
(Deutsch & Krauss, 1960) Lecture Lecture 16 16
42
The trucking game
Start A
Destination A
Each company has indirect route A shared one lane short route Best solution is cooperation to go one at a
Destination B
Start B
time on the shared route
(Deutsch & Krauss, 1960) 43
Use of a threat Start A
Destination A
Gates owned by one company or the other (or both) on single lane road REDUCES use of the most efficient strategy When both companies have
Destination B
gates the losses are even Start B greater (Deutsch & Krauss, 1960) 44
Referentiemodellen Cybernetica Mintzberg (Structuring in Fives) Morgan (8 metaforen) Anthony Ouchi Porter Hofstede COSO Merchant
EFQM/INK Rabbit Hill Deming cycle KAD+ Simons 7 S’n (McKinsey) CoCo Roth
45
Risk Management
46
De geneugten van Risk Management…
47
Risico:
“is all about volatility of performance…”
48
In Control: Risico bewust, risico acceptatie?
49
Derivaten Eind 2008 waarde van derivatentransacties: 9$ 600.000 miljard 9= 16x de totale marktwaarde van alle aandelenbeurzen wereldwijd 9= 10x het mondiale bruto binnenlands product
50
And Most of Our Conscious Thinking is ‘Counter-Factual’… Daniel Kahneman (2002 Nobel Laureate in Economics) “For having integrated insights from psychological research into economic science, especially concerning human judgment and decision-making under uncertainty”
51
De vijand zit van binnen…. Linearity Hindsight Pattern Seeking Habituation Overcompensation Supposed Causality Myopia Regret & Emotional Amplification
52
Perceptie speelt een belangrijke rol A
Nuclear Power
B
Nuclear Power Positive
Positive
Information says “Benefit is high”.
C
Risk inferred to be low
Nuclear Power
Information says “Risk is low”.
D
Nuclear Power
Negative
Information says “Benefit is low”.
Benefits inferred to be high
Negative
Risk inferred to be high
Information says “Risk is high”.
Benefit inferred to be low
Model showing how information about benefit (A) or information about risk (B) could increase the overall affective evaluation of nuclear power and lead to inferences about risk and benefit that coincide affectively with the information given. Similarly, information could decrease the overall affective evaluation of nuclear power as in C and D.
53
Verlies weegt veel zwaarder…
54
Waar gaat het om? Risicomanagement is niets anders dan gewoon management ¾Het woord risico is toegevoegd … Zorg ervoor dat medewerkers zich voortdurend bezinnen op de balans tussen risico/kans en beheersing ¾Dat blijkt echter in de praktijk nog niet mee te vallen
55
Hoe doen we dat dan? Toedienen van prikkels.. ¾Risicoprofiel in businessplan (1x p/j) ¾Verbeteracties volgen via kwartaalrapportages (4x p/j) ¾Incidenten melden in maandrapportages (12x p/j) ¾Risico analyse bij investeringen, nieuwe diensten/producten, IT systemen, etc. (enkele tientallen keren p/j) ¾Allerlei interne en externe veranderingen en gebeurtenissen laten analyseren (50x (?) p/j) En.. Vooral bij ontmoetingen vragen hoe het staat met zijn of haar risico’s! 56
Risk Management Pyramid Strategy: WHY PERFORMED ?
Defines the organisation’s approach to risk management, risk appetite and risk tolerance
Vision and Strategy Policies
Identify
Process: HOW PERFORMED ?
Defines the organisation's risk management processes, procedures, practices and tools
Monitor
RISK MANAGEMENT PROCESSES
Control
Assess
Respond
Structure: HOW SUSTAINED ?
Defines the structures and techniques used to support, promote and drive risk management throughout the organisation
Organisation Structures Performance Measurement
Human Resource Mechanisms Management Education
Culture
Information and Communications Assurance
57
Enterprise Risk Management Framework (COSO II)
58
ERM Framework – Components • Corporate culture • Organizational Structure • Risk appetite • Risk philosophy • Ethical values
• Source of events • Positive/negative impact • Identification method • Categorization
• Alignment with strategy • ‘SMART’ objectives • Risk tolerance • Risk categorization
• Risk prioritization • Assessment of likelihood and impact • Quantitative and qualitative
• Evaluation of selection risk responses • Resource allocation
• Policies and procedures • General controls • Application controls
• • • •
Infrastructure Data Reporting Communication lines and channels
• Separate evaluations • Ongoing evaluations
59
Key Concepts – Portfolio View Enterprise risk management requires an entity to take a portfolio view of risk. 1. Management considers how individual risks interrelate. 2. Management develops a portfolio view from two perspectives: • Business unit level • Entity level
60
Risk Appetite and Risk Tolerance Risk appetite is defined as the degree of risk, on a broad-based level, that an organisation or other entity is willing to accept in pursuit of its goals Risk tolerance is defined as the acceptable level of variation around the achievement of a specific business objective and should be aligned to an organisation’s risk appetite
61
Risk Tolerances Measure •Market share •Units of production •Number of staff hired (net) •Product quality index Strategy Expand production of our topfive selling retail products to meet increased demand
Related Objectives •Increase production of Unit X by 15% in the next 12 months •Increase new staff by 180 (net) across all manufacturing divisions •Maintain product quality of 4.0 sigma Measures •Units of Production •Number of staff hired •Product quality by sigma
Target 25 Percentile 150,000 units 180 staff 4.0 sigma
Tolerances – Acceptable Range 20% – 30% -7,500 / +10,000 -15 / + 20 4.0 – 4.5 sigma
Risk Appetite •Accepts that the company will consume large amounts of capital investing in new assets, people and processes •Accepts that competition could increase (e.g. through predatory pricing, etc) as we seeks to increase market share, thereby reducing profit margins •Does not accept erosion of product quality
Strategic Objectives •To be in the top quartile of product sales for retailers of our products Measures 1Market Share
Mission To be a leading producer of premium household products in the regions in which we operate 62
Rapporteren over risico’s 1. 2. 3. 4. 5.
Hoe groter hoe meer er gerapporteerd wordt Vooral kwalitatief (95%) en nauwelijks kwantitatief (5%) Onvolledig en niet coherent Niet te lezen en te begrijpen; alleen door wetenschappers en academici Lelijk nieuws wordt niet verborgen gehouden
Linsley & Shrives, The British Accounting Review, 2006, 387-404 Linsley & Lawrence, Accounting, Auditing & Accountability Journal, 2007, 620-627
63
Nut van een ICV? 1. 2. 3. 4.
Onder druk wordt alles vloeibaar, en het wordt er beter van Wijzen op verantwoordelijkheid helpt, je denkt nog eens na De weg is belangrijker dan het doel (doel-middel relatie) Maar ik zou een joekel van een ‘disclaimer’ opnemen……
64
Rapporteren over In Control Wat rapporteren we? ¾We zijn leuk bezig en doen ons best? ¾Dit zijn onze risico’s en zoekt u het maar uit ¾We hebben de financiële rapporteringsrisico’s ‘in control’ ¾We zijn ‘in control’? ¾We zijn ‘in control’ gegeven de volgende uitgangspunten?
65
66
In Control? I know it when I see it!
67
Onze dataset (N=825!) Industry Wholesale and retail
Number
%
104
12.6
Transportation
40
4.8
Manufacturing
149
18.1
Financial services
45
5.5
Business services
88
10.7
Telecom and IT
33
4.0
Energy and utilities
25
3.0
334
40.5
7
0.8
Public sector and not-for-profit Unknown
68
ERM Maturity •
Risk management incident-driven; no plans for ERM
•
Risks actively controlled in specific areas; consider ERM
•
Risks identified, assessed, and controlled in specific areas; plan for ERM
•
Strategic, financial, operational, and compliance risks identified, assessed, and controlled; implementing ERM
•
Strategic, financial, operational, and compliance risks identified, assessed, and controlled; ERM is implemented
69
ERM maturity in onze dataset Stage 1
14.1%
Stage 2
38.3%
Stage 3
23.2%
Stage 4
12.9%
Stage 5
11.4%
Mean = 2.68 st.dev. 1.190
70
What effects ERM maturity? (statistically significant) Being stock listed Having a Chief Risk Officer Having an Audit Committee Size (revenue/budget) Being a Financial Services company Being owner managed
71
What doesn’t effect ERM maturity? (statistically significant)
Applicable governance codes Institutional ownership Having a Big 4 auditor Rapid growth Energy Sector Public Sector
72
Perceived effectiveness Industry
Mean
Wholesale and retail
7.03
Transportation
6.34
Manufacturing
6.73
Financial services
6.80
Business services
6.68
Telecom and IT
6.78
Energy and utilities
7.14
Public sector and not-for-profit
6.02
Total
6.44 73
What drives perceived ERM effectiveness? (statistically significant)
ERM stage of maturity! Frequency of risk assessments More frequent risk reporting Retrospective richness Prospective richness
74
What doesn’t help perceived ERM effectiveness? (statistically significant)
Use of COSO!! (applied by 21.5% only) Quantification of risk tolerance (done by one third only) Use of quantitative risks assessment techniques Engagement of lower level management Size (revenue/budget)
75
Conclusions (1)
1.
ERM maturity still in early stages
2.
No difference in perceived effectiveness between organizations that do and those who do not apply COSO
3.
Quantification of risk tolerance may not make sense
4.
Financial Services firms have more developed ERM, but are less satisfied with their effectiveness
5.
Public Services organizations have equally developed ERM systems and are also less satisfied: no one size fits all?
76
Conclusions (2) Mandatory implementation resulted in relatively sophisticated ERM systems from a technical point of view, but may not (yet) have resulted in systems that actually work
77
Je gaat het pas begrijpen als je het ziet….
78
Leerdoelen Aan het eind van deze avond kennen we: ¾ De belangrijkste lessen van de huidige crisis ¾ De basics van Management Control ¾ De belangrijkste elementen van goed risicomanagement ¾ Dat het vooral gaat om gedragsbeïnvloeding
79
Must read! Akerlof & Shiller: Animal Spirits Arianna Huffington: Pigs at the trough William Cohan: House of Cards Kets de Vries: Leiderschap Ontraadseld Frans de Waal: De Aap in ons Joel Bakan: The Corporation Nassim Taleb: The Black Swan/Fooled by Randomness Tim Harford: Waarom we doen wat we doen Loretta Napoleoni: Rogue Economics Richard Layard: Happiness Frank Partnoy: Infectious Greed Jeroen Smit: De Prooi Jared Diamond: Ondergang (Collapse) John Clarke: Working with Monsters 80