Samenvatting Corporate Governance and Risk Management

Samenvatting Corporate Governance and Risk Management:
Complete samenvatting van alle colleges aansluitend op de

examentopics
Uitgebreide_samenvatting_Corporate_Governance_and_Risk
_Management.pdf
Universiteit van Amsterdam | Corporate Governance and Risk Management
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke | E-mail adres: pakamas28_srichoke@hotmail.com
Summary Corporate Governance & Risk Management
Het simpelste concept van control is gewoon de

Risk Management Cycle.
Alle activiteiten die een Risk Management afdeling afdekt zou je hier aan moeten
hebben koppelen:
1. Identify risks: je zou van te voren toch willen hebben bedacht wat er mis zou
kunnen gaan. You want to know what can hit you!
2. Measure Risks: Dan weet je dat maar dan heb je nog geen idee van de omvang
dus je wilt het risico meten.
(Kans & Schade
2 methodes:
a. professional judgement = risk self assessment (risicos door experts in

kaart laten brengen, vaak niet heel erg betrouwbaar.
b. Incidenten database: we gaan t letterlijk bijhouden: als ik vanaf nu
systematisch iedere keer als een risico zich materialiseert in een database
opneem en ook de schade opneem dan gaat langzamerhand de statistiek
werken, bij ongewijzigd beleid is dat de beste schatting die je hebt).
3. Manage Risks: implementeer control measures / maatregelen. Definieer wat je
ermee gaat doen.
4. Monitor & Report: directie laat zich informeren hoe t nu gaat.
COSO = zorg dat je de doelstellingen kent

De COSO doelstellingen:
1. Effectieve financile processen
2. betrouwbare informatie,
3. voldoen aan de wet
4. bescherming van je activa.
COSO is een redelijke garantie dat het daarna wel goed gaat maar geen garantie
of zekerheid. Dus model claimt niet dat alle problemen zijn opgelost.
Tentamen:
gegarandeerd zal er op de een of andere manier aandacht worden besteed aan t

allereerste element van COSO namelijk de:
A: Control Environment. (embedded in org = de harde en zachte factoren die
invloed hebben op beheersing, zorgen dat de setting / cultuur van de organisatie
goed is (natuurlijk, hierarisch):
De allereerste stap in de control environment is dat we naar de directie gaan
kijken en dat noemen we dan:
1. Tone at the top (ethics). Dus niet wat zegt de top maar wat stralen ze uit in
hun acties. Dat is een belangrijke voorspeller voor de rest van
En de stelling is als de directeur jat dan jat iedereen vrolijk mee. Dus slecht
voorbeeld, doet slecht volgen dus goed voorbeeld doet goed volgen. Welke
waarden hij / zij belangrijk vind wordt in de regel in de organisatie opgepakt /
opgevolgd. Stelling is dat als de tone at the top goed is de rest van de organisatie
vaak wel volgt.
Vb: combinatie van bedrijfscultuur, structuur (familiebedrijf) matched niet met
harde Angelsaksische bonus / afrekencultuur)
2. Pressure to perform = hoe belangrijker een cijfer is hoe onbetrouwbaarder t
zal zijn. Simpelweg omdat de neiging tot manipulatie door de straf / bonus bij
het halen of niet halen steeds groter word (vb: ontslag of bonus van 1 miljoen,
nepverkopen in December)
Management byopia = bijziendheid.
3. HRM
4. Commitment to competence (ik zet iemand alleen op die plek neer als ik de
redelijke verwachting heb dat hij de job aan kunt, dus laat iemand niet het eerste
jaar fouten maken (training on the job) maar zorgt bijvoorbeeld voor voldoende
begeleiding).
C: Risk assessment: dat is de beroemde heatmap / vierkantje waarbij je hele

discussies kunt hebben over wat hoort waar thuis.
Je hebt ook een document gekregen wat gaat over het uitvoeren van
riskassessments van COSO die hier nog een paar dimensies aan toevoegt. Die
moet je misschien nog maar een keer doorlezen, die ging niet alleen over de
impact & probability maar ook over de snelheid waarmee het incident plaatsvind
en de preparedness daarvoor.
Dus kijk nog een keer naar de risk self assessment document.
Risk Self Assessment =
Je kunt de risicos binnen de organisaties op minimaal 2 verschillende manieren
boven tafel krijgen.
1 = internal audit,
2 = je laat het de mensen zelf doen. Zet mensen in een kamer met een facilitator,
legt t proces uit en we gaan de risicos inventariseren.
Dat is vaak een stuk krachtiger dan dit door een internal audit afdeling te laten
doen want mensen kennen hun eigen werk vaak het beste. Dus maak nooit de
fout dat je alleen management uitnodigt, zorg dat de werkvloer erbij zit. Zorg
ervoor dat je de intelligentie van de werkvloer meepakt, die weten vaak op een
veel concreter niveau wat fout gaat / kan gaan.
Voordeel is dat de uitkomst is een toplist van 15 grootste risicos, je hebt met zn
allen al pratende een indicatie van schade gegeven en vaak ook al een oordeel
gegeven: vinden wij het op dit moment voldoende beheerst. Dat wordt een veel
beter gedragen (buy-in) rapport dan dat je een joker van boven langs stuurt om
dit risicos op een bepaald proces in kaart te brengen. Minder bedreigend en niet
not invented here syndrom (academische exercitie).
Tentamen:
Risk self assessment twee belangrijkste voordelen? zijn kennen de details veel
beter en de buy in is veel groter.
Tentamen:
The COSO II risk matrix: manier om inzichtelijk te maken hoe t er met je risicos
voor staat.
Kolom 1 = Risicos / events
Formuleer risicos zodat duidelijk is waar het pijn doet, pijn-management
Kolom 2 = risicos mapped vs hoofddoelstellingen van de onderneming
Kolom 3 = % waarschijnlijkheid (kans & impact)
Kolom 4 = accepteren, avoid, outsource/ share / mitigeren (=naar een acceptabel
niveau brengen)
In volgorde afwerken:
A. Accept
Alles wat je niet acceptabel vind moet je maatregelen gaan nemen:
B. Avoid (chloortreinen door t land laten rijden is geen optie meer): ik stop
er mee!
C. Outsource (schade overdragen aan de volgende partij)
D. Mitigate (zelf maatregelen nemen om risico naar een acceptabel niveau te

krijgen).
Kolom 5= beheersmaatregelen
Beheersingsmaatregelen bedenken die zorgen dat t risico omlaag gaat.
Door een stelsel van maatregelen lijkt dit risico beheerst genoeg?
Tentamen:
COSO Principles: zorg dat je er een paar kunt noemen, zorg dat je er een verhaal
bij hebt.
Kun je een paar verschillen noemen in de COSO principes (ERM vs COSO 2013):
dan zou t mooi zijn als je een verhaaltje kan vertellen over die principes en dan
vervolgens een paar principes noemen en daar een paar regels over opschrijven.
Tentamen is t moment dat je moet laten zien wat je kan, wees zo uitgebreid als
mogelijk.
Effectieve Financile processen
Betrouwbare Financile rapportages
Intern / extern
Voldoen aan de wet
Safeguarding assets
Tentamen:
Mention at least three principles of the new COSO draft internal control
framework.
Explain what elements of these principles you can identify in this case
Enkele nieuwe elementen in de nieuwe COSO II:

1. interne en externe rapportage
2. afhankelijkheid van IT
3. Fraude driehoek (gelegenheid, druk om te presteren, rationalisatie
(voorbeeldgedrag, oorzaken wegnemen))
(fraude raakt rechtstreeks de integriteit van de organisatie, dus geen tolerantie
voor fraude)
4. outsourcing = in or outside organisatie moeilijker te bepalen (is aan het
vervagen) door outsourcing. Je krijgt er een probleem bij wat je niet meer binnen
je eigen organisatie kunt oplossen. Outsourcing bij bijv. banken vrijwaart niet
van audit requirements. (tentakels uitslaan tot bij leveranciers).
Je bent en blijft gewoon verantwoordelijk voor contracten die je met klanten
afsluit. Het feit dat er iets mis gaat in de productie is door outsourcing niet weg.
ISA 3402 / SAS70 = goedkeurende jaarrekening externe auditor gaat
vaststellen dat het primaire proces is beheerst (proces / kwaliteitsaudit).
Proces is beheerst conform standaard X (keurmerken).
Sommige zaken wil je niet geoutsourced hebben want op de momenten dat het
echt spannend is wil je volledige zeggenschap en dus control hebben over de
situatie en niet worden gelimiteerd door SLAs etc. (ik ben je baas en als je dit
niet nu oppakt / oplost kun je vertrekken).
5. changes in processen / leadership: mislukte veranderingsprojecten: van de
overnames leveren nooit toegevoegde waarde, 9 van de 10 keer nauwelijks
gemeten). Vaak zie je die schade nergens nergens meer, toch is het schade
anders had je t aan je winst kunnen toevoegen.
6. risk appetite -> risk tolerantie: het werkelijk concreet maken van hoeveel
fouten mag je maken valt niet altijd mee om dit te definiren. In IT omgevingen is
dit vaak wel meetbaar (hoe lang mag een systeem er maximaal uitliggen).
Risk appetite: denk ervan wat je wil, realiseer je wel even de volgende 3 termen:
- Risk universe: dit kan er allemaal gebeuren
- Risk tolerance: dit is wat de organisatie nog net kan tolereren: wat de
organisatie maximaal kan leiden voor faillissement
- Risk Appetite: hoeveel risico wil je lopen (lastig om concreet te maken)
7. Risico Response = risico afdekken is een keuze.
A. Accept
B. Avoid (chloortreinen door t land laten rijden is geen optie meer)
C. Outsource (schade overdragen aan de volgende partij)

D. Mitigate (zelf maatregelen nemen om risico naar een acceptabel niveau te
krijgen).
8. IT controls
9. kwaliteitsaspecten van informatie.
Why COSO is flawed

Coso is done by amateurs
A man goes to a doctor. After explaining his complaints the doctor
asks him what desease he thinks he has
The author is. Risk manager
Too many attention for false-positive risks

No attention for false-negative risks
Risks are presented as a point instead of a line
Example: The risk of damage of the incident car accident is:
40% small damage

30 % medium damage
29% large damage
1% extreme damage
27
Tentamen:
Why is COSO flawed (gebrekkig)?
- COSO meet niet de voornaamste operationele issues

- er bestaat geen one size fits all methode
- overregulering is niet toepasbaar in de praktijk
- Resource intensief
- geen juiste prioriteitsstelling real risk / probability = je kunt als organisatie
ook te weinig risico lopen (gaat erom dat je de juiste balans vind tussen profit,
control en risk (light vs loose control).
- een risico is een lijn en geen punt in een heatmap
The 4 Lines of Defense
4. External audit / external authorities

3. Internal audit
2. Staff (risk management, Compliance)
1. Line management
28
Tentamen:
Vb vraag: dit zijn de afdelingen die een rol in je organisatie spelen, geef aan wat
hun rol is en koppel daar het concept van de lines of defence aan?
Lines of defence = het principile verschil tussen 2e en derde lijn.
Significant verschil tussen.
Positiebepalingen en verantwoordelijkheden tussen afdelingen.
1. Lijnmanagement
2. staff (risk management, compliance, information security, HR, Finance, alle
afdelingen die gespecialiseerd werk dagelijks het lijn management
ondersteunen, taken uithanden nemen, speciale takenpakketten hebben maar
doorgaans geen klant van dichtbij zien) Taak van second line is vaak:
aanvullende zekerheid (de nachtrust van een manager).
Dan komt er even niets ..
3. Internal Audit = (ogen en oren van topmanagement) doet niet zelf iets in het
primaire proces maar komt periodiek, bijv 1 keer per jaar een oordeel over de
werking van de eerste twee. En dan verdwijnen ze weer en geven ze weer een
oordeel.
Tentamen:
Nachtrust van de manager (internal audit = ogen en oren van het
management).
4. External audit / external authorities = alle externe partijen die ongeveer
hetzelfde doen.
TWEEDE LIJNS EN DERDE LIJNS ACTIVITEITEN MOGEN NOOIT DOOR
DEZELFDE AFDELING MOGEN PLAATSVINDEN. Waarom? Definitie van internal
audit is onafhankelijk oordeel geven over de kwaliteit van beheersing. Dat kan
alleen maar als je zelf niet bij dat proces betrokken zijn geweest. Als je wel
betrokken bent geweest krijg je t wc-eend effect, wij van wc-eend adviseren wceend.
Tweede lijn: dagelijks het management bijstaan bij het goed laten functioneren
van de organisatie.
Derde lijn: periodiek controleren / diagnose stellen of de 1ste twee
(management & riskmanagement) hun werk goed hebben gedaan.
Mensen die een oordeel geven over hun eigen werk worden in de regel niet
serieus genomen. Daarom is de scheiding van 1ste en 2de lijn essentieel!
Wat elementen waar risk management uit bestaat.

1. Risk Management
2. Compliance
3. IT control
4. Financial Control
5.
Compliance = een nieuwe afdeling, is een serieuze functie in de financiele sector,

maar laatste jaren ook in de Telecom, Chemie en branches waar je te maken hebt
met een flinke lading externe regelgeving.
Zij richten zich dus op 1 specifieke categorie risicos: namelijk dat je niet
overeenkomstig de wet handelt. Een compliance risico is misschien wel 1 van de
belangrijkste risicos waar een organisatie mee zit want je zou t een risico op een
heidebrand kunnen noemen. Non compliant kan betekenen dat je niet 1 maar
30.000 rechtszaken voor je kiezen krijgt.
Ultieme risico = einde oefening (intrekken banklicentie / faillissement).
Doel van compliance afdeling is dat zoiets niet gebeurt.
The compliance process

Exter
nal
Legis
lation
31
Het compliance proces:

Je zorgt ervoor dat je structureel genformeerd (externe antennes) bent over alle
externe wet & regelgeving die op de organisatie afkomen
vertalen naar je organisatie (moeten wij hier iets mee?)
adjustments (checks / maatregelen, procedures / werkwijze/ certificaten) IT
systemen die informatie wel / niet mogen registreren.
gevolgen voor systemen en product.
laatste stap is audit om te checken of je weer aan de regelgeving voldoet.
Je kunt compliance een afdeling van risk management noemen.
Huidige trend is risk afdeling gespecialiseerd in bepaalde categorien van risicos
(IT, security, operations, compliance etc.) 1 cluster van risicos met bijzondere
expertise naar een acceptabel niveau te krijgen.
The annual plan of risk management:

Table of contents
Roadshows
Operational loss database
Risk Self Assessments
Operational risk approval process
Key risk indicators
In Control Statements
Operational auditing
Jaarplan Risk Management bestaat uit:

1. roadshows
2. operational loss database
3. Risk self assessments
4. operational risk approval process
5. Key risk indicators
6. in control statements
7. Operational Auditing
1. roadshows (= wake up call / mensen weer scherp krijgen, creren van
awareness -> weet je wel wat voor risicos er aan jouw werk gekoppeld zijn (let
op / kijk uit!) Die actie die je daar doet doe je niet zomaar. Bijv. communicaties
tijdens werkoverleg). In sommige branches is dit verplicht.
2. Operational loss database = op het moment dat je werkelijk met risk

management aan de slag wilt moet je ieder incident rapporten, oorzaak / gevolg
en wat kun je eraan doen. Als je dat 20 jaar doet dan gaat de statistiek werken, je
krijgt dan een selectie van incidenten met dit en dit kenmerk die per jaar 200K
kost. Iemand komt met het idee om dit risico weg te nemen voor een investering
van 50K dan is t rekensommetje snel gemaakt.
Als je deze database hebt dan zie je ook de effecten van je acties.
Dus meet wat er mis gaat, meet de oorzaken, zorg dat je er goede categorien
(soort gelijke incidenten) voor hebt zodat je er iets mee kunt. In die regio, dat
proces verliezen we per jaar zoveel dan weet je ook waar je je risk management
verbeter acties op kunt gaan richten.
Het is niet eenvoudig om mensen bereid te vinden om fouten te rapporteren (=
bijv door culturele verschillen), in sommige landen steken mensen nog liever een
zwaard in hun buik dan dat ze fouten toegeven.
Sommige organisaties gaan er te ver in door bijv. ook bijna-ongelukken te gaan
rapporteren. Je hebt in feit geen schade, toch verwacht je dat mensen tijd steken
om een rapport te gaan opstellen.
3. Risk Self Assessment =

Je kunt de risicos binnen de organisaties op minimaal 2 verschillende manieren
boven tafel krijgen.
1 = internal audit,
2 = je laat het de mensen zelf doen. Zet mensen in een kamer met een facilitator,
legt t proces uit en we gaan de risicos inventariseren.
Dat is vaak een stuk krachtiger dan dit door een internal audit afdeling te laten
doen want mensen kennen hun eigen werk vaak het beste. Dus maak nooit de
fout dat je alleen management uitnodigt, zorg dat de werkvloer erbij zit. Zorg
ervoor dat je de intelligentie van de werkvloer meepakt, die weten vaak op een
veel concreter niveau wat fout gaat / kan gaan.
Voordeel is dat de uitkomst is een toplist van 15 grootste risicos, je hebt met zn
allen al pratende een indicatie van schade gegeven en vaak ook al een oordeel
gegeven: vinden wij het op dit moment voldoende beheerst. Dat wordt een veel
beter gedragen (buy-in) rapport dan dat je een joker van boven langs stuurt om
dit risicos op een bepaald proces in kaart te brengen. Minder bedreigend en niet
not invented here syndrom (academische exercitie).
Tentamen:
Risk self assessment twee belangrijkste voordelen? zijn kennen de details /
processen veel beter en de buy-in van de output is veel groter. De groep heeft t
per slot van rekening gezamenlijk gedaan.
Risk Management = het mitigeren van risicos in de meest efficinte manier

(kosten vs. baten analyse).
Een tikje specifieker dan COSO hoe je risk assessment in de praktijk brengt.
1. Objective / doelstellingen informatie
2. Hoe goed worden risicos gemanaged?
3. Interactions
4. Passend niveau van controle
5. Volledig transparant rapportage proces
N.B. Risicos staan vrijwel nooit op zich dus belangrijk om de onderlinge relatie
en interactie te begrijpen (interaction matrix / montecarlo simulatie).
Hoe gaan we om met al die risicos: black swan.

Scenario analyse: stel dat wat doe ik dan?
Sommige organisaties (afhankelijk qua omvang & business model) doen
uitgebreide scenario analyses: een goed voorbeeld daarvan is Shell.
6. risk appetite -> risk tolerantie: het werkelijk concreet maken van hoeveel
fouten mag je maken valt niet altijd mee om dit te definiren. In IT omgevingen is
dit vaak wel meetbaar (hoe lang mag een systeem er maximaal uitliggen).
Risk appetite: denk ervan wat je wil, realiseer je wel even de volgende 3 termen:
- Risk universe: dit kan er allemaal gebeuren (voor een bepaalde persoon / of
organisatie
- Risk tolerance: dit is wat de organisatie nog net kan tolereren: wat de
organisatie maximaal kan leiden voor faillissement
- Risk Appetite: hoeveel risico wil je lopen (lastig om concreet te maken)
Probleem: hoe ga je dat concreet maken / hoe ga je daar een getal of een beta
concept aanhangen?
Nou dat heeft Power in zn onderzoek the riskmanagement of nothing
verwoord.
Power document = belangrijkste boodschap: de 3 flaws van ERM:

- ERM is theoretische exercitie;
- Risk Management as een Management Cycle dat werk helemaal niet, typisch
iets dat accountants / controllers (regelneven) hebben verzonnen.
3 flaws of control:
- company-wide risk appetite bestaat niet: een onderneming bestaat uit
verschillende disciplines, karakters, belangen met bijbehorend risk appetite
(sales vs finance).
- er is over-confidence in tools en systemen (verleden is niet voldoende om de
toekomst te voorspellen).
en
-risicos niet verwarren met normaal ondernemingsrisico
Check het Black Swan principle de eerste risk manager die zegt: wij zijn
volledig in control die moet je onmiddellijk ontslaan.
Black Swan = het evenement is een verrassing, het heeft een grote impact en na
het voldongen feit, wordt het evenement verklaard.
Dus het is een uitschieter, buiten het zicht van onze verwachtingen, omdat uit
onze ervaringen niets wijst op de mogelijkheid ervan, het heeft extreme impact,
dit kan zowel positief als negatief zijn; na de gebeurtenis zoeken en vinden we
verklaringen voor het ontstaan van deze heftige gebeurtenis. Dus achter gezien is
het verklaarbaar en was het mogelijk zelfs voorspelbaar.
En daarvoor hebben we dus een heel control systeem bedacht. Laten we eens
beginnen met een organogram. We gaan mensen in hokjes stoppen, jij bent van
inkoop, jij bent van verkoop, daar koppelen we een systeem van taken en
bevoegdheden aan vast, die taken en bevoegdheden hebben ook iets te maken
met technische functiescheiding. We gaan mensen vertellen dat dit de strategie is
en dat en dat de doelstellingen van de organisatie zijn en als je je targets haalt is
het goed en als je ze niet haalt mag je op zoek naar een andere baan. We gaan een
heel systeem van controls invoeren die gesteund zijn op IT / functiescheidingen.
We voegen hier een afdeling intern control aan toe (de oren en ogen van het
topmanagement: hier gaat t fout / hier gaat t goed). Dat hele control framework
moet uiteindelijk zorgen voor een bepaalde vorm van assurance dat t
management weet dat t goed gaat dan wel op tijd wordt genformeerd dat t niet
goed gaat.
En tegenwoordig door dit prachtige vak is dit sinds 2000 ook nog eens in wetten
vastgelegd. In jaarrekening staat nu wat de directie krijgt, mag doen, wat zijn de
belangrijkste risicos van de organisatie zijn en wat ze daar allemaal aan hebben
gedaan.
In control statement = waar ben in control over? Is dat over de hele organisatie
of alleen financile rapportages?
In control statement volgens:
1. Sox: als het maar goed in je jaarrekening komt te staan
2. Tabaksblat = de organisatie zegt dat ze beheerst is, ieder aspect moet
voldoende beheerst zijn (dus over HR, techniek, veiligheid etc.)
Je kunt je afvragen wat de toegevoegde waarde is van een verklaring waarin
staat dat alles in control is.
nu aangepast (Frijns): alleen maar van toepassing op Balans &
Resultatenrekening. (rest is belangrijk maar staan niet in Corporate Governance
regelgeving).
In control statement is geen ja / nee game, je kunt meer of minder in control zijn.
Slide 43: vrij vertaald komt dat op dit neer: 90% kans dat ik mijn doestellingen
haal. Je kunt dus niet zeggen ja het is zo.
Risk Management cordineert het tekenen van de verklaringen.
Het zou een zinvol concept kunnen zijn maar is in veel organisatie vaak compleet
gebakken lucht (je vraagt mensen om te tekenen en eigenlijk is niet tekenen of
enkele voorbehouden maken geen optie).
In control kan nooit betekenen dat t een garantie is dat er nooit meer iets mis
gaat. In control statement is geen ja / nee game, je kunt meer of minder in
control zijn. vrij vertaald komt dat op dit neer: 90% kans dat ik mijn
doestellingen haal. Je kunt dus niet zeggen ja het is zo.
Er zijn in control statements die wel zinvol zijn maar die zien er wat anders uit
dan een briefje waar mensen alleen hun handtekening op hoeven te zetten.
In US als gevolg van Sox is het verplicht om evt risicos / onbeheerste zaken te
rapporteren. In Nederland staan hier geen straffen op.
Tentamen:
In control statement = waar ben in je control over? Is dat over de hele
organisatie of alleen financile rapportages?
Volatiliteit van de omstandigheden is anders, waardoor iets niet specifieker dan

verwoorden dan x%.
In control statements benaderen met een gezonde sceptis:

In control = geen Y / N game, dus tick in the box niet zinvol.
Mensen denken over het algemeen dat ze iets veel beter kunnen inschatten dan
de realiteit vaak veel te optimistisch.
Misschien moeten we langzamerhand af van de kwantificeren van risico --?
Alternatief: stap van cijfers af, laat managers maar in tekst vorm beschrijven wat
de manager doet om de risicos te beheersen.
Examen:
Stel dat manager 5 paginas op stelt (kwalitatieve versie) inhoudelijkere
discussie, genuanceerd denken over risk engagement & in control.
Zijn vaak geen objectieve feiten, kan ook zijn dat twee managers een totaal
verschillende perceptie hebben van wat belangrijk is. Je moet dus allebei
hetzelfde normenkader hebben, dezelfde criteria hanteren. Dus normstelling
moet enigszins zijn gekalibreerd.
Tentamen:
Slide 46: IT disasters:
Heb je alles geregeld in je organisatie, werkt je systeem niet. Als nu ergens Risk
Management belangrijk is en alleen maar belangrijker zal worden dan is t wel in
de IT omgeving. De afhankelijkheid van organisaties op hun IT omgevingen
groeit al jaren.
Er is op dit moment geen organisatie meer waarbij de primaire processen niet
door IT worden ondersteund. Dat betekent dan ook dat als er iets niet goed gaat
ook je primaire processen stil liggen. De penetratie van IT in de primaire
processen is dusdanig groot geworden dat organisaties er volledig van
afhankelijk zijn geworden.
De beheersingsculuur / omgeving is sterk branche afhankelijk, grote bedrijven
hebben t in de regel wel redelijk geregeld.
Stabiel evenwicht = als er iets misgaat in de organisatie dan corrigeert de
organisatie zichzelf.
In de IT is er sprake van een Labiel evenwicht = als t fout gaat dan gaat t meteen
ook helemaal fout.
Slide 48: COBIT 5: als niet IT expert moet je weten dat t model bestaat, hoef je
dus niet inhoudelijk te kennen. In tentamen niets over IT controls.
In Tentamen komt niets terug over IT controls.
Business continuity planning

disaster
recovery
plan
Process
es
People
and
IT
Premise
s
Business
Prioritie
s
Continuity
Public
Infrastructur
e
Publicity
What are a DISASTER RECOVERY PLAN

and a BUSINESS CONTINUITY PLAN ?
Disaster recovery Planning (DRP) looks specifically at the
technical aspects of how a company can get back into
operation using backup facilities
Business Continuity Plans (BCP) are sometimes referred
to as Disaster Recovery Plans (DRP) and the two have
much in common. However a DRP should be oriented
towards recovering after a disaster whereas a BCP shows
how to continue doing business until recovery is
accomplished
SOX 302 / 906:

Eerste artikel wat werd aangenomen is Sox 302 / 906 =
die zegt dat de CEO / CFO ieder kwartaal opnieuw instaan voor de juistheid van
de gepubliceerde cijfers. Dat werd als eerste ingevoerd, met terugwerkende
kracht hebben ze toen getekend voor de verantwoordelijkheid voor de
gepubliceerde cijfers. (op basis van dit artikel zouden ze al 20 jaar
gevangenisstraf kunnen krijgen als later niet blijkt te kloppen, dus als later blijkt
dat ze hebben meegewerkt aan deze frauduleuze rapportage). Ook als je niet
moreel maar wel formeel (iemand binnen je organisatie) schuldig bent kun je de
cel in gaan. Waarom zijn deze draconische straffen ingevoerd? Omdat ze wilden
dat directie deze wet serieus namen (10 miljoen boete te voldoen door de
organisatie zou geen effect hebben).
SOX 404:
Wil zeggen je pakt je processen, alle processen die relevant zijn voor de
jaarrekening, je gaat daar je risicoanalyse op doen: daar destilleer je de key risks
uit. Daar zet ik een heel control raamwerk voor op, ieder risico moet zijn
afgedekt door een aantal controles (een soort super handboek AO). Op
periodieke basis moeten die controls ook worden uitgevoerd. En not
documented is not done dus als je t later niet kunt aantonen dat je e.a. hebt
getest is t niet gedaan. Daarna komt de externe accountant nog eens langs en die
checkt of jij dit hele proces goed hebt doorlopen. Neemt kennis van jouw
controls, doet er zelf nog een paar en uiteindelijk tekent de accountant mee met
de boodschap: dit control framework (404 statement) heeft gewerkt.
Tentamen: wat moet een organisatie allemaal hebben geregeld om een SOX 404
statement te kunnen geven?
Dat is dus een heel internal control framework inrichten:
1. risicos inventariseren waar het fout zou kunnen gaan die kunnen leiden tot
fouten in de jaarrekening.
2. controls definiren
3. een test plan opzetten
4. zorgen voor executie / uitvoering
5. zorgen dat er een management statement komt over de uitgevoerde controls.
SOX 806 = goed geregeld in US (ontslagbescherming / 10-20% beloning) slecht
in NL, Balkenende = bescherming van klokkenluiders laten wij aan de markt
over.
Een klokkenluiders is pas een klokkenluider als hij / zij het eerst intern heeft
aangekaart. M.a.w. de organisatie zet intern de zaken niet recht.
Tentamen: De elementen van Sox: zorg dat je kan vertellen wat Sox 302 / 906
inhouden en wat er allemaal geregeld.
Tentamen:
Tentamen: zorg dat je je mening kunt geven over een aantal positieve en
negatieve punten voor wat betreft Sox.
Positief: Sox meer winst, vertrouwen in financile rapportage, meer

informatie aandeelhouder
Negatief: Sox kost veel (papieren circus), met name kleinere en minder
grote bedrijven was t een reden om te delisten om maar niet met deze
enorme lading regelgeving geconfronteerd te worden (gemiddelde audit
fee van een audit fee was voor SOX plichtige klant ongeveer 3 keer zo
hoog dan ervoor).
Tentamen:
Corporate Governance in NL:
In NL hebben we ook een Corporate Governance Code gehad. En bijna alle codes
komen wel naar aanleiding van een incident.
- Peters (1996), heeft nooit tot enige vorm van Governance geresulteerd
bestond uit 40 aanbevelingen.
- Tabaksblat (2003)
Er hangen helaas geen sancties aan de Nederlandse Governance code -> men
hanteert t principe comply or explain je houd je aan de code of je legt uit
waarom je niet voldoet. Het slechtste wat je kan gebeuren is slechte publiciteit.
Agency theory = betreft de relatie tussen principaal (opdrachtgever) en agent

(opdrachtnemer) waarbij de opdrachtnemer niet alleen de belangen van de
opdrachtgever nastreeft bij het uitvoeren van taken voor die opdrachtgever. De
opdrachtgever is niet volledig in staat om dit te controleren doordat deze de taak
niet zelf uitvoert en daarmee bepaalde informatie niet heeft. Er is sprake van
informatieasymmetrie in het voordeel van de agent.
Het Agency principe begon rond 1900 groot te worden. Industrile revolutie,
schaalvergroting. En eigenlijk voor t eerst was daar het verhaal dat voor t eerst t
management van de organisatie niet langer de eigenaren waren van de
organisatie.
Directe control werd vervangen door indirecte control. Grote organisaties
kunnen ook alleen worden gefinancierd door aandeelhouders. Dus in een paar
jaar vervijfvoudigen t aantal organisaties dat aandelen uitgeeft. Dit betekent dat
er afstand komt tussen eigenaren en management.
Stel je stopt ergens 1000 euro in, hoe controleer ik het rendement? De
volledigheid van de opbrengsten verantwoording? Hoe weet ik zeker dat de
kosten echte kosten zijn en niet toevallig de hobby van de directeur.
Dit leidt tot 2 nieuwe zaken:
1. het jaarverslag
2. een nieuw beroep: een controlerend accountant. Het idee is als iemand
account is en hij staat geregistreerd in t register dan mag de hele wereld ervan
uit gaan dat t klopt.
Limberg 1932 noemde dat de leer van t gewekte vertrouwen (principle of trust).
Corporate governance zijn de systemen en processen die bepalen hoe

ondernemingen worden geleid en gecontroleerd. De vier principes van corporate
governance zijn: redelijkheid ("fairness"), transparantie, het afleggen van
rekenschap en verantwoordelijkheid.
= het spel tussen board, supervisory board, accountant & toezichthoudende
organen.
Doelstelling van SOX was zo snel mogelijk het vertrouwen herstellen van
financile rapportages en het werken van de markt.
Dat is gedeeltelijk gelukt, het is aangetoond dat partijen meer vertrouwen
hebben gekregen in de Financile rapportages en jaarrekeningen.
Tentamen:
Artikel Coates 2007
- minder vertrouwen van werknemers / earningsmanagement
Cash & benefits SOX according to Coates:
- create an atmosphere of caution
- Benefits zijn niet altijd goed te kwantificeren
- het aantal incidenten is aantoonbaar minder geworden
- minder earnings management
- management (CEO / CFO) is stuk voorzichtiger geworden sfeer van
voorzichtigheid
Definitie Nederlandse Code (Tabaksblat/ Frijns)

Governance gaat over bestuur en control, verantwoordelijkheden en macht,
hoogte en samenstelling van de beloning voor bestuurders en commissarissen.
Integriteit en transparantie zijn belangrijke elementen.
De belangrijkste elementen moet je kennen, de rol van RvC en taken.

Eigen functioneren bespreken, benoeming van raad van bestuur, wat de code
precies zegt over de beloning van de directie.
Tabaksblat belangrijkste elementen:

1. aanstelling van Raad van Commissarisen
2. relatie tussen directie, RvC en aandeelhouders
3. Salarissen, bonussen van management

4. systeem van risk & control (e.g. COSO)
5. Compliance wet & regelgeving
6. klokkenluiderbescherming
Definitie van klokkenluider = iemand die een misstand ziet, kaart iets
eerst intern aan, als hij ziet dat hier niet adequaat op wordt gereageerd
extern.
Loopt in de regel slecht af met klokkenluiders (in US ontslag
bescherming)
Zorg dat je signalen van buiten opvangt en er iets mee doet.
7. Externe rapportageverplichtingen
Tentamen:
Tabaksblat/Frijns pays a lot of attention to the Supervisory Board.
Give at least two examples of the principles or best practices related to the
Supervisory Board.
What is your opinion on these elements in the Code?
De principes van Tabaksblat gaan over:

- benoemingen van raad van bestuur
- de relaties tussen executive en non-executive directors: one / two tier structuur
Meest gebruikt is one tier: dat betekent dat er 1 board is, 2 vormen van
directeuren (exec / non exec). NL CG gaat uit van two tier: dus board en los
daarvan raad van commissarissen.
- salarissen / bonussen
- een intern beheersingssysteem (het zou goed zijn als je bijv COSO gebruikt)
Feit dat er 1 financile expert in moet, dat ze worden geacht onafhankelijk te zijn,
minimaal hun eigen functioneren moet bespreken, feit dat er 3 committees
moeten zijn bij voldoende omvang.
Wat zegt de codes over beloning van de directie?
De kritiek op de Nederlandse code (doel = maximale transparantie):

- heel goed voor organisaties die te goeder trouw en eerlijk willen invoeren.
- Het geeft gelijk ruimte voor de rommelaars (als doelen niet gehaald worden..
gaan ze rommelen).
Top 25 bedrijven in NL: formele regels worden netjes nageleefd maar.
Compliant = aan alle formele regels,
Explain = zaken / belangen die de top aangaat (kom aan t geld / rechtspositie
creative compliance = CEO vertrekt maar blijft om onduidelijke reden aan als
adviseur).
Tendens: corporate governance is leuk maar t mag geen centen kosten het zegt
veel over de waarde die bijv. de AEX fondsen aan Corporate Governance
toekennen.
Het lijkt erop dat ze meer op papier een compliant en ethisch verantwoord
willen overkomen dan dat ze werkelijk de CG codes serieus nemen.
SOX aanpak is wellicht ook te rigoureus maar de Nederlandse aanpak is toch wel
wat te soft. Normen zijn niet SMART & te vaag!
Wat concreter & harder mag best.
Principle III: RvC / Supervisory board:

er moet een taakverdeling zijn vastgelegd in het reglement voor commissarissen
en als ze niet presteren moeten ze vroegtijdig aftreden.
Groot Jip & Janneke gehalte: ligt allemaal veel te veel voor de hand.
Ieder lid moet specifieke expertise hebben en minimaal 1 financile expert.
2 Tier = 1 board of directors, 1 supervisory board (klankbord, toezicht)

Het is gemakkelijker om op het gaspedaal te drukken dan op de rem te staan
(Ahold overnames)
1 Tier = Executive Directors (full-time), Non Executive Directors (part-time)
verschil tov RvC = 1 board, gezamelijke beslissingen dus minder onafhankelijk,
veel meer involved dan RvC).
Studie: het valt niet expliciet te zeggen of one tier beter is dan two tier of
andersom. Er is dus geen enkel significant bewijs, het gaat dus om kwaliteit van
management, uitvoering, processen etc. (laatste jaren wel een trend naar one
tier (UK/US model vb Shell / Unilever).
Andere trend is dat structuren steeds meer naar elkaar toe groeien. Two-tier
krijgt steeds meer kenmerken van een one-tier (zitten vaker samen). One Tier
groeit ook naar two-tier toe (ontstaan meer commissies, onafhankelijkheid

groeit)
Tier 1 & 2 discussie is eigenlijk alleen van toepassing op een grote onderneming
(beursgenoteerde onderneming).
Tentamen:
One versus two tier
Explain the difference between one tier and two tier boards. What are the
(dis)advantages of both structures?
Wel of niet een aparte raad van commissarissen
Voor-nadelen
One Tier
Two Tier
Informatie
Gelijk
assymmetrie
Betrokkenheid
Waarschijnlijk betrokken
Niet gewaarborgd
onafhankelijkheid
Niet gewaarborgd
Waarschijnlijk
onafhankelijk
Overige
International bekend
Executive compensatie:
niemand is meer waard dan 1 miljoen (uitspraak in US uit de jaren 30).
in veel gevallen heeft het top management geen invloed op het resultaat.
Publicatie van topsalarissen heeft niet tot enige reductie van salarissen gezorgd,
sterker nog het heeft haantjesgedrag / ratcheting effect geleid (hit parade)
flinke stijgingen.
Jaarlijks salaris, bonus,

Tabakblat: bonus obv meetbare criteria van lange en korte termijn.
Praktijk is anders: steeds meer adhoc bonussen! Niet gekoppeld aan een
specifiek doel etc. (dus precies tegenovergesteld tov de sfeer in CGC)
2 soorten codes:
1. Principles based codes = IFRS (principes / best practices = zo zou je t

kunnen doen) (Rijnlands model)
2. Rules based codes = SOX / GAAP (alles is tot de laatste komma
beschreven). (Angelsaksisch model)
Say on Pay begint de laatste jaren te spelen: de aandeelhouder mag iets zeggen in
de aandeelhoudersvergadering over de directie salarissen. (vb Philips: resultaten
waren net niet gehaald, RvC stelde voor om bestuur toch maar bonus te geven.
Tot op dat moment was er geen precedent dat aandeelhouders tegen stemden.)
Say on pay is niet eenvoudig voor aandeelhouders: beloningspakketten zijn vaak
complex.
Tone at the top = b.v. bezit company jet heeft drukkend effect op de
winstgevendheid. Grote delen van het compensatie pakket (in natura /
expenses) niet in jaarrekening.
US = extreme regulering maar feit is wel dat bepaalde regels duidelijker en
praktisch beter uitvoerbaar zijn.
Tentamen:
Stock opties: het idee is vrij simpel (agency verhaal: shareholders / directie(, hoe
kun je ervoor zorgen dat de directie dingen doet die goed zijn voor shareholders?
Het ei van columbus is natuurlijk: maak de directie shareholders. Zorg dat
management ook een heel groot belang hebben bij de prijs v/h aandeel dat zorgt
ervoor dat ze automatisch gaan denken in termen van aandeelhouders. (Dat
klinkt heel leuk maar negatief effect: vanaf dat moment heeft het management er
heel veel belang bij om een zo hoog mogelijke prijs te creeren tot t moment van
uitoefening (na publicatie van jaarcijfers e.d) Dus hoe positiever die worden
gebracht hoe meer dat aandeel wellicht zal stijgen.
Gevolg = anorexia beleid (korte termijn is belangrijker dan lange termijn)
Backdating van toekennen van stock-optie plannen.. (bijv. Apple maar tientallen
Amerikaanse bedrijven): je mag aandelen kopen tegen een bepaalde koers. 38 vs.
35 optie, je betaald enkel belasting over 3 in the money.
Dat was 3 jaar na de invoering van Sox, daarna kwam Lehnman etc.
Vraag is dus welk trucje top management verzint wat nog niet is afgedekt door
de huidige wetgeving.
Is dit belangrijk? Effect van CEO op eindresultaat is minimaal

waarde is niet kleiner / groter dan zijn voorganger
zijn toegevoegde
Dodd-Frank
shareholder approval
eens in de 3 jaar.
Definitie Internal Auditing =

Internal audit is een onafhankelijke, objectieve functie die zekerheid verschaft en
adviesopdrachten uitvoert, om meerwaarde te leveren en de operationele
activiteiten van de organisatie te verbeteren. De internal auditfunctie helpt de
organisatie haar doelstellingen te realiseren door met een systematische,
gedisciplineerde aanpak de effectiviteit van de processen van risicomanagement,
beheersing en governance te evalueren en te verbeteren.
= ogen & oren van de directie
3rd line of defence & zo onafhankelijk mogelijk (dus rechtstreeks aan de RvC
rapporteren bijv.)
Ze moeten onderzoek kunnen doen onafhankelijk of iemand dat nou wil of

niet.(politieman-achtige status)
Van historische focus naar toekomst visie
Van Financieel naar overall control.
Tentamen:
Leg de link naar COSO
Monitoring.
Nederlandse CG comply or explain alleen voor financile instelling is het hebben

van een interne audit functie verplicht!
Tentamen:
Nachtrust van de manager (internal audit = ogen en oren van het
management).
3rd line of defence & zo onafhankelijk mogelijk (dus rechtstreeks aan de RvC
rapporteren bijv.)
Interne audit rapporteert rechtstreeks aan de directie, sinds een aantal jaren
rechtstreeks aan de audit comit (belangrijkste orgaan).
Tentamen:
Een genuanceerde visie op de toegevoegde waarde van CG?
Wat is de toegevoegde waarde van CG codes. Van jaarverslagen, externe audits
etc. en wat voor rol hebben die nu allemaal gespeeld in het voorkomen van alle
ellende van de afgelopen jaren. Staat nog los van de kosten
Conclusie = Als het telkens mis kan gaan & hoeveel regels we er ook op zetten er
telkens toch weer een issue is. De organisatie zijn zo groot dat het ook altijd
grote impact heeft. Dat je af en toe de illusie van control lijkt te hebben.
Stelling = too big to manage
Is niet per definitie de waarheid maar een kritische noot mbt alle
beheersmaatregelen die toch iedere keer niet de volgende ramp / crisis lijkt te
kunnen voorkomen is wel gerechtvaardigd.
Omvang van een crisis zijn met de jaren ook groter geworden ipv kleiner.
Waar hebben al die Corporate Governance regels nu eigenlijk precies
opgeleverd?
kosten baten analyse:
- is er een significant verschil tussen bedrijven waar fraude is gepleegd en
bedrijven waar geen fraude is gepleegd in de mate waarin zij op papier voldeden
aan de Corporate Governance regels? Antwoord is nee
Dus het naleven van regeltjes op papier heeft blijkbaar geen invloed op de mate
waarin bedrijven fraude plegen.
- is er een significant verschil aangetoond in vaste salarissen voor
topmanagement? Antwoord is nee.
- is er een significant verschil aangetoond in bonussen voor topmanagement?
Antwoord is ja, bingo! Frauderende bedrijven hadden extreem hoge groei en
winst cijfers. (Keizer Kees van Ahold), 3 keer zo vaak in het nieuws, de
zogenaamde goudhaantjes uit de industrie, narcisme in de boardroom etc.
Dus meer regeltjes of meer vertrouwen? De board moet dat vertrouwen

natuurlijk wel verdienen.
KPMG verhaal over rules & trust: angst voor meer regels, geeft een aantal
voorbeelden of je nu wel of niet in control bent en of meer regels zouden helpen
of dat je misschien iets meer met softcontrols moet. Je komen ook niet echt tot
een harde conclusie. Ze geven alleen wel 9 principes aan van trust. Principe is
hierbij dat je soms wel een paar harde principes moet inruilen voor een vorm
van vertrouwen.
Trust is niet hetzelfde als blind vertrouwen, maar het lijkt beter dan weer een
nieuwe code / wetgeving die weer probeert de crisis van eergisteren te
voorkomen.
Controle is goed, vertrouwen is beter. Vak is gebaseerd op potentieel
vertrouwen. Probleem is dat de accountant / auditor kan niets met soft
elementen als vertrouwen. Deze functiescheiding heeft gewerkt, check! Soft
control / cultuur kun je geen checklist op loslaten.
Control-paradox = ondanks de hoeveelheid wet & regelgeving lijkt t erop dat
crisissen steeds groter worden, elkaar sneller opvolgen etc.

Samenvatting Corporate Governance and Risk Management

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Samenvatting Corporate Governance and Risk Management

Uploaded by

Copyright:

Available Formats

Samenvatting Corporate Governance and Risk Management:

Complete samenvatting van alle colleges aansluitend op de

Summary Corporate Governance & Risk Management

Het simpelste concept van control is gewoon de

a. professional judgement = risk self assessment (risicos door experts in

COSO = zorg dat je de doelstellingen kent

gegarandeerd zal er op de een of andere manier aandacht worden besteed aan t

C: Risk assessment: dat is de beroemde heatmap / vierkantje waarbij je hele

D. Mitigate (zelf maatregelen nemen om risico naar een acceptabel niveau te

Enkele nieuwe elementen in de nieuwe COSO II:

C. Outsource (schade overdragen aan de volgende partij)

Why COSO is flawed

Too many attention for false-positive risks

40% small damage

- COSO meet niet de voornaamste operationele issues

The 4 Lines of Defense

4. External audit / external authorities

Wat elementen waar risk management uit bestaat.

Compliance = een nieuwe afdeling, is een serieuze functie in de financiele sector,

The compliance process

Het compliance proces:

The annual plan of risk management:

Jaarplan Risk Management bestaat uit:

2. Operational loss database = op het moment dat je werkelijk met risk

3. Risk Self Assessment =

Risk Management = het mitigeren van risicos in de meest efficinte manier

Hoe gaan we om met al die risicos: black swan.

Power document = belangrijkste boodschap: de 3 flaws van ERM:

Volatiliteit van de omstandigheden is anders, waardoor iets niet specifieker dan

In control statements benaderen met een gezonde sceptis:

In Tentamen komt niets terug over IT controls.

Business continuity planning

What are a DISASTER RECOVERY PLAN

SOX 302 / 906:

Positief: Sox meer winst, vertrouwen in financile rapportage, meer

Agency theory = betreft de relatie tussen principaal (opdrachtgever) en agent

Corporate governance zijn de systemen en processen die bepalen hoe

Definitie Nederlandse Code (Tabaksblat/ Frijns)

De belangrijkste elementen moet je kennen, de rol van RvC en taken.

Tabaksblat belangrijkste elementen:

3. Salarissen, bonussen van management

De principes van Tabaksblat gaan over:

De kritiek op de Nederlandse code (doel = maximale transparantie):

Principle III: RvC / Supervisory board:

2 Tier = 1 board of directors, 1 supervisory board (klankbord, toezicht)

groeit ook naar two-tier toe (ontstaan meer commissies, onafhankelijkheid

Jaarlijks salaris, bonus,

1. Principles based codes = IFRS (principes / best practices = zo zou je t

Is dit belangrijk? Effect van CEO op eindresultaat is minimaal

Definitie Internal Auditing =

Ze moeten onderzoek kunnen doen onafhankelijk of iemand dat nou wil of

Nederlandse CG comply or explain alleen voor financile instelling is het hebben

Dus meer regeltjes of meer vertrouwen? De board moet dat vertrouwen

You might also like