Governance, Risk & Control (Summary)
Lecture notes, Studybook & Academic papers
Lecturer : Various
Exams : 1 (12 november 2021)
GRC College 1 – Introductie tot GRC
Datum : 09-09-2021
Subject : GRC (Governance) – Michel Vlak
GRC (Of Governance, Risk & Control) is relevant voor het (internal) auditing werkgebied
omdat om ervoor te zorgen dat een bedrijf zijn doel bereikt deze een systematische- en
gedisciplineerde aanpak nodig heeft om Risk Management, Control en Governance
processen te evalueren en te verbeteren. Tevens moet internal audit evaluaties uitvoeren (- en
passende aanbevelingen doen) m.b.t. governance processen. Derhalve is het nodig kennis te
hebben van governance.
Internal Auditing: independent, objective assurance and consulting activity,
designed to add value and improve the organization’s operations.
IT-Governance: het besturen, beheersen, uitvoeren en verantwoording afleggen over-
en het toezicht op – de informatievoorziening binnen een organisatie.
Figure 1: het geheel van de modules vormen het vak GRC.
Het doel is om kennis op te doen van:
Governance: het spel, de codes, regels, de speller, de belangen en vraagstukken &
dilemma’s en de IT als strategische factor
Risk management: COSO-ERM en hoe dit vorm te geven (process, organisatie en
infrastructuur)
Compliance: Specifieke risicocategorie, license to operate, ontstaansgrond, status en
ontwikkeling naar de toekomst
Management control: het fenomeen, de effecten van control op gedrag en het doel
van management control systems.
Governance is ontstaan tijdens de VOC-tijd toen de eerste aandelen werden verstrekt aan
aandeelhouders. Door gebrek in transparantie ontstond er informatie assymetrie waarbij
management meer informatie had dan de aandeelhouders (de eigenlijke eigenaren). Hierdoor
ontstond het Agency-theory vraagstuk waarbij de verschil van kennis/informatie tussen de
Principal en de Agent een grote rol speelt.
Agency Theory:
Bij Agency Theory zijn er 2 partijen: de eigenaar/opdrachtgever
of de principaal en de bestuurder/ opdrachtnemer of de
Agent. Het probleem van de principaal is dat de agent eigen- of
andere belangen kan najagen zonder dat deze gecontroleerd
wordt. Dit probleem wordt veroorzaakt doordat beide partijen
toegang hebben tot verschillende hoeveelheden informatie
(informatieassymetrie). Voorbeelden hiervan zijn: Hidden
action (acties van de agent dienen onvoldoende de belangen
van de principaal), Hidden information (principaal krijgt niet
alle informatie), Moral Hazard (bij te grote assymetrie bestaat er wangedrag bij bestuur)
,Corporate- en Internal Governance gaan over (1) machtsevenwicht en tegenkracht, (2)
integer bestuur, (3) Transparantie (4) verantwoording over strategie, resultaten, risico en
integriteit. Om dit mogelijk te maken kan men gebruik maken van vier mechanismen:
1. Interne Beheersing, Toezicht en control
Dit eerste mechanisme bepaalt wie besluiten neemt binnen de organisatie en wie toezicht houdt
op deze mensen. Hierin wordt onderscheid gemaakt tussen Two-tier (of rijnlands model) waar het
bestuur wordt gecontroleerd door de raad van commissarissen en het one-tier (of anglo-saksisch
model) waar het bestuur samen met
toezichthouders (executives- en non-
executives) beslissingen neemt.
De Audit Committee, is een
onderdeel van de Raad van
commissarissen. De AC houdt toezicht op
de risico-beheersing van de organisatie
m.b.t. compliance- en financiele risico’s,
keurt het audit plan goed en is vaak de
opdrachtgever van internal audit, direct
aanspreekpunt voor de externe auditor.
Een keer per jaar wordt het functioneren
van bestuur besproken door de Audit
Committee, internal- en external audit.
2. Gedragscodes voor goed bestuur
Zowel op national- als internationaal niveau zijn er corporate governance codes opgesteld voor
beursgenoteerde bedrijven. In Nederland is Code tabaksblad daar een bekend voorbeeld van. De
kern van de codes is:
Principes- en best-practices gericht op de invulling van verantwoordelijkheden voor
waarde-creatie op de lange termijn, beheersing van risico’s, effectief bestuur en toezicht,
beloning en de relatie met de aandeelhouders.
De vennootschap is een langdurige samenwerking met verschillende stakeholders
Bestuur en de Raad van Commissarissen heb de rol afweging te maken tussen de belangen
van verschillende rollen en zijn doorgaans gericht op langdurige waarde-creatie en
continuïteit.
Waarbij stakeholders moeten kunnen vertrouwen dat hun belangen zorgvuldig worden
meegewogen in besluitvorming.
Essentiele voorwaarden hiervoor zijn: Goed ondernemerschap en Goed Toezicht.
3. Specifieke wet- en regelgeving
De Sarbanes-Oxley Act (SOX) was een reactie op de grootschalige Enron-fraude van 2001-2002 en
is gericht op het voorkomen van frauduleuze financiële verslaggeving. De act is van toepassing op
Amerikaanse beursgenoteerde bedrijven en/of buitenlandse bedrijven met een genoteerde vestiging
in Amerika waarbij regels zijn opgesteld voor een deugdelijke ondernemingscultuur en de rol van de
bestuurder/ externe accountant hierin. Zie specifieke bepalingen in de slides.
4. Vertrouwenscultuur creëren
Binnen governance worden vaak de systemen- en mechanismen getoetst terwijl de oorzaak van het
falen bij mensen ligt. Hoewel de meeste systemen nog toegang geven tot perverse prikkels is
vertrouwen creëren beter dan een organisatie dichttimmeren met controls.
Hoewel betere risicobeheersing en meer betrouwbare informatie bijdragen aan de kwaliteit
van besturing- besluitvorming en waard creatie motiveert dit de manager niet
Vertrouwen hierbij is beter want het geeft meer beslissingsruimte voor managers en
medewerkers en motiveert en stimuleert ondernemerschap
Een sterke bedrijfscultuur is dan ook essentieel (zoals gedeelde overtuigingen,
voorbeeldgedrag en samenwerking)
,GRC College 2 – COSO ERM (deel 1)
Datum : 17-09-2021
Subject : GRC (Risk Management) – Marcel Prinsenberg (slides 1 –
20)
Het is een mythe dat je met goed risicomanagement op alles voorbereidt bent en er dus geen
verrassingen zijn (denk aan 9/11, Covid-19 pandemie, de Kredietcrisis van 2008). Het probleem
is alleen dat goed risicomanagement vooral compliance gedreven is. Daarnaast hebben we
te maken met een aantal andere problemen: Risicomanagement wordt niet serieus genomen
[cultuur] , Het in kaart brengen van risico’s is lastig gebleken [diversiteit], rollen en
verantwoordelijkheden m.b.t. risk management zijn niet goed belegd [governance],
Risicomanagement is onvoldoende geïntegreerd in de dagelijkse processen [integratie],
strategisch risico denken is onvoldoende ontwikkeld [strategische risico’s], gebruikte
methodes zijn achterhaald of ontoereikend [werkwijze], kwaliteit van
risicomanagementafdelingen is onvoldoende [kwaliteit]. COSO & Risk control geven de ruimte
voor professional Judgement in het wel/niet meenemen van risico’s.
COSO
Committee Of Sponsoring Organizations (COSO) of the treadway commission is gevormd om
guidance op het gebied van internal control te ontwikkelen. Hun Missie is om ‘through
leadership’ mogelijk te maken door het ontwikkelen van frameworks- en guidance op het gebied
van Enterprise Risk management (ERM), internal control en fraude voorkoming. Het meest
bekende voorbeeld van een framework is het COSO ERM model/kubus.
Figure 2:COSO model 2003 (links) en COSO model updated in 2017 (Rechts)
Naast COSO zijn er ook andere modellen zoals: ISO 3100, 6sigma, BASEL. Maar COSO is het
eerste erkende framework voor Internal Control omdat het van toepassing kan zijn voor elke
branche- en geografie. Hoewel adoptie van dit model vrijwillig is, is het veelomvattend en
praktisch ingericht en derhalve in snel tempo de geaccepteerde standard voor ERM. De
volgende definities binnen COSO zijn belangrijk:
Risk: “The possibility that events will occur and affect the achievement of strategy and
business objectives”
Risk Management: “The culture, capabilities, and practices, integrated with trategy-
setting and performance, that organizations rely on to manage risk in creating,
preserving and realizing value”
Event: “An occurrence or set of occurrences”
Uncertainty: “The state of not knowing how- or if the potential events will occur”
, Severity: “The measurement of considerations such as the likelihood and impact of
events or the time it takes to recover from events”
Onzekerheid: iets wat nooit eerder is gebeurd
Risico: een onzekerheid die zich al eens in het verleden heeft voorgedaan (e.g. de crisis van
2008 was een risico omdat er al een mondiale economische crisis heeft plaatsgevonden in
1928)
TIP: bij een control met professional judgement neem de zachte factoren mee in de
riskanalyse/riskmanagement (denk aan Capabel, ervaring, dagelijks handelen).
TIP: Bij interviews m.b.t. risk identification: (1) spreek mensen van verschillende generaties,
(2) vermijd de ‘usual suspects’ zoals management (maar spreek operationeel personeel), (3)
spreek mensen buiten het bedrijf.
GRC College 3 – IT Governance
Datum : 24-09-2021
Subject : GRC (IT Governance) – Marco Zoetekauw
Binnen Control als definitie is het goed om bij het volgende stil te staan: organisaties hebben
strategieen doelen om te bereiken (e.g. 10% marktaandeel, 50% omzetgroei, leider op het
gebied van innovatie etc.). De strategie- en doelen bepalen derhalve de inrichting van een
organisatie (waaronder governance valt). Bedrijven hebben echter te maken met verschillende
stakeholders: Aandeelhouders, medewerkers, leveranciers, maatschappelijk belang,
overheden etc.
Binnen control is het derhalve belangrijk om te beseffen dat we IT in control hebben, wat
betekent dat we snappen hoe IT werkt en dus snappen wat wel- en niet werkt. We bepalen of
een bedrijf “in control” is o.b.v. een van de volgende strategieën:
Integrale controle: Alle data controleren (gegevensgericht) wordt in de praktijk amper
gedaan omdat het niet efficiënt is
Risico gericht controleren: Controleren van data waar we een risico in zie als deze
afwijkt
Maatregelen: Checks & balances- de beheersmaatregelen/controls die betrekking
hebben op data- en IT.
Binnen IT-audit zijn er 3 (of 4) partijen betrokken bij het “in control zijn”: lijnmanagement (1ste
lijn), Risicomanagement (2de lijn), Internal audit (3 lijn) en External audit (4e lijn). Het in control
zijn bepaald ook of we compliant zijn, of we voldoende aan compliance. Compliance komt
vanuit: Wetgeving, jurisprudentie en brancheverenigingen/vakverenigingen (zoals
NIVRA/NOREA)
IT-governance: de verzameling van spelregels, afspraken en richtlijnen omtrent het gebruik
van allerhande IT-technologieën, tools en applicaties binnen een bedrijf. Het dient niet alleen
om IT en business strategieën zo goed mogelijk op elkaar af te stemmen en de interne werking
zo efficiënt mogelijk te maken, IT governance draait ook om het garanderen van de veiligheid
en bescherming van data en het beperken van risico’s of gevaren van buitenaf zoals
cybercriminaliteit of disaster recovery. IT Governance is gericht op juistheid- en
betrouwbaarheid van informatie, goede sturing van processen, goede uitkomsten van processen
en continuïteit van de organisatie.
Waarom is er IT bij bedrijven: We hebben (1) bedrijfsprocessen, hier is een wens om deze
processen (2) te sturen, dit leidt tot een (3) informatiebehoefte. Informatie dient (4) verwerkt te
worden, derhalve hebben we (5) IT nodig.
Lecture notes, Studybook & Academic papers
Lecturer : Various
Exams : 1 (12 november 2021)
GRC College 1 – Introductie tot GRC
Datum : 09-09-2021
Subject : GRC (Governance) – Michel Vlak
GRC (Of Governance, Risk & Control) is relevant voor het (internal) auditing werkgebied
omdat om ervoor te zorgen dat een bedrijf zijn doel bereikt deze een systematische- en
gedisciplineerde aanpak nodig heeft om Risk Management, Control en Governance
processen te evalueren en te verbeteren. Tevens moet internal audit evaluaties uitvoeren (- en
passende aanbevelingen doen) m.b.t. governance processen. Derhalve is het nodig kennis te
hebben van governance.
Internal Auditing: independent, objective assurance and consulting activity,
designed to add value and improve the organization’s operations.
IT-Governance: het besturen, beheersen, uitvoeren en verantwoording afleggen over-
en het toezicht op – de informatievoorziening binnen een organisatie.
Figure 1: het geheel van de modules vormen het vak GRC.
Het doel is om kennis op te doen van:
Governance: het spel, de codes, regels, de speller, de belangen en vraagstukken &
dilemma’s en de IT als strategische factor
Risk management: COSO-ERM en hoe dit vorm te geven (process, organisatie en
infrastructuur)
Compliance: Specifieke risicocategorie, license to operate, ontstaansgrond, status en
ontwikkeling naar de toekomst
Management control: het fenomeen, de effecten van control op gedrag en het doel
van management control systems.
Governance is ontstaan tijdens de VOC-tijd toen de eerste aandelen werden verstrekt aan
aandeelhouders. Door gebrek in transparantie ontstond er informatie assymetrie waarbij
management meer informatie had dan de aandeelhouders (de eigenlijke eigenaren). Hierdoor
ontstond het Agency-theory vraagstuk waarbij de verschil van kennis/informatie tussen de
Principal en de Agent een grote rol speelt.
Agency Theory:
Bij Agency Theory zijn er 2 partijen: de eigenaar/opdrachtgever
of de principaal en de bestuurder/ opdrachtnemer of de
Agent. Het probleem van de principaal is dat de agent eigen- of
andere belangen kan najagen zonder dat deze gecontroleerd
wordt. Dit probleem wordt veroorzaakt doordat beide partijen
toegang hebben tot verschillende hoeveelheden informatie
(informatieassymetrie). Voorbeelden hiervan zijn: Hidden
action (acties van de agent dienen onvoldoende de belangen
van de principaal), Hidden information (principaal krijgt niet
alle informatie), Moral Hazard (bij te grote assymetrie bestaat er wangedrag bij bestuur)
,Corporate- en Internal Governance gaan over (1) machtsevenwicht en tegenkracht, (2)
integer bestuur, (3) Transparantie (4) verantwoording over strategie, resultaten, risico en
integriteit. Om dit mogelijk te maken kan men gebruik maken van vier mechanismen:
1. Interne Beheersing, Toezicht en control
Dit eerste mechanisme bepaalt wie besluiten neemt binnen de organisatie en wie toezicht houdt
op deze mensen. Hierin wordt onderscheid gemaakt tussen Two-tier (of rijnlands model) waar het
bestuur wordt gecontroleerd door de raad van commissarissen en het one-tier (of anglo-saksisch
model) waar het bestuur samen met
toezichthouders (executives- en non-
executives) beslissingen neemt.
De Audit Committee, is een
onderdeel van de Raad van
commissarissen. De AC houdt toezicht op
de risico-beheersing van de organisatie
m.b.t. compliance- en financiele risico’s,
keurt het audit plan goed en is vaak de
opdrachtgever van internal audit, direct
aanspreekpunt voor de externe auditor.
Een keer per jaar wordt het functioneren
van bestuur besproken door de Audit
Committee, internal- en external audit.
2. Gedragscodes voor goed bestuur
Zowel op national- als internationaal niveau zijn er corporate governance codes opgesteld voor
beursgenoteerde bedrijven. In Nederland is Code tabaksblad daar een bekend voorbeeld van. De
kern van de codes is:
Principes- en best-practices gericht op de invulling van verantwoordelijkheden voor
waarde-creatie op de lange termijn, beheersing van risico’s, effectief bestuur en toezicht,
beloning en de relatie met de aandeelhouders.
De vennootschap is een langdurige samenwerking met verschillende stakeholders
Bestuur en de Raad van Commissarissen heb de rol afweging te maken tussen de belangen
van verschillende rollen en zijn doorgaans gericht op langdurige waarde-creatie en
continuïteit.
Waarbij stakeholders moeten kunnen vertrouwen dat hun belangen zorgvuldig worden
meegewogen in besluitvorming.
Essentiele voorwaarden hiervoor zijn: Goed ondernemerschap en Goed Toezicht.
3. Specifieke wet- en regelgeving
De Sarbanes-Oxley Act (SOX) was een reactie op de grootschalige Enron-fraude van 2001-2002 en
is gericht op het voorkomen van frauduleuze financiële verslaggeving. De act is van toepassing op
Amerikaanse beursgenoteerde bedrijven en/of buitenlandse bedrijven met een genoteerde vestiging
in Amerika waarbij regels zijn opgesteld voor een deugdelijke ondernemingscultuur en de rol van de
bestuurder/ externe accountant hierin. Zie specifieke bepalingen in de slides.
4. Vertrouwenscultuur creëren
Binnen governance worden vaak de systemen- en mechanismen getoetst terwijl de oorzaak van het
falen bij mensen ligt. Hoewel de meeste systemen nog toegang geven tot perverse prikkels is
vertrouwen creëren beter dan een organisatie dichttimmeren met controls.
Hoewel betere risicobeheersing en meer betrouwbare informatie bijdragen aan de kwaliteit
van besturing- besluitvorming en waard creatie motiveert dit de manager niet
Vertrouwen hierbij is beter want het geeft meer beslissingsruimte voor managers en
medewerkers en motiveert en stimuleert ondernemerschap
Een sterke bedrijfscultuur is dan ook essentieel (zoals gedeelde overtuigingen,
voorbeeldgedrag en samenwerking)
,GRC College 2 – COSO ERM (deel 1)
Datum : 17-09-2021
Subject : GRC (Risk Management) – Marcel Prinsenberg (slides 1 –
20)
Het is een mythe dat je met goed risicomanagement op alles voorbereidt bent en er dus geen
verrassingen zijn (denk aan 9/11, Covid-19 pandemie, de Kredietcrisis van 2008). Het probleem
is alleen dat goed risicomanagement vooral compliance gedreven is. Daarnaast hebben we
te maken met een aantal andere problemen: Risicomanagement wordt niet serieus genomen
[cultuur] , Het in kaart brengen van risico’s is lastig gebleken [diversiteit], rollen en
verantwoordelijkheden m.b.t. risk management zijn niet goed belegd [governance],
Risicomanagement is onvoldoende geïntegreerd in de dagelijkse processen [integratie],
strategisch risico denken is onvoldoende ontwikkeld [strategische risico’s], gebruikte
methodes zijn achterhaald of ontoereikend [werkwijze], kwaliteit van
risicomanagementafdelingen is onvoldoende [kwaliteit]. COSO & Risk control geven de ruimte
voor professional Judgement in het wel/niet meenemen van risico’s.
COSO
Committee Of Sponsoring Organizations (COSO) of the treadway commission is gevormd om
guidance op het gebied van internal control te ontwikkelen. Hun Missie is om ‘through
leadership’ mogelijk te maken door het ontwikkelen van frameworks- en guidance op het gebied
van Enterprise Risk management (ERM), internal control en fraude voorkoming. Het meest
bekende voorbeeld van een framework is het COSO ERM model/kubus.
Figure 2:COSO model 2003 (links) en COSO model updated in 2017 (Rechts)
Naast COSO zijn er ook andere modellen zoals: ISO 3100, 6sigma, BASEL. Maar COSO is het
eerste erkende framework voor Internal Control omdat het van toepassing kan zijn voor elke
branche- en geografie. Hoewel adoptie van dit model vrijwillig is, is het veelomvattend en
praktisch ingericht en derhalve in snel tempo de geaccepteerde standard voor ERM. De
volgende definities binnen COSO zijn belangrijk:
Risk: “The possibility that events will occur and affect the achievement of strategy and
business objectives”
Risk Management: “The culture, capabilities, and practices, integrated with trategy-
setting and performance, that organizations rely on to manage risk in creating,
preserving and realizing value”
Event: “An occurrence or set of occurrences”
Uncertainty: “The state of not knowing how- or if the potential events will occur”
, Severity: “The measurement of considerations such as the likelihood and impact of
events or the time it takes to recover from events”
Onzekerheid: iets wat nooit eerder is gebeurd
Risico: een onzekerheid die zich al eens in het verleden heeft voorgedaan (e.g. de crisis van
2008 was een risico omdat er al een mondiale economische crisis heeft plaatsgevonden in
1928)
TIP: bij een control met professional judgement neem de zachte factoren mee in de
riskanalyse/riskmanagement (denk aan Capabel, ervaring, dagelijks handelen).
TIP: Bij interviews m.b.t. risk identification: (1) spreek mensen van verschillende generaties,
(2) vermijd de ‘usual suspects’ zoals management (maar spreek operationeel personeel), (3)
spreek mensen buiten het bedrijf.
GRC College 3 – IT Governance
Datum : 24-09-2021
Subject : GRC (IT Governance) – Marco Zoetekauw
Binnen Control als definitie is het goed om bij het volgende stil te staan: organisaties hebben
strategieen doelen om te bereiken (e.g. 10% marktaandeel, 50% omzetgroei, leider op het
gebied van innovatie etc.). De strategie- en doelen bepalen derhalve de inrichting van een
organisatie (waaronder governance valt). Bedrijven hebben echter te maken met verschillende
stakeholders: Aandeelhouders, medewerkers, leveranciers, maatschappelijk belang,
overheden etc.
Binnen control is het derhalve belangrijk om te beseffen dat we IT in control hebben, wat
betekent dat we snappen hoe IT werkt en dus snappen wat wel- en niet werkt. We bepalen of
een bedrijf “in control” is o.b.v. een van de volgende strategieën:
Integrale controle: Alle data controleren (gegevensgericht) wordt in de praktijk amper
gedaan omdat het niet efficiënt is
Risico gericht controleren: Controleren van data waar we een risico in zie als deze
afwijkt
Maatregelen: Checks & balances- de beheersmaatregelen/controls die betrekking
hebben op data- en IT.
Binnen IT-audit zijn er 3 (of 4) partijen betrokken bij het “in control zijn”: lijnmanagement (1ste
lijn), Risicomanagement (2de lijn), Internal audit (3 lijn) en External audit (4e lijn). Het in control
zijn bepaald ook of we compliant zijn, of we voldoende aan compliance. Compliance komt
vanuit: Wetgeving, jurisprudentie en brancheverenigingen/vakverenigingen (zoals
NIVRA/NOREA)
IT-governance: de verzameling van spelregels, afspraken en richtlijnen omtrent het gebruik
van allerhande IT-technologieën, tools en applicaties binnen een bedrijf. Het dient niet alleen
om IT en business strategieën zo goed mogelijk op elkaar af te stemmen en de interne werking
zo efficiënt mogelijk te maken, IT governance draait ook om het garanderen van de veiligheid
en bescherming van data en het beperken van risico’s of gevaren van buitenaf zoals
cybercriminaliteit of disaster recovery. IT Governance is gericht op juistheid- en
betrouwbaarheid van informatie, goede sturing van processen, goede uitkomsten van processen
en continuïteit van de organisatie.
Waarom is er IT bij bedrijven: We hebben (1) bedrijfsprocessen, hier is een wens om deze
processen (2) te sturen, dit leidt tot een (3) informatiebehoefte. Informatie dient (4) verwerkt te
worden, derhalve hebben we (5) IT nodig.
