Risk Management en Risicobeheersing...Het bovenstaande vormde voor mij de aanleiding om voor mijn...

Risk Management & Internal Audit en Kredietcrisis bij Financiële instellingen:

Lessons learned

Afstudeerreferaat Sandra Annema-Killop Alphen aan den Rijn, 4 augustus 2009 Executive Master of Internal Audit Amsterdam Business School

Executive Summary Er is momenteel een crisis gaande, waarvan de impact nog steeds duidelijk voelbaar is. Het begint in februari 2007 als de eerste Europese bank meldt dat er problemen zijn met de Amerikaanse hypothekenportefeuille. In januari 2008 zijn er significante verliezen op de aandelenbeurzen. De AEX begint een neerwaartse spiraal die in acht maanden de helft van de waarde van de beleggingen doet verdampen. In september 2008 gaat Lehmann Brothers onderuit, AIG blijft dit lot bespaard doordat de Amerikaanse overheid hier wel met een kapitaal injectie – van 80 miljard dollar – ingrijpt. Aandelenkoersen raken wereldwijd in een vrije val. In oktober 2008 wordt FORTIS genationaliseerd. ING en AEGON krijgen een kapitaalinjectie. Ook in 2009 is de impact van de crisis merkbaar. In 2009 komen Europa en Amerika met maatregelen: in april 2009 is EU het eens over meer financieel toezicht en in juni 2009 belooft de Amerikaanse president Obama beter financieel toezicht. Bij bovengenoemde ontwikkelingen speelt de vraag “Waar waren Risk Management en Internal Audit tijdens de crisis?” Hadden ze de crisis kunnen voorkomen? Hadden ze een zodanige positie binnen de organisatie moeten bekleden en hun kerntaken zodanig moeten invullen dat zij de impact hadden kunnen mitigeren? Dit referaat is met name gericht op de praktijk. In dit referaat wordt antwoord gegeven op de vragen: Hebben Risk Management en Internal Audit een rol gespeeld ter voorkoming van de crisis? Welke lessen hebben zij geleerd en welke maatregelen hebben zij genomen naar aanleiding van de huidige crisis. Bij de beantwoording van bovengenoemde vragen is gekeken naar de kerntaken van Risk Management en Internal Audit en de daadwerkelijke invulling hiervan. Ook is gekeken naar de positie van Risk Management en Internal Audit binnen de organisatie. Het onderzoek om antwoord te krijgen op deze vragen bestaat uit een theoretisch deel en een beperkte toetsing in de praktijk. Het theoretisch deel bestaat met name uit inventarisatie van recente publicaties en onderzoeken. Voor het praktijkdeel zijn interviews gehouden met managers van Internal Audit afdelingen en managers van Risk Management afdelingen bij ING NV, ABN AMRO Bank N.V. en AEGON NV. Dit onderzoek beperkt zich tot financiële instellingen ten behoeve van de vergelijkbaarheid van de antwoorden. Risk Management Risk Management had over het algemeen vóór de crisis (nog) geen sterke positie. Dit blijkt uit het theoretisch deel en het praktisch deel van het onderzoek. Daarom heeft Risk Management de negatieve effecten van de crisis niet kunnen voorkomen. Uit theoretisch onderzoek en het onderzoek uit de praktijk blijkt ook dat Risk Management haar kerntaken onvoldoende heeft uitgevoerd of heeft kunnen uitvoeren, vaak mede door gebrek aan steun en begrip vanuit senior management en Bestuur. Ondanks het verbeterde profiel is de risicofunctie nog steeds aan het worstelen met het verkrijgen van invloed. Daarnaast is er ook nog geen beroepsorganisatie voor Risk Management die de belangen van deze beroepsgroep zou kunnen behartigen. De gebeurtenissen die hebben geleid tot de crisis, laten zien dat er tekortkomingen zijn in de monitoring van risico’s. Deze tekortkomingen blijken uit het feit dat bijna alle Risk Management tools onvoldoende in staat zijn gebleken om de financiële impact te laten zien op een manier dat senior management daar wat aan had. Dit laat enerzijds de technische beperkingen zien van de Risk Management tools en anderzijds dat de meeste kwantitatieve modellen voorspellingen doen over het heden of de toekomst met gegevens / informatie die gedateerd zijn. Uit onderzoek blijkt tevens dat ondanks de implementatie van een Risk Management functie en processen, dit vaak niet heeft bijgedragen tot:

2

• Werkelijke vermindering van risico’s • Een zichtbare koppeling tussen risico management en prestaties van de organisatie • Een bewezen verband tussen risico-beheer, controle en zekerheid • Een beter begrip van niet-kwantificeerbare risico’s, d.w.z. algemene bedrijfsrisico’s. Een belangrijke lesson learned naar aanleiding van de crisis is dus dat de positie van Risk Management in veel organisaties niet sterk genoeg is. Een verbetermaatregel hierbij is dat het aansturen van het risicobeleid expliciet en zichtbaar behoort plaats te vinden op het hoogste niveau binnen de organisatie. De positie van Chief Risk Officer (CRO) zal in dit geval deel moeten uitmaken van de Raad van Bestuur (RvB). Naar aanleiding van de crisis zullen de volgende belangrijke veranderingen plaatsvinden in de kerntaken van Risk Management (lessons learned): • Er moet een governance systeem worden ontwikkeld waar risico's kunnen worden

gemanaged en waarbij een ieder in de organisatie de risk appetite van de organisatie snapt en zijn rol in het mitigeren van de risico's. Deze risk appetite moet door de Raad van Bestuur zijn goedgekeurd en moet het fundament vormen voor de risicocultuur en het systeem van beheersing binnen de organisatie.

• De focus van Risk Management is zich steeds meer aan het verschuiven van tactisch niveau naar strategisch niveau

• Risk Management moet een verantwoordelijkheid hebben bij het beoordelen van nieuwe business, producten en transacties

• Meer communicatie en samenwerking tussen Risk Management en de Business Units om er voor zorg te dragen dat beslissingen worden genomen conform de risk appetite, vastgesteld door de leiding van de organisatie

• Duidelijke, tijdige en nauwkeurige rapportage aan senior management en Raad van Bestuur over het nemen van risico’s en monitoren van risico’s

• Een gedegen methode van risicoanalyse voor de juiste input voor succesvol risicomanagement. Voorwaarde hierbij is dat het informatiemodel geïntegreerd moet zijn en zowel intern als extern gericht moet zijn. Een tweede voorwaarde is een stevige positie voor Risk Management en voldoende draagvlak door topmanagement voor risicomanagement

Internal Audit Internal Audit heeft wel de juiste kerntaken uitgevoerd, echter voor het geven van assurance over de belangrijkste risico’s had meer focus moeten zijn op emerging risks, operationele risico’s en op de behoeften van de stakeholders (met name RvB, Audit Committee, Senior management, aandeelhouder, externe accountant en toezichthouders). Dit blijkt uit het theoretisch deel en het praktisch deel van het onderzoek. Daarom heeft Internal Audit geen rol gespeeld ter voorkoming van de crisis. Heeft de crisis impact gehad op de positie van Internal Audit? Uit het theoretisch onderzoek en het praktijk onderzoek blijkt dat de positie van Internal Audit in veel organisaties goed is. Internal Audit valt rechtstreeks onder de CEO en rapporteert rechtstreeks aan het Audit Committee. De crisis heeft echter wel impact (gehad) op de invulling van de kerntaken door Internal Audit. De belangrijkste ontwikkelingen in de invulling van de kerntaken zijn: • In zijn assurance rol legt Internal Audit nu meer nadruk op de beoordeling van de

effectiviteit van het proces van risicomanagement • Traditioneel keken de Internal Auditors vooral naar operationele risico’s en risico’s voor de

betrouwbaarheid van de (financiële) informatie. Steeds meer wordt ook de beheersing van tactische en strategische risico’s onderzocht

3

• Het auditen van projecten programmamanagement. Traditioneel richtte de audit zich voornamelijk op de staande organisaties. Tegenwoordig draagt Internal Audit steeds meer bij aan lopende projecten en programma’s. Programma’s zijn gericht op strategische organisatieveranderingen en het behalen van doelstellingen. Dergelijke veranderorganisaties zijn complex en kennen vaak grote risico’s. Daarom is het belangrijk een beeld te hebben van de mate waarin kritieke programma’s aansluiten op de strategische doelstellingen

• Integriteit en compliance. De maatschappij verwacht van organisaties en haar bestuurders dat deze zich integer gedragen. Niet integer gedrag kan leiden tot grote reputatie- en financiële schade.

Aanvullend op de bovengenoemde (verbeter) maatregelen zouden nog onderstaande maatregelen kunnen worden ingevoerd: • Betere samenwerking en afstemming van activiteiten en plannen tussen Internal Audit en

de andere lines of defence (met name Risk Management en Compliance) • Indien Internal Audit onvoldoende kan steunen op de werkzaamheden die door Risk

managers en / of Compliance officers zijn verricht, zou Internal Audit de getroffen maatregelen door Risk Management en Compliance moeten verifiëren of onderzoeken. Dit om meer zekerheid te verkrijgen over de beheersing, teneinde daarover assurance te kunnen geven.

4

Inhoudsopgave 1. Inleiding 6 1.1 Achtergrond en aanleiding 6 1.2 Probleemstelling en onderzoeksvragen 6 1.3 Werkwijze 6 1.4 Opbouw referaat 7 2. Rol Risk Management en Internal Audit tijdens huidige crisis 8 2.1 Rol Risk Management tijdens de crisis 8 2.2 Rol Internal Audit tijdens de crisis 13 3. Lessons Learned en (verbeter)maatregelen Risk Management 16 4. Lessons learned en (verbeter)maatregelen Internal Audit 20 5. Praktijktoets 23 5.1. Deel I Rol Risk Management, kerntaken en invulling daarvan en (verbeter) maatregelen n.a.v. de crisis 23 5.2. Deel II Rol Internal Audit, kerntaken en invulling daarvan en (verbeter) maatregelen n.a.v. de crisis 27 6. Conclusie 31 7. Literatuurlijst 33 Bijlage1: Het NIVRA in het maatschappelijk debat – Inzicht in onzekerheid : Onderzoek naar de risicoparagrafen in de jaarverslagen 2007 van beursfondsen Bijlage 2: Protocol voor interviews en vragenlijst Bijlage 3: Uitkomsten interviews

5

1. Inleiding 1.1 Achtergrond en aanleiding Nog steeds lijken bedrijven ‘verrast’ door de huidige crisis en de gevolgen daarvan. Deze crisis is nog gaande en de verwachting is dat de gevolgen daarvan nog enige tijd zichtbaar zullen zijn. Er zijn inmiddels diverse onderzoeken geweest naar de mogelijke oorzaken van deze crisis. De vraag die hierbij gesteld wordt is: ‘Was deze crisis te voorspellen en / of te voorkomen?’ Sommigen menen dat Risk Management een (betere) rol had moeten spelen in het voorkomen van de crisis of het verminderen van de impact daarvan. Anderen beweren echter dat dit meer een taak is voor Internal Audit. Het bovenstaande vormde voor mij de aanleiding om voor mijn referaat een onderzoek te wijden aan de rol van Risk Management en Internal Audit tijdens de crisis binnen financiële instellingen en de lessons learned.

1.2 Probleemstelling en onderzoeksvragen Doelstelling van dit onderzoek is om vast te stellen of en hoe Risk Management en Internal Audit een rol hebben gespeeld tijdens de huidige crisis, wat zij daarvan hebben geleerd. . Voor het onderzoek zijn de volgende onderzoeksvragen gedefinieerd: 1. Hebben Risk Management en Internal Audit een rol gespeeld ter voorkoming van de

huidige crisis, c.q. waar waren Risk Management en Internal Audit tijdens de crisis? 2. Welke lessen heeft Risk Management geleerd van de huidige crisis en welke maatregelen

hebben ze naar aanleiding daarvan getroffen? 3. Welke lessen heeft Internal Audit geleerd van de huidige crisis en welke maatregelen

hebben ze naar aanleiding daarvan getroffen? 4. Welke maatregelen hebben Risk Management en Internal Audit genomen bij 3 grote

Nederlandse financiële instellingen naar aanleiding van de huidige crisis?

1.3 Werkwijze Dit referaat is met name gericht op de praktijk. Het onderzoek bestaat uit een theorie deel, aangevuld met een beperkte toetsing in de praktijk. Het theoretisch deel bestaat met name uit inventarisatie van recente publicaties en onderzoeken. Literatuur voor dit onderzoek is geselecteerd via de IIA website, het archief van AEGON Concerndocumentatie, door op internet te zoeken op onderwerpen als ‘Internal Audit en de kredietcrisis’ en ‘Risk Management en de kredietcrisis’. Daarnaast zijn ontwikkelingen over de crisis bijgehouden via www.Nu.nl en het Financieele Dagblad. Voor de toetsing in de praktijk zijn interviews gehouden bij 3 grote Nederlandse financiële instellingen met managers van de Internal Audit afdeling en de Risk Management afdeling. Het onderzoek beperkt zich tot financiële instellingen, ten behoeve van de vergelijkbaarheid van de antwoorden. Het betrof ING N.V., ABN AMRO Bank N.V. en AEGON N.V.

6

1.4 Opbouw referaat Het referaat is alsvolgt opgebouwd: • In hoofdstuk 2 worden de rol van Risk Management en Internal Audit tijdens de huidige

crisis behandeld • In hoofdstuk 3 worden de lessons learned en (verbeter) maatregelen Risk Management

behandeld • Hoofdstuk 4 gaat over de lessons learned en (verbeter) maatregelen Internal Audit • In hoofdstuk 5 worden de resultaten uit de praktijktoets weergegeven • Hoofdstuk 6 bevat de conclusie • In hoofdstuk 7 is de literatuurlijst opgenomen.

7

2. Rol Risk Management en Internal Audit tijdens huidige crisis Naar aanleiding van de huidige crisis en de impact daarvan, wordt onder stakeholders en overige betrokkenen de vraag gesteld wat de rol was / is van Risk Management en Internal Audit tijdens deze crisis. Deze vraag wordt beantwoord aan de hand van de positie in de organisatie, de kerntaken en invulling daarvan door Risk Management en Internal Audit. Op deze vragen wordt in paragraaf 2.1 en 2.2 antwoord gegeven. 2.1 Rol Risk Management tijdens de crisis In deze paragraaf wordt antwoord gegeven op de vraag “heeft Risk Management een rol gespeeld ter voorkoming van de huidige crisis, c.q. waar was Risk Management tijdens de crisis?”. Deze vraag wordt beantwoord vanuit de theorie door eerst de positie van Risk Management in de organisatie te beoordelen en vervolgens wordt gekeken naar de kerntaken en de invulling daarvan door Risk Management. Positie Risk Management in de organisatie Bij Risicomanagement wordt gedacht aan ERM( Enterprise Risk Management). Uit de onderzoeken van de IIA en PWC ligt de focus van de bevindingen en aanbevelingen meer op ERM dan op Operational Risk Management. In sommige organisaties zijn deze functies samengevoegd. Waar in dit rapport wordt gesproken over ERM wordt ook Operational Risk Management bedoeld. Definitie ERM volgens Chapman, 2006: Een proces, tot stand gebracht door de Raad van Bestuur, het management en andere personeelsleden, dat wordt toegepast bij het bepalen van de strategie en in de gehele organisatie wordt uitgevoerd om een redelijke zekerheid te verschaffen met betrekking tot het bereiken van de organisatie doelstellingen via de: • Identificatie van gebeurtenissen die invloed kunnen hebben op de organisatie; • De beheersing van risico’s rekening houdend met de graad van risico-aversie van de

organisatie (accepteren van risico’s). Rollen en verantwoordelijkheden binnen ERM (de belangrijkste spelers): • Raad van Bestuur (sponsor van ERM, “tone at the top”) • Raad van Commissarissen (toezicht op ERM-proces) • Audit Committee (toezicht op resultaten uit ERM-proces) • Internal Audit (third line of defence) • Risk Management / Compliance (Second line of defence: (de bewaker van de spelregels,

faciliteren van ERM-proces, reikt methoden en technieken aan, “challenget” senior management, steunt business bij identificeren & managen van risico’s)

• De ‘business’ (first line of defence: implementeren van ERM). (M.J.M. de Munck, Risk Management & Compliance, januari 2009) Volgens de position paper update 2008 van Internal Auditors in Nederland (Instituut van Internal Auditors, het Koninklijke NIVRA en NOREA) hebben de andere assurance functies waaronder Risk Management, meer een operationele, continue rol en vormen de ‘second line of defence’. Risk Management als assurance functie maakt onderdeel uit van de interne

8

beheersingssystemen van de organisatie. Internal Audit beoordeelt de effectiviteit van deze assurance functie en wordt daarom aangeduid als de ‘third line of defence’. Volgens de Adviescommissie Toekomst Banken, onder leiding van Cees Maas (2009) is de positie van Risk Management binnen de organisatie niet sterk genoeg. Hij adviseert daarom dat in ieder geval binnen banken de Raad van Commissarissen naast een Audit Committee dient te beschikken over een Risk Committee en de voorzitter van de Risk Committee dient zitting te hebben in het Audit Committee. Ook geeft hij aan dat de positie van de Chief Risk Officer (CRO) deel moet uitmaken van de Raad van Bestuur en steviger verankerd moet zijn in de organisatie. Strikwerda (2009) bevestigt dat de positie van Risk Management niet sterk is, doordat er in de samenleving nog geen klimaat is waarin risico’s en onzekerheden openlijk kunnen worden besproken. Deze worden volgens Strikwerda (2009) snel procedureel weggeduwd in de vorm van in-control verklaringen. Volgens een onderzoek van IIA (GAIN) (2009) naar de impact van de financiële crisis op Internal Audit had beter Risk Management de impact van de crisis niet kunnen voorkomen. Mede door gebrek aan steun en begrip vanuit senior management en het Bestuur. Volgens het onderzoek van de KPMG (2009) naar de rol van Risk Management bij financiële instellingen tijdens de crisis en de lessons learned is ondanks het verbeterde profiel de risicofunctie nog steeds aan het worstelen met het verkrijgen van invloed.

Kerntaken en invulling Risk Management De Kerntaken van Risk management volgens Chapman (2006) zijn: Identificeren, prioriteren, analyseren en beheersen van risico’s die het behalen van de organisatiedoelstellingen kunnen beïnvloeden. Volgens de werkgroep Enterprise Risk Management en Internal Audit die onder de Commissie Vaktechniek van de IIA valt, is Risk Management, het effectief en bewust omgaan met onzekerheden in de organisatie. Dit kan door alle risico’s die verbonden zijn met de dagelijkse activiteiten te identificeren, meten, beheersen, communiceren en monitoren. Volgens de Adviescommissie Toekomst Banken, onder leiding van Cees Maas (2009) is één van de oorzaken van de huidige crisis, dat banken de afgelopen tijd veelal het zicht op complexe risico’s zijn kwijtgeraakt, terwijl het goed beheren van risico’s juist tot de kerncompetenties behoort. Daarnaast heeft tekortschietend risicobeleid ertoe geleid dat vitale risico’s niet of verkeerd zijn beheerd. Uit het IIA (GAIN) (2009) onderzoek naar de impact van de financiële crisis op Internal Audit blijkt dat bedrijven waarbij Enterprise Risk Management (ERM) niet in staat is geweest om de organisatie op tijd te waarschuwen en te adviseren over risico’s betreffende subprime leningen enkele gemeenschappelijke tekortkomingen hebben. De gemeenschappelijke tekortkomingen zijn:

• Ineffectieve risicoidentificatie en assessment kanalen • Gebrek aan communicatie en documentatie over risk appetite, die de organisatie bereid

is te accepteren om haar doelstellingen te behalen • Onvolledige ERM rapportage • Onvoldoende monitoring van lopende risico’s.

Definitie Risk appetite (volgens Adviescommissie Toekomst Banken onder leiding van Cees Maas, (2009)): De bereidheid van de organisatie het risico te accepteren op een zekere mate van verlies en daling van het vermogen uitgaande van uitzonderlijke omstandigheden die zich binnen een

9

bepaalde periode kunnen voordoen. Bij het vaststellen van de risk appetite dient rekening te worden gehouden met de strategie, de doelstellingen, de concurrentiepositie en het karakter van de organisatie. Volgens deze Adviescommissie heeft het Risk Committee van de Raad van Commissarissen de taak de besluitvorming en de discussies in de Raad van Commissarissen over de risk appetite van de organisatie en over het feitelijke risicoprofiel voor te bereiden. Het bovenstaande geldt volgens de Adviescommissie Cees Maas specifiek voor banken, maar zou ook voor andere financiële instellingen kunnen gelden. Want ook zij hebben in meer of mindere mate te maken gehad met de gevolgen van de huidige crisis. De gebeurtenissen die hebben geleid tot de crisis op de kredietmarkt en de impact van de crisis hebben laten zien dat er tekortkomingen zijn in de monitoring van risico’s en het uitvoeren van Risk Management. Deze tekortkomingen blijken uit het feit dat bijna alle Risk Management tools onvoldoende in staat zijn gebleken om de financiële impact te laten zien op een manier dat senior management daar wat aan had. Dit laat de technische beperkingen zien van de Risk Management tools en dat de meeste kwantitatieve modellen voorspellingen doen over het heden of de toekomst met gegevens / informatie die gedateerd zijn. Het bovenstaande blijkt uit het onderzoek van The Counterparty Risk Management Policy Group (CRMPG) (2008) naar Systemic risks. Een andere uitkomst uit dit onderzoek laat zien dat veel bedrijven niet in staat zijn gebleken om in totaliteit zicht te krijgen over de risico’s die zij lopen. Dit is het gevolg van onderstaande oorzaken:

• Inadequate risico aggregatiesystemen • In systemen en processen werd geen rekening gehouden met alle gebeurtenissen. Deze

werden buiten scope geacht. • SILO vorming in de business en bij Risk Management. De onderdelen die zich bezig

houden met risicobeheersing werkten niet of onvoldoende samen. • Niet in staat zijn gebleken om risico’s te begrijpen. Medewerkers die zich bezighouden

met risico’s aangaan en risicobeheersing moeten alle aspecten van risicostrategie, krediet, markt, liquiditeit en operationele risico’s begrijpen en de implicaties in relatie tot risk appetite.

Uit bovengenoemd onderzoek blijkt eveneens dat bedrijven die met de crisis verliezen hebben geleden een inadequate communicatie lieten zien tussen senior management, business lines en Risk Management. Daarnaast hebben deze bedrijven onvoldoende de koppeling gelegd tussen financiering, markt, liquiditeit en kredietrisico. In 2008 is een rapport verschenen van een onderzoek door Deloitte naar Enterprise Risk Management and Assurance Frameworks. Definitie assurance framework gehanteerd voor dit onderzoek: Een management rapport, waarbij de organisatiedoelstellingen, processen en / of projecten worden gekoppeld met de bijbehorende risico’s en beheersmaatregelen voor die risico’s. Uit bovengenoemd onderzoek blijkt dat slechts de helft van de respondenten het gevoel had dat zijn organisatie een goed begrip had van de risico’s waarmee zij werd geconfronteerd, in staat was deze risico’s te prioriteren en effectief op deze risico’s kon reageren. Verder blijkt dat sommige organisaties onvoldoende zekerheid hadden over de risico’s waarmee zij werden geconfronteerd. Dit zal een probleem blijven, omdat er een tekort is aan mensen met de juiste capaciteiten. Uit dit onderzoek blijkt tevens dat ondanks de implementatie van een Risk Management functie en processen, dit niet heeft bijgedragen tot: • Werkelijke vermindering van risico’s als gevolg van het Risk Management proces • Een zichtbare koppeling tussen risico management en prestaties van de organisatie

10

• Een bewezen verband tussen risico-beheer, controle en zekerheid • Een beter begrip van niet-kwantificeerbare risico’s, d.w.z. algemene bedrijfsrisico’s De bovengenoemde issues worden niet veroorzaakt door een gebrek aan middelen of budget, maar door een gebrek aan duidelijke focus. Wat is de oorzaak van de huidige issues (Deloitte, 2008):

Complexiteit Processen zijn te complex gemaakt, waardoor er een verhoogd niveau is van bureaucratie en dit heeft bijgedragen tot een risicomanagement benadering die in veel organisaties is gericht op proces en niet op inhoud

Silo aanpak Risk Management heeft zich geëvolueerd tot een stand-alone-proces, die geresulteerd heeft in een SILO aanpak die niet geïntegreerd is in de bedrijfsprocessen

Cultuur Men heeft gefaald in het introduceren en ontwikkelen van een risicomanagement cultuur in de gehele organisatie of risicomanagement werd gezien als het domein van financiën.

Compliance focus Processen zijn reactief ingesteld ten behoeve van naleving van wet- en regelgeving en niet proactief om risico’s te beheersen die hebben geresulteerd in brandbestrijding en niet proactief managen van risico’s

Bureaucratie Risk Management processen hebben getracht teveel risico’s op teveel niveaus te beheersen met als gevolg een vermindering van de schaarse beschikbare capaciteit en een onvermogen om zich te richten op de belangrijkste gebeurtenissen / informatie.

De Senior Supervisors Group (2008) heeft onderzoek gedaan naar risicomanagement bij een aantal grote dienstverlenende organisaties. Aan dit onderzoek hebben deelgenomen:

• French Banking Commission • The German Federal Financial Supervisory Authority • The Swiss Federal Banking Commission • The U.K. Financial Services Authority • The office of the comptroller of the Currency in United States • The securities and exchange commission in United States • The Federal Reserve in United States

Tijdens dit onderzoek is gekeken naar de effectiviteit van Risicomanagement gedurende de huidige crisis. Uit bovengenoemd onderzoek naar risicomanagement bij diverse bedrijven, is gebleken dat bedrijven die de crisis tot nu toe succesvol hebben overleefd o.a. het volgende gemeen hebben:

• Effectieve organisatiebrede risico-identificatie en risicoanalyse. Tussen Senior management (chief executive officer, chief risk officer en andere bestuursleden), leden van business lines en beheersfuncties is sprake van effectieve communicatie en het delen van kwalitatieve en kwantitatieve informatie. Hierdoor konden zij in een vroeg stadium de (belangrijkste) risico’s identificeren en beheersmaatregelen vaststellen.

• Consequente toepassing van onafhankelijke en strenge waarderingspraktijken binnen de organisatie. Bedrijven pasten kritische en strenge richtlijnen toe voor de waardering van effecten.

11

• Doeltreffend beheer van liquiditeit, kapitaal en balans. Bij deze bedrijven werd de treasury functie directer gekoppeld aan de risicomanagement processen.

• Informatieve en responsieve risicometing en management rapportages en processen. • Balans tussen Risk Appetite en Risk Control. • Begrip voor en reageren op nieuwe risico’s (emerging risks). Bij deze organisaties is

gebleken dat senior management een grote rol speelde in het begrijpen van nieuwe risico’s en het mitigeren van buitensporige risico’s.

• Timing en de kwaliteit van de informatie stroom naar senior management. In een periode van snelle marktontwikkelingen is de timing en nauwkeurigheid van informatie aan senior management cruciaal.

• Breedte en diepte van interne communicatie in de organisatie. Binnen deze organisaties werd de informatie van alle onderdelen van de organisatie verzameld en in 1 keer verspreid aan senior management en de rest van de organisatie.

Volgens een onderzoek van KPMG (2009) naar Risk Management en de kredietcrisis hebben met name de volgende elementen van Risico management het meest bijgedragen tot het ontstaan van de kredietcrisis (Respondenten mochten hierbij meerdere antwoorden kiezen):

• Onvoldoende Risk Governance (volgens 50% van de respondenten) • Slechte Risk Culture (volgens 48% van de respondenten) • Onvoldoende rapporteren en meten van risico’s (volgens 42% van de respondenten) • Onvoldoende vaststelling en monitoring van risk appetite (volgens 40% van de

respondenten) • Onvoldoende niveau van risico expertise op Bestuurdersniveau (volgens 39% van de

respondenten) • Onvoldoende risicosystemen en kwaliteit van data (volgens 32% van de respondenten) • Gebrek aan vaardigheden en ervaring onder riskmanagers (volgens 29% van de

respondenten) Een andere mogelijke oorzaak voor de kredietcrisis is dat sommige Risk Management agenda’s (plannen) en budgetten de laatste jaren gedreven werden door het naleven van wet- en regelgeving. Te denken valt bijvoorbeeld aan BASEL II en Sarbanes-Oxley. Door deze compliance focus is Risk Management mogelijk afgeleid om zich te richten op de bredere organisatorische risico’s. Volgens een artikel in het Financieele Dagblad (FD), van mei 2009 over een onderzoek van Ernst & Young naar risicobeheersing van bedrijven, vindt 80% van de bedrijven dat risicobeheersing op dit moment tekortschiet. Het probleem is dat bedrijven te fragmentarisch met het risicoprofiel bezig zijn, een deel ligt bij de Juridische afdeling, een ander deel op marketing. De vraag is of de juiste risico’s zijn geanalyseerd. Het ging de laatste jaren steeds over compliance, maar het gaat niet alleen om wet- en regelgeving. Samenvatting In deze paragraaf is vanuit de theorie antwoord gegeven op de vraag “heeft Risk Management een rol gespeeld ter voorkoming van de huidige crisis, c.q. waar was Risk Management tijdens de crisis?”. Het antwoord op deze vraag is: Risk Management heeft geen significante rol gespeeld ter voorkoming van de huidige crisis. Gezien haar positie en invulling van de kerntaken had Risk Management deze crisis ook niet kunnen voorkomen. Uit diverse onderzoeken (o.a. Adviescommissies toekomst banken (2009), IIA onderzoek naar impact Financiële crisis op Internal Audit (2009) en Strikwerda (2009))

12

blijkt dat de positie van Risk Management niet sterk genoeg is. Tevens blijkt uit een onderzoek van de IIA (2009) dat beter Risk Management de crisis niet had kunnen voorkomen, mede door gebrek aan steun en begrip vanuit senior management en Bestuur. Ondanks het verbeterde profiel is de risicofunctie nog steeds aan het worstelen met het verkrijgen van invloed. Ook is er geen beroepsorganisatie voor Risk Management die de belangen van deze beroepsgroep zou kunnen behartigen.

2.2 Rol Internal Audit tijdens de crisis In deze paragraaf wordt antwoord gegeven op de vraag “heeft Internal Audit een rol gespeeld ter voorkoming van de huidige crisis, c.q. waar was Internal Audit tijdens de crisis?”. Deze vraag wordt beantwoord vanuit de theorie door eerst de positie van Internal Audit in de organisatie te behandelen en vervolgens wordt gekeken naar de kerntaken en de invulling daarvan door Internal Audit.

Positie Internal Audit in de organisatie De internationaal aanvaarde definitie van Internal Auditing luidt als volgt, (De Internal Audit in Nederland, position paper update 2008): Internal Auditing is an independent and objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of Risk Management, control and governance processes. Een vertaling naar de Nederlandse praktijk geeft het volgende beeld (De Internal Audit in Nederland, position paper update 2008): De Internal Audit Functie (IAF) onderzoekt of de opzet en werking van processen op het gebied van risicomanagement, beheersing en besturing toereikend zijn om de doelstellingen van de organisatie te realiseren. Zij geeft daarmee ‘assurance’ en adviseert daarover aan het verantwoordelijke management, het bestuur en de Auditcommissie. Dienstverlening aan de verschillende governance spelers ziet er als volgt uit (De Internal Audit in Nederland, position paper update 2008):

Speler Essentie rol van de Internal Audit Functie

Raad van Commissarissen Auditcommissie

Assurance

Raad van Bestuur Assurance en advies

Lijnmanagement Assurance en advies

Assurance functies Afstemming: effectiviteit activiteiten

Externe accountant en toezichthouders Afstemming: efficiëntie activiteiten

De Adviescommissie Toekomst Banken onder leiding van Cees Maas (2009) geeft geen aanbevelingen voor de positie en rol van Internal Audit. In het onderzoeksrapport van de adviescommissie worden voornamelijk aanbevelingen gegeven betreffende governance en Risk Management, maatschappelijke rol van banken, toezicht en regulering en toekomst banken in Nederland. Tijdens een discussiebijeenkomst op 23 juni 2009 georganiseerd door het NIVRA, gaf Cees Maas toe dat de rol van de Interne Accountants Dienst in het rapport van de Adviescommissie onderbelicht is en zeker meer aandacht had verdiend.

13

Echter volgens een artikel van Arie Molenkamp (2009), ‘waar waren de Internal Auditors?, Heeft de kredietcrisis niet aangetoond dat de Internal Auditfunctie al een positie als onafhankelijk en kritisch toetsorgaan heeft verworven. Het heeft er alle schijn van dat de Internal Auditfunctie de haar toegedichte rol (‘het verstrekken van aanvullende zekerheid over de kwaliteit van corporate governance en internal control’) niet altijd heeft kunnen waarmaken. Een dergelijke rol veronderstelt dat men in hoge mate moet kunnen aantonen dat structuren, producten, risico’s, thema’s (bijvoorbeeld integriteit) en omstandigheden wel of niet in overeenstemming zijn met de doelstellingen en de context van de organisatie. Organisatorisch is Internal Audit wel goed gepositioneerd, onder de CEO met een directe rapportagelijn naar de Audit Committee. Kerntaken en invulling Internal Audit Kerntaken van de Internal Audit functie (Position Paper update IIA 2008) zijn:

• Geven van Assurance over risicobeheerssystemen (incl. compliance) • Geven van Assurance over de beheersing van de belangrijkste risico’s • Evalueren van ‘in control statements’ / risicorapportages • Geven van Assurance over betrouwbaarheid (financiële) managementinformatie • Geven van Assurance over naleving regelgeving.

Toegestane adviestaken Internal Audit functie indien er voldoende waarborgen zijn (Position Paper update IIA 2008):

• Adviseren over opzet risicobeheersystemen • Begeleiden van implementatie beheerssystemen • Faciliteren van control (risk) self assessments • Begeleiden / uitwerken van te treffen beheersmaatregelen (ter goedkeuring door

management) • Deelnemen in projecten als materiedeskundige.

Volgens een artikel van Arie Molenkamp (2009), is het slechts de taak van de Internal Auditor om aanvullende zekerheid te leveren op die vlakken, waar uit het oogpunt van risico’s de topleiding een second opinion wenst. Tijdens zijn onderzoek zal de auditor de voor zijn onderzoek relevante frameworks op opzet en bestaan toetsen; audit maakt zelf geen deel uit van het control framework. Uit een onderzoek van IIA (2009) naar de impact van de financiële crisis op Internal Audit, blijkt dat het merendeel van de respondenten van mening is dat Internal Auditors meer hadden kunnen doen om hun organisatie te helpen de belangrijkste risico’s te identificeren om de huidige impact te mitigeren. Volgens de IIA president, Richard Chambers, komt deze mening voort uit de gedachte dat veel Internal Audit activiteiten hebben gefaald om enige zekerheid te verschaffen over de effectiviteit van Risk Management binnen hun organisatie. Volgens IIA standaard 2120 luidt het risicomandaat van Internal Audit als volgt: Evalueren van de effectiviteit en bijdragen tot verbetering van risicomanagement processen. Uit ditzelfde onderzoek van de IIA blijkt dat een groot deel van de activiteiten van Internal Audit is verschoven naar het aanpakken van de risico’s als gevolg van de huidige crisis. Uit het onderzoek van de IIA (2009) naar de impact van de financiële crisis op Internal Audit en het onderzoek (IIA 2009) naar heroriëntatie van Internal Audit strategie blijkt, dat Internal Audit zich meer moet richten op de veranderende behoeften van stakeholders om voldoende toegevoegde waarde te leveren. Internal Audit had meer een financial en compliance focus.

14

Sinds de crisis is Internal Audit haar Audit plan meer aan het koppelen aan de bedrijfsstrategie en de huidige risico’s en is haar prioriteiten aan het verschuiven van een financial en compliance focus naar een meer operationele en ERM effectieve strategie. Samenvatting In deze paragraaf is vanuit de theorie antwoord gegeven op de vraag “heeft Internal Audit een rol gespeeld ter voorkoming van de huidige crisis, c.q. waar was Internal Audit tijdens de crisis?”. Het antwoord op deze vraag is: Internal Audit had geen rol kunnen spelen ter voorkoming van de crisis, maar had wel een sterkere rol kunnen spelen in het mitigeren van de impact van de crisis voor de organisatie. Internal Audit heeft wel de juiste kerntaken uitgevoerd, echter voor het geven van assurance over de belangrijkste risico’s, had meer focus moeten zijn op emerging risks, operationele risico’s en op de behoeften van de stakeholders (o.a. RvB, Audit Committee, Senior management, aandeelhouder, externe accountant en toezichthouders). De behoeften van deze stakeholders veranderen vaak mee met de ontwikkelingen. Internal Audit moet constant nagaan wat de behoeften van de stakeholders zijn en daarop inspelen. Dit om er voor te zorgen dat hun prestaties en activiteiten overeenkomen met de behoeften van deze stakeholders.

15

3. Lessons Learned en (verbeter)maatregelen Risk Management In dit hoofdstuk wordt antwoord gegeven op de vraag “welke lessen heeft Risk Management geleerd van de huidige crisis en welke verbetermaatregelen zouden zij naar aanleiding daarvan treffen?”. Deze vraag wordt beantwoord vanuit de theorie door eerst de lessons learned en verbetermaatregelen voor wat betreft de positie van Risk Management in de organisatie te beoordelen en vervolgens wordt gekeken naar lessons learned en verbetermaatregelen voor wat betreft de kerntaken en de invulling daarvan door Risk Management. Positie Risk Management in de organisatie Een van de lessons learned naar aanleiding van de crisis is dat de positie van Risk Management in veel organisaties niet sterk genoeg is. Een verbetermaatregel hierbij is dat het aansturen van het risicobeleid expliciet en zichtbaar behoort plaats te vinden op het hoogste niveau binnen de organisatie. De positie van Chief Risk Officer (CRO) zal in dit geval deel moeten uitmaken van de Raad van Bestuur (RvB). De Chief Executive Officer (CEO) is expliciet verantwoordelijk voor de risicocultuur en de risk appetite binnen de organisatie. Daarnaast moet de Chief Risk Officer in alle fasen van het besluitvormingsproces bij alle belangrijke beslissingen, die gevolgen kunnen hebben voor het risicoprofiel van de organisatie betrokken worden (Adviescommissie toekomst banken onder leiding van Cees Maas, 2009). De Raad van Commissarissen dient minimaal een keer per jaar de risk appetite van de organisatie goed te keuren en zo nodig bij te stellen. Het Risk Committee van de Raad van Commissarissen bereidt de besluitvorming en de discussies in de Raad van Commissarissen over de risk appetite van de bank en over het feitelijke risicoprofiel voor (Adviescommissie toekomst banken onder leiding van Cees Maas, 2009). Afgewogen oordeelsvorming kan alleen plaatsvinden als de informatiestroom richting de Raad van Bestuur en, waar nodig, naar de Raad van Commissarissen vanuit de organisatie in kwalitatief en kwantitatief opzicht optimaal is. De Raad van Commissarissen dient het systeem van risicobeheer zo in te richten dat hij tijdig en voortdurend op de hoogte is van de risico’s die op het gealloceerde kapitaal gelopen worden. De Raad van Commissarissen dient periodiek te beoordelen of de producten die de organisatie voert of de klantgroepen die de organisatie bedient, passen binnen het algehele risicobeleid en het karakter van de organisatie. Nieuwe producten kunnen niet op de markt worden gebracht of worden gedistribueerd zonder uitdrukkelijke instemming van de risicomanagementfunctie in de organisatie. Risk Management is verantwoordelijk voor het adequaat functioneren van het zogeheten Product Approval Process dat organisaties behoren te hebben. Aan productmanagers en commerciële managers moeten duidelijke instructies worden gegeven dat zij er voor verantwoordelijk zijn dat de uitkomsten van het Product Approval Process blijvend worden gerespecteerd. (Onderzoekscommissie Cees Maas, 2009) Definitie Product Approval Process (onderzoekscommissie Cees Maas, 2009): Product Approval Process is de procedure volgens welke door de organisatie wordt beslist of zij een bepaald financieel product voor eigen rekening en risico en / of ten behoeve van haar klanten zal produceren of distribueren. Bij het product approval process zijn doorgaans verscheidene afdelingen binnen de organisatie betrokken. In het goedkeuringsproces worden zorgvuldige afwegingen gemaakt over de in het geding zijnde risico’s, waaronder ook die ten aanzien van de vereiste zorgplicht en de van toepassing zijnde business principles. Het is de

16

verantwoordelijkheid van de Raad van Bestuur over adequate processen te beschikken die compliance met de interne en externe regelgeving waarborgen. In de particuliere sector is naar aanleiding van de huidige crisis consensus dat een sterke, onafhankelijke Risk Management functie nodig is. Dit wordt vaak bereikt door het in de organisatie hebben van een Chief Risk Officer (CRO) met een sterke rapportagelijn die de belangrijkheid van de functie promoot. De CEO en de Raad van Bestuur moeten er voor zorgdragen dat de persoon die de CRO rol vervult een gezien lid is binnen het topmanagement team en die in staat is om onafhankelijk beslissingen te beïnvloeden betreffende het aangaan van risico’s, risk appetite en mitigeren van risico’s, (The Counterparty Risk Management Policy Group (CRMPG), 2008 naar Systemic risks) Een grote meerderheid van de respondenten (77%) aan het KPMG onderzoek (2009) naar de crisis en Risk Management, is van mening dat een meer robuuste risicocultuur in de organisatie geïmplementeerd moet worden waarbij de tone at the top cruciaal is. Daarnaast is een meer gezaghebbende risico management functie nodig ter verbetering van de positie van Risk Management. Uit bovengenoemd onderzoek blijkt ook dat ter verbetering en versteviging van de positie van Risk Management de CRO een centrale rol zou moeten spelen bij strategische planningsprocessen en meer betrokken zou moeten worden bij belangrijke initiatieven vanuit de Business Lines. Risicobeheersing in bedrijven moet omhooggetrokken worden naar de Raad van Bestuur en de Raad van Commissarissen (artikel FD, Ernst & Young, mei 2009). Eén persoon binnen de organisatie met voldoende status moet verantwoordelijk zijn voor Risk Management. Dit kan zijn de CEO, CFO of CRO (IIA, Refocusing Internal Audit Strategy, 2009). Kerntaken en invulling Risk Management In onderstaand schema zijn de belangrijkste wijzigingen in de kerntaken van Risk Management weergegeven:

Lessons learned Bron

Naar aanleiding van de crisis is de focus van ERM zich steeds meer aan het verschuiven van tactisch niveau naar strategisch niveau

IIA, Refocusing Internal Audit Strategy, 2009

Meer samenwerking tussen de diverse Risk Management afdelingen en een geïntegreerde Risk Managementplanning

IIA, Refocusing Internal Audit Strategy, 2009

Ten behoeve van investeringsbeslissingen is er een ontwikkeling gaande, dat (potentiële) investeerders vaker en in begrijpelijke taal informatie willen over risico’s

IR (Investor Relations) magazine, april 2009

Risk Management moet een verantwoordelijkheid hebben bij het beoordelen van nieuwe business, producten en transacties

The Counterparty Risk Management Policy Group (CRMPG), 2008 naar Systemic risks)

17


Duidelijke, tijdige en nauwkeurige rapportage over het nemen van risico’s, monitoren van risico’s en risicomanagement aan senior management en Raad van Bestuur


Meer communicatie en samenwerking tussen treasury en Risk Management en met business units om er voor zorg te dragen dat beslissingen worden genomen conform de risk appetite, vastgesteld door de leiding van de organisatie


Sinds de huidige crisis wordt meer stress testing toegepast door Risk Management als een middel om risico’s te meten


Een gedegen methode van risicoanalyse voor de juiste input voor succesvol risicomanagement. Voorwaarde hierbij is dat een informatiemodel geïntegreerd moet zijn en zowel intern als extern gericht moet zijn. Een tweede voorwaarde is een stevige positie voor Risk Management en voldoende draagvlak van topmanagement voor risicomanagement.

Artikel Partake Consulting over Risk Management & Compliance, april 2009

Betere communicatie en samenwerking tussen Risk Management en de business

KPMG, Risk Management in banking beyond the credit crisis, 2009

Meer interactie tussen business lines, Internal Audit, Risk Committee en Audit Committee

KPMG, Risk management in banking beyond the credit crisis, 2009

Hechtere samenwerking tussen Risk Management en Internal Audit


Er moet derhalve een governance systeem worden ontwikkeld waar risico's kunnen worden gemanaged en waarbij een ieder in de organisatie de risk appetite van de organisatie snapt en zijn rol in het mitigeren van de risico's. Deze risk appetite moet door de Raad van Bestuur zijn goedgekeurd en moet het fundament vormen voor de risicocultuur en het systeem van beheersing binnen de organisatie.


Er is, voornamelijk op senior niveau, een tekort aan mensen met de juiste Risk Management capaciteiten en ervaring. Ook risk managers moeten zich blijven ontwikkelen, om het profiel van de functie te verhogen


Senior management moet een risico profiel hanteren die overeenkomt met de


18


risicotolerantie van de Raad van Bestuur.

Uit een onderzoek van KPMG (2009) naar Risk Management en de crisis blijkt dat de meeste respondenten dit jaar en het komend jaar hun focus zullen richten op (respondenten konden meerdere antwoorden geven): • Rapportage en meten van risico’s (51% van de respondenten) • Risico cultuur (47% van de respondenten) • Risico systemen en kwaliteit data (46% van de respondenten) • Vaststelling en monitoren risk appetite (44% van de respondenten) • Risk Governance (43% van de respondenten) • Communicatie met business en overige disciplines die zich met assurance en beheersing

bezighouden (43% van de respondenten) CRO krijgt meer invloed bij volgende beslissingen (KPMG, 2009): • Ontwikkeling nieuwe producten • Strategie ontwikkeling • Investeringen in nieuwe markten Enkele tools die Risk Management functies zullen of gaan gebruiken om risico’s te meten en te beheersen naar aanleiding van de crisis: • Value at risk • Basel II credit risk models • Stress testing • Scenario analysis Samenvatting In dit hoofdstuk is vanuit de theorie antwoord gegeven op de vraag “welke lessen heeft Risk Management geleerd van de huidige crisis en welke verbetermaatregelen zouden zij naar aanleiding daarvan treffen?”. Het antwoord op deze vraag is: De belangrijkste les en verbetermaatregel naar aanleiding van de crisis voor wat betreft de positie van Risk Management in de organisatie is dat de positie van Risk Management binnen de organisatie versterkt moet worden. Dit wordt bewerkstelligd door een Chief Risk Officer die deel uitmaakt van de Raad van Bestuur en die betrokken wordt bij alle strategische issues en planningen en (belangrijke) initiatieven vanuit de Business lines. Belangrijkste lessons learned en aanbevelingen voor wat betreft invulling van kerntaken door Risk Management is meer en betere samenwerking, communicatie en afstemming van activiteiten tussen Risk Management en de overige lines of defence (met name Internal Audit, Compliance). Een tweede belangrijke aanbeveling is een duidelijke, tijdige, nauwkeurige en geïntegreerde rapportage over het nemen van risico’s, monitoren van risico’s en risicomanagement aan senior management en Raad van Bestuur. Een derde belangrijke aanbeveling voor Risk Management naar aanleiding van de huidige crisis is een gedegen methode van risicoanalyse voor de juiste input voor succesvol risicomanagement.

19

4. Lessons learned en (verbeter)maatregelen Internal Audit

In dit hoofdstuk wordt vanuit de theorie antwoord gegeven op de vraag “welke lessen heeft Internal Audit geleerd van de huidige crisis en welke verbetermaatregelen zouden zij naar aanleiding daarvan treffen?”. Deze vraag wordt beantwoord door eerst de lessons learned en verbetermaatregelen voor wat betreft de positie van Internal Audit in de organisatie te beoordelen en vervolgens wordt gekeken naar lessons learned en verbetermaatregelen voor wat betreft de kerntaken en de invulling daarvan door Internal Audit. Positie Internal Audit in de organisatie

Indien goed gepositioneerd, dat wil zeggen dat Internal Audit onder de CEO valt en rechtstreeks rapporteert aan het Audit Committee, zal Internal Audit in een positie zijn om zekerheid te verschaffen over de meest relevante risico’s in de organisatie als ook zekerheid verschaffen over de effectiviteit van de ERM Functie (Price Waterhouse Coopers, 2009). Naar aanleiding van de huidige crisis worden Chief Audit Executives steeds meer gevraagd om de leiding te nemen bij het geven van zekerheid over de effectiviteit van de Risk Management processen. Hierdoor krijgt Internal Audit een belangrijke rol als strategische partner. Uit het onderzoek van de IIA, naar refocusing Internal Audit strategy, 2009 onder Internal Auditors blijkt dat Internal Audit een goede positie heeft in de organisatie. Het Audit Committee is sinds de crisis meer op Internal Audit aan het steunen om stakeholders te informeren over ERM strategieën en veranderingen in het audit plan. Internal Audit besteed meer tijd aan het communiceren met en het voorbereiden van het overleg met het Audit Committee. Daarnaast maakt het Audit Committee meer tijd vrij voor het overleg met Internal Audit. Uit bovengenoemd onderzoek blijkt eveneens dat Internal Audit wordt gevraagd een grotere rol te spelen in toezicht en governance van de organisatie. Dit zijn ook onderwerpen die meer aandacht krijgen van het Audit Committee. Falend governance binnen organisaties wordt ook gezien als één van de oorzaken van de crisis. Tijdens bovengenoemd onderzoek van de IIA werd aan respondenten gevraagd of Internal Audit goed is gepositioneerd in het governance proces van de organisatie. Respondenten gaven aan dat zij direct rapporteren aan het Audit Committee, echter is er tussen respondenten een groot verschil in de administratieve rapportage lijn. Enkelen rapporteren rechtstreeks aan de CEO, anderen hebben een rapportage lijn naar de CFO en de CRO. Respondenten vinden de inhoud van de administratieve rapportages en de relatie met de leiding binnen de organisatie het belangrijkste. Ondanks de verschillen in administratieve rapportage lijn vinden alle respondenten dat zij een goede positie hebben in de organisatie en op de hoogte zijn van en betrokken worden bij strategische business initiatieven en issues. Kerntaken en invulling Internal Audit Mede als gevolg van de huidige crisis zal er binnen banken een zekere herijking plaatsvinden van de rol, de omvang en het takenpakket van Internal Audit. Het uitgangspunt dat auditdiensten aanvullende zekerheid moeten verstrekken aan het resultaatverantwoordelijke management, kan resulteren in een meer gedecentraliseerde structuur van de auditfunctie. Het toepassen van ratingsystemen, zoals nu bij enkele grote banken, zal naar verwachting ‘tegen het licht’ worden gehouden. Het toepassen van deze managementmethode door de auditfunctie, zeker in een situatie waar ‘het cijfer’ bepalend is voor de (omvang van) de bonus

20

van de manager, heeft een nadelige invloed gehad op met name het functioneren van de auditfunctie (Arie Molenkamp, 2009). Als gevolg van de huidige crisis gaat Internal Audit zich meer richten op emerging risks (nieuwe risico’s) die het gevolg zijn van de veranderende economische omstandigheden. Internal Audit zal zich voornamelijk gaan richten op reputatierisico’s, effectiviteit van Risk Management, compliance risico’s en liquiditeitsrisico’s (IIA, Financial Crisis en impact on Internal Audit, 2009). De meeste Internal Audit afdelingen stellen 1 keer per jaar een plan op en besteden de rest van het jaar om dit plan uit te voeren. In een snel veranderende wereld zal Internal Audit flexibeler moeten zijn door frequenter risicoanalyses uit te voeren en indien nodig, op basis van de uitkomsten van de risicoanalyses, gedurende het jaar het jaarplan aanpassen aan de nieuwe risico’s en veranderende omstandigheden (Price Waterhouse Coopers, 2009). Naar aanleiding van de crisis verschuiven Internal Audit activiteiten meer richting Enterprise Risk Management (ERM) processen en recessie gerelateerde risico’s. Internal Audit wordt steeds meer gevraagd om een strategische rol te spelen bij het toezicht (governance) en het bestuur van de organisatie. Door haar plan af te stemmen op de strategie en huidige risico’s in de organisatie heeft Internal Audit haar prioriteit verschoven van een financiële en compliance focus naar een effectieve operationele en ERM strategie. (IIA, key themes for refocusing Internal Audit strategy, 2009) Overige lessons learned en aanbevelingen voor Internal Audit (Deloitte, 2009): • Internal Audit zou zekerheid moeten verschaffen over de beheersing van de belangrijkste

risico’s. • Betere samenwerking en afstemming van activiteiten tussen Internal Audit en de andere

lines of defence • Internal Audit zou een onafhankelijke toetsing moeten uitvoeren op andere compliance

activiteiten • Internal Audit zou zich ook op strategische risico’s moeten richten Uit het onderzoek van KMPG, 2009 naar ‘Risk Management en de crisis’, blijkt dat een betere interactie nodig is tussen de andere lines of defence en Internal Audit en tussen Risk Committee en Audit Committee. Enkele overige belangrijke ontwikkelingen in Internal Auditing (IIA Position paper update 2008) zijn: • In zijn assurance rol legt Internal Audit nu meer nadruk op de beoordeling van de

effectiviteit van het proces van risicomanagement • Traditioneel keken de Internal Auditors vooral naar operationele risico’s en risico’s voor de

betrouwbaarheid van de (financiële) informatie. Steeds meer wordt ook de beheersing van tactische en strategische risico’s onderzocht.

• Het auditen van projecten programmamanagement. Traditioneel richtte de audit zich voornamelijk op de staande organisaties. Tegenwoordig draagt Internal Audit steeds meer bij aan lopende projecten en programma’s. Programma’s zijn gericht op strategische organisatieveranderingen en het behalen van doelstellingen. Dergelijke veranderorganisaties zijn complex en kennen vaak grote risico’s. Daarom is het belangrijk een beeld te hebben van de mate waarin kritieke programma’s aansluiten op de strategische doelstellingen.

21

• Integriteit en compliance. De maatschappij verwacht van organisaties en haar bestuurders dat deze zich integer gedragen. Niet integer gedrag kan leiden tot grote reputatie- en financiële schade.

Uit het onderzoek van IIA (2009) naar heroriëntatie van de Internal Audit Strategie, is naar aanleiding van de crisis o.a. de focus van de Internal Audit activiteiten verschoven naar (respondenten konden meerdere antwoorden geven): • Operational risks (volgens 61,8% van de respondenten) • Liquidity en credit risk (volgens 52,9% van de respondenten) • Financial risk (volgens 48,5% van de respondenten) • Effectiviteit Risk Management (volgens 35,3% van de respondenten) • Compliance risks (volgens 26,5% van de respondenten) Samenvatting In dit hoofdstuk is vanuit de theorie antwoord gegeven op de vraag “welke lessen heeft Internal Audit geleerd van de huidige crisis en welke verbetermaatregelen zouden zij naar aanleiding daarvan treffen?”. Het antwoord op deze vraag is: Internal Audit had vóór de crisis reeds een goede positie in organisaties en rapporteerde rechtstreeks aan het Audit Committee en hoogste leiding van de organisatie. Dit is naar aanleiding van de crisis niet veranderd. Voor wat betreft de invulling van de kerntaken door Internal Audit is naar aanleiding van de crisis een verschuiving waar te nemen naar beheersing van tactische risico’s, strategische risico’s en compliance risico’s. Een andere belangrijke aanbeveling en lesson learned voor Internal Audit is, dat niet kan worden volstaan met 1 keer per jaar een plan op te stellen, maar dat dit plan vaker in het jaar, moet worden geëvalueerd en waar nodig aangepast. Voor een betere invulling van de kerntaken zal Internal Audit intensiever en meer moeten samenwerken met de andere lines of defence (met name Risk Management en Compliance) en haar plannen en activiteiten moeten afstemmen met de andere lines of defence.

22

5. Praktijktoets

In dit hoofdstuk worden de bevindingen uit de toetsing in de praktijk weergegeven. Voor deze toetsing zijn interviews gehouden met managers van de afdelingen verantwoordelijk voor Risk Management en / of Internal Audit. Ten behoeve van dit onderzoek zijn vragenlijsten opgesteld die tijdens de interviews aan betrokkenen zijn verstrekt. De literatuur en theorie in dit rapport vormden de basis voor de vragen.

Voor het onderdeel Risk Management zijn geïnterviewd:

• Jan van Midden, Afdelingshoofd Operational Risk Management ABN AMRO • Wim van de Kraats, Vice President & Head of Operational Risk AEGON N.V. • Anand Autar, Senior Beleidsfunctionaris Corporate Credit Risk Management ING

Voor het onderdeel Internal Audit zijn geïnterviewd:

• Michael van der Weide, Senior Vice President and Head Group Audit Risk and Finance ABN AMRO

• Patricia Jones, Hoofd Internal Audit AEGON Nederland • Maikel van Tuijl, Manager Corporate Audit Services (CAS) Whole sale banking & Real

Estate ING Nederland De resultaten uit de toetsing worden (op verzoek van de deelnemers) anoniem verwerkt in dit rapport. In bijlage 2 is het protocol voor interviews en vragenlijst opgenomen en in bijlage 3 zijn de detailresultaten opgenomen. 5.1. Deel I Rol Risk Management, kerntaken en invulling daarvan en

(verbeter) maatregelen n.a.v. de crisis Tijdens de interviews is getracht antwoord te krijgen op de vragen die ook in het theoretisch deel zijn gesteld. De eerste vraag luidt: “Heeft Risk Management een rol gespeeld ter voorkoming van de huidige crisis, c.q. waar was Risk Management tijdens de crisis?” Uit literatuur blijkt dat Risk Management geen rol heeft gespeeld ter voorkoming van de crisis en gezien haar positie en invulling van haar kerntaken had Risk Management deze crisis niet kunnen voorkomen. Antwoord De respondenten aan dit onderzoek zijn het er over eens dat beter Risk Management de oorzaken of (negatieve) effecten van de crisis niet had kunnen voorkomen. Op de vraag of zij voldoende worden betrokken bij beslissingen over nieuwe business, producten en aangaan van (belangrijke en / of grote) transacties, geven twee van de drie respondenten aan dat zij daarbij voldoende worden betrokken. Een van deze twee respondenten geeft echter aan dat pas nadat de CRO een paar jaar geleden deel ging uitmaken van de Group Executive Board, Risk Management een grotere stempel is gaan drukken op de strategische besluitvorming. De derde respondent geeft zelfs aan dat alleen bij kredietbeslissingen Risk Management om een fiat wordt gevraagd. Bij de overige strategische beslissingen heeft Risk Management geen fiatterende rol.

23

De organisaties van alle drie de respondenten hebben als hoogste functionaris verantwoordelijk voor Risk Management een Chief Risk Officer (CRO). Dit is conform de aanbevelingen van Adviescommissie Cees Maas. Een andere aanbeveling van de Adviescommissie Cees Maas is dat de CRO deel moet uitmaken van de Raad van Bestuur (RvB). Deze aanbeveling was reeds bij twee van de drie onderzochte organisaties doorgevoerd. De andere organisatie heeft wel een CRO, maar deze is geen lid van RvB. De CRO rapporteert aan CFO die lid is van RvB. Een andere aanbeveling van de Adviescommissie Cees Maas is dat er een Risk Committee van de Raad van Commissarissen moet zijn. Twee van de drie respondenten gaven aan een Risk Committee in de Raad van Commissarissen te hebben. Bij de derde organisatie is er een Compliance Committee waarin naast Compliance issues, Risk Management issues worden besproken. Conclusie Om effectief Risicomanagement te kunnen voeren moet Risk Management een goede positie hebben binnen de organisatie. Dit is ook een aanbeveling vanuit de Adviescommissie Cees Maas. Uit de beperkte toetsing in de praktijk blijkt in ieder geval dat de onderzochte Bank- en verzekeringsorganisaties reeds voor een heel groot deel te voldoen aan de aanbevelingen van de Adviescommissie. De aanbevelingen van de Adviescommissie Cees Maas worden omgezet in een Code. Dit zal in het najaar klaar zijn. Deze maatregel zal andere banken die nog niet of niet geheel aan deze aanbevelingen voldoen, motiveren om binnen hun organisatie verbeteringen hieromtrent aan te brengen. Hierdoor zou Risk Management meer toegevoegde waarde kunnen leveren. De tweede vraag luidt: “Welke lessen heeft Risk Management geleerd van de huidige crisis en welke verbetermaatregelen zouden zij naar aanleiding daarvan treffen?” Uit literatuur blijkt de belangrijkste aanbeveling te zijn dat de positie van Risk Management binnen organisaties moet worden versterkt. Voor het antwoord en de conclusie hieromtrent zie antwoord bij eerste vraag. Een tweede belangrijke aanbeveling is dat voor wat betreft de invulling van de kerntaken Risk Management meer en beter moet samenwerken, communiceren en activiteiten moet afstemmen met de andere lines of defence (met name Internal Audit en Compliance). Daarnaast moet er een geïntegreerde rapportage zijn over het nemen van risico’s, monitoren van risico’s en risicomanagement aan de Raad van Bestuur. Ook worden verbeteringen verwacht in de methoden voor analyse en managen van risico’s. Volgens de Adviescommissie Cees Maas moet Risk Management een fiat geven voor het op de markt brengen van nieuwe producten. Antwoord Alle drie de respondenten geven aan dat zij verbetering zien of dit jaar verbeteringen hebben doorgevoerd of willen gaan doorvoeren in de samenwerking, communicatie en afstemming van activiteiten tussen de diverse Risk Management afdelingen en / of in de samenwerking met overige lines of defence (met name Internal Audit en Compliance). Voor wat betreft de methoden voor het analyseren en managen van risico’s, geven alle drie de respondenten aan dat er naar aanleiding van de crisis een grotere focus is op scenario analyses en stress testing. Ook geven respondenten aan dat stakeholders vinden dat Risk Management genoeg toegevoegde waarde levert. Dit blijkt uit het feit dat Risk Management steeds meer betrokken wordt bij en gevraagd wordt te adviseren over (bepaalde) strategische beslissingen.

24

Twee respondenten geven aan dat Risk Management reeds een product approval rol vervult. Dit is niet veranderd naar aanleiding van de crisis. Bij één organisatie geeft Risk Management een fiat bij kredietbeslissingen. Bij overige strategische beslissingen heeft Risk Management geen fiatterende rol. Naar aanleiding van de crisis is bij deze organisatie het draagvlak van senior management voor Risk Management toegenomen. Wellicht dat in de toekomst Risk Management daardoor wat directer bij de overige strategische beslissingen zal worden betrokken. Hieronder volgen schematisch enkele interessante vragen en antwoorden uit de toetsing in de praktijk:

Vragen Organisatie A Organisatie B Organisatie C Wie is de hoogste Functionaris verantwoordelijk voor Risk Management?

CRO CRO CRO

Zit CRO ook in Raad van Bestuur?

Ja Neen Ja

Aan wie rapporteert Risk Management? (meerdere antwoorden mogelijk)

CRO, RvB Via CRO aan CFO • Via CRO aan RvB • Lijnmanagement

Business Unit Nederland / CEO Nederland

Is er een Risk Committee in de Raad van Commissarissen?

Neen. Er is een Risk Committee binnen de Raad van Bestuur

Ja Ja, Compliance Committee waarin ook Risk Management issues worden besproken

Hoe uit de eventuele samenwerking tussen Risk Management en de andere lines of defence (Internal Audit, Compliance e.d.) zich in uw organisatie? (meerdere antwoorden mogelijk)

Is situatieafhankelijk. Een ieder gebruikt haar eigen definities en referentiekaders. Planningen en activiteiten worden niet op elkaar afgestemd. Tussen de Risk Management afdelingen wordt wel samengewerkt en vindt er kennisdeling plaats.

Afstemming planningen en activiteiten. In de praktijk gaat dat informeel. In de toekomst wil men hier meer structuur in aanbrengen

Er worden verschillende definities en referentiekaders gebruikt. Er is nu een ontwikkeling gaande waarbij gekeken wordt naar mogelijkheden om de diverse lines of defence beter te laten samenwerken. Dus meer uniformiteit in frameworks, definities en wijze van risicometing

Wat zijn de kerntaken van Risk Management? (meerdere antwoorden mogelijk)

• Risico identificatie en assessment

• Risico analyse en advies

• Risicobeheersing






• Risicobeheersing • Kwantificeren,

monitoren en mitigeren van risico’s

• Voorbereiden risk appetite besluitvorming

25

Hieronder volgen schematisch enkele interessante stellingen en antwoorden uit de toetsing in de praktijk: Op een schaal van 1 tot en met 5 (1= oneens, 5= eens)

Stelling Organisatie A Organisatie B Organisatie C Risk Management geeft goed invulling aan haar kerntaken

4 4 3

Risk Management werkt goed samen met de andere lines of defence

4 3 2

De samenwerking van Risk Management met de andere lines of defence is verbeterd naar aanleiding van de crisis

4 3 4

Risk Management is betrokken bij beslissingen over nieuwe business, producten en aangaan van (belangrijke en / of grote) transacties

5 5 3

Betere Risk Management had de (negatieve) effecten van de crisis op de organisatie kunnen voorkomen

2 3 1

Er was vóór de crisis voldoende draagvlak van senior management voor Risk Management

5 4 2

Er is na de crisis voldoende draagvlak van senior management voor Risk Management

5 4 5

Risk Management heeft een rol ter voorkoming of beperking van de impact van een crisis op de organisatie

5 5 5

Stakeholders vinden dat Risk Management voldoende (toegevoegde) waarde levert.

4 4 4

Toegevoegde waarde Risicomanagement binnen uw organisatie is:

26

Stelling Organisatie A Organisatie B Organisatie C Gericht op realisatie organisatiedoelstelling en afstemming strategie met risk appetite Vermindering operationele verrassingen en verliezen Betere beslissingen over hoe risico’s te beheersen (risk removal, reduction, transfer, acceptance) Transparantie: inzicht in risicoprofiel t.b.v. stakeholders

4 4 4 4

4 4 4 4

3 4 3 3

Door organisaties wordt aangegeven dat Risk Management goed samenwerkt met de andere lines of defence. Echter één van de organisaties ziet hierin verbetering door gebruik te maken van dezelfde frameworks, definities en wijze van risicometing. Bij één organisatie wordt aangegeven dat zij in de samenwerking wat meer structuur zou willen aanbrengen. Voor wat betreft de invulling van de kerntaken blijkt dat respondenten daarover tevreden zijn. Echter bij één organisatie wordt aangegeven dat Risk Management meer de nadruk zou willen leggen op de ‘partner in Business rol’. Er zijn nu ontwikkelingen om dit te veranderen, waardoor de rol van de onafhankelijke ‘politie agent’ wat meer nadruk zal krijgen. Een belangrijke stap in de verandering van de positie van Risk Management is om Risk Management een zwaarwegende adviesrol te geven in de risk appetite besluitvorming. Bij een andere organisatie wordt, door de twee jaar geleden ingevoerde structuurwijziging, Risk Management steeds meer betrokken bij strategische besluitvorming. Conclusie In de invulling van de kerntaken van Risk Management is naar aanleiding van de huidige crisis bij alle respondenten verbetermaatregelen doorgevoerd of zullen worden doorgevoerd. Dit geeft volgens mij aan dat de Top / Senior Management en Risk Management serieus omgaan met de aanbevelingen uit de diverse onderzoeken naar aanleiding van de crisis en allerlei maatregelen neemt om (meer) toegevoegde waarde te leveren aan de stakeholders. 5.2. Deel II Rol Internal Audit, kerntaken en invulling daarvan en

(verbeter) maatregelen n.a.v. de crisis Tijdens de interviews is getracht antwoord te krijgen op de vragen die ook in het theoretisch deel zijn gesteld. De eerste vraag luidt: “Heeft Internal Audit een rol gespeeld ter voorkoming van de huidige crisis, c.q. waar was Internal Audit tijdens de crisis?”

27

Uit onderzoek blijkt dat Internal Audit een goede positie heeft in de organisatie door een directe rapportagelijn te hebben naar het Audit Committee. Ook is gebleken dat Internal Audit de juiste kerntaken heeft uitgevoerd. Alleen had zij gezien de crisis en de impact daarvan, een andere focus moeten hebben. Antwoord Bij de vraag of Internal Audit een (betere) bijdrage had kunnen leveren ter voorkoming of vermindering van de (negatieve) effecten van de crisis zijn alle respondenten het er over eens dat zij geen of nauwelijks een bedrage hieraan hadden kunnen leveren. Dit mede door wat Internal Audit als haar kerntaak ziet, namelijk verschaffen van assurance over de mate van interne beheersing en effectiviteit Risk Management door achteraf te toetsen. Daarnaast is Internal Audit niet direct betrokken bij strategische besluitvorming, maar wordt (achteraf) geïnformeerd. Conclusie Gezien de positie van Internal Audit in de organisatie had Internal Audit het Bestuur van de organisatie wat meer mogen helpen bij het identificeren van de (belangrijkste) risico’s en het beheersen van deze risico’s ter vermindering van de impact van de crisis. Dit vanwege de kerntaak van Internal Audit: het geven van assurance over risicobeheerssystemen (incl. Compliance) en het geven van assurance over de beheersing van de belangrijkste risico’s. Om assurance te kunnen geven zou Internal Audit zich niet moeten beperken tot het bestaan van de beheersingskaders, maar zou de getroffen maatregelen moeten verifiëren en toetsen. De tweede vraag luidt: “Welke lessen heeft Internal Audit geleerd van de huidige crisis en welke verbetermaatregelen zouden zij naar aanleiding daarvan treffen?” Uit onderzoek is gebleken dat de positie van Internal Audit in de organisatie heel goed is en niet verbeterd hoeft te worden. Verbeteringen worden wel gezien in de invulling van de kerntaken door Internal Audit. Een van de verbeteringen is verschuiving van de focus naar strategische risico’s en compliance risico’s. Een andere belangrijke aanbeveling uit onderzoeken is het tussentijds herzien en aanpassen van het jaarplan op basis van uitgevoerde risicoanalyses. Voor een betere invulling van de kerntaken zal Internal Audit intensiever en meer moeten samenwerken, communiceren en activiteiten afstemmen met de andere lines of defence (met name Risk Management en Compliance).

Antwoord Alle respondenten geven aan dat de strategie een belangrijke input is voor het Internal Audit plan en de activiteiten worden gekoppeld aan de (belangrijkste) strategische risico’s. Respondenten geven aan dat zij tenminste 1 keer per kwartaal het jaarplan updaten op basis van tussentijds uitgevoerde risicoanalyses. In de samenwerking met overige lines of business zien respondenten wel verbeteringen, hebben deze verbeteringen in de samenwerking reeds ingevoerd of zijn van plan dat binnenkort in te voeren. Hieronder volgen schematisch enkele interessante vragen en antwoorden uit de toetsing in de praktijk:

Vragen Organisatie A Organisatie B Organisatie C Wie is de hoogste functionaris

General manager van Internal Audit. Deze valt

CEO CEO

28

Vragen Organisatie A Organisatie B Organisatie C verantwoordelijk voor Internal Audit?

rechtstreeks onder de CEO Group

Aan wie rapporteert Internal Audit (meerdere antwoorden mogelijk)?

Afhankelijk van het onderwerp en onderzoek aan: • Audit Committee • RvB • CFO • CEO Audit Committee krijgt alle rapporten te zien

• CEO • Audit Committee • Group Internal Audit In Audit Committee hebben zitting CFO en leden van de Raad van Commissarissen.

• CEO • Voorzitter Audit

Committee In Audit Committee hebben leden van de RvC zitting

Is er een Audit Committee in Raad van Commissarissen?

Ja Ja Ja

Wat zijn de kerntaken van Internal Audit?

• Verschaffen van assurance over de mate van interne beheersing

• Risicobeheersing • Risico-identificatie • Assurance over

effectiviteit Risk Management

• Risicoanalyse en advies


• Assurance over effectiviteit van Risk Management en Compliance

Verschaffen van assurance over de mate van interne beheersing

Hoe uit de eventuele samenwerking tussen Internal Audit en de andere lines of defence (Risk Management, Compliance e.d.) zich in uw organisatie? (meerdere antwoorden mogelijk)?

• Gebruik van dezelfde definities

• Gebruik van dezelfde referentiekaders

• Afstemming planningen en activiteiten

• Informeren onderling over elkanders activiteiten

Naast bovenstaande, vindt opvolging van bevindingen uit auditactiviteiten, vastgelegd in een bevindingen database, plaats door de 1e lijn. Monitoring van de opvolging vindt plaats door Risk Management en toetsing van de opvolging door Internal Audit




Afstemming van bevindingen en risicobeeld door Chief Audit Executive met CEO. Hoofd Group audit met CRO en CFO. Auditor met Hoofd Audit Compliance

In welke frequentie wordt het Internal Audit plan aangepast (op basis van een

1 keer per jaar. 4 keer per jaar wordt actualiteit van plan getoetst en indien nodig

1 keer per jaar. 4 keer per jaar wordt plan geüpdate

1 keer per jaar. 4 keer per jaar re-assessment om te beoordelen of risico’s

29

Vragen Organisatie A Organisatie B Organisatie C uitgevoerde risicoanalyse)?

aangepast o.a. op basis van audit bevindingen, overige interne en externe ontwikkelingen en speciale verzoeken van management of toezichthouder via de RvB.

niet zijn veranderd. Indien nodig wordt hierbij een deel van het plan aangepast, afhankelijk van de ontwikkelingen.

Hieronder enkele interessante stellingen en antwoorden uit de toetsing in de praktijk: Op een schaal van 1 tot en met 5 (1= oneens, 5= eens)

Stellingen Organisatie A Organisatie B Organisatie C Internal Audit geeft goed invulling aan haar (kern) taken

5 4 4

De samenwerking tussen Internal Audit en de andere lines of defence is goed

4 4 4

De samenwerking van Internal Audit met de andere lines of defence is verbeterd naar aanleiding van de crisis

3 3 3

Internal Audit wordt betrokken bij (belangrijke) beslissingen over nieuwe business, producten en aangaan van (belangrijke en / of grote) transacties

3 4 3

Internal Audit had een (betere) bijdrage kunnen leveren ter voorkoming of vermindering van de (negatieve) effecten van de crisis voor de organisatie

3 3 3

Conclusie Zoals uit de bevindingen uit de praktijktoets blijkt is Internal Audit naar aanleiding van de crisis verbetermaatregelen aan het doorvoeren om zo de toegevoegde waarde voor de stakeholders te verhogen en haar kerntaken beter in te vullen. Daarbij zijn de aanbevelingen uit diverse onderzoeken, verricht naar aanleiding van de crisis, ter harte genomen.

30

6. Conclusie “Heeft Risk Management een rol gespeeld ter voorkoming van de huidige crisis, c.q. waar was Risk Management tijdens de crisis?” Uit onderzoeken die zijn uitgevoerd naar aanleiding van de crisis blijkt dat de positie van Risk Management binnen organisaties (nog) niet sterk genoeg is. Daarom heeft Risk Management de negatieve effecten van de crisis niet kunnen voorkomen. Uit een onderzoek van het Instituut voor Internal Auditors (IIA) (2009) onder Internal Auditors naar de impact van de financiële crisis blijkt dat een groot deel van de respondenten vindt dat beter Risk Management de crisis niet had kunnen voorkomen, mede door gebrek aan steun en begrip vanuit senior management en het bestuur. Ondanks het verbeterde profiel is de risicofunctie, in bepaalde organisaties, nog steeds aan het worstelen met het verkrijgen van invloed. Daarnaast is er geen beroepsorganisatie voor Risk Management die de belangen van deze beroepsgroep zou kunnen behartigen. De gebeurtenissen die hebben geleid tot de crisis laat zien dat bijna alle Risk Management tools onvoldoende in staat zijn gebleken om de financiële impact te laten zien op een manier dat senior management daar wat aan had. Dit laat de technische beperkingen zien van de Risk Management tools en dat de meeste kwantitatieve modellen voorspellingen doen over het heden of de toekomst met gegevens / informatie die gedateerd zijn. Ondanks de implementatie van een Risk Management functie en processen heeft dit vaak niet bijgedragen tot een werkelijke vermindering van risico’s en een zichtbare koppeling tussen Risico Management en prestaties van de organisatie. Daarnaast heeft dit niet geleid tot een beter begrip van niet-kwantificeerbare risico’s, d.w.z. de algemene bedrijfsrisico’s. “Welke lessen heeft Risk Management geleerd van de huidige crisis en welke verbetermaatregelen zouden zij naar aanleiding daarvan treffen?” Naast een verbetering in de positie van Risk Management in de organisatie worden ook verbeteringen gezien in de invulling van de kerntaken door Risk Management. Een van deze verbeteringen betreft een betere samenwerking, communicatie en afstemming van activiteiten met de business en met de overige lines of defence w.o. Internal Audit en Compliance. Ook moet er een duidelijke, nauwkeurige, frequente en tijdige geïntegreerde risicorapportage zijn naar de Raad van Bestuur. Andere belangrijke veranderingen naar aanleiding van de crisis zijn: • Er moet een governance systeem worden ontwikkeld waar risico’s kunnen worden

gemanaged en waarbij een ieder in de organisatie de risk appetite van de organisatie snapt en zijn rol in het mitigeren van de risico’s. Deze risk appetite moet door de Raad van Bestuur worden goedgekeurd en moet het fundament vormen voor de risicocultuur en het systeem van beheersing binnen de organisatie.

• Risk Management moet een verantwoordelijkheid hebben bij het beoordelen van nieuwe business, producten en transacties

• Een gedegen methode van risicoanalyse voor de juiste input voor succesvol risicomanagement. Voorwaarde hierbij is dat het informatiemodel geïntegreerd moet zijn en zowel intern als extern gericht moet zijn. Een tweede voorwaarde is een stevige positie voor Risk Management en voldoende draagvlak door topmanagement voor risicomanagement.

31

“Heeft Internal Audit een rol gespeeld ter voorkoming van de huidige crisis, c.q. waar was Internal Audit tijdens de crisis?” Internal Audit heeft de juiste kerntaken uitgevoerd. Er had echter meer focus moeten zijn op emerging risks, operationele risico’s en de op de behoeften van stakeholders (met name RvB, Audit Committee, senior management, aandeelhouder, externe accountant en toezichthouders). Dit blijkt uit het theoretisch deel en het praktisch deel van het onderzoek. Daarom heeft Internal Audit geen rol gespeeld ter voorkoming van de crisis. “Welke lessen heeft Internal Audit geleerd van de huidige crisis en welke verbetermaatregelen zouden zij naar aanleiding daarvan treffen?” Voor wat betreft de positie van Internal Audit in de organisatie is en was die voor en tijdens de crisis goed. Internal Audit valt rechtstreeks onder de CEO en rapporteert aan het Audit Committee. De crisis heeft wel impact (gehad) op de invulling van de kerntaken door Internal Audit. De belangrijkste ontwikkelingen hierin zijn: • Internal Auditors gaan zich niet alleen richten op operationele risico’s en risico’s voor de

betrouwbaarheid van de (financiële) informatie. Steeds meer wordt ook de beheersing van tactische en strategische risico’s onderzocht

• Internal Audit legt nu meer nadruk op de beoordeling van de effectiviteit van het proces van risicomanagement

• Traditioneel richtte de audit zich voornamelijk op de staande organisaties. Tegenwoordig draagt Internal Audit steeds meer bij aan lopende projecten en programma’s. Programma’s zijn gericht op strategische organisatieveranderingen en het behalen van doelstellingen. Dergelijke veranderingsorganisaties zijn complex en kennen vaak grote risico’s. Daarom is het belangrijk een beeld te hebben van de mate waarin kritieke programma’s aansluiten op de strategische doelstellingen

• Internal Audit gaat zich nog meer richten op de integriteit en compliance van organisaties en haar bestuurders. De maatschappij verwacht van organisaties en haar bestuurders dat deze zich integer gedragen. Niet integer gedrag kan leiden tot reputatie- en financiële schade

• Betere samenwerking en afstemming van activiteiten en plannen tussen Internal Audit en de andere lines of defence (met name Risk Management en Compliance)

• Indien Internal Audit onvoldoende kan steunen op de werkzaamheden die door Risk Managers en / of Compliance officers zijn verricht, zou Internal Audit de getroffen maatregelen moeten verifiëren of onderzoeken.

De vraag is echter of deze maatregelen, die door Risk Management en Internal Audit zijn en / of worden doorgevoerd voldoende zijn om voorbereid te zijn op een volgende crisis of om de huidige crisis goed te doorstaan. Dit zal echter pas blijken tijdens een volgende crisis of na afloop van de huidige crisis.

32

7. Literatuurlijst • Adviescommissie Toekomst Banken, Cees Maas, Sylvester Eijffinger, Wim van den

Goorbergh, Tom de Swaan, Johanneke Weitjens, “Naar herstel van vertrouwen”, 7 april 2009

• Counterparty Risk Management Policy Group (CRMPG), G. Corrigan en D. Flint, “Containing Systemic Risk: The Road to Reform”, 6 augustus 2008

• Deloitte, Morag Childs, Blue sky thinking?, “Enterprise Risk Management and Assurance Frameworks”, 9 juni 2008

• Chapman R.J. , “Simple tools and techniques for enterprise Risk Management”, John Wiley & Sons Ltd, West Sussex England, 2006

• FD (Financieel Dagblad), “De accountantsverklaring over de risicobeheersing van bedrijven”, mei 2009

• GAIN (Global Audit Information Network)– The Institute of Internal Auditors, “A world in economic crisis: Key themes for refocusing Internal Audit strategy”, 2009

• GAIN – The Institute of Internal Auditors, Knowledge alert: “The financial Crisis and its impact on the Internal Audit Profession”, maart 2009

• Instituut van Internal Auditors (IIA) Nederland, De Internal Auditor in Nederland, “Position paper update 2008”, 2008

• Investor Relations (IR) Magazine, T.Human, “Risky Business”, april 2009, pagina’s 20 t/m 22

• KPMG, “Never again? – Risk Management banking beyond the credit crisis”, 2009 • Molenkamp A., “Internal Auditing: waar waren de Internal Auditors?”, MCA, februari 2009,

pagina’s 22 t/m 32 • Munck de M.J.M., Risk Management & Compliance, januari 2009 • PriceWaterhouseCoopers, State of the Internal Audit profession study - “Business

Upheavel: Internal Audit weighs its role amid the recession and evolving enterprise risks, 2009

• Senior Supervisors Group, “Observations on Risk Management Practices during the Recent Market Turbulence”, 6 maart 2008

• Strikwerda J., EMIA Seminar – “Kredietcrisis of Governance crisis?”, 12 maart 2009

33

Bijlage 1: Het NIVRA in het maatschappelijk debat – Inzicht in onzekerheid: Onderzoek naar de risicoparagrafen in de jaarverslagen 2007 van beursfondsen Samenvatting In dit rapport staat de informatieverstrekking over risico’s en beheersingssystemen door Nederlandse beursgenoteerde ondernemingen centraal. Risicomanagement is het geheel van activiteiten en maatregelen dat gericht is op het beheersen van risico’s. Het onderhavige onderzoek verschaft inzicht in de verslaggeving omtrent risico’s en beheersingssystemen van beursgenoteerde ondernemingen op basis van een inventarisatie van de jaarverslagen over het boekjaar 2007. Het empirisch onderzoek besteedt aandacht aan: 1. de informatie over risico’s van de onderneming 2. de informatie over risicobeheersings- en controlesystemen van de onderneming 3. de ‘in control’-verklaring Overall beeld ten aanzien van de informatie over risicomanagement Risicomanagement is een onderwerp dat volop in de belangstelling staat. Het is positief om te constateren dat de aandacht voor dit onderwerp in de jaarverslaggeving van ondernemingen duidelijk is toegenomen. Informatieverschaffing over risicomanagement is onmiskenbaar in ontwikkeling. Wij hebben geconstateerd dat het onderwerp ook in het jaarverslag aan belang wint, maar daarbij dient te worden opgemerkt dat er nog geen onderneming is die alle aspecten in haar jaarverslag heeft opgenomen. Tevens komt uit het onderzoek naar voren dat er in de verslaggeving omtrent risicomanagement sprake is van grote diversiteit in: 1. de mate van diepgang 2. de beschrijving van risico’s en beheersingssystemen 3. de kwaliteit van de ‘in control’-verklaring Opvallend is dat de verschillen in transparantie tussen AEX-, AMX- en AScX-ondernemingen op een aantal aspecten afwijken van de algemene beeldvorming: uit het onderzoek komt naar voren dat de AMX- en AScX- meer transparant zijn dan de AEX-ondernemingen. Informatie over risico’s van de onderneming 62% verstrekt informatie over de belangrijkste risico’s die zijn verbonden aan de strategie. De meest genoemde categorieën risico’s zijn operationele en financiële risico’s. Risico’s omtrent wet- en regelgeving en financiële verslaggevingsrisico’s worden minder vaak vermeld. Een luttele 10% verschaft inzicht in de belangrijkste risico’s. Ondernemingen doen weliswaar vrij uitvoerig verslag van alle risico’s, maar een prioritering ontbreekt in de meeste gevallen. Wij hebben uitvoerige opsommingen van risico’s aangetroffen, zonder dat deze worden gekwantificeerd of dat daarbij een relatie met de ondernemingsstrategie wordt gelegd. Bij de kwantificering van risico’s is sprake van aanzienlijke verschillen tussen de categorieën ondernemingen. De AEX-ondernemingen rapporteren frequenter en het aantal onderscheiden risico’s is meer divers van aard. Gekwantificeerde risico’s zijn meestal ‘hard’ en financieel van aard. In de verslaggeving over risico’s is geen informatie aangetroffen over de samenhang tussen bepaalde risico’s. Driekwart van de ondernemingen die de risico’s kwantificeren, verstrekt informatie over het effect op het resultaat: de helft rapporteert de impact op het eigen vermogen. De informatie hierover neemt af naarmate ondernemingen kleiner zijn. Geen van de onderzochte ondernemingen heeft bij de gepresenteerde risico’s aangegeven wat de kans is op het zich voordoen van een dergelijk risico.

34

Slechts 15% van de onderzochte ondernemingen geeft een indicatie van haar risicobereidheid; de risk appetite wordt nog te weinig concreet beschreven. Informatie over risicobeheersings- en controlesystemen van de onderneming Alle AEX- en AMX-ondernemingen hebben informatie opgenomen over de systemen en de procedures, dat geldt niet voor de AScX- en de Overige ondernemingen. De kwaliteit van de hierover verstrekte informatie verschilt sterk. Met name voor de kleine ondernemingen geldt dat informatie over de procedures niet of slechts beperkt aanwezig is. Ruim de helft verwijst in de beschrijving van de systemen naar het werk van de controlerende accountant en driekwart van alle ondernemingen naar de interne accountant en/of stafdiensten met een controlerende taak. 7 Samenvatting In vrijwel alle jaarverslagen wordt melding gemaakt van een periodieke evaluatie, maar in minder dan 5% wordt daadwerkelijk informatie over de uitkomsten van de evaluatie verstrekt. AScX-ondernemingen zijn het meest transparant (14%), de AEX-ondernemingen daarentegen zijn volledig intransparant, zij lijken geen inzicht te willen geven in mogelijke tekortkomingen van de risicobeheersings- en controlesystemen. 71% van de ondernemingen beschrijven de risico’s en de systemen in één hoofdstuk of apart onderdeel van het jaarverslag. De AScX- en de Overige ondernemingen scoren beter dan de AEX- en AMX-ondernemingen. Ruim een derde van de ondernemingen heeft de ‘in control’-verklaring niet opgenomen in de risicoparagraaf, vooral de AEX-ondernemingen blijken hiervan af te wijken. Het meest gebruikte risicoraamwerk is het COSO-model, iets minder dan de helft van de ondernemingen verwijst hiernaar (voor de AEX ligt dit op 91%). Opvallend is dat het meest wordt verwezen naar het (oudere) COSO-IC model. Twee derde van de AEX-ondernemingen verwijst naar het oorspronkelijke COSO-model, bij de AMX en AScX wordt relatief vaker verwezen naar COSO-ERM. De ‘in-control’ verklaring Slechts een kwart van de ondernemingen verwijst in de ‘in control’ verklaring expliciet naar best practice bepaling II.1.4, eenderde verwijst naar de aanbevelingen van de Monitoring Commissie. Minder dan een kwart van alle ondernemingen rapporteert over de werking van de risicobeheersings- en controlesystemen in het boekjaar. De verslaggeving over de werking van de systemen heeft merendeels betrekking op de financiële verslaggeving. Iets minder dan één op de tien ondernemingen verklaart in brede zin dat de systemen effectief zijn: zeven ondernemingen verklaren dat de systemen effectief en adequaat zijn. Slechts één onderneming geeft een onderbouwing van de verklaring omtrent de effectiviteit en adequaatheid van de interne risicobeheersings- en controlesystemen. Wat betreft de werking van risicobeheersings- en controlesystemen blijken de afgegeven verklaringen niet goed aan te sluiten bij best practice bepaling II.1.4 van de Code. De ‘in control’-verklaring die betrekking heeft op de risico’s met betrekking tot de financiële verslaggeving (conform de guidance van de Monitoring Commissie) is in 85% van de jaarverslagen aangetroffen. De AEXen AMX-ondernemingen scoren 100%, bij de AScX- en Overige ondernemingen is dit 86% respectievelijk 69%. Het forward looking statement is in 65% van de jaarverslagen aangetroffen. Opvallend is de relatief lage score van de AEX (76%). Tenslotte is nagegaan of de risicoparagraaf, voor zover betrekking hebbend op de financiële verslaggevingsrisico’s, informatie bevat over eventuele tekortkomingen en/of doorgevoerde of geplande verbeteringen zijn aangegeven. Slechts 4% van de ondernemingen vermeldt

35

eventuele materiële tekortkomingen die zijn geconstateerd, terwijl één op de vijf ondernemingen melding maakt van doorgevoerde of geplande verbeteringen. Ondernemingen wensen klaarblijkelijk liever geen inzicht te geven in mogelijke tekortkomingen van de risicobeheersings- en controlesystemen. Dit geldt het sterkst voor de grote ondernemingen.

36

Bijlage 2: Protocol voor interview en vragenlijst Dit zijn de vragenlijsten (respectievelijk deel I en deel II) die zijn gebruikt om de positie van Risk Management en Internal Audit, de kerntaken en invulling daarvan in het kader van de huidige crisis in de praktijk te toetsen. De literatuur en theorie die in het referaat zijn beschreven vormden de basis voor de vragen die gesteld zijn. De vragenlijsten zijn tijdens de interviews verstrekt, toegelicht en besproken met geïnterviewden. Deel I: Positie Risk Management, kerntaken Risk Management en de invulling daarvan, ook naar aanleiding van de huidige crisis Uit een onderzoek van de IIA is gebleken dat een groot deel van de respondenten het niet eens is met de stelling dat beter Risk Management de (negatieve) gevolgen van de crisis voor hun organisatie had kunnen voorkomen. Onderstaand de vragenlijst om antwoord te krijgen op de vragen wat de positie is van Risk Management binnen een drietal financiële instellingen, wat de kerntaken zijn van Risk Management, hoe die wordt ingevuld, en wat de (verbeter) maatregelen zijn naar aanleiding van de huidige crisis. 1. Is er een zelfstandige Risk Management afdeling?

Ja Neen

Toelichting: 2. Operational en Enterprise Risk Management zijn geïntegreerd?

Ja Neen

Toelichting: 3. Hoe lang geleden is deze afdeling opgezet?

5 jaar geleden 4 jaar geleden anders, nl………… nvt

Toelichting: 4. Wie is de hoogste functionaris verantwoordelijk voor Risk Management?

CFO CRO Anders,nl. …………………….

Toelichting: 5. Zit CRO ook in Raad van Bestuur?

Ja Neen

6. Aan wie rapporteert Risk Management? (meerdere antwoorden mogelijk)

37

CFO CRO Lijn management RvB RvC (via Risk en audit committee) Anders, nl………………..

Toelichting:

7. Wat is de rapportage frequentie? (meerdere antwoorden mogelijk)

Wekelijks Maandelijks Per kwartaal Anders, nl………………………….

Toelichting:

8. Is er een Risk Committee in de Raad van Commissarissen? Ja Neen

Toelichting: 9. Welk Risicomanagement raamwerk/methodiek wordt gehanteerd?

COSO I/ COSO-IC COSO II / ERM Anders, nl………..

Toelichting: 10. Wat zijn de kerntaken van Risk Management? (meerdere antwoorden mogelijk)

Risico identificatie en assessment Risico analyse en advies Risicobeheersing Anders, nl. ……………………

Toelichting: 11. Hoe uit de eventuele samenwerking tussen Risk Management en de andere lines

of defence (Internal Audit, Compliance e.d.) zich in uw organisatie? (meerdere antwoorden mogelijk)

Gebruik van dezelfde definities Gebruik van dezelfde referentiekaders Afstemming planningen en activiteiten Anders, nl…………………………..

Toelichting: 12.Wie heeft hierbij de lead?

Risk Management Internal Audit Compliance Anders, nl………….

Toelichting:

38

13.Is er in uw organisatie, naar aanleiding van de crisis, een grotere focus voor scenario analyses en stress testing als tools voor het meten en managen van risico’s?

Ja Neen

Toelichting: Op een schaal van 1 tot en met 5 (1= oneens, 5 = eens)

1 2 3 4 5

14. Risk Management geeft goed invulling aan haar kerntaken 0 0 0 0 0

15. Risk Management werkt goed samen met de andere lines of defence

0 0 0 0 0

16. De samenwerking van Risk Management met de andere lines of defence is verbeterd naar aanleiding van de crisis

0 0 0 0 0

17. De strategie vormt een belangrijke input voor het Risk Management plan. In dit proces worden de Risk Management activiteiten gekoppeld aan de (belangrijkste) strategische risico’s

0 0 0 0 0

18. Risk Management is betrokken bij beslissingen over nieuwe business, producten en aangaan van (belangrijke en / of grote) transacties

0 0 0 0 0

19. Betere Risk Management had de (negatieve) effecten van de crisis op de organisatie kunnen voorkomen

0 0 0 0 0

20. Er was vóór de crisis voldoende draagvlak van senior management voor Risk Management

0 0 0 0 0

21. Er is na de crisis voldoende draagvlak van senior management voor Risk Management

0 0 0 0 0

22. Risk Management heeft een rol ter voorkoming of beperking van de impact van een crisis op de organisatie

0 0 0 0 0

23. Risk Management is voldoende op de hoogte van alle operationele en strategische ontwikkelingen binnen de organisatie

0 0 0 0 0

24. Het Risk Managementproces en plan is flexibel waardoor nieuwe ontwikkelingen en emerging (nieuwe opkomende) risks goed worden geïdentificeerd en geanalyseerd.

0 0 0 0 0

25. Stakeholders vinden dat Risk Management voldoende (toegevoegde) waarde levert. 0 0 0 0 0

26. Toegevoegde waarde Risicomanagement binnen uw organisatie is: a) Gericht op realisatie organisatiedoelstelling en afstemming strategie met risk appetite?

b) Vermindering operationele verrassingen en verliezen? c) Betere beslissingen over hoe risico’s te beheersen (risk removal, reduction, transfer, acceptance)?

0 0 0 0

0 0 0 0

0 0 0 0

0 0 0 0

0 0 0 0

39

d) Geïntegreerde maatregelen voor verschillende risico’s? e) Het in relatie brengen van groei, risico en return? f) Betere inzet van kapitaal en resources (o.b.v. informatie over risk exposure)?

G) Aangrijpen van kansen die zich voordoen? h) Transparantie: inzicht in risicoprofiel t.b.v. stakeholders?

0 0 0 0

0 0 0 0

0 0 0 0

0 0 0 0

0 0 0 0

Opmerkingen:

40

Deel II: Positie van Internal Audit, kerntaken Internal Audit en de invulling daarvan, ook naar aanleiding van de huidige crisis Tijdens een onderzoek van de The Institute of Internal Auditors (IIA) is gebleken dat een groot deel van de respondenten het niet eens is met de stelling dat beter Risk Management de (negatieve) gevolgen van de crisis voor hun organisatie had kunnen voorkomen. Wel vindt een meerderheid van de respondenten dat Internal Audit meer had moeten doen om de organisatie te helpen om de belangrijkste risico’s te identificeren. Onderstaand de vragenlijst om antwoord te krijgen op de vragen wat de positie is van Internal Audit binnen een drietal financiële instellingen, wat de kerntaken zijn van Internal Audit, hoe die worden ingevuld en wat de (verbeter) maatregelen zijn naar aanleiding van de huidige crisis. 1.Is er een zelfstandige Internal Audit afdeling?

Ja Neen

Toelichting: 2. Hoe lang geleden is deze opgezet?

5 jaar geleden 4 jaar geleden anders, nl…….. nvt

Toelichting: 3. Wie is de hoogste functionaris verantwoordelijk voor Internal Audit?

CFO CEO Chief Audit Executive Anders, nl…….

Toelichting: 4.Aan wie rapporteert Internal Audit (meerdere antwoorden mogelijk)?

Raad van Bestuur CFO CEO Anders, nl. ……………………….

Toelichting: 5. Wie is de opdrachtgever van Internal Audit? (Meerdere antwoorden mogelijk)?

CFO CEO RvC Lijn management Anders, nl…………………

Toelichting:

6. Is er een Audit Committee in Raad van Commissarissen? Ja

41

Neen Toelichting:

7.Wat zijn de kerntaken van Internal Audit? Verschaffen van assurance over de mate van interne beheersing Risicobeheersing Risicoidentificatie Assurance over effectiviteit Risk Management Risicoanalyse en advies

8. Hoe uit de eventuele samenwerking tussen Internal Audit en de andere lines of

defence (Risk Management, Compliance e.d.) zich in uw organisatie? (meerdere antwoorden mogelijk)? Gebruik van dezelfde definities Gebruik van dezelfde referentiekaders Afstemming planningen en activiteiten Anders, nl…………………………..

Toelichting: 9.Wie heeft hierin de lead?

Risk Management Internal Audit Compliance Anders, nl…………

Toelichting: 10.In welke frequentie wordt het Internal Audit plan aangepast (op basis van een uitgevoerde risicoanalyse)?

1 keer per jaar 2 keer per jaar Anders, nl………..

Toelichting: Op een schaal van 1 tot en met 5 (1= oneens, 5 = eens)

1 2 3 4 5

11. Internal Audit geeft goed invulling aan haar (kern) taken 0 0 0 0 0

12. De samenwerking tussen Internal Audit en de andere lines of defence is goed 0 0 0 0 0

13. De samenwerking van Internal Audit met de andere lines of defence is verbeterd naar aanleiding van de crisis 0 0 0 0 0

14. De strategie vormt een belangrijke input voor Internal Audit plan. In dit proces worden de Internal Audit activiteiten gekoppeld aan de (belangrijkste) strategische risico’s

0 0 0 0 0

15. Internal Audit wordt betrokken bij (belangrijke) beslissingen over nieuwe business, producten en aangaan van (belangrijke en / of grote) transacties

0 0 0 0 0

16. Internal Audit had een (betere) bijdrage kunnen leveren ter voorkoming of vermindering van de (negatieve) effecten van de crisis voor de organisatie

0 0 0 0 0

42

17. Er was vóór de crisis voldoende draagvlak van senior management en Bestuur voor Internal Audit?

0 0 0 0 0

18. Er was na de crisis voldoende draagvlak van senior management en Bestuur voor Internal Audit?

0 0 0 0 0

43

Bijlage 3: Uitkomsten interviews Hierbij de detailresultaten uit de gehouden interviews. De resultaten worden, op verzoek van de respondenten, anoniem weergegeven, om te voorkomen dat zij te herleiden zijn tot een bepaalde organisatie. Deel I Risk Management

Nr. Vragen Organisatie A Organisatie B Organisatie C

1 Is er een zelfstandige Risk Management functie?

Ja Ja Ja

2 Operational en Enterprise Risk Management zijn geïntegreerd?

Neen, Risk Management onderdelen zijn gestructureerd per bedrijfsonderdeel dat wereldwijd opereert.

Ja Neen, Wel geïntegreerde rapportages

3 Hoe lang geleden is deze afdeling opgezet?

Langer dan 10 jaar Ongeveer 6 jaar Langer dan 5 jaar

4 Wie is de hoogste functionaris verantwoordelijk voor Risk Management?

CRO CRO CRO

5 Zit CRO ook in Raad van Bestuur?

Ja Neen Ja

6 Aan wie rapporteert Risk Management? (meerdere antwoorden mogelijk)

CRO, RvB Via CRO aan CFO • Via CRO aan RvB

• Lijnmanagement Business Unit Nederland / CEO Nederland

7 Wat is de rapportage frequentie? (meerdere antwoorden mogelijk)

Maandelijks en per kwartaal. Afhankelijk van ontwikkelingen wordt vaker gerapporteerd.

Per Kwartaal Maandelijks

8 Is er een Risk Committee in de Raad van Commissarissen?

Neen. Er is een Risk Committee binnen de Raad van Bestuur

Ja Ja, Compliance Committee waarin ook Risk Management issues worden besproken

9 Welk Risicomanagement raamwerk/methodiek wordt gehanteerd?

Een eigen intern model, gebouwd op basis van bestaande modellen en eigen best practices

Eigen intern model, deze is in lijn met bestaande raamwerken, zoals COSO II en Solvency II

COSO II / ERM

10 Wat zijn de kerntaken van Risk Management? (meerdere antwoorden mogelijk)




44






• Risicobeheersing • Kwantificeren,

monitoren en mitigeren van risico’s

• Voorbereiden risk appetite besluitvorming

11 Hoe uit de eventuele samenwerking tussen Risk Management en de andere lines of defence (Internal Audit, Compliance e.d.) zich in uw organisatie? (meerdere antwoorden mogelijk)

Is situatieafhankelijk. Een ieder gebruikt haar eigen definities en referentiekaders. Planningen en activiteiten worden niet op elkaar afgestemd. Tussen de Risk Management afdelingen wordt wel samengewerkt en vindt er kennisdeling plaats.

Afstemming planningen en activiteiten. In de praktijk gaat dat informeel. In de toekomst wil men hier meer structuur in aanbrengen

Er worden verschillende definities en referentiekaders gebruikt. Er is nu een ontwikkeling gaande waarbij gekeken wordt naar mogelijkheden om de diverse lines of defence beter te laten samenwerken. Dus meer uniformiteit in frameworks, definities en wijze van risicometing

12 Wie heeft hierbij de lead? Is afhankelijk van onderwerp

Meestal Risk Management, afhankelijk van het onderwerp

Risk Management heeft initiatief genomen om te onderzoeken hoe de samenwerking te verbeteren.

13 Is er in uw organisatie, naar aanleiding van de crisis, een grotere focus voor scenario analyses en stress testing als tools voor het meten en managen van risico’s?

Ja Ja Ja

Stellingen Op een schaal van 1 tot en met 5 (1= oneens, 5 = eens) Nr. Stelling Organisatie A Organisatie B Organisatie C

14 Risk Management geeft goed invulling aan haar kerntaken

4 4 3

15 Risk Management werkt goed samen met de andere lines of defence

4 3 2

16 De samenwerking van Risk Management met de andere lines of defence is verbeterd naar aanleiding van de crisis

4 3 4

45

Nr. Stelling Organisatie A Organisatie B Organisatie C

17 De strategie vormt een belangrijke input voor het Risk Management plan. In dit proces worden de Risk Management activiteiten gekoppeld aan de (belangrijkste) strategische risico’s

3 3 3

18 Risk Management is betrokken bij beslissingen over nieuwe business, producten en aangaan van (belangrijke en / of grote) transacties

5 5 3

19 Betere Risk Management had de (negatieve) effecten van de crisis op de organisatie kunnen voorkomen

2 3 1

20 Er was vóór de crisis voldoende draagvlak van senior management voor Risk Management

5 4 2

21 Er is na de crisis voldoende draagvlak van senior management voor Risk Management

5 4 5

22 Risk Management heeft een rol ter voorkoming of beperking van de impact van een crisis op de organisatie

5 5 5

23 Risk Management is voldoende op de hoogte van alle operationele en strategische ontwikkelingen binnen de organisatie

5 5 4

24 Het Risk Managementproces en plan is flexibel waardoor nieuwe ontwikkelingen en emerging (nieuwe opkomende) risks goed worden geïdentificeerd en geanalyseerd.

5 4 3

25 Stakeholders vinden dat Risk Management voldoende (toegevoegde) waarde levert.

4 4 4

26 26a 26b 26c 26d

Toegevoegde waarde Risicomanagement binnen uw organisatie is: Gericht op realisatie organisatiedoelstelling en afstemming strategie met risk appetite Vermindering operationele verrassingen en verliezen Betere beslissingen over hoe risico’s te beheersen (risk removal, reduction, transfer, acceptance) Geïntegreerde maatregelen voor

4 4 4 4

4 4 4 4

3 4 3 2

46


26e

26f 26g 26h

verschillende risico’s Het in relatie brengen van groei, risico en return Betere inzet van kapitaal en resources (o.b.v. informatie over risk exposure)

Aangrijpen van kansen die zich voordoen Transparantie: inzicht in risicoprofiel t.b.v. stakeholders

4 4 4 4

4 5 3 4

4 3 2 3

Deel II Internal Audit


1 Is er een zelfstandige Internal Audit afdeling?

Ja Ja Ja

2 Hoe lang geleden is deze opgezet?

Tenminste 20 jaar Langer dan 5 jaar Langer dan 5 jaar

3 Wie is de hoogste functionaris verantwoordelijk voor Internal Audit?

General manager van Internal Audit. Deze valt rechtstreeks onder de CEO

CEO CEO

4 Aan wie rapporteert Internal Audit (meerdere antwoorden mogelijk)?

Afhankelijk van het onderwerp en onderzoek aan: • Audit

Committee • RvB • CFO • CEO Audit Committee krijgt alle rapporten te zien

• CEO • Audit

Committee • Group Internal

Audit In Audit Committee hebben zitting CFO van de N.V. en leden van de Raad van Commissarissen.

• CEO • Voorzitter

Audit Committee

In Audit Committee hebben leden van de RvC zitting

5 Wie is de opdrachtgever van Internal Audit? (Meerdere antwoorden mogelijk)?

• CFO (bijv. bij fraude onderzoek)

• CEO (review nieuwe structuur)

• RVC (In bijzondere gevallen)

• Lijnmanagement

• CFO • CEO • Overige leden

van de Directie • Voorzitter MT

van een business unit of stafafdeling

• Voorzitter van een programma

• CFO • CEO • Lijn

management

47


board of Stuurgroep (bij projecten)

Naast het bovenstaande zou de voorzitter van een business line ook opdrachtgever kunnen zijn.

6 Is er een Audit Committee in Raad van Commissarissen?

Ja Ja Ja

7 Wat zijn de kerntaken van Internal Audit?


• Risicobeheersing • Risico-

identificatie • Assurance over

effectiviteit Risk Management

• Risicoanalyse en advies


• Assurance over effectiviteit van Risk Management en Compliance

Verschaffen van assurance over de mate van interne beheersing

8 Hoe uit de eventuele samenwerking tussen Internal Audit en de andere lines of defence (Risk Management, Compliance e.d.) zich in uw organisatie? (meerdere antwoorden mogelijk)?


• Gebruik van dezelfde referentiekaders vastgesteld door Group


• Informeren onderling over elkanders activiteiten

Naast bovenstaande vindt opvolging van bevindingen uit auditactiviteiten, vastgelegd in een bevindingen database, plaats door de 1e lijn. Monitoring van de opvolging vindt plaats door Risk Management en toetsing van de opvolging door Internal Audit




Afstemming van bevindingen en risicobeeld door Chief Audit Executive met CEO. Hoofd Group audit met CRO en CFO. Auditor met Hoofd Audit Compliance

48


9 Wie heeft hierin de lead? Internal Audit neemt hierbij het initiatief

Wisselt, is afhankelijk van het onderwerp

Wisselwerking

10 In welke frequentie wordt het Internal Audit plan aangepast (op basis van een uitgevoerde risicoanalyse)?

1 keer per jaar. 4 keer per jaar wordt actualiteit van plan getoetst en indien nodig aangepast o.a. op basis van audit bevindingen, overige interne en externe ontwikkelingen en speciale verzoeken van management of toezichthouder via de RvB.

1 keer per jaar. 4 keer per jaar wordt plan geüpdate

1 keer per jaar. 4 keer per jaar re-assessment om te beoordelen of risico’s niet zijn veranderd. Indien nodig wordt hierbij een deel van het plan aangepast, afhankelijk van de ontwikkelingen.

Stellingen Op een schaal van 1 tot en met 5 (1= oneens, 5 = eens) Nr. Stelling Organisatie A Organisatie B Organisatie C

11 Internal Audit geeft goed invulling aan haar (kern) taken

5 4 4

12 De samenwerking tussen Internal Audit en de andere lines of defence is goed

4 4 4

13 De samenwerking van Internal Audit met de andere lines of defence is verbeterd naar aanleiding van de crisis

3 3 3

14 De strategie vormt een belangrijke input voor Internal Audit plan. In dit proces worden de Internal Audit activiteiten gekoppeld aan de (belangrijkste) strategische risico’s

5 4 4

15 Internal Audit wordt betrokken bij (belangrijke) beslissingen over nieuwe business, producten en aangaan van (belangrijke en / of grote) transacties

3 4 3

16 Internal Audit had een (betere) bijdrage kunnen leveren ter voorkoming of vermindering van de (negatieve) effecten van de crisis voor de organisatie

3 3 3

17 Er was vóór de crisis voldoende draagvlak van senior management en Bestuur voor Internal Audit

5 5 4

49


18 Er was na de crisis voldoende draagvlak van senior management en Bestuur voor Internal Audit

5 5 4

50

Risk Management en Risicobeheersing...Het bovenstaande vormde voor mij de aanleiding om voor mijn...

Documents

Transcript of Risk Management en Risicobeheersing...Het bovenstaande vormde voor mij de aanleiding om voor mijn...