• No results found

RISICOMANAGEMENT IN TIJDEN VAN CRISIS

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "RISICOMANAGEMENT IN TIJDEN VAN CRISIS"

Copied!
4
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 4 pagina )

Hele tekst

(1)

&

FINANCE CONTROL

3 4 | A P R I L 2 0 1 0

prioriteren, analyseren en beheersen van risico’s die het be- halen van de organisatiedoelstellingen kunnen beïnvloeden (Chapman, 2006).

Uit onderzoeken die zijn uitgevoerd naar aanleiding van de cri- sis blijkt dat de positie van riskmanagement binnen organisaties (nog) niet sterk genoeg is. Daardoor heeft riskmanagement de negatieve effecten van de crisis niet kunnen voorkomen.

Uit een onderzoek van het Instituut voor Internal Auditors (IIA) (2009) onder internal auditors naar de impact van de financiële crisis blijkt dat een groot deel van de responden- ten vindt dat beter riskmanagement de crisis niet had kun- nen voorkomen, mede door gebrek aan steun en begrip vanuit senior management en het bestuur. Ondanks het verbeterde profiel is de risicofunctie in bepaalde organisa- ties nog steeds aan het worstelen met het verkrijgen van in- vloed. Daarnaast is er geen ‘beroepsorganisatie riskmanage- ment’, die de belangen van de beroepsgroep zou kunnen behartigen.

Volgens de Adviescommissie Toekomst Banken, onder leiding van Cees Maas (2009), is een van de oorzaken van

D

e problemen begonnen in februari 2007, toen de eerste Europese bank meldde dat er problemen waren met de Ame- rikaanse hypothekenportefeuilles. In januari 2008 volgden significante verliezen op de aandelenbeurzen. In 2009 kwa- men Europa en Amerika met maatregelen: in april stemt de Europese Unie in met meer financieel toezicht en in juni beloofde de Amerikaanse president Obama beter financieel toezicht. In januari 2010 deed de commissie-De Wit in op- dracht van de Tweede Kamer onderzoek naar de oorzaken van de kredietcrisis. Daarvoor ondervroeg de commissie de top van financieel Nederland. Een aantal geïnterviewden is van mening dat tekortschietend toezicht de oorzaak van de crisis is. De vraag dient zich aan: Waar waren riskmanage- ment en internal audit tijdens de crisis? Hadden beter riskma- nagement en internal audit de crisis kunnen voorkomen? Was hun positie binnen de organisatie dusdanig, dat zij enige im- pact hadden kunnen hebben? Hadden ze een zodanige positie dat zij hun kerntaken zo konden uitvoeren dat zij de impact van de crisis hadden kunnen mitigeren?

Rol riskmanagement tijdens crisis

De kerntaken van riskmanagement zijn: het identificeren,

L e s s e n vo o r f i n a n c i ë l e i n s t e l l i nge n

RISICOMANAGEMENT IN TIJDEN VAN CRISIS

De impact van de kredietcrisis is in Nederland nog steeds duidelijk voelbaar. In dit artikel geeft de auteur antwoord op de volgende vragen: Welke rol speelden riskmanagement en internal audit bij het ontstaan van deze crisis? Welke lessen hebben deze disciplines uit de crisis kunnen trekken en welke maatregelen zijn er genomen als gevolg van de crisis? Bij de beantwoording van de vragen heeft de auteur vooral geke- ken naar de kerntaken van riskmanagement en internal audit en naar de daadwerkelijke invulling ervan.

Ook komt de positie van riskmanagement en internal audit binnen de organisatie aan de orde.

D O O R S A N D R A A N N E M A - K I L L O P Auditing

FC0210_Annema 34

FC0210_Annema 34 31-03-2010 13:51:5431-03-2010 13:51:54

(2)

&

FINANCE CONTROL

A P R I L 2 0 1 0 | 3 5 W W W . F I N A N C E - C O N T R O L . N L

de huidige crisis, dat banken de afgelopen tijd veelal het zicht op complexe risico’s zijn kwijtgeraakt, terwijl het goed beheren van risico’s juist tot de kerncompetenties zou moeten behoren.

De gebeurtenissen die hebben geleid tot de crisis laten zien dat er tekortkomingen zijn in de monitoring van risico’s.

Deze tekortkomingen blijken uit het feit dat bijna alle risk- management-tools onvoldoende bruikbaar bleken om de financiële impact duidelijk te maken op een zodanige manier, dat senior management daar iets aan had. Dit laat enerzijds de technische beperkingen zien van de riskmanagement- tools en anderzijds dat de meeste kwantitatieve modellen voorspellingen doen over de toekomst met gegevens of infor- matie die gedateerd zijn (The Counterparty Risk Manage- ment Policy Group (CRMPG), 2008).

Uit onderzoek van de IIA (2009) naar de impact van de finan- ciële crisis blijkt dat bedrijven waar het enterprise-riskmanage- ment (ERM) niet in staat bleek om de organisatie op tijd te waarschuwen en te adviseren over risico’s, enkele gemeen- schappelijke tekortkomingen hebben:

~ ineffectieve risico-identificatie- en assessment-kanalen;

~ een gebrek aan communicatie en documentatie over de risk appetite die de organisatie bereid is te accepteren om haar doelstellingen te behalen;

~ een onvolledige ERM-rapportage;

~ onvoldoende monitoring van lopende risico’s.

Uit een onderzoek naar risicomanagement bij diverse bedrij- ven (Senior Supervisors Group, 2008) is gebleken dat bedrij- ven die de crisis tot nu toe succesvol hebben doorstaan, een aantal zaken gemeen hebben, zoals:

~ effectieve, organisatiebrede risico-identificatie- en risicoanalyses;

~ consequente toepassing van onafhankelijke en strenge waarderingspraktijken binnen de organisatie;

~ doeltreffend beheer van liquiditeit, kapitaal en balans;

~ informatieve en responsieve risicometing en management- rapportages en -processen;

~ balans tussen risk appetite en risk control;

~ goede timing en kwaliteit van de informatiestroom naar het senior management.

(Verbeter)maatregelen

Een belangrijke les die de crisis leert, is dat de positie van riskmanagement in veel organisaties niet sterk genoeg is. Een maatregel die dit kan verbeteren is dat het aansturen van het risicobeleid expliciet en zichtbaar behoort plaats te vinden op het hoogste niveau binnen de organisatie. De positie van Chief Risk Officer (RO) zal in dit geval deel moeten uitmaken van de raad van bestuur (Adviescommissie Toekomst Ban- ken, 2009).

Naar aanleiding van de crisis moeten de volgende belangrijke veranderingen plaatsvinden in de kerntaken van riskmanage- ment:

~ Er is een governance-systeem nodig waarin risico’s kunnen worden gemanaged en waarin iedereen in de organisatie de risk appetite van de organisatie kent en zijn rol in het miti- geren van de risico’s begrijpt. Deze risk appetite moet door de raad van bestuur zijn goedgekeurd en moet het funda- ment vormen voor de risicocultuur en het systeem van risi- cobeheersing binnen de organisatie.

~ De focus van riskmanagement moet verschuiven van tac- tisch naar strategisch niveau.

~ Riskmanagement moet een verantwoordelijkheid hebben bij het beoordelen van nieuwe business, producten en trans- acties.

~ Meer communicatie en samenwerking tussen riskmanage- ment en de businessunits moet ervoor zorgen dat beslissin- gen worden genomen conform de risk appetite en worden vastgesteld door de leiding van de organisatie.

~ Er moet een duidelijke, tijdige en nauwkeurige rapportage plaatsvinden aan senior management en de raad van be- stuur over het nemen van risico’s en monitoren ervan.

~ Een gedegen methode voor risicoanalyse voor de juiste input voor succesvol risicomanagement is noodzakelijk.

Voorwaarde hierbij is dat het informatiemodel intern als extern gericht en geïntegreerd moet zijn. Een tweede voor- waarde is een duidelijke positie voor riskmanagement en voldoende draagvlak bij het topmanagement.

Rol internal audit tijdens crisis

De internationaal aanvaarde definitie van internal auditing (Po- sition Paper Update, 2008) luidt: `Internal Auditing is an inde- pendent and objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a syste- matic, disciplined approach to evaluate and improve the effec- tiveness of Risk Management, control and governance processes.’

De definitie vertaald naar de Nederlandse praktijk luidt: ‘De Internal Audit Functie (IAF) onderzoekt of de opzet en wer- king van processen op het gebied van risicomanagement, be- heersing en besturing toereikend zijn om de doelstellingen

Ondanks het verbeterde profiel is de risicofunctie in bepaalde organisaties nog steeds aan het worstelen met het verkrijgen van invloed

FC0210_Annema 35

FC0210_Annema 35 31-03-2010 13:51:5431-03-2010 13:51:54

(3)

&

FINANCE CONTROL

3 6 | A P R I L 2 0 1 0

van de organisatie te realiseren. Zij geeft daarmee “assurance”

en adviseert daarover aan het verantwoordelijke management, het bestuur en de auditcommissie.’

Uit een onderzoek van de IIA (2009) naar de impact van de financiële crisis op internal audit, blijkt dat het merendeel van de respondenten van mening is dat internal auditors meer hadden kunnen doen om hun organisatie te helpen de belang- rijkste risico’s te identificeren om de impact te mitigeren. Vol- gens sommigen komt deze mening voort uit de gedachte dat veel internal audit-activiteiten hebben gefaald om enige ze- kerheid te verschaffen over de effectiviteit van riskmanage- ment binnen een organisatie.

Volgens IIA-standaard 2120 luidt het risicomandaat van inter- nal audit als volgt: ‘Evalueren van de effectiviteit en bijdragen tot verbetering van risicomanagement processen.’

Geconcludeerd wordt dat internal audit wel de juiste kernta- ken heeft uitgevoerd, echter voor het geven van assurance over de belangrijkste risico’s had meer focus moeten zijn op emerging risks, operationele risico’s en op de behoeften van de stakeholders (met name raad van bestuur, audit committee, senior management, aandeelhouders, de externe accountant en toezichthouders). Daarom heeft internal audit de crisis niet kunnen voorkomen.

(Verbeter)maatregelen internal audit

De positie van internal audit is in veel organisaties goed. Het valt rechtstreeks onder de CEO en rapporteert rechtstreeks aan het audit committee. Naar aanleiding van de crisis wor- den Chief Audit Executives steeds vaker gevraagd om de lei- ding te nemen bij het geven van zekerheid over de effectivi- teit van riskmanagementprocessen. Het Audit Committee is sinds de crisis meer op internal audit gaan steunen om stake- holders te informeren over ERM-strategieën en veranderin- gen in het audit-plan. Daarnaast wordt internal audit ge- vraagd om een grotere rol te spelen in het toezicht op en governance van de organisatie (PWC, 2009). Falende gover- nance binnen organisaties wordt ook gezien als een van de oorzaken van de crisis.

De crisis heeft echter wel impact (gehad) op de invulling van de kerntaken door internal audit. De belangrijkste ontwikke-

lingen in de invulling van de kerntaken zijn:

~ In zijn assurance-rol legt internal audit nu meer nadruk op de beoordeling van de effectiviteit van het proces van risico- management.

~ Traditioneel keken de internal auditors vooral naar operati- onele risico’s en risico’s voor de betrouwbaarheid van de (fi- nanciële) informatie. Steeds meer wordt ook de beheersing van tactische en strategische risico’s onderzocht.

~ Het auditen van project- en programmamanagement. Tradi- tioneel richtte de audit zich voornamelijk op de staande or- ganisaties. Tegenwoordig draagt internal audit steeds meer bij aan lopende projecten en programma’s. Programma’s zijn gericht op strategische organisatieveranderingen en het be- halen van doelstellingen. Dergelijke veranderorganisaties zijn complex en kennen vaak grote risico’s. Daarom is het belangrijk een beeld te hebben van de mate waarin kritieke programma’s aansluiten op de strategische doelstellingen.

~ Integriteit en compliance. De maatschappij verwacht van organisaties en haar bestuurders dat deze zich integer ge- dragen. Niet-integer gedrag kan leiden tot grote reputatie- en financiële schade.

Aanvullend op deze maatregelen zou u ook nog kunnen den- ken aan invoering van de volgende maatregelen:

~ Zorg voor een betere samenwerking en afstemming van ac- tiviteiten en plannen tussen internal audit en de andere lines of defence (met name riskmanagement en compliance).

~ In die gevallen dat internal audit onvoldoende kan steunen op de werkzaamheden die door riskmanagers en/of compli- ance officers zijn verricht, zou het de maatregelen getroffen door riskmanagement en/of compliance officers moeten kunnen verifiëren of onderzoeken. Dit om meer zekerheid te verkrijgen over de risicobeheersing, zodat internal audit daarover assurance kan geven.

Conclusie

Bij de ene organisatie is de impact van de crisis groter dan bij de andere. De meeste organisaties zijn nu voornamelijk bezig om uit dit diepe dal te komen en voeren steeds meer maat- regelen door om uiteindelijk aan het eind van 2010 de balans (zo) positief (mogelijk) af te sluiten.

Bij het doorvoeren van deze strategische maatregelen zie je dat Risk Management en Internal Audit steeds meer worden betrokken en / of geïnformeerd. Het draagvlak voor Risk Management en Internal Audit bij senior management en Bestuur is gegroeid naar aanleiding van de crisis. Niet alleen bedrijven hebben verbetermaatregelen doorgevoerd naar aan- leiding van de crisis. Ook binnen de Risk Management afde- lingen en Internal Audit afdelingen worden naar aanleiding van de crisis verbetermaatregelen doorgevoerd om meer toe- gevoegde waarde te kunnen leveren aan de stakeholders.

Een belangrijke les die de crisis leert, is dat de positie van riskmanagement in veel

organisaties niet sterk genoeg is

FC0210_Annema 36

FC0210_Annema 36 31-03-2010 13:51:5531-03-2010 13:51:55

(4)

&

FINANCE CONTROL

Managers bereiken doet u het beste met de media waar zij van nature het meeste mee hebben. Voor fi nanciële professionals zijn dat MCA, Finance & Control, Tijdschrift Controlling, Tijdschrift Administratie, Praktijkblad Salaris administratie en Accountancynieuws.

Voor elk segment fi nanciële beslissers een vakblad

Van het absolute topsegment tot het controllers niveau en hoofden administratie

Wilt u informatie over de titels of de advertentie mogelijkheden?

Bel of mail ons! Bart Linnekamp, (0570) 648 956, blinnekamp@kluwer.nl Leandra Schoutsen, (0570) 648 981, lschoutsen@kluwer.nl

De vraag is echter of deze maatregelen voldoende zijn om voorbereid te zijn op een volgende crisis of om een volgende crisis te kunnen voorkomen?

Wellicht dat een aanvullend onderzoek verricht zou kunnen worden om antwoord te krijgen op deze vraag.

Literatuur

Adviescommissie Toekomst Banken, Cees Maas, Sylvester Eijffinger, Wim van

~

den Goorbergh, Tom de Swaan, Johanneke Weitjens (2009) ‘Naar herstel van vertrouwen’, 7 april 2009.

Chapman R.J. (2006)

~ Simple Tools and Techniques for Enterprise Risk Management, West Sussex England, John Wiley & Sons.

Counterparty Risk Management Policy Group (CRMPG), G. Corrigan and

~

D. Flint, ‘Containing Systemic Risk: The Road to Reform’, 6 August 2008.

Instituut van Internal Auditors (IIA) Nederland (2008) ‘De internal auditor in

~

Nederland’, Position Paper Update 2008.

Senior Supervisors Group (2008) ‘Observations on Risk Management Practices

~

during the Recent Market Turbulence’, 6 maart 2008.

Sandra Annema-Killop, RO EMIA, is Operational Risk Mana- ger bij AEGON Schadeverzekering N.V. Vanaf 1 april 2010 is Sandra als Internal Auditor-RO werkzaam bij de IAD van De Nederlandsche Bank. Sandra is vanuit de Amsterdam Business School, Universiteit van Amsterdam voor haar referaat genomi- neerd voor the International Esther R. Sawyer Award.

Dit artikel is gebaseerd op het referaat van S.U. Annema-Killop RO EMIA met de titel ‘Risk Management & Internal Audit en

Kredietcrisis bij Financiële instellingen: Lessons Learned’, referaat Amsterdam Business School, Executive Master of Internal Auditing, Universiteit van Amsterdam, augustus 2009.

Het referaat is integraal en volledig opgenomen in de database van Kluwer en online beschikbaar (http://financebase.kluwerfinancieel- management.nl). In dit referaat gaat de auteur dieper in op het onderwerp.

Auditors hadden meer kunnen doen om hun organisatie te helpen de belangrijkste risico’s te identificeren om de impact te mitigeren

FC0210_Annema 37

FC0210_Annema 37 31-03-2010 13:51:5531-03-2010 13:51:55

Referenties

Download het nu ( PDF - 4 pagina - 1.02 MB )

GERELATEERDE DOCUMENTEN

Persbericht: “Laat Internal Audit jaarlijks rapporteren over governance en risicobeheersing” Het Instituut van Internal Auditors (IIA) heeft gereageerd op de

In haar reactie geeft het IIA enkele gewenste wijzigen aan in diverse best practices, zoals: “Veel IAF’s rapporteren, al dan niet gezamenlijk met de externe accountant, jaarlijks

Internal auditors zijn onmisbaar in good governance

In een reactie op het consultatiedocument De accountant en het bestuursverslag - Verder kijken dan de jaarrekening van de Nederlandse Beroepsvereniging van Accountants (NBA)

GEDRAGS-EN BEROEPSREGELS INTERNAL AUDITORS

Indien na overleg en/of bemiddeling de in lid 1 genoemde strijdigheid niet op een voor hem aanvaardbare wijze wordt weggenomen, dan deelt het lid het bestuur van de organisatie

Internal auditors can provide

Positive auditing builds on these initia- tives and benefits by designing risk-based plans and engagements from the outset that consider the provision of high levels of assurance

Morele moed en internal auditors

Wanneer de morele implicaties van werkzaamheden niet worden herkend en/of erkend, zal het morele kompas hier niet op aanslaan. In extremo leidt dat een ‘amoreel universum’. In

Moral Courage and Internal Auditors

The IIA recently published two very interesting studies reports that looked very specifically into the types of dangers internal auditors face and how often they

Lifelong Learning for Internal Auditors

T he CBOK 2015 Global Internal Audit Practitioner Survey supports the value that internal auditors find in internal audit certification, with 43% of respondents reporting they

THE INSTITUTE OF INTERNAL AUDITORS INTERNAL AUDITING EDUCATION PARTNERSHIP

Nelson Mandela University Port Elizabeth, SOUTH AFRICA Mario Labuschagne, CIA Northern Illinois University DeKalb, IL, USA Meghann Cefaratti, CIA Pittsburg State University