Summary Risk and Compliance
College 1: Introductie, doelstelling en afbakening onderwerp
Risico = een gebeurtenis die een organisatie hindert bij het bereiken van zijn strategische en
operationele doelstellingen
Waarom risico management: benutten van kansen vs behalen van doelen
• Effectief omgaan met onzekerheden
• Voorspelbare resultaten
• Optimaliseren risico en rendement
• Minder faalkosten
• Tijdig bijsturen (early warning)
• Vertrouwen aandeelhouders en belanghebbende
• Bestuurder aansprakelijk maken
• Continuïteit en gezonde ontwikkeling van de onderneming
• First time right en/of beperken van potentiele impact
• Verbeterde risico bewuste besluitvorming
• Minder incidenten en management-by-exception
• Risicobewuste cultuur en gedrag van medewerkers.
‘Old’ perspectief ‘New’ perspectief
- Ad hoc risk assessment - Continue risico assessment
- Risico is voor enkele - Risico’s zijn iedereen
- Fragmented risk management - coördinatie van risk management
- Focus op financiële risico’s - focus op business risico’s
- Geen business risico policy - formele risico policy
- Reactief - preventief
Formele Corporate Governance Principes ten aanzien van risico management
1. Besturen: richting geven en doelen stellen
2. Beheersen: maatregelen treffen die risico’s verminderen
3. Verantwoording afleggen over gevoerde beleid en beheersen van risico’s
4. Toezicht houden op gevoerde beleid en wijze van beheersing ten behoeve van stakeholders
Belangrijkste uitgangspunten op het gebied van risicomanagement, internal audit en cultuur:
1. Het bestuur richt zich op de lange termijn waarde creatie en weegt daartoe de in
aanmerking komende belangen van de stakeholders
2. Voor waarde creatie op lange termijn is adequaat systeem voor de beheersing van risico’s
onmisbaar
3. De taak van het bestuur om de opzet en werking van interne risico beheersing en controle
systemen te beoordelen is een essentieel onderdeel van adequate risicobeheersing
4. Cultuur en gedrag spelen een belangrijke rol in de mate waarin de vennootschap bijdraagt
aan lange termijn waarde creatie
Stakeholders:
1. Algemene vergadering van aandeelhouders (AVA): geeft goedkeuring van het door bestuur
gevoerde beleid en het door de RvC uitgevoerde toezicht = Decharge: “het verlenen van
kwijting aan een bestuurder voor het gevoerde beleid.”
2. RvC: toezicht op het beleid van het bestuur en op de algemene gang van zaken in de
vennootschap, een van de RvC commissies = audit commissie.
, 3. RvB: verantwoordelijk voor de naleving van relevante wet en regelgeving, risicobeheersing
en financiering. CEO of CFO zijn doorgaans hiërarchisch aanstuurder van Internal Audit en
Compliance.
4. Audit Commissie: toezicht op de (risico) beheersing van de organisatie. AC is doorgaans
functioneel aanstuurder van Internal Audit keurt het jaarplan van Internal Audit en
wijzigingen daarin goed.
Risk management over tijd verplaatsing van vertrouwen. Publieke opinie wordt steeds
belangrijker
Three lines of defence:
1. Lijnmanagement: eigenaar van de risico’s. Verantwoordelijk voor:
a. Vertalen van de ondernemingsstrategie en doelstellingen naar activiteiten
b. Vaststellen van risk appetite, limietenstructuur en escalatiemechanisme
c. Instellen van beleids- en besluitvormingsorganen
d. Inrichten van adequate management informatiesystemen en monitoring
e. Opzetten van adequate administratie organisatie en interne beheersing
2. Compliance & Risk: opstellen van risico managementbeleid en ondersteuning control
framework. Kerntaken:
a. Enabling:
b. Monitoring:
3. Internal Audit: rapporteren en beoordelen van de interne beheersmaatregelen in opzet,
bestaan en werking effectief zijn
Risico management en de relevantie voor de Internal Auditor:
1. Risico management in de onderneming is zelf object van onderzoek voor de internal auditor;
beoordeling opzet, bestaan en werking van risico management.
2. Er zijn veel IA functie die een gecombineerde derde en tweedelijns rol vervullen. Hierbij
moet de internal auditor in staat zijn zelf risico management activiteiten uit te voeren.
Kaplan & Mikes Managing Risk – a new framework
Soorten risico’s:
1. Te voorkomen risico’s: interne risico’s die te beheersen zijn (onethisch handelen)
2. Strategische risico’s: vrijwillig geaccepteerde risico’s (wel/niet innoveren)
, 3. Externe risico’s: niet beïnvloedbare risico’s van buitenaf (natuurrampen) -> de zwarte
zwanen
Zowel externe risico’s als te voorkomen risico’s, kunnen uiteindelijk strategisch worden.
Juist deze schuivende panelen zijn ons inziens interessant: wanneer kan een directeur
zeggen “wat is ons nu weer overkomen” en wanneer moet hij zeggen ” we hebben gegokt
en verloren”.
Het gaat hierbij om de strategische keuzes rondom prestaties en onzekerheden van de
directie en top management
Risico toleratie (publieke sector) naar meer risico appetite-denken. “Core to Risk Based Performance
Management (RPBM) is the understanding of ‘risk appetite’ and how the organisation can operate
“within appetite”. (Smart & Creelman)
- Building on existing and widely deployed methodologies, namely the Balanced Scorecard
and COSO framework, Risk Based Performance Management is a proven response to the
performance and risk challenges presented in today’s business environment.
- The Risk Based Performance Methodology was first developed to enable clients to meet the
challenges of implementing Basel 2 and Sarbanes Oxley alongside performance management
and other management information process.
- S&M strongly argue that culture should be treated as an organizational asset, as important
as any other. Many CEOs that fail most notably of course those that recently ran major
financial services organizations that collapsed might well have surveyed their corporate
wreckage and thought to themselves, “I wish I’d paid more attention to culture.”
Bazerman – barriers to acting
6 factoren waarom risico management soms niet of onvoldoende werkt:
1. Leiders zijn bewust van het probleem, maar lossen het niet op niet mogelijk om het risico
te mobiliseren en daarop adequaat te handelen
2. Werknemers/managers zien het probleem erger worden over tijd geen falen in het zien
van de risico’s, maar falen in het oplossen/reageren
3. Het oplossen van het probleem brengt significante kosten met zich mee, terwijl de
voordelen uitblijven
4. De beloning van het maken van bepaalde kosten voorkomt grotere kosten in de toekomst
managers krijgen weinig credits voor het voorkomen
5. Mensen hebben de neiging om de status quo te handhaven en zich niet voor te bereiden op
voorspelbare verassingen
6. Een minderheid profiteert van inactiviteit en is gemotiveerd om acties van leiders te
ondermijnen in hun eigen voordeel
Waarom reageren we niet op wat we weten:
1. Cognitieve roots
a. Positieve illusies
b. Egoïsme
c. Toekomst wordt ondergewaardeerd
d. Levendige gegevens
2. Organisatorische roots
a. Het falen in het scannen van internal/externe omgevingen
b. Integratie falen
c. Incentive falen
College 1: Introductie, doelstelling en afbakening onderwerp
Risico = een gebeurtenis die een organisatie hindert bij het bereiken van zijn strategische en
operationele doelstellingen
Waarom risico management: benutten van kansen vs behalen van doelen
• Effectief omgaan met onzekerheden
• Voorspelbare resultaten
• Optimaliseren risico en rendement
• Minder faalkosten
• Tijdig bijsturen (early warning)
• Vertrouwen aandeelhouders en belanghebbende
• Bestuurder aansprakelijk maken
• Continuïteit en gezonde ontwikkeling van de onderneming
• First time right en/of beperken van potentiele impact
• Verbeterde risico bewuste besluitvorming
• Minder incidenten en management-by-exception
• Risicobewuste cultuur en gedrag van medewerkers.
‘Old’ perspectief ‘New’ perspectief
- Ad hoc risk assessment - Continue risico assessment
- Risico is voor enkele - Risico’s zijn iedereen
- Fragmented risk management - coördinatie van risk management
- Focus op financiële risico’s - focus op business risico’s
- Geen business risico policy - formele risico policy
- Reactief - preventief
Formele Corporate Governance Principes ten aanzien van risico management
1. Besturen: richting geven en doelen stellen
2. Beheersen: maatregelen treffen die risico’s verminderen
3. Verantwoording afleggen over gevoerde beleid en beheersen van risico’s
4. Toezicht houden op gevoerde beleid en wijze van beheersing ten behoeve van stakeholders
Belangrijkste uitgangspunten op het gebied van risicomanagement, internal audit en cultuur:
1. Het bestuur richt zich op de lange termijn waarde creatie en weegt daartoe de in
aanmerking komende belangen van de stakeholders
2. Voor waarde creatie op lange termijn is adequaat systeem voor de beheersing van risico’s
onmisbaar
3. De taak van het bestuur om de opzet en werking van interne risico beheersing en controle
systemen te beoordelen is een essentieel onderdeel van adequate risicobeheersing
4. Cultuur en gedrag spelen een belangrijke rol in de mate waarin de vennootschap bijdraagt
aan lange termijn waarde creatie
Stakeholders:
1. Algemene vergadering van aandeelhouders (AVA): geeft goedkeuring van het door bestuur
gevoerde beleid en het door de RvC uitgevoerde toezicht = Decharge: “het verlenen van
kwijting aan een bestuurder voor het gevoerde beleid.”
2. RvC: toezicht op het beleid van het bestuur en op de algemene gang van zaken in de
vennootschap, een van de RvC commissies = audit commissie.
, 3. RvB: verantwoordelijk voor de naleving van relevante wet en regelgeving, risicobeheersing
en financiering. CEO of CFO zijn doorgaans hiërarchisch aanstuurder van Internal Audit en
Compliance.
4. Audit Commissie: toezicht op de (risico) beheersing van de organisatie. AC is doorgaans
functioneel aanstuurder van Internal Audit keurt het jaarplan van Internal Audit en
wijzigingen daarin goed.
Risk management over tijd verplaatsing van vertrouwen. Publieke opinie wordt steeds
belangrijker
Three lines of defence:
1. Lijnmanagement: eigenaar van de risico’s. Verantwoordelijk voor:
a. Vertalen van de ondernemingsstrategie en doelstellingen naar activiteiten
b. Vaststellen van risk appetite, limietenstructuur en escalatiemechanisme
c. Instellen van beleids- en besluitvormingsorganen
d. Inrichten van adequate management informatiesystemen en monitoring
e. Opzetten van adequate administratie organisatie en interne beheersing
2. Compliance & Risk: opstellen van risico managementbeleid en ondersteuning control
framework. Kerntaken:
a. Enabling:
b. Monitoring:
3. Internal Audit: rapporteren en beoordelen van de interne beheersmaatregelen in opzet,
bestaan en werking effectief zijn
Risico management en de relevantie voor de Internal Auditor:
1. Risico management in de onderneming is zelf object van onderzoek voor de internal auditor;
beoordeling opzet, bestaan en werking van risico management.
2. Er zijn veel IA functie die een gecombineerde derde en tweedelijns rol vervullen. Hierbij
moet de internal auditor in staat zijn zelf risico management activiteiten uit te voeren.
Kaplan & Mikes Managing Risk – a new framework
Soorten risico’s:
1. Te voorkomen risico’s: interne risico’s die te beheersen zijn (onethisch handelen)
2. Strategische risico’s: vrijwillig geaccepteerde risico’s (wel/niet innoveren)
, 3. Externe risico’s: niet beïnvloedbare risico’s van buitenaf (natuurrampen) -> de zwarte
zwanen
Zowel externe risico’s als te voorkomen risico’s, kunnen uiteindelijk strategisch worden.
Juist deze schuivende panelen zijn ons inziens interessant: wanneer kan een directeur
zeggen “wat is ons nu weer overkomen” en wanneer moet hij zeggen ” we hebben gegokt
en verloren”.
Het gaat hierbij om de strategische keuzes rondom prestaties en onzekerheden van de
directie en top management
Risico toleratie (publieke sector) naar meer risico appetite-denken. “Core to Risk Based Performance
Management (RPBM) is the understanding of ‘risk appetite’ and how the organisation can operate
“within appetite”. (Smart & Creelman)
- Building on existing and widely deployed methodologies, namely the Balanced Scorecard
and COSO framework, Risk Based Performance Management is a proven response to the
performance and risk challenges presented in today’s business environment.
- The Risk Based Performance Methodology was first developed to enable clients to meet the
challenges of implementing Basel 2 and Sarbanes Oxley alongside performance management
and other management information process.
- S&M strongly argue that culture should be treated as an organizational asset, as important
as any other. Many CEOs that fail most notably of course those that recently ran major
financial services organizations that collapsed might well have surveyed their corporate
wreckage and thought to themselves, “I wish I’d paid more attention to culture.”
Bazerman – barriers to acting
6 factoren waarom risico management soms niet of onvoldoende werkt:
1. Leiders zijn bewust van het probleem, maar lossen het niet op niet mogelijk om het risico
te mobiliseren en daarop adequaat te handelen
2. Werknemers/managers zien het probleem erger worden over tijd geen falen in het zien
van de risico’s, maar falen in het oplossen/reageren
3. Het oplossen van het probleem brengt significante kosten met zich mee, terwijl de
voordelen uitblijven
4. De beloning van het maken van bepaalde kosten voorkomt grotere kosten in de toekomst
managers krijgen weinig credits voor het voorkomen
5. Mensen hebben de neiging om de status quo te handhaven en zich niet voor te bereiden op
voorspelbare verassingen
6. Een minderheid profiteert van inactiviteit en is gemotiveerd om acties van leiders te
ondermijnen in hun eigen voordeel
Waarom reageren we niet op wat we weten:
1. Cognitieve roots
a. Positieve illusies
b. Egoïsme
c. Toekomst wordt ondergewaardeerd
d. Levendige gegevens
2. Organisatorische roots
a. Het falen in het scannen van internal/externe omgevingen
b. Integratie falen
c. Incentive falen
