Een (vals) Gevoel van Veiligheid?

Een (vals) Gevoel van Veiligheid? Utrecht, 29 mei 2013 drs. Ron W.J. van Loon RA

E [email protected]

1

Een (vals) gevoel van veiligheid • Control en control missers • Het concept van riskmanagement • In control statements: Toegevoegde waarde? • De oplossing: COSO en risk self assessments? • Waarom COSO ook niet werkt – Over witte en zwarte zwanen • Maar wat dan wel?

2

Een actueel kernbegrip: Control • Het kernprobleem: – Is het management van een organisatie in staat om “rustig te slapen” • De oplossing: – Geen enkele 100% sluitende oplossing – Een veelvoud van concepten, modellen, denkwijzen, artikelen en adviseurs: • • • • • •

Administratieve Organisatie Coso, Coco, Cadbury Corporate Governance,Tabaksblat, SOX Riskmanagement, ISO 31000, M_O_R EFQM / INK -…………………………..

3

Basisconcept voor beheersing: het regelkringconcept

Norm

vgl norm-meting, selectie ingreep

Zonder: - norm - meting - mogelijkheid tot ingreep: GEEN BEHEERSING

meting

ingreep Proces

4

Wat is control?  Weten waar je naar toe wilt  Weten waar je naar toe gaat

 Kunnen ingrijpen als het nodig is  Geen onverantwoorde risico’s lopen  Dit betekent niet alle risico’s vermijden!

5

De wereld zit vol control missers!

Samas

Ahold

Vestia 6

De controle-pyramide

External audit Internal audit Verbijzonderde interne controle

In proces ingebouwde interne controle Zelfcontrole

7

8

Risk en riskmanagement

Een van de definities van “Risico”

• “De invloed van onzekere toekomstige gebeurtenissen op de strategische, financiële of operationele doelstellingen van een organisatie. Upward en downward risk Meten: Kans en schade

Wat is uw risk appetite?    

Staatsloterij Casino Hypotheek met variabele rente Sportwagen / motor

Soorten risico’s Naar soort schade:    

Financieel risico Reputatierisico Kwaliteitsrisico Veiligheidsrisico

Naar aard:        

Compliance risico Kredietrisico Marktrisico Renterisico Liquiditeitsrisico Operationeel risico Crimineel risico Bedrijfsrisico

Oorzaak – gevolg – effect relaties: n op n op n

1

1 A 2

3

Oorzaken

B

Gevolgen

2

3

Effecten

Riskmanagement

De Risk Management Cycle

Identify Risks

Monitor & Report

Measure Risks

Manage (= Implement Control Measures)

De voordelen van Risk Management Reductie van risico’s Leidend tot reductie van operational losses Leidend tot verhoging van zekerheid Leidend tot verhoging aandeelhouderswaarde Te vertalen in lagere kapitaalvereisen Bijprodukten:  

Betere AO / IC Verhoging gevoel van assurance

Risk terminologie Inherent risk (inherent risico)  Het risico dat inherent (vanzelfsprekend verbonden) is aan een proces / produkt / afdeling etc. • MINUS

Internal Control activities  De maatregelen van interne controle gericht op het mitigeren (beheersbaar maken / reduceren) van het inherent risk Residual risk (restrisico)  Het risico dat overblijft na implementatie van IC-maatregelen

17

In control statements Gebakken lucht of te koesteren fenomeen

Code Tabaksblat “In het jaarverslag verklaart het bestuur dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn en geeft hij een duidelijke onderbouwing hiervan” (blz. 9). “Het ligt in de rede dat het bestuur in de verklaring over de interne risicobeheersings- en controle-systemen aangeeft welk raamwerk of normenkader (zoals bijvoorbeeld het COSO raamwerk voor interne beheersing) hij heeft gehanteerd bij de evaluatie van het interne risicobeheersings- en controlesysteem.” (blz. 33)

Commissie Corporate Governance, De Nederlandse corporate governance code, 2003.

“The Board of Management is responsible for internal control in the Company and has implemented a risk management and control system that is designed to ensure that significant risks are identified and to monitor the realization of operational and financial objectives of the Company. Furthermore the system is designed to ensure compliance with relevant laws and regulations. The Company has designed its internal control system in accordance with the recommendations of the Committee of Sponsoring Organizations of the Treadway Commission (COSO), which recommendations are aimed at providing a reasonable level of assurance.” Source: Annual report 2005, page 219

Wat is de scope van “in control”? • Tabaksblat: ALLES • Sarbanes Oxley: Betrouwbaarheid van het jaarverslag • Frijns:

,,

,,

,,

,,

21

Het downdrillen van ICS • “Als de directie hangt dan moet de rest ook hangen”

• Gelaagd systeem van verklaringen – Nut? – Afdwingen? – Globaal of detail?

Wat is “in control”? • Garantie dat niets mis gaat? • Verklaring over betrouwbare rapportage? • Verklaring over kwaliteit management? • Ook een zeewaardig schip kan zinken!

Gebakken lucht of te koesteren fenomeen?

In control volgens Paape •

Een organisatie is in control als zij beschikt over een Management Control Systeem (MCS) dat haar in staat stelt binnen een vooraf gedefinieerde periode in x% van de gevallen/tijd binnen een vooraf gedefinieerde risicotolerantie te blijven.

•

Indien buiten die risicotolerantiegrens wordt getreden, stelt het MCS de organisatie in staat dat tijdig te constateren en te herstellen’.

Is “in control digitaal of analoog” • In control of niet in control:

1:0

• Meer of minder in control: Schaal van 1-100

25

Elementen van “in control zijn” •

1. De missie/visie/strategie;

•

2. De wijze waarop doelen tot stand komen;

•

3. De structuur van de organisatie;

•

4. De wijze waarop ‘key performance indicators’ worden bepaald;

•

5. Hoe de performance wordt gemeten;

•

6. De leiderschapsstijl;

•

7. De wijze waarop met beloningen wordt omgegaan;

•

8. De cultuur of ‘tone at the top’ van de organisatie;

•

9. Hoe het gedrag van mensen wordt beïnvloed en mensen worden gemotiveerd;

•

10. De wijze waarop feedback is georganiseerd;

•

11. Het gebruik van informatie- en communicatiesystemen;

•

12. Hoe monitoring plaatsvindt;

•

13. Wat de onderneming doet om de veranderingen in de omgeving te onderkennen en daarop in te spelen (lerendvermogen);

•

14. Hoe de samenhang tussen de hiervoor genoemde elementen geborgd wordt.

De conclusie van Paape • Verklaren dat een organisatie ‘in control’ is, is geen eenvoudige zaak, zo niet onmogelijk. • Een MCS is een complex geheel van een groot aantal samenstellende delen. • Als het al enigszins zinvol is, dient daarbij te worden aangegeven welke risicotolerantie in acht is genomen

28

Wat is control?  Weten waar je naar toe wilt  Weten waar je naar toe gaat

 Kunnen ingrijpen als het nodig is  Geen onverantwoorde risico’s lopen  Dit betekent niet alle risico’s vermijden!

29

Het instrumentarium voor risk management • • • • • • •

Voorlichting / roadshows Operational loss database Risk Self Assessments Key risk indicators Operational risk approval process In Control Statements Operational auditing

Risk self assessments •

Anders dan bij een audit wordt een Risk Self Assesment door de business zelf uitgevoerd

•

Risk mgt afdeling treedt op als facilitator tijdens workshops

•

Duidelijke voordelen: – Minder bedreigend – Uitnodiging tot meedenken in plaats van “lijdend voorwerp” – Commitment

•

Mogelijke nadelen: – “Zelfgenoegzame types” leiden niet tot zinvolle conclusies – Collisiegevaar als de auditor ook facilitator is

Risk identification, risk assessment, risk mitigation

Kans

H

L

Schade

H

RSA, de issues • De rol met auditing – afbakening, gebruik van data • Selectie van processen

• De methodiek, de wijze van vastleggen • De follow up

COSO ERM framework

Process Components

Objectives

De COSO II risico tabel Events:

• • • • •

Objectives: 1 2 3

4

Risk Response:

A B C .. X

-

*

Accept, Avoid, Outsource / Share, Mitigate

-

-

Risk Assessment:

--

-

Control Activities:

A, A, O/S, M * --

--

35

Summary of Updates Codification of 17 principles embedded in the original Framework Control Environment

Risk Assessment

Control Activities

Information & Communication

Monitoring Activities

1. 2. 3. 4. 5.

Demonstrates commitment to integrity and ethical values Exercises oversight responsibility Establishes structure, authority and responsibility Demonstrates commitment to competence Enforces accountability

6. 7. 8. 9.

Specifies relevant objectives Identifies and analyzes risk Assesses fraud risk Identifies and analyzes significant change

10. Selects and develops control activities 11. Selects and develops general controls over technology 12. Deploys through policies and procedures 13. Uses relevant information 14. Communicates internally 15. Communicates externally 16. Conducts ongoing and/or separate evaluations 17. Evaluates and communicates deficiencies

Some new elements • Reporting – Internal and external – External: financial and non-financial • Specific document for external financial reporting

• Attention for the dependence on technology • Specific attention for fraud risk – Fraud triangle (opportunity, attitude, rationalization) • Reporting fraud, theft

• Attention for outsourcing risks • Commitment to competence: – Attract, develop and retain competent staff

Some new elements • Accountability – Deviations – Incentives – Pressures • From risk appetite  risk tolerance • Internal controls: attention for general controls, IT controls, specify dependency on controls • Quality aspects of information – Sufficient, timely, current, correct (accurate and complete), accessible, protected, verifiable, retained

38

Some new elements • The lines of defense model – From first to third line of defense • Limitations of the model – Preconditions, such as strategy, structure – Human judgments – Breakdowns – Management override – Collusion

39

The 4 Lines of Defense

4. External audit / external authorities 3. Internal audit 2. Staff (risk management, Compliance) 1. Line management

40

Waarom RSA ook niet alijd werkt •

Samad-Khan: Why COSO is flawed

•

COSO / Risk self assessments worden uitgevoerd door amateurs in plaats van door risk managers – Analogie van de dokter die de patiënt vraagt naar de diagnose

•

Daardoor veel vals-positieve risico’s (grote kans, grote schade): ghost risks

•

Daarnaast onterecht geen aandacht voor vals-negatieve risico’s (kleine kans, enorme schade) – Dus geen aandacht voor de black swans!

•

Verder is een risico geen puntschatting maar een verzameling van kans-schade mogelijkheden (bv. Kans en schade op auto-ongeluk)

Het boek: The black swan »

• • • • • •

His second non-technical book, about unpredictable events, Published in 2007, It sold, as of March 2009, close to 1.5 million copies, Stayed 17 weeks on the New York Times Bestseller list, translated into 31 languages.

42

Figure 1: One thousand and one days of history

43

43

The main element The Black Swan refers to a surprise that occurs and which you totally didn’t expect based on your past experience and knowledge. The Black Swan problem in its original form is about the question: How can we know the future, given knowledge of the past? Mistaking a naïve observation of the past as something representative of the future is our only cause of our inability to understand the Black Swan.

44

44

Criticism on the Bell curve • Why the bell curve is popular? • Because it sucks the randomness out of life, it allows certainties through averaging.

In bell curve, as the sample size increase, the distribution will be narrower and narrower. Uncertainties in bell curve vanishes under averaging.

45

Wat is dan wel de oplossing? • “Think of the unthinkable” • • • • • •

Stress testing Scenario analysis Game playing What if sessions Import creativity! Develop contingency plans

Maak onderscheid tussen gewoon management en risk management

46

Een (vals) gevoel van veiligheid • Control en control missers • Het concept van riskmanagement • In control statements: Toegevoegde waarde? • De oplossing: COSO en risk self assessments? • Waarom COSO ook niet werkt – Over witte en zwarte zwanen • Maar wat dan wel?

47

Dank u voor uw aandacht

48