Samenvatting Corporate Governance and Risk Management

Uitgebreide_samenvatting_Corporate_Governance_and_Risk_Management.pdf

Samenvatting Corporate Governance and Risk Management:Complete samenvatting van alle colleges aansluitend op de

examentopics

Universiteit van Amsterdam | Corporate Governance and Risk Management

Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke | E-mail adres: [email protected]

Summary Corporate Governance & Risk Management


Het simpelste concept van control is gewoon de

Risk Management Cycle.

Alle activiteiten die een Risk Management afdeling afdekt zou je hier aan moeten

hebben koppelen:

1. Identify risks: je zou van te voren toch willen hebben bedacht wat er mis zou

kunnen gaan. You want to know what can hit you!

2. Measure Risks: Dan weet je dat maar dan heb je nog geen idee van de omvang

dus je wilt het risico meten.

(Kans & Schade 2 methodes:

a. professional judgement = risk self assessment (risicos door experts in

kaart laten brengen, vaak niet heel erg betrouwbaar.

b. Incidenten database: we gaan t letterlijk bijhouden: als ik vanaf nu

systematisch iedere keer als een risico zich materialiseert in een database

opneem en ook de schade opneem dan gaat langzamerhand de statistiek

werken, bij ongewijzigd beleid is dat de beste schatting die je hebt).

3. Manage Risks: implementeer control measures / maatregelen. Definieer wat je

ermee gaat doen.

4. Monitor & Report: directie laat zich informeren hoe t nu gaat.


COSO = zorg dat je de doelstellingen kent

De COSO doelstellingen:

1. Effectieve financile processen

2. betrouwbare informatie,

3. voldoen aan de wet

4. bescherming van je activa.

COSO is een redelijke garantie dat het daarna wel goed gaat maar geen garantie

of zekerheid. Dus model claimt niet dat alle problemen zijn opgelost.

Tentamen:


gegarandeerd zal er op de een of andere manier aandacht worden besteed aan t

allereerste element van COSO namelijk de:

A: Control Environment. (embedded in org = de harde en zachte factoren die

invloed hebben op beheersing, zorgen dat de setting / cultuur van de organisatie

goed is (natuurlijk, hierarisch):

De allereerste stap in de control environment is dat we naar de directie gaan

kijken en dat noemen we dan:

1. Tone at the top (ethics). Dus niet wat zegt de top maar wat stralen ze uit in

hun acties. Dat is een belangrijke voorspeller voor de rest van

En de stelling is als de directeur jat dan jat iedereen vrolijk mee. Dus slecht

voorbeeld, doet slecht volgen dus goed voorbeeld doet goed volgen. Welke

waarden hij / zij belangrijk vind wordt in de regel in de organisatie opgepakt /

opgevolgd. Stelling is dat als de tone at the top goed is de rest van de organisatie

vaak wel volgt.

Vb: combinatie van bedrijfscultuur, structuur (familiebedrijf) matched niet met

harde Angelsaksische bonus / afrekencultuur)

2. Pressure to perform = hoe belangrijker een cijfer is hoe onbetrouwbaarder t

zal zijn. Simpelweg omdat de neiging tot manipulatie door de straf / bonus bij

het halen of niet halen steeds groter word (vb: ontslag of bonus van 1 miljoen,

nepverkopen in December)

Management byopia = bijziendheid.

3. HRM

4. Commitment to competence (ik zet iemand alleen op die plek neer als ik de

redelijke verwachting heb dat hij de job aan kunt, dus laat iemand niet het eerste

jaar fouten maken (training on the job) maar zorgt bijvoorbeeld voor voldoende

begeleiding).


C: Risk assessment: dat is de beroemde heatmap / vierkantje waarbij je hele

discussies kunt hebben over wat hoort waar thuis.

Je hebt ook een document gekregen wat gaat over het uitvoeren van

riskassessments van COSO die hier nog een paar dimensies aan toevoegt. Die

moet je misschien nog maar een keer doorlezen, die ging niet alleen over de

impact & probability maar ook over de snelheid waarmee het incident plaatsvind

en de preparedness daarvoor.

Dus kijk nog een keer naar de risk self assessment document.

Risk Self Assessment =

Je kunt de risicos binnen de organisaties op minimaal 2 verschillende manieren

boven tafel krijgen.

1 = internal audit,

2 = je laat het de mensen zelf doen. Zet mensen in een kamer met een facilitator,

legt t proces uit en we gaan de risicos inventariseren.

Dat is vaak een stuk krachtiger dan dit door een internal audit afdeling te laten

doen want mensen kennen hun eigen werk vaak het beste. Dus maak nooit de

fout dat je alleen management uitnodigt, zorg dat de werkvloer erbij zit. Zorg

ervoor dat je de intelligentie van de werkvloer meepakt, die weten vaak op een

veel concreter niveau wat fout gaat / kan gaan.

Voordeel is dat de uitkomst is een toplist van 15 grootste risicos, je hebt met zn

allen al pratende een indicatie van schade gegeven en vaak ook al een oordeel

gegeven: vinden wij het op dit moment voldoende beheerst. Dat wordt een veel

beter gedragen (buy-in) rapport dan dat je een joker van boven langs stuurt om

dit risicos op een bepaald proces in kaart te brengen. Minder bedreigend en niet

not invented here syndrom (academische exercitie).


Tentamen:

Risk self assessment twee belangrijkste voordelen? zijn kennen de details veel

beter en de buy in is veel groter.

Tentamen:

The COSO II risk matrix: manier om inzichtelijk te maken hoe t er met je risicos

voor staat.

Kolom 1 = Risicos / events

Formuleer risicos zodat duidelijk is waar het pijn doet, pijn-management

Kolom 2 = risicos mapped vs hoofddoelstellingen van de onderneming

Kolom 3 = % waarschijnlijkheid (kans & impact)

Kolom 4 = accepteren, avoid, outsource/ share / mitigeren (=naar een acceptabel

niveau brengen)

In volgorde afwerken:

A. Accept

Alles wat je niet acceptabel vind moet je maatregelen gaan nemen:

B. Avoid (chloortreinen door t land laten rijden is geen optie meer): ik stop

er mee!

C. Outsource (schade overdragen aan de volgende partij)


D. Mitigate (zelf maatregelen nemen om risico naar een acceptabel niveau te

krijgen).

Kolom 5= beheersmaatregelen

Beheersingsmaatregelen bedenken die zorgen dat t risico omlaag gaat.

Door een stelsel van maatregelen lijkt dit risico beheerst genoeg?

Tentamen:

COSO Principles: zorg dat je er een paar kunt noemen, zorg dat je er een verhaal

bij hebt.

Kun je een paar verschillen noemen in de COSO principes (ERM vs COSO 2013):

dan zou t mooi zijn als je een verhaaltje kan vertellen over die principes en dan

vervolgens een paar principes noemen en daar een paar regels over opschrijven.

Tentamen is t moment dat je moet laten zien wat je kan, wees zo uitgebreid als

mogelijk.

Effectieve Financile processen

Betrouwbare Financile rapportages

Intern / extern

Voldoen aan de wet

Safeguarding assets

Tentamen:

Mention at least three principles of the new COSO draft internal control framework.


Explain what elements of these principles you can identify in this case

Enkele nieuwe elementen in de nieuwe COSO II:

1. interne en externe rapportage

2. afhankelijkheid van IT

3. Fraude driehoek (gelegenheid, druk om te presteren, rationalisatie

(voorbeeldgedrag, oorzaken wegnemen))

(fraude raakt rechtstreeks de integriteit van de organisatie, dus geen tolerantie

voor fraude)

4. outsourcing = in or outside organisatie moeilijker te bepalen (is aan het

vervagen) door outsourcing. Je krijgt er een probleem bij wat je niet meer binnen

je eigen organisatie kunt oplossen. Outsourcing bij bijv. banken vrijwaart niet

van audit requirements. (tentakels uitslaan tot bij leveranciers).

Je bent en blijft gewoon verantwoordelijk voor contracten die je met klanten

afsluit. Het feit dat er iets mis gaat in de productie is door outsourcing niet weg.

ISA 3402 / SAS70 = goedkeurende jaarrekening externe auditor gaat

vaststellen dat het primaire proces is beheerst (proces / kwaliteitsaudit).

Proces is beheerst conform standaard X (keurmerken).

Sommige zaken wil je niet geoutsourced hebben want op de momenten dat het

echt spannend is wil je volledige zeggenschap en dus control hebben over de

situatie en niet worden gelimiteerd door SLAs etc. (ik ben je baas en als je dit

niet nu oppakt / oplost kun je vertrekken).

5. changes in processen / leadership: mislukte veranderingsprojecten: van de

overnames leveren nooit toegevoegde waarde, 9 van de 10 keer nauwelijks

gemeten). Vaak zie je die schade nergens nergens meer, toch is het schade

anders had je t aan je winst kunnen toevoegen.

6. risk appetite -> risk tolerantie: het werkelijk concreet maken van hoeveel

fouten mag je maken valt niet altijd mee om dit te definiren. In IT omgevingen is

dit vaak wel meetbaar (hoe lang mag een systeem er maximaal uitliggen).

Risk appetite: denk ervan wat je wil, realiseer je wel even de volgende 3 termen:

- Risk universe: dit kan er allemaal gebeuren

- Risk tolerance: dit is wat de organisatie nog net kan tolereren: wat de

organisatie maximaal kan leiden voor faillissement

- Risk Appetite: hoeveel risico wil je lopen (lastig om concreet te maken)

7. Risico Response = risico afdekken is een keuze.

A. Accept

B. Avoid (chloortreinen door t land laten rijden is geen optie meer)


C. Outsource (schade overdragen aan de volgende partij)

D. Mitigate (zelf maatregelen nemen om risico naar een acceptabel niveau te

krijgen).

8. IT controls

9. kwaliteitsaspecten van informatie.

Tentamen:

Why is COSO flawed (gebrekkig)?

27

Why COSO is flawed

Coso is done by amateurs A man goes to a doctor. After explaining his complaints the doctor

asks him what desease he thinks he has The author is. Risk manager

Too many attention for false-positive risksNo attention for false-negative risksRisks are presented as a point instead of a line Example: The risk of damage of the incident car accident is:

40% small damage 30 % medium damage 29% large damage 1% extreme damage


- COSO meet niet de voornaamste operationele issues

- er bestaat geen one size fits all methode

- overregulering is niet toepasbaar in de praktijk

- Resource intensief

- geen juiste prioriteitsstelling real risk / probability = je kunt als organisatie

ook te weinig risico lopen (gaat erom dat je de juiste balans vind tussen profit,

control en risk (light vs loose control).

- een risico is een lijn en geen punt in een heatmap

Tentamen:

Vb vraag: dit zijn de afdelingen die een rol in je organisatie spelen, geef aan wat

hun rol is en koppel daar het concept van de lines of defence aan?

Lines of defence = het principile verschil tussen 2e en derde lijn.

Significant verschil tussen.

Positiebepalingen en verantwoordelijkheden tussen afdelingen.

1. Lijnmanagement

2. staff (risk management, compliance, information security, HR, Finance, alle

afdelingen die gespecialiseerd werk dagelijks het lijn management

ondersteunen, taken uithanden nemen, speciale takenpakketten hebben maar

doorgaans geen klant van dichtbij zien) Taak van second line is vaak:

aanvullende zekerheid (de nachtrust van een manager).

Dan komt er even niets ..

3. Internal Audit = (ogen en oren van topmanagement) doet niet zelf iets in het

primaire proces maar komt periodiek, bijv 1 keer per jaar een oordeel over de

28

The 4 Lines of Defense

1. Line management

4. External audit / external authorities

3. Internal audit

2. Staff (risk management, Compliance)


werking van de eerste twee. En dan verdwijnen ze weer en geven ze weer een

oordeel.

Tentamen:

Nachtrust van de manager (internal audit = ogen en oren van het

management).

4. External audit / external authorities = alle externe partijen die ongeveer

hetzelfde doen.

TWEEDE LIJNS EN DERDE LIJNS ACTIVITEITEN MOGEN NOOIT DOOR

DEZELFDE AFDELING MOGEN PLAATSVINDEN. Waarom? Definitie van internal

audit is onafhankelijk oordeel geven over de kwaliteit van beheersing. Dat kan

alleen maar als je zelf niet bij dat proces betrokken zijn geweest. Als je wel

betrokken bent geweest krijg je t wc-eend effect, wij van wc-eend adviseren wc-

eend.

Tweede lijn: dagelijks het management bijstaan bij het goed laten functioneren

van de organisatie.

Derde lijn: periodiek controleren / diagnose stellen of de 1ste twee

(management & riskmanagement) hun werk goed hebben gedaan.

Mensen die een oordeel geven over hun eigen werk worden in de regel niet

serieus genomen. Daarom is de scheiding van 1ste en 2de lijn essentieel!

Wat elementen waar risk management uit bestaat.

1. Risk Management

2. Compliance

3. IT control

4. Financial Control


5.

Compliance = een nieuwe afdeling, is een serieuze functie in de financiele sector,

maar laatste jaren ook in de Telecom, Chemie en branches waar je te maken hebt

met een flinke lading externe regelgeving.

Zij richten zich dus op 1 specifieke categorie risicos: namelijk dat je niet

overeenkomstig de wet handelt. Een compliance risico is misschien wel 1 van de

belangrijkste risicos waar een organisatie mee zit want je zou t een risico op een

heidebrand kunnen noemen. Non compliant kan betekenen dat je niet 1 maar

30.000 rechtszaken voor je kiezen krijgt.

Ultieme risico = einde oefening (intrekken banklicentie / faillissement).

Doel van compliance afdeling is dat zoiets niet gebeurt.


Het compliance proces:

Je zorgt ervoor dat je structureel genformeerd (externe antennes) bent over alle

externe wet & regelgeving die op de organisatie afkomen

vertalen naar je organisatie (moeten wij hier iets mee?)

adjustments (checks / maatregelen, procedures / werkwijze/ certificaten) IT

systemen die informatie wel / niet mogen registreren.

gevolgen voor systemen en product.

laatste stap is audit om te checken of je weer aan de regelgeving voldoet.

Je kunt compliance een afdeling van risk management noemen.

Huidige trend is risk afdeling gespecialiseerd in bepaalde categorien van risicos

(IT, security, operations, compliance etc.) 1 cluster van risicos met bijzondere

expertise naar een acceptabel niveau te krijgen.

31

The compliance process

ExternalLegislation


Jaarplan Risk Management bestaat uit:

1. roadshows

2. operational loss database

3. Risk self assessments

4. operational risk approval process

5. Key risk indicators

6. in control statements

7. Operational Auditing

1. roadshows (= wake up call / mensen weer scherp krijgen, creren van

awareness -> weet je wel wat voor risicos er aan jouw werk gekoppeld zijn (let

op / kijk uit!) Die actie die je daar doet doe je niet zomaar. Bijv. communicaties

tijdens werkoverleg). In sommige branches is dit verplicht.

The annual plan of risk management: Table of contents

Roadshows Operational loss databaseRisk Self AssessmentsOperational risk approval processKey risk indicatorsIn Control StatementsOperational auditing


2. Operational loss database = op het moment dat je werkelijk met risk

management aan de slag wilt moet je ieder incident rapporten, oorzaak / gevolg

en wat kun je eraan doen. Als je dat 20 jaar doet dan gaat de statistiek werken, je

krijgt dan een selectie van incidenten met dit en dit kenmerk die per jaar 200K

kost. Iemand komt met het idee om dit risico weg te nemen voor een investering

van 50K dan is t rekensommetje snel gemaakt.

Als je deze database hebt dan zie je ook de effecten van je acties.

Dus meet wat er mis gaat, meet de oorzaken, zorg dat je er goede categorien

(soort gelijke incidenten) voor hebt zodat je er iets mee kunt. In die regio, dat

proces verliezen we per jaar zoveel dan weet je ook waar je je risk management

verbeter acties op kunt gaan richten.

Het is niet eenvoudig om mensen bereid te vinden om fouten te rapporteren (=

bijv door culturele verschillen), in sommige landen steken mensen nog liever een

zwaard in hun buik dan dat ze fouten toegeven.

Sommige organisaties gaan er te ver in door bijv. ook bijna-ongelukken te gaan

rapporteren. Je hebt in feit geen schade, toch verwacht je dat mensen tijd steken

om een rapport te gaan opstellen.


3. Risk Self Assessment =

Je kunt de risicos binnen de organisaties op minimaal 2 verschillende manieren

boven tafel krijgen.

1 = internal audit,

2 = je laat het de mensen zelf doen. Zet mensen in een kamer met een facilitator,

legt t proces uit en we gaan de risicos inventariseren.

Dat is vaak een stuk krachtiger dan dit door een internal audit afdeling te laten

doen want mensen kennen hun eigen werk vaak het beste. Dus maak nooit de

fout dat je alleen management uitnodigt, zorg dat de werkvloer erbij zit. Zorg

ervoor dat je de intelligentie van de werkvloer meepakt, die weten vaak op een

veel concreter niveau wat fout gaat / kan gaan.

Voordeel is dat de uitkomst is een toplist van 15 grootste risicos, je hebt met zn

allen al pratende een indicatie van schade gegeven en vaak ook al een oordeel

gegeven: vinden wij het op dit moment voldoende beheerst. Dat wordt een veel

beter gedragen (buy-in) rapport dan dat je een joker van boven langs stuurt om

dit risicos op een bepaald proces in kaart te brengen. Minder bedreigend en niet

not invented here syndrom (academische exercitie).

Tentamen:

Risk self assessment twee belangrijkste voordelen? zijn kennen de details /

processen veel beter en de buy-in van de output is veel groter. De groep heeft t

per slot van rekening gezamenlijk gedaan.


Risk Management = het mitigeren van risicos in de meest efficinte manier

(kosten vs. baten analyse).

Een tikje specifieker dan COSO hoe je risk assessment in de praktijk brengt.

1. Objective / doelstellingen informatie

2. Hoe goed worden risicos gemanaged?

3. Interactions

4. Passend niveau van controle

5. Volledig transparant rapportage proces

N.B. Risicos staan vrijwel nooit op zich dus belangrijk om de onderlinge relatie

en interactie te begrijpen (interaction matrix / montecarlo simulatie).


Hoe gaan we om met al die risicos: black swan.

Scenario analyse: stel dat wat doe ik dan?

Sommige organisaties (afhankelijk qua omvang & business model) doen

uitgebreide scenario analyses: een goed voorbeeld daarvan is Shell.

6. risk appetite -> risk tolerantie: het werkelijk concreet maken van hoeveel

fouten mag je maken valt niet altijd mee om dit te definiren. In IT omgevingen is

dit vaak wel meetbaar (hoe lang mag een systeem er maximaal uitliggen).

Risk appetite: denk ervan wat je wil, realiseer je wel even de volgende 3 termen:

- Risk universe: dit kan er allemaal gebeuren (voor een bepaalde persoon / of

organisatie


- Risk tolerance: dit is wat de organisatie nog net kan tolereren: wat de

organisatie maximaal kan leiden voor faillissement

- Risk Appetite: hoeveel risico wil je lopen (lastig om concreet te maken)

Probleem: hoe ga je dat concreet maken / hoe ga je daar een getal of een beta

concept aanhangen?

Nou dat heeft Power in zn onderzoek the riskmanagement of nothing

verwoord.

Power document = belangrijkste boodschap: de 3 flaws van ERM:

- ERM is theoretische exercitie;

- Risk Management as een Management Cycle dat werk helemaal niet, typisch

iets dat accountants / controllers (regelneven) hebben verzonnen.

3 flaws of control:

- company-wide risk appetite bestaat niet: een onderneming bestaat uit

verschillende disciplines, karakters, belangen met bijbehorend risk appetite

(sales vs finance).

- er is over-confidence in tools en systemen (verleden is niet voldoende om de

toekomst te voorspellen).

en

-risicos niet verwarren met normaal ondernemingsrisico


Check het Black Swan principle de eerste risk manager die zegt: wij zijn

volledig in control die moet je onmiddellijk ontslaan.

Black Swan = het evenement is een verrassing, het heeft een grote impact en na

het voldongen feit, wordt het evenement verklaard.

Dus het is een uitschieter, buiten het zicht van onze verwachtingen, omdat uit

onze ervaringen niets wijst op de mogelijkheid ervan, het heeft extreme impact,

dit kan zowel positief als negatief zijn; na de gebeurtenis zoeken en vinden we

verklaringen voor het ontstaan van deze heftige gebeurtenis. Dus achter gezien is

het verklaarbaar en was het mogelijk zelfs voorspelbaar.


En daarvoor hebben we dus een heel control systeem bedacht. Laten we eens

beginnen met een organogram. We gaan mensen in hokjes stoppen, jij bent van

inkoop, jij bent van verkoop, daar koppelen we een systeem van taken en

bevoegdheden aan vast, die taken en bevoegdheden hebben ook iets te maken

met technische functiescheiding. We gaan mensen vertellen dat dit de strategie is

en dat en dat de doelstellingen van de organisatie zijn en als je je targets haalt is

het goed en als je ze niet haalt mag je op zoek naar een andere baan. We gaan een

heel systeem van controls invoeren die gesteund zijn op IT / functiescheidingen.

We voegen hier een afdeling intern control aan toe (de oren en ogen van het

topmanagement: hier gaat t fout / hier gaat t goed). Dat hele control framework

moet uiteindelijk zorgen voor een bepaalde vorm van assurance dat t

management weet dat t goed gaat dan wel op tijd wordt genformeerd dat t niet

goed gaat.

En tegenwoordig door dit prachtige vak is dit sinds 2000 ook nog eens in wetten

vastgelegd. In jaarrekening staat nu wat de directie krijgt, mag doen, wat zijn de

belangrijkste risicos van de organisatie zijn en wat ze daar allemaal aan hebben

gedaan.


In control statement = waar ben in control over? Is dat over de hele organisatie

of alleen financile rapportages?

In control statement volgens:

1. Sox: als het maar goed in je jaarrekening komt te staan

2. Tabaksblat = de organisatie zegt dat ze beheerst is, ieder aspect moet

voldoende beheerst zijn (dus over HR, techniek, veiligheid etc.)

Je kunt je afvragen wat de toegevoegde waarde is van een verklaring waarin

staat dat alles in control is.

nu aangepast (Frijns): alleen maar van toepassing op Balans &

Resultatenrekening. (rest is belangrijk maar staan niet in Corporate Governance

regelgeving).

In control statement is geen ja / nee game, je kunt meer of minder in control zijn.


vrij vertaald komt dat op dit neer: 90% kans dat ik mijn doestellingen

haal. Je kunt dus niet zeggen ja het is zo.

Risk Management cordineert het tekenen van de verklaringen.

Het zou een zinvol concept kunnen zijn maar is in veel organisatie vaak compleet

gebakken lucht (je vraagt mensen om te tekenen en eigenlijk is niet tekenen of

enkele voorbehouden maken geen optie).

In control kan nooit betekenen dat t een garantie is dat er nooit meer iets mis

gaat. In control statement is geen ja / nee game, je kunt meer of minder in

control zijn. vrij vertaald komt dat op dit neer: 90% kans dat ik mijn

doestellingen haal. Je kunt dus niet zeggen ja het is zo.

Er zijn in control statements die wel zinvol zijn maar die zien er wat anders uit

dan een briefje waar mensen alleen hun handtekening op hoeven te zetten.

In US als gevolg van Sox is het verplicht om evt risicos / onbeheerste zaken te

rapporteren. In Nederland staan hier geen straffen op.

Tentamen:

In control statement = waar ben in je control over? Is dat over de hele

organisatie of alleen financile rapportages?


Volatiliteit van de omstandigheden is anders, waardoor iets niet specifieker dan

verwoorden dan x%.

In control statements benaderen met een gezonde sceptis:

In control = geen Y / N game, dus tick in the box niet zinvol.

Mensen denken over het algemeen dat ze iets veel beter kunnen inschatten dan

de realiteit vaak veel te optimistisch.

Misschien moeten we langzamerhand af van de kwantificeren van risico --?

Alternatief: stap van cijfers af, laat managers maar in tekst vorm beschrijven wat

de manager doet om de risicos te beheersen.


Examen:

Stel dat manager 5 paginas op stelt (kwalitatieve versie) inhoudelijkere

discussie, genuanceerd denken over risk engagement & in control.

Zijn vaak geen objectieve feiten, kan ook zijn dat twee managers een totaal

verschillende perceptie hebben van wat belangrijk is. Je moet dus allebei

hetzelfde normenkader hebben, dezelfde criteria hanteren. Dus normstelling

moet enigszins zijn gekalibreerd.

Tentamen:

Slide 46: IT disasters:

Heb je alles geregeld in je organisatie, werkt je systeem niet. Als nu ergens Risk

Management belangrijk is en alleen maar belangrijker zal worden dan is t wel in

de IT omgeving. De afhankelijkheid van organisaties op hun IT omgevingen

groeit al jaren.

Er is op dit moment geen organisatie meer waarbij de primaire processen niet

door IT worden ondersteund. Dat betekent dan ook dat als er iets niet goed gaat

ook je primaire processen stil liggen. De penetratie van IT in de primaire

processen is dusdanig groot geworden dat organisaties er volledig van

afhankelijk zijn geworden.

De beheersingsculuur / omgeving is sterk branche afhankelijk, grote bedrijven

hebben t in de regel wel redelijk geregeld.

Stabiel evenwicht = als er iets misgaat in de organisatie dan corrigeert de

organisatie zichzelf.


In de IT is er sprake van een Labiel evenwicht = als t fout gaat dan gaat t meteen

ook helemaal fout.

Slide 48: COBIT 5: als niet IT expert moet je weten dat t model bestaat, hoef je

dus niet inhoudelijk te kennen. In tentamen niets over IT controls.


In Tentamen komt niets terug over IT controls.


Business continuity planning

Business

ContinuityPremise

s

People

Processes

andIT

PublicInfra-

structure

Publicity

Priorities

disasterrecovery

plan

What are a DISASTER RECOVERY PLAN and a BUSINESS CONTINUITY PLAN ?

Disaster recovery Planning (DRP) looks specifically at thetechnical aspects of how a company can get back intooperation using backup facilities

Business Continuity Plans (BCP) are sometimes referredto as Disaster Recovery Plans (DRP) and the two havemuch in common. However a DRP should be orientedtowards recovering after a disaster whereas a BCP showshow to continue doing business until recovery isaccomplished


SOX 302 / 906:

Eerste artikel wat werd aangenomen is Sox 302 / 906 =

die zegt dat de CEO / CFO ieder kwartaal opnieuw instaan voor de juistheid van

de gepubliceerde cijfers. Dat werd als eerste ingevoerd, met terugwerkende

kracht hebben ze toen getekend voor de verantwoordelijkheid voor de

gepubliceerde cijfers. (op basis van dit artikel zouden ze al 20 jaar

gevangenisstraf kunnen krijgen als later niet blijkt te kloppen, dus als later blijkt

dat ze hebben meegewerkt aan deze frauduleuze rapportage). Ook als je niet

moreel maar wel formeel (iemand binnen je organisatie) schuldig bent kun je de

cel in gaan. Waarom zijn deze draconische straffen ingevoerd? Omdat ze wilden


dat directie deze wet serieus namen (10 miljoen boete te voldoen door de

organisatie zou geen effect hebben).

SOX 404:

Wil zeggen je pakt je processen, alle processen die relevant zijn voor de

jaarrekening, je gaat daar je risicoanalyse op doen: daar destilleer je de key risks

uit. Daar zet ik een heel control raamwerk voor op, ieder risico moet zijn

afgedekt door een aantal controles (een soort super handboek AO). Op

periodieke basis moeten die controls ook worden uitgevoerd. En not

documented is not done dus als je t later niet kunt aantonen dat je e.a. hebt

getest is t niet gedaan. Daarna komt de externe accountant nog eens langs en die

checkt of jij dit hele proces goed hebt doorlopen. Neemt kennis van jouw

controls, doet er zelf nog een paar en uiteindelijk tekent de accountant mee met

de boodschap: dit control framework (404 statement) heeft gewerkt.

Tentamen: wat moet een organisatie allemaal hebben geregeld om een SOX 404

statement te kunnen geven?

Dat is dus een heel internal control framework inrichten:

1. risicos inventariseren waar het fout zou kunnen gaan die kunnen leiden tot

fouten in de jaarrekening.

2. controls definiren

3. een test plan opzetten

4. zorgen voor executie / uitvoering

5. zorgen dat er een management statement komt over de uitgevoerde controls.

SOX 806 = goed geregeld in US (ontslagbescherming / 10-20% beloning) slecht

in NL, Balkenende = bescherming van klokkenluiders laten wij aan de markt

over.


Een klokkenluiders is pas een klokkenluider als hij / zij het eerst intern heeft

aangekaart. M.a.w. de organisatie zet intern de zaken niet recht.

Tentamen: De elementen van Sox: zorg dat je kan vertellen wat Sox 302 / 906

inhouden en wat er allemaal geregeld.

Tentamen:

Tentamen: zorg dat je je mening kunt geven over een aantal positieve en

negatieve punten voor wat betreft Sox.

Positief: Sox meer winst, vertrouwen in financile rapportage, meer

informatie aandeelhouder


Negatief: Sox kost veel (papieren circus), met name kleinere en minder

grote bedrijven was t een reden om te delisten om maar niet met deze

enorme lading regelgeving geconfronteerd te worden (gemiddelde audit

fee van een audit fee was voor SOX plichtige klant ongeveer 3 keer zo

hoog dan ervoor).

Tentamen:

Corporate Governance in NL:

In NL hebben we ook een Corporate Governance Code gehad. En bijna alle codes

komen wel naar aanleiding van een incident.

- Peters (1996), heeft nooit tot enige vorm van Governance geresulteerd

bestond uit 40 aanbevelingen.

- Tabaksblat (2003)

Er hangen helaas geen sancties aan de Nederlandse Governance code -> men

hanteert t principe comply or explain je houd je aan de code of je legt uit

waarom je niet voldoet. Het slechtste wat je kan gebeuren is slechte publiciteit.


Agency theory = betreft de relatie tussen principaal (opdrachtgever) en agent

(opdrachtnemer) waarbij de opdrachtnemer niet alleen de belangen van de

opdrachtgever nastreeft bij het uitvoeren van taken voor die opdrachtgever. De

opdrachtgever is niet volledig in staat om dit te controleren doordat deze de taak

niet zelf uitvoert en daarmee bepaalde informatie niet heeft. Er is sprake van

informatieasymmetrie in het voordeel van de agent.

Het Agency principe begon rond 1900 groot te worden. Industrile revolutie,

schaalvergroting. En eigenlijk voor t eerst was daar het verhaal dat voor t eerst t

management van de organisatie niet langer de eigenaren waren van de

organisatie.

Directe control werd vervangen door indirecte control. Grote organisaties

kunnen ook alleen worden gefinancierd door aandeelhouders. Dus in een paar

jaar vervijfvoudigen t aantal organisaties dat aandelen uitgeeft. Dit betekent dat

er afstand komt tussen eigenaren en management.

Stel je stopt ergens 1000 euro in, hoe controleer ik het rendement? De

volledigheid van de opbrengsten verantwoording? Hoe weet ik zeker dat de

kosten echte kosten zijn en niet toevallig de hobby van de directeur.

Dit leidt tot 2 nieuwe zaken:

1. het jaarverslag

2. een nieuw beroep: een controlerend accountant. Het idee is als iemand

account is en hij staat geregistreerd in t register dan mag de hele wereld ervan

uit gaan dat t klopt.

Limberg 1932 noemde dat de leer van t gewekte vertrouwen (principle of trust).


Corporate governance zijn de systemen en processen die bepalen hoe

ondernemingen worden geleid en gecontroleerd. De vier principes van corporate

governance zijn: redelijkheid ("fairness"), transparantie, het afleggen van

rekenschap en verantwoordelijkheid.

= het spel tussen board, supervisory board, accountant & toezichthoudende

organen.

Doelstelling van SOX was zo snel mogelijk het vertrouwen herstellen van

financile rapportages en het werken van de markt.

Dat is gedeeltelijk gelukt, het is aangetoond dat partijen meer vertrouwen

hebben gekregen in de Financile rapportages en jaarrekeningen.


Tentamen:

Artikel Coates 2007

- minder vertrouwen van werknemers / earningsmanagement

Cash & benefits SOX according to Coates:

- create an atmosphere of caution

- Benefits zijn niet altijd goed te kwantificeren

- het aantal incidenten is aantoonbaar minder geworden

- minder earnings management

- management (CEO / CFO) is stuk voorzichtiger geworden sfeer van

voorzichtigheid


Definitie Nederlandse Code (Tabaksblat/ Frijns)

Governance gaat over bestuur en control, verantwoordelijkheden en macht,

hoogte en samenstelling van de beloning voor bestuurders en commissarissen.

Integriteit en transparantie zijn belangrijke elementen.

De belangrijkste elementen moet je kennen, de rol van RvC en taken.

Eigen functioneren bespreken, benoeming van raad van bestuur, wat de code

precies zegt over de beloning van de directie.

Tabaksblat belangrijkste elementen:

1. aanstelling van Raad van Commissarisen

2. relatie tussen directie, RvC en aandeelhouders


3. Salarissen, bonussen van management

4. systeem van risk & control (e.g. COSO)

5. Compliance wet & regelgeving

6. klokkenluiderbescherming

Definitie van klokkenluider = iemand die een misstand ziet, kaart iets

eerst intern aan, als hij ziet dat hier niet adequaat op wordt gereageerd

extern.

Loopt in de regel slecht af met klokkenluiders (in US ontslag

bescherming)

Zorg dat je signalen van buiten opvangt en er iets mee doet.

7. Externe rapportageverplichtingen

Tentamen:

Tabaksblat/Frijns pays a lot of attention to the Supervisory Board. Give at least two examples of the principles or best practices related to the Supervisory Board. What is your opinion on these elements in the Code?

De principes van Tabaksblat gaan over:

- benoemingen van raad van bestuur

- de relaties tussen executive en non-executive directors: one / two tier structuur

Meest gebruikt is one tier: dat betekent dat er 1 board is, 2 vormen van

directeuren (exec / non exec). NL CG gaat uit van two tier: dus board en los

daarvan raad van commissarissen.

- salarissen / bonussen

- een intern beheersingssysteem (het zou goed zijn als je bijv COSO gebruikt)

Feit dat er 1 financile expert in moet, dat ze worden geacht onafhankelijk te zijn,

minimaal hun eigen functioneren moet bespreken, feit dat er 3 committees

moeten zijn bij voldoende omvang.

Wat zegt de codes over beloning van de directie?


De kritiek op de Nederlandse code (doel = maximale transparantie):

- heel goed voor organisaties die te goeder trouw en eerlijk willen invoeren.

- Het geeft gelijk ruimte voor de rommelaars (als doelen niet gehaald worden..

gaan ze rommelen).

Top 25 bedrijven in NL: formele regels worden netjes nageleefd maar.

Compliant = aan alle formele regels,

Explain = zaken / belangen die de top aangaat (kom aan t geld / rechtspositie

creative compliance = CEO vertrekt maar blijft om onduidelijke reden aan als

adviseur).

Tendens: corporate governance is leuk maar t mag geen centen kosten het zegt

veel over de waarde die bijv. de AEX fondsen aan Corporate Governance

toekennen.

Het lijkt erop dat ze meer op papier een compliant en ethisch verantwoord

willen overkomen dan dat ze werkelijk de CG codes serieus nemen.

SOX aanpak is wellicht ook te rigoureus maar de Nederlandse aanpak is toch wel

wat te soft. Normen zijn niet SMART & te vaag!

Wat concreter & harder mag best.


Principle III: RvC / Supervisory board:

er moet een taakverdeling zijn vastgelegd in het reglement voor commissarissen

en als ze niet presteren moeten ze vroegtijdig aftreden.

Groot Jip & Janneke gehalte: ligt allemaal veel te veel voor de hand.

Ieder lid moet specifieke expertise hebben en minimaal 1 financile expert.


2 Tier = 1 board of directors, 1 supervisory board (klankbord, toezicht)

Het is gemakkelijker om op het gaspedaal te drukken dan op de rem te staan

(Ahold overnames)

1 Tier = Executive Directors (full-time), Non Executive Directors (part-time)

verschil tov RvC = 1 board, gezamelijke beslissingen dus minder onafhankelijk,

veel meer involved dan RvC).


Studie: het valt niet expliciet te zeggen of one tier beter is dan two tier of

andersom. Er is dus geen enkel significant bewijs, het gaat dus om kwaliteit van

management, uitvoering, processen etc. (laatste jaren wel een trend naar one

tier (UK/US model vb Shell / Unilever).

Andere trend is dat structuren steeds meer naar elkaar toe groeien. Two-tier

krijgt steeds meer kenmerken van een one-tier (zitten vaker samen). One Tier


groeit ook naar two-tier toe (ontstaan meer commissies, onafhankelijkheid

groeit)

Tier 1 & 2 discussie is eigenlijk alleen van toepassing op een grote onderneming

(beursgenoteerde onderneming).

Tentamen:

One versus two tier

Explain the difference between one tier and two tier boards. What are the (dis)advantages of both structures?

Wel of niet een aparte raad van commissarissen

Voor-nadelen One Tier Two Tier

Informatie Gelijk assymmetrie Betrokkenheid Waarschijnlijk betrokken Niet gewaarborgd onafhankelijkheid Niet gewaarborgd Waarschijnlijk

onafhankelijk Overige International bekend


Executive compensatie:

niemand is meer waard dan 1 miljoen (uitspraak in US uit de jaren 30).

in veel gevallen heeft het top management geen invloed op het resultaat.

Publicatie van topsalarissen heeft niet tot enige reductie van salarissen gezorgd,

sterker nog het heeft haantjesgedrag / ratcheting effect geleid (hit parade)

flinke stijgingen.

Jaarlijks salaris, bonus,

Tabakblat: bonus obv meetbare criteria van lange en korte termijn.

Praktijk is anders: steeds meer adhoc bonussen! Niet gekoppeld aan een

specifiek doel etc. (dus precies tegenovergesteld tov de sfeer in CGC)

2 soorten codes:


1. Principles based codes = IFRS (principes / best practices = zo zou je t

kunnen doen) (Rijnlands model)

2. Rules based codes = SOX / GAAP (alles is tot de laatste komma

beschreven). (Angelsaksisch model)

Say on Pay begint de laatste jaren te spelen: de aandeelhouder mag iets zeggen in

de aandeelhoudersvergadering over de directie salarissen. (vb Philips: resultaten

waren net niet gehaald, RvC stelde voor om bestuur toch maar bonus te geven.

Tot op dat moment was er geen precedent dat aandeelhouders tegen stemden.)

Say on pay is niet eenvoudig voor aandeelhouders: beloningspakketten zijn vaak

complex.

Tone at the top = b.v. bezit company jet heeft drukkend effect op de

winstgevendheid. Grote delen van het compensatie pakket (in natura /

expenses) niet in jaarrekening.

US = extreme regulering maar feit is wel dat bepaalde regels duidelijker en

praktisch beter uitvoerbaar zijn.


Tentamen:

Stock opties: het idee is vrij simpel (agency verhaal: shareholders / directie(, hoe

kun je ervoor zorgen dat de directie dingen doet die goed zijn voor shareholders?

Het ei van columbus is natuurlijk: maak de directie shareholders. Zorg dat

management ook een heel groot belang hebben bij de prijs v/h aandeel dat zorgt

ervoor dat ze automatisch gaan denken in termen van aandeelhouders. (Dat

klinkt heel leuk maar negatief effect: vanaf dat moment heeft het management er

heel veel belang bij om een zo hoog mogelijke prijs te creeren tot t moment van

uitoefening (na publicatie van jaarcijfers e.d) Dus hoe positiever die worden

gebracht hoe meer dat aandeel wellicht zal stijgen.

Gevolg = anorexia beleid (korte termijn is belangrijker dan lange termijn)

Backdating van toekennen van stock-optie plannen.. (bijv. Apple maar tientallen

Amerikaanse bedrijven): je mag aandelen kopen tegen een bepaalde koers. 38 vs.

35 optie, je betaald enkel belasting over 3 in the money.

Dat was 3 jaar na de invoering van Sox, daarna kwam Lehnman etc.


Vraag is dus welk trucje top management verzint wat nog niet is afgedekt door

de huidige wetgeving.

Is dit belangrijk? Effect van CEO op eindresultaat is minimaal zijn toegevoegde

waarde is niet kleiner / groter dan zijn voorganger


Dodd-Frank shareholder approval eens in de 3 jaar.


Definitie Internal Auditing =

Internal audit is een onafhankelijke, objectieve functie die zekerheid verschaft en

adviesopdrachten uitvoert, om meerwaarde te leveren en de operationele

activiteiten van de organisatie te verbeteren. De internal auditfunctie helpt de

organisatie haar doelstellingen te realiseren door met een systematische,

gedisciplineerde aanpak de effectiviteit van de processen van risicomanagement,

beheersing en governance te evalueren en te verbeteren.

= ogen & oren van de directie

3rd line of defence & zo onafhankelijk mogelijk (dus rechtstreeks aan de RvC

rapporteren bijv.)


Ze moeten onderzoek kunnen doen onafhankelijk of iemand dat nou wil of

niet.(politieman-achtige status)

Van historische focus naar toekomst visie

Van Financieel naar overall control.

Tentamen:

Leg de link naar COSO Monitoring.

Nederlandse CG comply or explain alleen voor financile instelling is het hebben

van een interne audit functie verplicht!

Tentamen:

Nachtrust van de manager (internal audit = ogen en oren van het

management).


3rd line of defence & zo onafhankelijk mogelijk (dus rechtstreeks aan de RvC

rapporteren bijv.)

Interne audit rapporteert rechtstreeks aan de directie, sinds een aantal jaren

rechtstreeks aan de audit comit (belangrijkste orgaan).

Tentamen:

Een genuanceerde visie op de toegevoegde waarde van CG?

Wat is de toegevoegde waarde van CG codes. Van jaarverslagen, externe audits

etc. en wat voor rol hebben die nu allemaal gespeeld in het voorkomen van alle

ellende van de afgelopen jaren. Staat nog los van de kosten


Conclusie = Als het telkens mis kan gaan & hoeveel regels we er ook op zetten er

telkens toch weer een issue is. De organisatie zijn zo groot dat het ook altijd

grote impact heeft. Dat je af en toe de illusie van control lijkt te hebben.

Stelling = too big to manage

Is niet per definitie de waarheid maar een kritische noot mbt alle

beheersmaatregelen die toch iedere keer niet de volgende ramp / crisis lijkt te

kunnen voorkomen is wel gerechtvaardigd.

Omvang van een crisis zijn met de jaren ook groter geworden ipv kleiner.

Waar hebben al die Corporate Governance regels nu eigenlijk precies

opgeleverd?

kosten baten analyse:

- is er een significant verschil tussen bedrijven waar fraude is gepleegd en

bedrijven waar geen fraude is gepleegd in de mate waarin zij op papier voldeden

aan de Corporate Governance regels? Antwoord is nee

Dus het naleven van regeltjes op papier heeft blijkbaar geen invloed op de mate

waarin bedrijven fraude plegen.

- is er een significant verschil aangetoond in vaste salarissen voor

topmanagement? Antwoord is nee.

- is er een significant verschil aangetoond in bonussen voor topmanagement?

Antwoord is ja, bingo! Frauderende bedrijven hadden extreem hoge groei en

winst cijfers. (Keizer Kees van Ahold), 3 keer zo vaak in het nieuws, de

zogenaamde goudhaantjes uit de industrie, narcisme in de boardroom etc.


Dus meer regeltjes of meer vertrouwen? De board moet dat vertrouwen

natuurlijk wel verdienen.

KPMG verhaal over rules & trust: angst voor meer regels, geeft een aantal

voorbeelden of je nu wel of niet in control bent en of meer regels zouden helpen

of dat je misschien iets meer met softcontrols moet. Je komen ook niet echt tot

een harde conclusie. Ze geven alleen wel 9 principes aan van trust. Principe is

hierbij dat je soms wel een paar harde principes moet inruilen voor een vorm

van vertrouwen.

Trust is niet hetzelfde als blind vertrouwen, maar het lijkt beter dan weer een

nieuwe code / wetgeving die weer probeert de crisis van eergisteren te

voorkomen.

Controle is goed, vertrouwen is beter. Vak is gebaseerd op potentieel

vertrouwen. Probleem is dat de accountant / auditor kan niets met soft

elementen als vertrouwen. Deze functiescheiding heeft gewerkt, check! Soft

control / cultuur kun je geen checklist op loslaten.

Control-paradox = ondanks de hoeveelheid wet & regelgeving lijkt t erop dat

crisissen steeds groter worden, elkaar sneller opvolgen etc.


Documents

Samenvatting Corporate Governance and Risk Management