-
Uitgebreide_samenvatting_Corporate_Governance_and_Risk_Management.pdf
Samenvatting Corporate Governance and Risk Management:Complete
samenvatting van alle colleges aansluitend op de
examentopics
Universiteit van Amsterdam | Corporate Governance and Risk
Management
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Summary Corporate Governance & Risk Management
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Het simpelste concept van control is gewoon de
Risk Management Cycle.
Alle activiteiten die een Risk Management afdeling afdekt zou je
hier aan moeten
hebben koppelen:
1. Identify risks: je zou van te voren toch willen hebben
bedacht wat er mis zou
kunnen gaan. You want to know what can hit you!
2. Measure Risks: Dan weet je dat maar dan heb je nog geen idee
van de omvang
dus je wilt het risico meten.
(Kans & Schade 2 methodes:
a. professional judgement = risk self assessment (risicos door
experts in
kaart laten brengen, vaak niet heel erg betrouwbaar.
b. Incidenten database: we gaan t letterlijk bijhouden: als ik
vanaf nu
systematisch iedere keer als een risico zich materialiseert in
een database
opneem en ook de schade opneem dan gaat langzamerhand de
statistiek
werken, bij ongewijzigd beleid is dat de beste schatting die je
hebt).
3. Manage Risks: implementeer control measures / maatregelen.
Definieer wat je
ermee gaat doen.
4. Monitor & Report: directie laat zich informeren hoe t nu
gaat.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
COSO = zorg dat je de doelstellingen kent
De COSO doelstellingen:
1. Effectieve financile processen
2. betrouwbare informatie,
3. voldoen aan de wet
4. bescherming van je activa.
COSO is een redelijke garantie dat het daarna wel goed gaat maar
geen garantie
of zekerheid. Dus model claimt niet dat alle problemen zijn
opgelost.
Tentamen:
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
gegarandeerd zal er op de een of andere manier aandacht worden
besteed aan t
allereerste element van COSO namelijk de:
A: Control Environment. (embedded in org = de harde en zachte
factoren die
invloed hebben op beheersing, zorgen dat de setting / cultuur
van de organisatie
goed is (natuurlijk, hierarisch):
De allereerste stap in de control environment is dat we naar de
directie gaan
kijken en dat noemen we dan:
1. Tone at the top (ethics). Dus niet wat zegt de top maar wat
stralen ze uit in
hun acties. Dat is een belangrijke voorspeller voor de rest
van
En de stelling is als de directeur jat dan jat iedereen vrolijk
mee. Dus slecht
voorbeeld, doet slecht volgen dus goed voorbeeld doet goed
volgen. Welke
waarden hij / zij belangrijk vind wordt in de regel in de
organisatie opgepakt /
opgevolgd. Stelling is dat als de tone at the top goed is de
rest van de organisatie
vaak wel volgt.
Vb: combinatie van bedrijfscultuur, structuur (familiebedrijf)
matched niet met
harde Angelsaksische bonus / afrekencultuur)
2. Pressure to perform = hoe belangrijker een cijfer is hoe
onbetrouwbaarder t
zal zijn. Simpelweg omdat de neiging tot manipulatie door de
straf / bonus bij
het halen of niet halen steeds groter word (vb: ontslag of bonus
van 1 miljoen,
nepverkopen in December)
Management byopia = bijziendheid.
3. HRM
4. Commitment to competence (ik zet iemand alleen op die plek
neer als ik de
redelijke verwachting heb dat hij de job aan kunt, dus laat
iemand niet het eerste
jaar fouten maken (training on the job) maar zorgt bijvoorbeeld
voor voldoende
begeleiding).
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
C: Risk assessment: dat is de beroemde heatmap / vierkantje
waarbij je hele
discussies kunt hebben over wat hoort waar thuis.
Je hebt ook een document gekregen wat gaat over het uitvoeren
van
riskassessments van COSO die hier nog een paar dimensies aan
toevoegt. Die
moet je misschien nog maar een keer doorlezen, die ging niet
alleen over de
impact & probability maar ook over de snelheid waarmee het
incident plaatsvind
en de preparedness daarvoor.
Dus kijk nog een keer naar de risk self assessment document.
Risk Self Assessment =
Je kunt de risicos binnen de organisaties op minimaal 2
verschillende manieren
boven tafel krijgen.
1 = internal audit,
2 = je laat het de mensen zelf doen. Zet mensen in een kamer met
een facilitator,
legt t proces uit en we gaan de risicos inventariseren.
Dat is vaak een stuk krachtiger dan dit door een internal audit
afdeling te laten
doen want mensen kennen hun eigen werk vaak het beste. Dus maak
nooit de
fout dat je alleen management uitnodigt, zorg dat de werkvloer
erbij zit. Zorg
ervoor dat je de intelligentie van de werkvloer meepakt, die
weten vaak op een
veel concreter niveau wat fout gaat / kan gaan.
Voordeel is dat de uitkomst is een toplist van 15 grootste
risicos, je hebt met zn
allen al pratende een indicatie van schade gegeven en vaak ook
al een oordeel
gegeven: vinden wij het op dit moment voldoende beheerst. Dat
wordt een veel
beter gedragen (buy-in) rapport dan dat je een joker van boven
langs stuurt om
dit risicos op een bepaald proces in kaart te brengen. Minder
bedreigend en niet
not invented here syndrom (academische exercitie).
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Tentamen:
Risk self assessment twee belangrijkste voordelen? zijn kennen
de details veel
beter en de buy in is veel groter.
Tentamen:
The COSO II risk matrix: manier om inzichtelijk te maken hoe t
er met je risicos
voor staat.
Kolom 1 = Risicos / events
Formuleer risicos zodat duidelijk is waar het pijn doet,
pijn-management
Kolom 2 = risicos mapped vs hoofddoelstellingen van de
onderneming
Kolom 3 = % waarschijnlijkheid (kans & impact)
Kolom 4 = accepteren, avoid, outsource/ share / mitigeren (=naar
een acceptabel
niveau brengen)
In volgorde afwerken:
A. Accept
Alles wat je niet acceptabel vind moet je maatregelen gaan
nemen:
B. Avoid (chloortreinen door t land laten rijden is geen optie
meer): ik stop
er mee!
C. Outsource (schade overdragen aan de volgende partij)
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
D. Mitigate (zelf maatregelen nemen om risico naar een
acceptabel niveau te
krijgen).
Kolom 5= beheersmaatregelen
Beheersingsmaatregelen bedenken die zorgen dat t risico omlaag
gaat.
Door een stelsel van maatregelen lijkt dit risico beheerst
genoeg?
Tentamen:
COSO Principles: zorg dat je er een paar kunt noemen, zorg dat
je er een verhaal
bij hebt.
Kun je een paar verschillen noemen in de COSO principes (ERM vs
COSO 2013):
dan zou t mooi zijn als je een verhaaltje kan vertellen over die
principes en dan
vervolgens een paar principes noemen en daar een paar regels
over opschrijven.
Tentamen is t moment dat je moet laten zien wat je kan, wees zo
uitgebreid als
mogelijk.
Effectieve Financile processen
Betrouwbare Financile rapportages
Intern / extern
Voldoen aan de wet
Safeguarding assets
Tentamen:
Mention at least three principles of the new COSO draft internal
control framework.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Explain what elements of these principles you can identify in
this case
Enkele nieuwe elementen in de nieuwe COSO II:
1. interne en externe rapportage
2. afhankelijkheid van IT
3. Fraude driehoek (gelegenheid, druk om te presteren,
rationalisatie
(voorbeeldgedrag, oorzaken wegnemen))
(fraude raakt rechtstreeks de integriteit van de organisatie,
dus geen tolerantie
voor fraude)
4. outsourcing = in or outside organisatie moeilijker te bepalen
(is aan het
vervagen) door outsourcing. Je krijgt er een probleem bij wat je
niet meer binnen
je eigen organisatie kunt oplossen. Outsourcing bij bijv. banken
vrijwaart niet
van audit requirements. (tentakels uitslaan tot bij
leveranciers).
Je bent en blijft gewoon verantwoordelijk voor contracten die je
met klanten
afsluit. Het feit dat er iets mis gaat in de productie is door
outsourcing niet weg.
ISA 3402 / SAS70 = goedkeurende jaarrekening externe auditor
gaat
vaststellen dat het primaire proces is beheerst (proces /
kwaliteitsaudit).
Proces is beheerst conform standaard X (keurmerken).
Sommige zaken wil je niet geoutsourced hebben want op de
momenten dat het
echt spannend is wil je volledige zeggenschap en dus control
hebben over de
situatie en niet worden gelimiteerd door SLAs etc. (ik ben je
baas en als je dit
niet nu oppakt / oplost kun je vertrekken).
5. changes in processen / leadership: mislukte
veranderingsprojecten: van de
overnames leveren nooit toegevoegde waarde, 9 van de 10 keer
nauwelijks
gemeten). Vaak zie je die schade nergens nergens meer, toch is
het schade
anders had je t aan je winst kunnen toevoegen.
6. risk appetite -> risk tolerantie: het werkelijk concreet
maken van hoeveel
fouten mag je maken valt niet altijd mee om dit te definiren. In
IT omgevingen is
dit vaak wel meetbaar (hoe lang mag een systeem er maximaal
uitliggen).
Risk appetite: denk ervan wat je wil, realiseer je wel even de
volgende 3 termen:
- Risk universe: dit kan er allemaal gebeuren
- Risk tolerance: dit is wat de organisatie nog net kan
tolereren: wat de
organisatie maximaal kan leiden voor faillissement
- Risk Appetite: hoeveel risico wil je lopen (lastig om concreet
te maken)
7. Risico Response = risico afdekken is een keuze.
A. Accept
B. Avoid (chloortreinen door t land laten rijden is geen optie
meer)
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
C. Outsource (schade overdragen aan de volgende partij)
D. Mitigate (zelf maatregelen nemen om risico naar een
acceptabel niveau te
krijgen).
8. IT controls
9. kwaliteitsaspecten van informatie.
Tentamen:
Why is COSO flawed (gebrekkig)?
27
Why COSO is flawed
Coso is done by amateurs A man goes to a doctor. After
explaining his complaints the doctor
asks him what desease he thinks he has The author is. Risk
manager
Too many attention for false-positive risksNo attention for
false-negative risksRisks are presented as a point instead of a
line Example: The risk of damage of the incident car accident
is:
40% small damage 30 % medium damage 29% large damage 1% extreme
damage
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
- COSO meet niet de voornaamste operationele issues
- er bestaat geen one size fits all methode
- overregulering is niet toepasbaar in de praktijk
- Resource intensief
- geen juiste prioriteitsstelling real risk / probability = je
kunt als organisatie
ook te weinig risico lopen (gaat erom dat je de juiste balans
vind tussen profit,
control en risk (light vs loose control).
- een risico is een lijn en geen punt in een heatmap
Tentamen:
Vb vraag: dit zijn de afdelingen die een rol in je organisatie
spelen, geef aan wat
hun rol is en koppel daar het concept van de lines of defence
aan?
Lines of defence = het principile verschil tussen 2e en derde
lijn.
Significant verschil tussen.
Positiebepalingen en verantwoordelijkheden tussen
afdelingen.
1. Lijnmanagement
2. staff (risk management, compliance, information security, HR,
Finance, alle
afdelingen die gespecialiseerd werk dagelijks het lijn
management
ondersteunen, taken uithanden nemen, speciale takenpakketten
hebben maar
doorgaans geen klant van dichtbij zien) Taak van second line is
vaak:
aanvullende zekerheid (de nachtrust van een manager).
Dan komt er even niets ..
3. Internal Audit = (ogen en oren van topmanagement) doet niet
zelf iets in het
primaire proces maar komt periodiek, bijv 1 keer per jaar een
oordeel over de
28
The 4 Lines of Defense
1. Line management
4. External audit / external authorities
3. Internal audit
2. Staff (risk management, Compliance)
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
werking van de eerste twee. En dan verdwijnen ze weer en geven
ze weer een
oordeel.
Tentamen:
Nachtrust van de manager (internal audit = ogen en oren van
het
management).
4. External audit / external authorities = alle externe partijen
die ongeveer
hetzelfde doen.
TWEEDE LIJNS EN DERDE LIJNS ACTIVITEITEN MOGEN NOOIT DOOR
DEZELFDE AFDELING MOGEN PLAATSVINDEN. Waarom? Definitie van
internal
audit is onafhankelijk oordeel geven over de kwaliteit van
beheersing. Dat kan
alleen maar als je zelf niet bij dat proces betrokken zijn
geweest. Als je wel
betrokken bent geweest krijg je t wc-eend effect, wij van
wc-eend adviseren wc-
eend.
Tweede lijn: dagelijks het management bijstaan bij het goed
laten functioneren
van de organisatie.
Derde lijn: periodiek controleren / diagnose stellen of de 1ste
twee
(management & riskmanagement) hun werk goed hebben
gedaan.
Mensen die een oordeel geven over hun eigen werk worden in de
regel niet
serieus genomen. Daarom is de scheiding van 1ste en 2de lijn
essentieel!
Wat elementen waar risk management uit bestaat.
1. Risk Management
2. Compliance
3. IT control
4. Financial Control
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
5.
Compliance = een nieuwe afdeling, is een serieuze functie in de
financiele sector,
maar laatste jaren ook in de Telecom, Chemie en branches waar je
te maken hebt
met een flinke lading externe regelgeving.
Zij richten zich dus op 1 specifieke categorie risicos: namelijk
dat je niet
overeenkomstig de wet handelt. Een compliance risico is
misschien wel 1 van de
belangrijkste risicos waar een organisatie mee zit want je zou t
een risico op een
heidebrand kunnen noemen. Non compliant kan betekenen dat je
niet 1 maar
30.000 rechtszaken voor je kiezen krijgt.
Ultieme risico = einde oefening (intrekken banklicentie /
faillissement).
Doel van compliance afdeling is dat zoiets niet gebeurt.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Het compliance proces:
Je zorgt ervoor dat je structureel genformeerd (externe
antennes) bent over alle
externe wet & regelgeving die op de organisatie afkomen
vertalen naar je organisatie (moeten wij hier iets mee?)
adjustments (checks / maatregelen, procedures / werkwijze/
certificaten) IT
systemen die informatie wel / niet mogen registreren.
gevolgen voor systemen en product.
laatste stap is audit om te checken of je weer aan de
regelgeving voldoet.
Je kunt compliance een afdeling van risk management noemen.
Huidige trend is risk afdeling gespecialiseerd in bepaalde
categorien van risicos
(IT, security, operations, compliance etc.) 1 cluster van
risicos met bijzondere
expertise naar een acceptabel niveau te krijgen.
31
The compliance process
ExternalLegislation
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Jaarplan Risk Management bestaat uit:
1. roadshows
2. operational loss database
3. Risk self assessments
4. operational risk approval process
5. Key risk indicators
6. in control statements
7. Operational Auditing
1. roadshows (= wake up call / mensen weer scherp krijgen,
creren van
awareness -> weet je wel wat voor risicos er aan jouw werk
gekoppeld zijn (let
op / kijk uit!) Die actie die je daar doet doe je niet zomaar.
Bijv. communicaties
tijdens werkoverleg). In sommige branches is dit verplicht.
The annual plan of risk management: Table of contents
Roadshows Operational loss databaseRisk Self
AssessmentsOperational risk approval processKey risk indicatorsIn
Control StatementsOperational auditing
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
2. Operational loss database = op het moment dat je werkelijk
met risk
management aan de slag wilt moet je ieder incident rapporten,
oorzaak / gevolg
en wat kun je eraan doen. Als je dat 20 jaar doet dan gaat de
statistiek werken, je
krijgt dan een selectie van incidenten met dit en dit kenmerk
die per jaar 200K
kost. Iemand komt met het idee om dit risico weg te nemen voor
een investering
van 50K dan is t rekensommetje snel gemaakt.
Als je deze database hebt dan zie je ook de effecten van je
acties.
Dus meet wat er mis gaat, meet de oorzaken, zorg dat je er goede
categorien
(soort gelijke incidenten) voor hebt zodat je er iets mee kunt.
In die regio, dat
proces verliezen we per jaar zoveel dan weet je ook waar je je
risk management
verbeter acties op kunt gaan richten.
Het is niet eenvoudig om mensen bereid te vinden om fouten te
rapporteren (=
bijv door culturele verschillen), in sommige landen steken
mensen nog liever een
zwaard in hun buik dan dat ze fouten toegeven.
Sommige organisaties gaan er te ver in door bijv. ook
bijna-ongelukken te gaan
rapporteren. Je hebt in feit geen schade, toch verwacht je dat
mensen tijd steken
om een rapport te gaan opstellen.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
3. Risk Self Assessment =
Je kunt de risicos binnen de organisaties op minimaal 2
verschillende manieren
boven tafel krijgen.
1 = internal audit,
2 = je laat het de mensen zelf doen. Zet mensen in een kamer met
een facilitator,
legt t proces uit en we gaan de risicos inventariseren.
Dat is vaak een stuk krachtiger dan dit door een internal audit
afdeling te laten
doen want mensen kennen hun eigen werk vaak het beste. Dus maak
nooit de
fout dat je alleen management uitnodigt, zorg dat de werkvloer
erbij zit. Zorg
ervoor dat je de intelligentie van de werkvloer meepakt, die
weten vaak op een
veel concreter niveau wat fout gaat / kan gaan.
Voordeel is dat de uitkomst is een toplist van 15 grootste
risicos, je hebt met zn
allen al pratende een indicatie van schade gegeven en vaak ook
al een oordeel
gegeven: vinden wij het op dit moment voldoende beheerst. Dat
wordt een veel
beter gedragen (buy-in) rapport dan dat je een joker van boven
langs stuurt om
dit risicos op een bepaald proces in kaart te brengen. Minder
bedreigend en niet
not invented here syndrom (academische exercitie).
Tentamen:
Risk self assessment twee belangrijkste voordelen? zijn kennen
de details /
processen veel beter en de buy-in van de output is veel groter.
De groep heeft t
per slot van rekening gezamenlijk gedaan.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Risk Management = het mitigeren van risicos in de meest
efficinte manier
(kosten vs. baten analyse).
Een tikje specifieker dan COSO hoe je risk assessment in de
praktijk brengt.
1. Objective / doelstellingen informatie
2. Hoe goed worden risicos gemanaged?
3. Interactions
4. Passend niveau van controle
5. Volledig transparant rapportage proces
N.B. Risicos staan vrijwel nooit op zich dus belangrijk om de
onderlinge relatie
en interactie te begrijpen (interaction matrix / montecarlo
simulatie).
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Hoe gaan we om met al die risicos: black swan.
Scenario analyse: stel dat wat doe ik dan?
Sommige organisaties (afhankelijk qua omvang & business
model) doen
uitgebreide scenario analyses: een goed voorbeeld daarvan is
Shell.
6. risk appetite -> risk tolerantie: het werkelijk concreet
maken van hoeveel
fouten mag je maken valt niet altijd mee om dit te definiren. In
IT omgevingen is
dit vaak wel meetbaar (hoe lang mag een systeem er maximaal
uitliggen).
Risk appetite: denk ervan wat je wil, realiseer je wel even de
volgende 3 termen:
- Risk universe: dit kan er allemaal gebeuren (voor een bepaalde
persoon / of
organisatie
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
- Risk tolerance: dit is wat de organisatie nog net kan
tolereren: wat de
organisatie maximaal kan leiden voor faillissement
- Risk Appetite: hoeveel risico wil je lopen (lastig om concreet
te maken)
Probleem: hoe ga je dat concreet maken / hoe ga je daar een
getal of een beta
concept aanhangen?
Nou dat heeft Power in zn onderzoek the riskmanagement of
nothing
verwoord.
Power document = belangrijkste boodschap: de 3 flaws van
ERM:
- ERM is theoretische exercitie;
- Risk Management as een Management Cycle dat werk helemaal
niet, typisch
iets dat accountants / controllers (regelneven) hebben
verzonnen.
3 flaws of control:
- company-wide risk appetite bestaat niet: een onderneming
bestaat uit
verschillende disciplines, karakters, belangen met bijbehorend
risk appetite
(sales vs finance).
- er is over-confidence in tools en systemen (verleden is niet
voldoende om de
toekomst te voorspellen).
en
-risicos niet verwarren met normaal ondernemingsrisico
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Check het Black Swan principle de eerste risk manager die zegt:
wij zijn
volledig in control die moet je onmiddellijk ontslaan.
Black Swan = het evenement is een verrassing, het heeft een
grote impact en na
het voldongen feit, wordt het evenement verklaard.
Dus het is een uitschieter, buiten het zicht van onze
verwachtingen, omdat uit
onze ervaringen niets wijst op de mogelijkheid ervan, het heeft
extreme impact,
dit kan zowel positief als negatief zijn; na de gebeurtenis
zoeken en vinden we
verklaringen voor het ontstaan van deze heftige gebeurtenis. Dus
achter gezien is
het verklaarbaar en was het mogelijk zelfs voorspelbaar.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
En daarvoor hebben we dus een heel control systeem bedacht.
Laten we eens
beginnen met een organogram. We gaan mensen in hokjes stoppen,
jij bent van
inkoop, jij bent van verkoop, daar koppelen we een systeem van
taken en
bevoegdheden aan vast, die taken en bevoegdheden hebben ook iets
te maken
met technische functiescheiding. We gaan mensen vertellen dat
dit de strategie is
en dat en dat de doelstellingen van de organisatie zijn en als
je je targets haalt is
het goed en als je ze niet haalt mag je op zoek naar een andere
baan. We gaan een
heel systeem van controls invoeren die gesteund zijn op IT /
functiescheidingen.
We voegen hier een afdeling intern control aan toe (de oren en
ogen van het
topmanagement: hier gaat t fout / hier gaat t goed). Dat hele
control framework
moet uiteindelijk zorgen voor een bepaalde vorm van assurance
dat t
management weet dat t goed gaat dan wel op tijd wordt
genformeerd dat t niet
goed gaat.
En tegenwoordig door dit prachtige vak is dit sinds 2000 ook nog
eens in wetten
vastgelegd. In jaarrekening staat nu wat de directie krijgt, mag
doen, wat zijn de
belangrijkste risicos van de organisatie zijn en wat ze daar
allemaal aan hebben
gedaan.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
In control statement = waar ben in control over? Is dat over de
hele organisatie
of alleen financile rapportages?
In control statement volgens:
1. Sox: als het maar goed in je jaarrekening komt te staan
2. Tabaksblat = de organisatie zegt dat ze beheerst is, ieder
aspect moet
voldoende beheerst zijn (dus over HR, techniek, veiligheid
etc.)
Je kunt je afvragen wat de toegevoegde waarde is van een
verklaring waarin
staat dat alles in control is.
nu aangepast (Frijns): alleen maar van toepassing op Balans
&
Resultatenrekening. (rest is belangrijk maar staan niet in
Corporate Governance
regelgeving).
In control statement is geen ja / nee game, je kunt meer of
minder in control zijn.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Slide 43: vrij vertaald komt dat op dit neer: 90% kans dat ik
mijn doestellingen
haal. Je kunt dus niet zeggen ja het is zo.
Risk Management cordineert het tekenen van de verklaringen.
Het zou een zinvol concept kunnen zijn maar is in veel
organisatie vaak compleet
gebakken lucht (je vraagt mensen om te tekenen en eigenlijk is
niet tekenen of
enkele voorbehouden maken geen optie).
In control kan nooit betekenen dat t een garantie is dat er
nooit meer iets mis
gaat. In control statement is geen ja / nee game, je kunt meer
of minder in
control zijn. vrij vertaald komt dat op dit neer: 90% kans dat
ik mijn
doestellingen haal. Je kunt dus niet zeggen ja het is zo.
Er zijn in control statements die wel zinvol zijn maar die zien
er wat anders uit
dan een briefje waar mensen alleen hun handtekening op hoeven te
zetten.
In US als gevolg van Sox is het verplicht om evt risicos /
onbeheerste zaken te
rapporteren. In Nederland staan hier geen straffen op.
Tentamen:
In control statement = waar ben in je control over? Is dat over
de hele
organisatie of alleen financile rapportages?
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Volatiliteit van de omstandigheden is anders, waardoor iets niet
specifieker dan
verwoorden dan x%.
In control statements benaderen met een gezonde sceptis:
In control = geen Y / N game, dus tick in the box niet
zinvol.
Mensen denken over het algemeen dat ze iets veel beter kunnen
inschatten dan
de realiteit vaak veel te optimistisch.
Misschien moeten we langzamerhand af van de kwantificeren van
risico --?
Alternatief: stap van cijfers af, laat managers maar in tekst
vorm beschrijven wat
de manager doet om de risicos te beheersen.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Examen:
Stel dat manager 5 paginas op stelt (kwalitatieve versie)
inhoudelijkere
discussie, genuanceerd denken over risk engagement & in
control.
Zijn vaak geen objectieve feiten, kan ook zijn dat twee managers
een totaal
verschillende perceptie hebben van wat belangrijk is. Je moet
dus allebei
hetzelfde normenkader hebben, dezelfde criteria hanteren. Dus
normstelling
moet enigszins zijn gekalibreerd.
Tentamen:
Slide 46: IT disasters:
Heb je alles geregeld in je organisatie, werkt je systeem niet.
Als nu ergens Risk
Management belangrijk is en alleen maar belangrijker zal worden
dan is t wel in
de IT omgeving. De afhankelijkheid van organisaties op hun IT
omgevingen
groeit al jaren.
Er is op dit moment geen organisatie meer waarbij de primaire
processen niet
door IT worden ondersteund. Dat betekent dan ook dat als er iets
niet goed gaat
ook je primaire processen stil liggen. De penetratie van IT in
de primaire
processen is dusdanig groot geworden dat organisaties er
volledig van
afhankelijk zijn geworden.
De beheersingsculuur / omgeving is sterk branche afhankelijk,
grote bedrijven
hebben t in de regel wel redelijk geregeld.
Stabiel evenwicht = als er iets misgaat in de organisatie dan
corrigeert de
organisatie zichzelf.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
In de IT is er sprake van een Labiel evenwicht = als t fout gaat
dan gaat t meteen
ook helemaal fout.
Slide 48: COBIT 5: als niet IT expert moet je weten dat t model
bestaat, hoef je
dus niet inhoudelijk te kennen. In tentamen niets over IT
controls.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
In Tentamen komt niets terug over IT controls.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Business continuity planning
Business
ContinuityPremise
s
People
Processes
andIT
PublicInfra-
structure
Publicity
Priorities
disasterrecovery
plan
What are a DISASTER RECOVERY PLAN and a BUSINESS CONTINUITY PLAN
?
Disaster recovery Planning (DRP) looks specifically at
thetechnical aspects of how a company can get back intooperation
using backup facilities
Business Continuity Plans (BCP) are sometimes referredto as
Disaster Recovery Plans (DRP) and the two havemuch in common.
However a DRP should be orientedtowards recovering after a disaster
whereas a BCP showshow to continue doing business until recovery
isaccomplished
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
SOX 302 / 906:
Eerste artikel wat werd aangenomen is Sox 302 / 906 =
die zegt dat de CEO / CFO ieder kwartaal opnieuw instaan voor de
juistheid van
de gepubliceerde cijfers. Dat werd als eerste ingevoerd, met
terugwerkende
kracht hebben ze toen getekend voor de verantwoordelijkheid voor
de
gepubliceerde cijfers. (op basis van dit artikel zouden ze al 20
jaar
gevangenisstraf kunnen krijgen als later niet blijkt te kloppen,
dus als later blijkt
dat ze hebben meegewerkt aan deze frauduleuze rapportage). Ook
als je niet
moreel maar wel formeel (iemand binnen je organisatie) schuldig
bent kun je de
cel in gaan. Waarom zijn deze draconische straffen ingevoerd?
Omdat ze wilden
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
dat directie deze wet serieus namen (10 miljoen boete te voldoen
door de
organisatie zou geen effect hebben).
SOX 404:
Wil zeggen je pakt je processen, alle processen die relevant
zijn voor de
jaarrekening, je gaat daar je risicoanalyse op doen: daar
destilleer je de key risks
uit. Daar zet ik een heel control raamwerk voor op, ieder risico
moet zijn
afgedekt door een aantal controles (een soort super handboek
AO). Op
periodieke basis moeten die controls ook worden uitgevoerd. En
not
documented is not done dus als je t later niet kunt aantonen dat
je e.a. hebt
getest is t niet gedaan. Daarna komt de externe accountant nog
eens langs en die
checkt of jij dit hele proces goed hebt doorlopen. Neemt kennis
van jouw
controls, doet er zelf nog een paar en uiteindelijk tekent de
accountant mee met
de boodschap: dit control framework (404 statement) heeft
gewerkt.
Tentamen: wat moet een organisatie allemaal hebben geregeld om
een SOX 404
statement te kunnen geven?
Dat is dus een heel internal control framework inrichten:
1. risicos inventariseren waar het fout zou kunnen gaan die
kunnen leiden tot
fouten in de jaarrekening.
2. controls definiren
3. een test plan opzetten
4. zorgen voor executie / uitvoering
5. zorgen dat er een management statement komt over de
uitgevoerde controls.
SOX 806 = goed geregeld in US (ontslagbescherming / 10-20%
beloning) slecht
in NL, Balkenende = bescherming van klokkenluiders laten wij aan
de markt
over.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Een klokkenluiders is pas een klokkenluider als hij / zij het
eerst intern heeft
aangekaart. M.a.w. de organisatie zet intern de zaken niet
recht.
Tentamen: De elementen van Sox: zorg dat je kan vertellen wat
Sox 302 / 906
inhouden en wat er allemaal geregeld.
Tentamen:
Tentamen: zorg dat je je mening kunt geven over een aantal
positieve en
negatieve punten voor wat betreft Sox.
Positief: Sox meer winst, vertrouwen in financile rapportage,
meer
informatie aandeelhouder
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Negatief: Sox kost veel (papieren circus), met name kleinere en
minder
grote bedrijven was t een reden om te delisten om maar niet met
deze
enorme lading regelgeving geconfronteerd te worden (gemiddelde
audit
fee van een audit fee was voor SOX plichtige klant ongeveer 3
keer zo
hoog dan ervoor).
Tentamen:
Corporate Governance in NL:
In NL hebben we ook een Corporate Governance Code gehad. En
bijna alle codes
komen wel naar aanleiding van een incident.
- Peters (1996), heeft nooit tot enige vorm van Governance
geresulteerd
bestond uit 40 aanbevelingen.
- Tabaksblat (2003)
Er hangen helaas geen sancties aan de Nederlandse Governance
code -> men
hanteert t principe comply or explain je houd je aan de code of
je legt uit
waarom je niet voldoet. Het slechtste wat je kan gebeuren is
slechte publiciteit.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Agency theory = betreft de relatie tussen principaal
(opdrachtgever) en agent
(opdrachtnemer) waarbij de opdrachtnemer niet alleen de belangen
van de
opdrachtgever nastreeft bij het uitvoeren van taken voor die
opdrachtgever. De
opdrachtgever is niet volledig in staat om dit te controleren
doordat deze de taak
niet zelf uitvoert en daarmee bepaalde informatie niet heeft. Er
is sprake van
informatieasymmetrie in het voordeel van de agent.
Het Agency principe begon rond 1900 groot te worden. Industrile
revolutie,
schaalvergroting. En eigenlijk voor t eerst was daar het verhaal
dat voor t eerst t
management van de organisatie niet langer de eigenaren waren van
de
organisatie.
Directe control werd vervangen door indirecte control. Grote
organisaties
kunnen ook alleen worden gefinancierd door aandeelhouders. Dus
in een paar
jaar vervijfvoudigen t aantal organisaties dat aandelen
uitgeeft. Dit betekent dat
er afstand komt tussen eigenaren en management.
Stel je stopt ergens 1000 euro in, hoe controleer ik het
rendement? De
volledigheid van de opbrengsten verantwoording? Hoe weet ik
zeker dat de
kosten echte kosten zijn en niet toevallig de hobby van de
directeur.
Dit leidt tot 2 nieuwe zaken:
1. het jaarverslag
2. een nieuw beroep: een controlerend accountant. Het idee is
als iemand
account is en hij staat geregistreerd in t register dan mag de
hele wereld ervan
uit gaan dat t klopt.
Limberg 1932 noemde dat de leer van t gewekte vertrouwen
(principle of trust).
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Corporate governance zijn de systemen en processen die bepalen
hoe
ondernemingen worden geleid en gecontroleerd. De vier principes
van corporate
governance zijn: redelijkheid ("fairness"), transparantie, het
afleggen van
rekenschap en verantwoordelijkheid.
= het spel tussen board, supervisory board, accountant &
toezichthoudende
organen.
Doelstelling van SOX was zo snel mogelijk het vertrouwen
herstellen van
financile rapportages en het werken van de markt.
Dat is gedeeltelijk gelukt, het is aangetoond dat partijen meer
vertrouwen
hebben gekregen in de Financile rapportages en
jaarrekeningen.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Tentamen:
Artikel Coates 2007
- minder vertrouwen van werknemers / earningsmanagement
Cash & benefits SOX according to Coates:
- create an atmosphere of caution
- Benefits zijn niet altijd goed te kwantificeren
- het aantal incidenten is aantoonbaar minder geworden
- minder earnings management
- management (CEO / CFO) is stuk voorzichtiger geworden sfeer
van
voorzichtigheid
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Definitie Nederlandse Code (Tabaksblat/ Frijns)
Governance gaat over bestuur en control, verantwoordelijkheden
en macht,
hoogte en samenstelling van de beloning voor bestuurders en
commissarissen.
Integriteit en transparantie zijn belangrijke elementen.
De belangrijkste elementen moet je kennen, de rol van RvC en
taken.
Eigen functioneren bespreken, benoeming van raad van bestuur,
wat de code
precies zegt over de beloning van de directie.
Tabaksblat belangrijkste elementen:
1. aanstelling van Raad van Commissarisen
2. relatie tussen directie, RvC en aandeelhouders
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
3. Salarissen, bonussen van management
4. systeem van risk & control (e.g. COSO)
5. Compliance wet & regelgeving
6. klokkenluiderbescherming
Definitie van klokkenluider = iemand die een misstand ziet,
kaart iets
eerst intern aan, als hij ziet dat hier niet adequaat op wordt
gereageerd
extern.
Loopt in de regel slecht af met klokkenluiders (in US
ontslag
bescherming)
Zorg dat je signalen van buiten opvangt en er iets mee doet.
7. Externe rapportageverplichtingen
Tentamen:
Tabaksblat/Frijns pays a lot of attention to the Supervisory
Board. Give at least two examples of the principles or best
practices related to the Supervisory Board. What is your opinion on
these elements in the Code?
De principes van Tabaksblat gaan over:
- benoemingen van raad van bestuur
- de relaties tussen executive en non-executive directors: one /
two tier structuur
Meest gebruikt is one tier: dat betekent dat er 1 board is, 2
vormen van
directeuren (exec / non exec). NL CG gaat uit van two tier: dus
board en los
daarvan raad van commissarissen.
- salarissen / bonussen
- een intern beheersingssysteem (het zou goed zijn als je bijv
COSO gebruikt)
Feit dat er 1 financile expert in moet, dat ze worden geacht
onafhankelijk te zijn,
minimaal hun eigen functioneren moet bespreken, feit dat er 3
committees
moeten zijn bij voldoende omvang.
Wat zegt de codes over beloning van de directie?
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
De kritiek op de Nederlandse code (doel = maximale
transparantie):
- heel goed voor organisaties die te goeder trouw en eerlijk
willen invoeren.
- Het geeft gelijk ruimte voor de rommelaars (als doelen niet
gehaald worden..
gaan ze rommelen).
Top 25 bedrijven in NL: formele regels worden netjes nageleefd
maar.
Compliant = aan alle formele regels,
Explain = zaken / belangen die de top aangaat (kom aan t geld /
rechtspositie
creative compliance = CEO vertrekt maar blijft om onduidelijke
reden aan als
adviseur).
Tendens: corporate governance is leuk maar t mag geen centen
kosten het zegt
veel over de waarde die bijv. de AEX fondsen aan Corporate
Governance
toekennen.
Het lijkt erop dat ze meer op papier een compliant en ethisch
verantwoord
willen overkomen dan dat ze werkelijk de CG codes serieus
nemen.
SOX aanpak is wellicht ook te rigoureus maar de Nederlandse
aanpak is toch wel
wat te soft. Normen zijn niet SMART & te vaag!
Wat concreter & harder mag best.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Principle III: RvC / Supervisory board:
er moet een taakverdeling zijn vastgelegd in het reglement voor
commissarissen
en als ze niet presteren moeten ze vroegtijdig aftreden.
Groot Jip & Janneke gehalte: ligt allemaal veel te veel voor
de hand.
Ieder lid moet specifieke expertise hebben en minimaal 1
financile expert.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
2 Tier = 1 board of directors, 1 supervisory board (klankbord,
toezicht)
Het is gemakkelijker om op het gaspedaal te drukken dan op de
rem te staan
(Ahold overnames)
1 Tier = Executive Directors (full-time), Non Executive
Directors (part-time)
verschil tov RvC = 1 board, gezamelijke beslissingen dus minder
onafhankelijk,
veel meer involved dan RvC).
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Studie: het valt niet expliciet te zeggen of one tier beter is
dan two tier of
andersom. Er is dus geen enkel significant bewijs, het gaat dus
om kwaliteit van
management, uitvoering, processen etc. (laatste jaren wel een
trend naar one
tier (UK/US model vb Shell / Unilever).
Andere trend is dat structuren steeds meer naar elkaar toe
groeien. Two-tier
krijgt steeds meer kenmerken van een one-tier (zitten vaker
samen). One Tier
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
groeit ook naar two-tier toe (ontstaan meer commissies,
onafhankelijkheid
groeit)
Tier 1 & 2 discussie is eigenlijk alleen van toepassing op
een grote onderneming
(beursgenoteerde onderneming).
Tentamen:
One versus two tier
Explain the difference between one tier and two tier boards.
What are the (dis)advantages of both structures?
Wel of niet een aparte raad van commissarissen
Voor-nadelen One Tier Two Tier
Informatie Gelijk assymmetrie Betrokkenheid Waarschijnlijk
betrokken Niet gewaarborgd onafhankelijkheid Niet gewaarborgd
Waarschijnlijk
onafhankelijk Overige International bekend
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Executive compensatie:
niemand is meer waard dan 1 miljoen (uitspraak in US uit de
jaren 30).
in veel gevallen heeft het top management geen invloed op het
resultaat.
Publicatie van topsalarissen heeft niet tot enige reductie van
salarissen gezorgd,
sterker nog het heeft haantjesgedrag / ratcheting effect geleid
(hit parade)
flinke stijgingen.
Jaarlijks salaris, bonus,
Tabakblat: bonus obv meetbare criteria van lange en korte
termijn.
Praktijk is anders: steeds meer adhoc bonussen! Niet gekoppeld
aan een
specifiek doel etc. (dus precies tegenovergesteld tov de sfeer
in CGC)
2 soorten codes:
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
1. Principles based codes = IFRS (principes / best practices =
zo zou je t
kunnen doen) (Rijnlands model)
2. Rules based codes = SOX / GAAP (alles is tot de laatste
komma
beschreven). (Angelsaksisch model)
Say on Pay begint de laatste jaren te spelen: de aandeelhouder
mag iets zeggen in
de aandeelhoudersvergadering over de directie salarissen. (vb
Philips: resultaten
waren net niet gehaald, RvC stelde voor om bestuur toch maar
bonus te geven.
Tot op dat moment was er geen precedent dat aandeelhouders tegen
stemden.)
Say on pay is niet eenvoudig voor aandeelhouders:
beloningspakketten zijn vaak
complex.
Tone at the top = b.v. bezit company jet heeft drukkend effect
op de
winstgevendheid. Grote delen van het compensatie pakket (in
natura /
expenses) niet in jaarrekening.
US = extreme regulering maar feit is wel dat bepaalde regels
duidelijker en
praktisch beter uitvoerbaar zijn.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Tentamen:
Stock opties: het idee is vrij simpel (agency verhaal:
shareholders / directie(, hoe
kun je ervoor zorgen dat de directie dingen doet die goed zijn
voor shareholders?
Het ei van columbus is natuurlijk: maak de directie
shareholders. Zorg dat
management ook een heel groot belang hebben bij de prijs v/h
aandeel dat zorgt
ervoor dat ze automatisch gaan denken in termen van
aandeelhouders. (Dat
klinkt heel leuk maar negatief effect: vanaf dat moment heeft
het management er
heel veel belang bij om een zo hoog mogelijke prijs te creeren
tot t moment van
uitoefening (na publicatie van jaarcijfers e.d) Dus hoe
positiever die worden
gebracht hoe meer dat aandeel wellicht zal stijgen.
Gevolg = anorexia beleid (korte termijn is belangrijker dan
lange termijn)
Backdating van toekennen van stock-optie plannen.. (bijv. Apple
maar tientallen
Amerikaanse bedrijven): je mag aandelen kopen tegen een bepaalde
koers. 38 vs.
35 optie, je betaald enkel belasting over 3 in the money.
Dat was 3 jaar na de invoering van Sox, daarna kwam Lehnman
etc.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Vraag is dus welk trucje top management verzint wat nog niet is
afgedekt door
de huidige wetgeving.
Is dit belangrijk? Effect van CEO op eindresultaat is minimaal
zijn toegevoegde
waarde is niet kleiner / groter dan zijn voorganger
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Dodd-Frank shareholder approval eens in de 3 jaar.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Definitie Internal Auditing =
Internal audit is een onafhankelijke, objectieve functie die
zekerheid verschaft en
adviesopdrachten uitvoert, om meerwaarde te leveren en de
operationele
activiteiten van de organisatie te verbeteren. De internal
auditfunctie helpt de
organisatie haar doelstellingen te realiseren door met een
systematische,
gedisciplineerde aanpak de effectiviteit van de processen van
risicomanagement,
beheersing en governance te evalueren en te verbeteren.
= ogen & oren van de directie
3rd line of defence & zo onafhankelijk mogelijk (dus
rechtstreeks aan de RvC
rapporteren bijv.)
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Ze moeten onderzoek kunnen doen onafhankelijk of iemand dat nou
wil of
niet.(politieman-achtige status)
Van historische focus naar toekomst visie
Van Financieel naar overall control.
Tentamen:
Leg de link naar COSO Monitoring.
Nederlandse CG comply or explain alleen voor financile
instelling is het hebben
van een interne audit functie verplicht!
Tentamen:
Nachtrust van de manager (internal audit = ogen en oren van
het
management).
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
3rd line of defence & zo onafhankelijk mogelijk (dus
rechtstreeks aan de RvC
rapporteren bijv.)
Interne audit rapporteert rechtstreeks aan de directie, sinds
een aantal jaren
rechtstreeks aan de audit comit (belangrijkste orgaan).
Tentamen:
Een genuanceerde visie op de toegevoegde waarde van CG?
Wat is de toegevoegde waarde van CG codes. Van jaarverslagen,
externe audits
etc. en wat voor rol hebben die nu allemaal gespeeld in het
voorkomen van alle
ellende van de afgelopen jaren. Staat nog los van de kosten
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Conclusie = Als het telkens mis kan gaan & hoeveel regels we
er ook op zetten er
telkens toch weer een issue is. De organisatie zijn zo groot dat
het ook altijd
grote impact heeft. Dat je af en toe de illusie van control
lijkt te hebben.
Stelling = too big to manage
Is niet per definitie de waarheid maar een kritische noot mbt
alle
beheersmaatregelen die toch iedere keer niet de volgende ramp /
crisis lijkt te
kunnen voorkomen is wel gerechtvaardigd.
Omvang van een crisis zijn met de jaren ook groter geworden ipv
kleiner.
Waar hebben al die Corporate Governance regels nu eigenlijk
precies
opgeleverd?
kosten baten analyse:
- is er een significant verschil tussen bedrijven waar fraude is
gepleegd en
bedrijven waar geen fraude is gepleegd in de mate waarin zij op
papier voldeden
aan de Corporate Governance regels? Antwoord is nee
Dus het naleven van regeltjes op papier heeft blijkbaar geen
invloed op de mate
waarin bedrijven fraude plegen.
- is er een significant verschil aangetoond in vaste salarissen
voor
topmanagement? Antwoord is nee.
- is er een significant verschil aangetoond in bonussen voor
topmanagement?
Antwoord is ja, bingo! Frauderende bedrijven hadden extreem hoge
groei en
winst cijfers. (Keizer Kees van Ahold), 3 keer zo vaak in het
nieuws, de
zogenaamde goudhaantjes uit de industrie, narcisme in de
boardroom etc.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]
-
Dus meer regeltjes of meer vertrouwen? De board moet dat
vertrouwen
natuurlijk wel verdienen.
KPMG verhaal over rules & trust: angst voor meer regels,
geeft een aantal
voorbeelden of je nu wel of niet in control bent en of meer
regels zouden helpen
of dat je misschien iets meer met softcontrols moet. Je komen
ook niet echt tot
een harde conclusie. Ze geven alleen wel 9 principes aan van
trust. Principe is
hierbij dat je soms wel een paar harde principes moet inruilen
voor een vorm
van vertrouwen.
Trust is niet hetzelfde als blind vertrouwen, maar het lijkt
beter dan weer een
nieuwe code / wetgeving die weer probeert de crisis van
eergisteren te
voorkomen.
Controle is goed, vertrouwen is beter. Vak is gebaseerd op
potentieel
vertrouwen. Probleem is dat de accountant / auditor kan niets
met soft
elementen als vertrouwen. Deze functiescheiding heeft gewerkt,
check! Soft
control / cultuur kun je geen checklist op loslaten.
Control-paradox = ondanks de hoeveelheid wet & regelgeving
lijkt t erop dat
crisissen steeds groter worden, elkaar sneller opvolgen etc.
Verspreiden niet toegestaan | Gedownload door: Pakamas Srichoke
| E-mail adres: [email protected]