Role of the Auditor in Times of Crisis

De rol van de auditor tijdens

crises

"Man is not imprisoned by habit. Great changes in him can be wrought by crisis--once that crisis can be recognized and

understood." Norman Cousins

Afstudeerreferaat A.S.Ramcharan Almere, 8 september 2008 Erasmus Universiteit Rotterdam Faculteit der Economisch Wetenschappen Erasmus School of Accounting & Assurance Postinitiële Masteropleiding Internal/Operational Auditing Gebruik met bronvermelding toegestaan

http://www.worldofquotes.com/author/Norman-Cousins/1/index.html

Erasmus Universiteit Rotterdam Postinitiële Masteropleiding Internal/Operational Auditing

Referaat A.S.Ramcharan

Voorwoord Voor u ligt mijn referaat ter afronding van de studie Internal/Operational Auditing aan de ESAA (Erasmus School of Accounting & Assurance). Ik wens u veel plezier met het lezen ervan en hoop dat ik mijn doel heb bereikt, namelijk het exploreren van een nieuw en gedurfd stukje binnen audit land. Een Google search (voor wat het waard mag zijn) wijst uit dat, “de toegevoegde waarde van de rol van de auditor tijdens crises” als onderwerp geen hits oplevert. Spoedig zal dit veranderen en hopelijk kan ik met mijn referaat anderen inspireren om verder onderzoek te doen op dit vlak. Hoewel het schrijven van dit referaat een eenzame bezigheid is geweest zou het niet tot stand gekomen zijn zonder ondersteuning van velen die ik hierbij ook wil bedanken. Ik wil mijn begeleider Jan Otten van harte bedanken voor zijn kritische opmerkingen en geduld en kijk met respect en voldoening terug op de leerzame ervaring die resulteerde uit de interacties die wij hebben gehad in het traject naar dit eindproduct toe. Dennis Webbers en Annemieke Broesterhuizen, die mij als teamgenoten hebben geïnspireerd en bijgestaan, wil ik ook van harte bedanken. Tevens wil ik Ron de Korte bedanken voor zijn korte en krachtige tips die ik kon oppikken in het voorbijgaan op de gang naar de klaslokalen en de koffie pauzes. Dank voor de tips op maat. Mijn collega’s op het werk, metname mijn directe collega’s uit het Financial Markets team, dank voor de verhelderende gesprekken en bruikbare ideeën. In het bijzonder wil ik bedanken Willem-Jan Megens die mij de mogelijkheid heeft gegeven ervaring op te doen in mijn functie als senior auditor. En last but not least mijn ouders die mij altijd hebben gestimuleerd om te studeren, kennis te vergaren en te delen met als doel een gebalanceerd en gelukkig leven te kunnen leiden. Mijn echtgenote Sheila, jij bent voor mij meer dan Mumtaz ooit is geweest voor Shah Jahan (de opdrachtgever voor de bouw van de Taj Mahal), dank voor je geloof, geduld en liefde. Ik hoop dat dit referaat een bron van inspiratie mag zijn voor ons eerste kind die wij in november van dit jaar verwachten.

“An expert is a man who has made all the mistakes which can be made in a very narrow field.”

-Niels Bohr

1



Samenvatting Geïnspireerd door de krediet crisis en de crisis die zich heeft voorgedaan bij Société Générale heb ik gekozen om in mijn referaat na te gaan welke toegevoegde waarde de auditor kan hebben in tijden van crises. De centrale onderzoeksvraag is hiermee als volgt geformuleerd: Welke toegevoegde waarde kan de operationele auditor hebben tijdens een crisis, bij ondersteuning van de leiding van de organisatie? De bankensector vormt de context voor het beantwoorden van deze vraag, waarbij de focus ligt op de rol van de operational auditor in een bankorganisatie. Hiernaast heb ik ervoor gekozen de opbouw van dit referaat te structureren op basis van 4 deelvragen: • Wat is een crisis en wanneer bevindt een organisatie zich in een crisis? • Wat zijn de kenmerken van de bankensector en wat maakt deze sector gevoelig

voor crises? • Wat is het algemeen referentiekader van de operational auditor, bekeken vanuit

risk management, waardecreatie en control concepten? • Welke ruimte heeft de auditor om zijn rol tijdens een crisis in te vullen? Door deze vragen te beantwoorden heb ik kunnen concluderen dat de toegevoegde waarde van de auditor vooral bestaat uit het verlenen van consultancy services om de kennisvraag van de leiding te beantwoorden. Het gaat hierbij vooral om de diagnose die de auditor kan stellen om binnen een korte tijd goed onderbouwd aan te kunnen geven wat de oorzaak is van de crisis. Om dit adequaat te kunnen doen, put de auditor als expert uit haar kennis en ervaring opgebouwd in de periode vóór de crisis. Daar waar er gevaar is dat er een belangenconflict ontstaat en de onafhankelijkheid en objectiviteit van de auditor een knelpunt kan worden, bieden de IIA standards duidelijkheid en een mogelijkheid. Zo kan de auditor gerust een toegevoegde waarde rol vervullen, als er door de leiding een beroep wordt gedaan op haar kennis en kunde, zonder tekort te doen aan haar onafhankelijkheid en objectiviteit. Naast de theoretische beschouwing heb ik ook een beknopte survey gebruikt om hetgeen in dit referaat wordt besproken op bepaalde punten ook de toetsen in de praktijk. Het blijkt dat het onderwerp van dit referaat onder auditors leeft en dat men een rol ziet voor de auditor tijdens crises. Dit biedt ruimte voor vervolg onderzoek op dit gebied.

2



Inhoudsopgave

1 INLEIDING...................................................................................................................................4 1.1 AANLEIDING REFERAAT .........................................................................................................4 1.2 DOELSTELLING REFERAAT .....................................................................................................4 1.3 CONTEXT EN DEELVRAGEN VAN DIT REFERAAT .....................................................................6 1.4 ONDERZOEKSVERANTWOORDING...........................................................................................6 1.5 LEESWIJZER ...........................................................................................................................7

2 CRISES, EEN VERKENNING ...................................................................................................8 2.1 DEFINITIES VAN EEN CRISIS EN CRISISMANAGEMENT ............................................................8 2.2 INDELING VAN CRISES VOLGENS BEZUYEN ............................................................................9 2.3 INDELING VAN CRISES VOLGENS HET INSTITUTE FOR CRISIS MANAGEMENT........................10

3 DE BANKENSECTOR EN DE BANKORGANISATIE.........................................................11 3.1 WAARDEVERNIETIGING GEDURENDE CRISES BINNEN DE BANKEN ........................................11 3.2 WAAROM BANKEN VATBAAR ZIJN VOOR CRISES EN WAARDEVERNIETIGING ........................12 3.3 DE VERSTRENGELING VAN BANKEN ONDERLING, VERSTERKENDE VATBAARHEID................12 3.4 WAT ZIJN DE KENMERKEN VAN BANKEN DIE GOED WORDEN GEMANAGED?.........................13

4 LEIDERSCHAP GEDURENDE CRISES................................................................................16 4.1 DE 6 LEIDERSCHAPSCOMPETENTIES BIJ CRISES.....................................................................16

5 HET REFERENTIEKADER VAN DE AUDITOR VANUIT ERM ......................................18 5.1 OMGAAN MET RISICO’S ........................................................................................................18 5.2 WAT IS ENTERPRISE RISK MANAGEMENT? ..........................................................................19

5.2.1 Definitie ..........................................................................................................................19 5.2.2 Strategie en ERM............................................................................................................20 5.2.3 COSO en ERM................................................................................................................20 5.2.4 Verantwoordelijkheid voor ERM....................................................................................21 5.2.5 Wanneer en wat kan er misgaan?...................................................................................21 5.2.6 De rol van de auditor in Enterprise-wide Risk Management .........................................22

6 DE WAARDEKETEN VAN PORTER, SIMONS HEFBOMEN VAN CONTROL EN MERCHANTS MODEL VAN CONTROLS .....................................................................................25

6.1 DE WAARDEKETEN VAN PORTER..........................................................................................25 6.2 SIMONS HEFBOMEN VAN CONTROL EN MERCHANTS MODEL VAN CONTROL ........................27

6.2.1 Simons hefbomen van control .........................................................................................27 6.2.2 Merchant’s model van Control .......................................................................................29 6.2.3 Het managen van de spanning tussen (waarde) creatie en controle in tijden van crisis 30

7 DE RUIMTE VOOR EEN MOGELIJKE ROL VAN DE AUDITOR...................................30 7.1 THE INTERNATIONAL STANDARDS FOR INTERNAL AUDITING ..............................................31 7.2 CONSULTING EN ASSURANCE SERVICES...............................................................................32

8 ALGEHELE CONCLUSIE .......................................................................................................33 9 SUGGESTIES VOOR VERDER ONDERZOEK....................................................................34

Bijlage 1: Literatuurlijst ...............................................................................................................35 Bijlage 2: Praktijktoets, vragenlijst (Survey) & reacties ..............................................................37 Bijlage 3: De subprime mortgage crisis .......................................................................................43 Bijlage 4: Feiten relaas Société Générale ....................................................................................44

3



1 Inleiding

1.1 Aanleiding referaat “Wat kan de rol van de auditor zijn tijdens een crisis?”. Deze vraag, die nu ook de titel en het onderwerp van mijn referaat is, heeft mij aan het denken gezet door mijn rol als interne auditor bij een grote financiële instelling. In de periode vanaf september 2007 deden zich twee crises voor die tot aanzienlijke verliezen hebben geleid binnen de bankensector. Ik doel hiermee op de krediet crisis en de crisis die zich voordeed bij de Franse bank Société Générale. Dit referaat schrijf ik in een periode na de start van de krediet crisis die nu al maanden lang de bankensector in haar greep heeft en nadat duidelijk is geworden wat zich precies heeft voorgedaan bij Société Générale. De Krediet Crisis heeft in de afgelopen periode bij veel banken geleid tot afboekingen, die oplopen tot in de honderden miljarden dollars. Meer achtergrondinformatie over de Krediet Crisis treft u aan in bijlage 3. Door de crisis die veroorzaakt is door de derivaten handelaar van de Franse bank Société Générale, heeft de bank €4.9 miljard moeten afboeken als verlies. Een opsomming van de feiten in de donkere dagen tijdens de crisis bij Société Générale treft u aan in bijlage 4. Zowel de krediet crisis als de crisis bij Société Générale hebben ertoe geleid dat diverse auditdiensten een rol gingen spelen in deze tijden van crises. Gezien het feit dat de bankensector sterk verweven is hadden de handelstransacties van Jérôme Kerviel en het verlies dat volgde, de crisis bij Société Générale, een ‘knock-on effect’ in de gehele bankensector. Hetgeen zich had voorgedaan bij Société Générale leidde ertoe dat de sectorgenoten zich de gewetensvraag stelden: “Kan zoiets ook binnen onze bank gebeuren?”. Gezien de aard van de handelsactiviteiten binnen de grote banken in de sector, het exploiteren van kansen op de financiële markten door handelsactiviteiten (op de dealingrooms), was dit een terechte vraag. Hetgeen ik in de praktijk heb ervaren, de rol die ik de auditdienst heb zien invullen, hebben mij geïnspireerd om nog eens verder te kijken en na te gaan welke rol de auditor zou kunnen hebben in tijden van crises. Resumerend is de vraag “Wat kan de rol van de auditor zijn tijdens crises?” voortgekomen uit de grote krediet crisis en de “kleinere” crisis bij de grote zakenbank Société Générale. Beide crises hebben de bankensector ertoe aangezet nog eens kritisch te kijken naar de manier waarop organisaties omgaat met risico’s en waardecreatie.

1.2 Doelstelling referaat Uit een gezamenlijk onderzoek van de VRO (Vereniging van Register Operational Auditors) en het IIA (Instituut van Internal Auditors) onder CEO’s (Chief Executive Officers)1 bleek eind 2003 dat door de CEO’s het “geven van een oordeel” belangrijker werd geacht dan het adviseren. Dit kan het geval zijn in reguliere tijden,

1 CEO’s over de Internal (Operational) Auditfunctie, maart 2004, Y. Klein Schiphorst, P.A. Hartog en A. Bast

4



maar hoeft niet te gelden in tijden van crises. Het “geven van oordeel” noem ik de comfort zone van de auditor, waar blijkbaar ook de CEO’s zich comfortabel bij voelen. Het doel van dit referaat is om na te gaan wat voor toegevoegde waarde de auditor kan hebben in tijden van crises, als hij mogelijkerwijs deze comfort zone verlaat. Anders gezegd: het doel van dit referaat is om de rol die de auditor tijdens een crisis kan hebben bij het ondersteunen van de leiding van de organisatie, te exploreren en mogelijkerwijs te specificeren. De centrale onderzoeksvraag van dit referaat is op basis van dit doel als volgt te formuleren: Welke toegevoegde waarde kan de operationele auditor hebben tijdens een crisis, bij ondersteuning van de leiding van de organisatie? De context is derhalve een (crisis)situatie, waarbij alles op scherp staat. De leiding (de Raad van Bestuur, RvB) van de organisatie heeft moeite om controle te behouden over de organisatie en de stakeholders. Onder dergelijke omstandigheden kan er grote behoefte zijn aan het bieden van “comfort” of assurance door de auditor, maar er kan ook behoefte zijn aan advies (consultancy services). In dit referaat tracht ik de rol van de auditor in tijden van crisis te benoemen. Het inzicht dat verworven wordt op basis van dit referaat, zal hopelijk leiden tot een effectievere inzet van de services van de operationele auditor en een verfijning van deze rol binnen organisaties. Hiernaast is het mijn streven dat dit referaat als kennisbron kan dienen voor auditors over hetgeen van belang is om een bijdrage te kunnen leveren in tijden van crises. Omdat dit referaat een eerste stap is om de rol te verkennen hoop ik dat dit referaat ook zal leiden tot verder onderzoek op dit vlak. Hiernaast zal ik de conclusie van dit referaat middels een beknopte survey voorleggen aan een groep respondenten die hun mening kunnen geven over de rol van de auditor in tijden van crises. Hiermee hoop ik dat ik op deze manier help het vakgebied meer te profileren als één die gedragen wordt door professionals die een bijdrage kunnen leveren op basis van kennis en ervaring.

5



1.3 Context en deelvragen van dit referaat De context en deelvragen van dit referaat zijn toegespitst op de rol van de auditor binnen de bankensector. Mijn werkervaring in de financiële diensten sector en het feit dat ik op dit moment werkzaam ben bij de interne auditdienst van een internationaal opererende bank hebben bijgedragen aan het kiezen voor deze focus. Uit figuur 1 blijkt de andere reden waarom ik heb gekozen om te richten op de bankensector.

Figuur 1: Overzicht van 2007: sectoren waar het risico op een crisis het grootst is (Bron:Institute for Crisis Management2) De industrie gekwalificeerd als Securities Brokers/Dealers & Banking staan op de 5de respectievelijk 6de plaats als het gaat om crisisgevoeligheid. Op basis van deze focus zal ik de volgende deelvragen beantwoorden:

1. Wat is een crisis en wanneer bevindt een organisatie zich in een crisis? 2. Wat zijn de kenmerken van de bankensector en wat maakt deze sector

gevoelig voor crises? 3. Wat is het algemeen referentiekader van de operational auditor vanuit risk

management, waardecreatie en control concepten bekeken? 4. Welke ruimte heeft de auditor om haar rol tijdens een crisis in te vullen?

1.4 Onderzoeksverantwoording Dit referaat is uitgewerkt met behulp van een literatuurstudie. In dit referaat beperk ik me tot crisis binnen bedrijven en in het bijzonder binnen de bankensector. Hiernaast beperk ik me ook tot het functioneren en de rol van de operational auditor. 2 Annual Crisis Report, volume 17 nr 1, March 2007, Institute for Crisis Management

6



De bronnen die gebruikt zijn, zijn weergegeven in voetnoten onderaan de desbetreffende pagina’s. Hiernaast is in de bijlage een literatuurlijst opgenomen. In het algemeen gaat het om de volgende bronnen:

• Literatuur beschikbaar gesteld tijdens de IOA opleiding aan de Erasmus Universiteit Rotterdam

• De bibliotheek (openbaar en privé) • Artikelen beschikbaar via online databases • Vaktijdschriften • Kranten en weekbladen • Referaten van studenten (met name van Auditing.nl)

De uitkomsten van de literatuurstudie verwerkt in dit referaat zijn door middel van een praktijktoets onder collega’s van de interne auditdienst getest. Om de praktijktoets uit te voeren heb ik een vragenlijst (survey) opgesteld, die verstuurd is aan een groep potentiële respondenten. In heb me hierbij bewust gericht op auditors, audit managers, senior audit managers en chief auditors. Hiermee heb ik geprobeerd een zo breed mogelijk beeld te verkrijgen van de meningen en inzichten die bestaan op verschillende niveaus binnen een auditdienst. Ik heb ook een poping ondernomen om personen uit de business (Front-Office management) te betrekken bij de survey maar door de vakantie periode en de afwezigheid van velen is dit niet gelukt. Ik vind dit een groot gemis omdat ik de meningen en inzichten van het management, over de mogelijke rol van de auditor tijdens crises, ook graag had willen opnemen.

1.5 Leeswijzer Dit referaat is op te delen in drie delen: het inleidende deel, het referentiekader en de mogelijke ruimte die de auditor heeft. Het inleidende deel wordt uitgewerkt in de hoofdstukken 1, 2, 3 en 4. In dit deel ga ik in op de kenmerken van crises en indeling van crises, kenmerken van de bankensector en bankorganisatie en de leiderschapscompetenties gedurende crises. Hiermee beschrijf ik de context van dit referaat en beantwoord ik tevens de eerste en tweede deelvraag. Het referentiekader wordt uitgewerkt in hoofdstukken 5 en 6. In dit deel ga ik in op Enterprise Risk Management, het waardeconcept van Porter en de control concepten van Simon en Merchant. Hiermee beantwoord ik de derde deelvraag. De mogelijke ruimte die de auditor heeft wordt uitgewerkt in hoofdstuk 7. In dit deel ga ik in op de IIA standards die aangeven wat de ruimte is die de auditor heeft en welke services de auditor kan aanbieden. Hiermee beantwoord ik de vierde deelvraag. In hoofdstuk 8 beschrijf ik de conclusie van dit referaat en beantwoord ik de centrale onderzoeksvraag van dit referaat. In hoofdstuk 9 zijn suggesties opgenomen voor verder onderzoek en in de bijlagen is achtergrondinformatie opgenomen over achtereenvolgens de krediet crisis en de crisis bij Société Générale.

7



2 Crises, een verkenning Crises kunnen zich voordoen op verschillende niveaus, zoals mondiaal, nationaal, industrie- of bedrijvensector. In dit referaat beperk ik mij, zoals reeds aangegeven, tot crises binnen bedrijven en in het bijzonder binnen de bankensector. De vragen die ik stel en tracht te beantwoorden zijn onder andere;

• Wat wordt verstaan onder een crisis?; • Wat kunnen de percepties zijn van de leiding met betrekking tot een

crisissituatie?; • Hoe zijn crises te kwalificeren?

In dit hoofdstuk ga ik dieper in op deze vragen.

2.1 Definities van een Crisis en Crisismanagement In deze paragraaf bespreek ik een aantal definities van een crisis en crisismanagement. Op basis van deze definities worden verderop in dit hoofdstuk crises ingedeeld en wordt crisismanagement verder besproken. De algemene definitie die M.J. Bezuyen3 hanteert, luidt: “een crisissituatie is een ernstige bedreiging van de basisstructuren of van de fundamentele waarden en normen van een sociaal systeem welke bij een geringe beslissingstijd en bij een hoge mate van onzekerheid noopt tot het nemen van kritieke beslissingen.” Deze definitie heeft een breed en algemeen karakter. Hiernaast bestaan er nog twee definities die meer gericht zijn op crises binnen bedrijven. Allereerst de definitie van Erika Hyes James en Lynn Perry Wooten4; “Any emotionally charged situation that, once it becomes public, invites negative stakeholder reaction and thereby has the potential to threaten the financial well-being, reputation or survival of the firm or some portion thereof.” Ten tweede wil ik graag de definitie van de Institute for Crisis Management zelf aanhalen: “Any problem or disruption that triggers negative stakeholder reactions that could impact the organization’s financial strength and ability to do what it does.” De definities van James-Wooten en van ICM, hebben het over een uitzonderlijke situatie die leidt tot het onder druk komen te staan van de dagelijkse gang van zaken binnen een sociaal systeem of meer in het bijzonder binnen een bedrijf. De definities benadrukken vooral de kritieke situatie, waarbij het voortbestaan van een bedrijf in gevaar kan komen. Met name het laatste deel van de definitie van Bezuyen is

3 Referaat van E.A.M.Wijker, juni 2006, Auditing.nl verwijzend naar “Crisis in bedrijfsorganisaties: een literatuur verkenning”, bron: M&O, 1994/4 4 Artikel; “How to display competence in times of Crises”, Erika Hyes James en Lynn Perry Wooten

8



interessant, omdat het de mate van urgentie, de tijdsfactor, benadrukt, namelijk: “... welke bij een geringe beslissingstijd en bij een hoge mate van onzekerheid noopt tot het nemen van kritieke beslissingen ...”. Het is met name de urgentie die samenhangt met de crisis die het interessant maakt om na te gaan welke rol de auditor kan hebben. Dit omdat de auditor vaak in een latere fase (in een minder urgente fase) betrokken wordt om een oordeel te geven op hetgeen zich enige tijd geleden heeft voorgedaan. De auditor wordt vaak ook meer tijd gegund om haar werkzaamheden te verrichten en te komen tot een oordeel. Tijdens een crisis is dit heel anders en is metname de tijdsdruk groot. Tenslotte de definitie van crisismanagement volgens de online Business Dictionary (BusinessDictionary.com): “A set of procedures applied in handling, containment, and resolution of an emergency in planned and coordinated steps.” Dit is de definitie die ik verder als leidraad zal hanteren in dit referaat. Voordat we hier op ingaan, eerst een verdere verkenning van crises. In de volgende paragrafen worden twee indelingen van crises besproken om de verkenning te verbreden.

2.2 Indeling van crises volgens Bezuyen Een crisis kan zich onder de neus van de bedrijfstop voltrekken, terwijl de leiding het percipieert als een klein euvel van gering belang. Ook kan voorkomen dat de leiding een klein voorval als een ernstige bedreiging ziet en het kwalificeert als een crisis. Met andere woorden hoe een crisis wordt gepercipieerd kan afhankelijk zijn van diverse aspecten. Om hier enige helderheid bij te creëren hanteert Bezuyen de volgende indeling (zie figuur 2):

1. Crisis Zowel objectief (feitelijk, op basis van beschikbare gegevens) als subjectief (meer gevoelsmatig bepaald) is er sprake van een crisis. De leiding (of het management) zal in deze situatie initiatieven ontplooien om de crisis aan te pakken. Er is sprake van crisisbesluitvorming, waarbij men aan de slag gaat met crisismanagement.

2. Crisiscreatie

Er heerst een sfeer van crisis. De situatie wordt door de leiding ervaren als een crisis, terwijl er objectief gezien geen sprake is van een crisis. Men kan in dit kader spreken van een managementpsychose, waarbij men zich kwetsbaar waant en crisismaatregelen treft. Men creëert als het ware een bepaalde urgentie. Objectief gezien is hier geen aanleiding toe. De leiding kiest ervoor om een crisis sfeer op te roepen met de bedoeling bepaalde acties uitgevoerd te krijgen die anders op verzet zouden kunnen stuiten. Het gaat hierbij om crisismanagement als verandering.

3. Crisisnegatie

9



Er is hierbij juist objectief gezien sprake van een crisis. Echter de leiding lijkt de crisis bewust of onbewust te negeren (crisisnegatie). De leiding is van mening dat er geen reden is om de dagelijkse gang van zaken te doorbreken en de omgeving wordt gerust gesteld door informatie naar buiten te brengen die geruststellend is. Het gaat hierbij om crisismanagement door te ontkennen.

4. Geen crisis

Zowel uit objectief als subjectief oogpunt is er geen sprake van een crisis.

Crisis situatie Crisismanagement als

verandering

Crisisnegatie Crisismanagement als

ontkenning

Crisis Crisis Management

Geen Crisis

Figuur 2: Crises gekwalificeerd volgens de indeling van Bezuyen

2.3 Indeling van crises volgens het Institute for Crisis Management

Het Institute for Crisis Management (ICM) heeft ruim 20 jaar ervaring met het helpen van verschillende soorten bedrijven bij crises. Het betreft bedrijven van verschillend formaat, Fortune 500 bedrijven, de gezondheidszorg, onderwijsinstellingen, not-for-profit organisaties. Op basis deze ervaring onderkent het ICM vier typen crises:

1) Plotselinge crisis (Sudden) 2) Sluimerende crisis (Smoldering) 3) Perceptuele crisis (Perceptual) 4) Bizarre crisis

Voor dit referaat zijn de plotselinge crisis en de sluimerende crisis interessant, omdat deze indeling goed aansluit bij de soorten crisis die de aanleiding vormen voor dit referaat, de crisis bij Société Générale en de krediet crisis. De crisis die zich heeft voorgedaan bij Société Générale is in te delen onder de noemer plotselinge crisis. De activiteiten van de handelaar en het grote verlies kwamen als een volledige verrassing voor de leiding en de stakeholders. De krediet crisis zou gekwalificeerd kunnen worden als een sluimerende crisis. Het ICM definieert de sluimerende crisis als volgt: “A smoldering crisis is a problem that starts out small and someone within the organization should recognize the potential for trouble and fix it before it becomes a public issue”. De bankensector keek toe hoe de opbouw van de krediet business plaatsvond, zonder acht te slaan op de

10



waarschuwingen van industrie kenners (bijvoorbeeld Charles Morris, bankier en economisch historicus)5 die al enige tijd een totale crash van de markt voor krediet-gerelateerde producten voorspelden. Na deze verkenning van crises sta ik in de volgende paragraaf stil bij de kenmerken van de bankensector en de gevoeligheden van de bankorganisatie voor crises.

3 De bankensector en de bankorganisatie Vanwege de focus van dit referaat bespreek ik in dit hoofdstuk de bankensector en de bankorganisatie, met als doel meer inzicht te verschaffen in de waardevernietiging die optreedt in tijden van crisis.

3.1 Waardevernietiging gedurende crises binnen de banken Uit figuur 3 en figuur 4 blijkt hoe ernstig de waardevernietiging is geweest in verschillende crises binnen de bankensector. In figuur 3 is duidelijk te zien hoe groot de afboekingen (verliezen) als gevolg van diverse crises zijn geweest.

Figuur 3: De impact van crises op inkomsten van banken die te maken kregen met een crisis (bron The Economist)

Figuur 4: Banken die te lijden hebben gehad onder de huidige krediet crisis (bron: The Economist)

5 http://www.npr.org/templates/story/story.php?storyId=89123972 & The Trillion Dollar Meltdown: Easy Money, High Rollers, and the Great Credit Crashby Charles R. Morris

11

http://www.npr.org/templates/story/story.php?storyId=89123972

http://www.amazon.com/exec/obidos/search-handle-url?%255Fencoding=UTF8&search-type=ss&index=books&field-author=Charles%20R.%20Morris



3.2 Waarom banken vatbaar zijn voor crises en waardevernietiging

Ondanks de omvangrijke weten regelgeving waar banken zich aan moeten houden en de vele controles waar banken aan onderhevig zijn, zijn er blijkbaar toch voldoende redenen waarom banken vatbaar zijn voor crises Volgens Stijn Claessens6 van het IMF zijn banken “opaque and their business is to take risk. This makes them harder for shareholders to govern.” De activiteiten van een bank hebben volgens een special report van The Economist (15 mei 2008) de volgende kenmerken:

• Het betreft een complexe business (de bankensector) • Er is een cultuur, waarbij er een hoge omloopsnelheid is onder het (relatief

jonge) personeel, waardoor er weinig tot geen collectief geheugen ontstaat met betrekking tot crises die zich voordeden in het verleden. Hierdoor blijft het leereffect achterwege en kan de opgebouwde kennis niet worden ingebed in de (control) structuur van de organisatie.

• Er is een hoog tempo op het gebied van productinnovatie. De kennis over hoe deze nieuwe producten zich gedragen in perioden van “stress” (en crises) is hiermee beperkt, waardoor er niet voldoende gericht gehandeld kan worden als de impact van de risico’s zich openbaart.

• Er is onvoldoende aandacht voor het cultiveren van getalenteerde en capabele managers

Naast deze kenmerken zijn banken door hun activiteiten vaak sterk verweven met elkaar als het gaat om de impact van risico’s.

3.3 De verstrengeling van banken onderling, versterkende vatbaarheid

In het special report van The Economist van 15 mei 2008 (naar aanleiding van de crises bij banken, de krediet crisis en de crisis bij Société Générale, worden er drie algemene redenen genoemd waarom banken vatbaar zijn voor crises. Ten eerste vormen banken de smeerolie van de economie. Banken alloceren en onderschrijven kredieten en zorgen er op deze manier voor dat kapitaal zo productief mogelijk wordt ingezet. Ten tweede doen heel veel banken zaken met andere banken, waardoor de actieve samenwerking overloopt in een vorm van belangenverstrengeling. Terwijl het omvallen van een bedrijfsgenoot in een andere sector juist voordelig kan zijn vanuit concurrentie-oogpunt, is dit binnen de bankensector vaak niet het geval. Door de belangenverstrengeling kan het omvallen van de ene bank één of meerdere andere banken meesleuren (systeemrisico). Ten derde heeft de inherente gevoeligheid te maken met het businessmodel van een bank. Zo gauw een bank in opspraak raakt en de reputatie risico’s transparant worden, kan het heel snel bergafwaarts gaan met die bank.

6 The Economist, Tightrope artists, May 15th 2008

12



Dit komt doordat na het verlies aan vertrouwen, het opeisen van geld door schuldeisers (particulieren) veel sneller gaat dan het voor de bank mogelijk is om geld op te eisen van schuldenaars. Deze incongruentie in het funding-profiel van de bank maakt het in tijden van crisis zeer urgent om de vinger snel, goed beargumenteerd en beoordeeld op de zere plek te kunnen leggen.

3.4 Wat zijn de kenmerken van banken die goed worden gemanaged?

Ondanks de gevoeligheid van de bankensector zijn er toch banken die een bepaalde organisatie hebben opgebouwd die voldoende in staat is desastreuze waardevernietiging te voorkomen. Gezien de link van deze scriptie met de meest recente crisis, het Société Générale debacle en de krediet crisis die aanhoudend pijn veroorzaakt in de sector en in het algemeen ook in de economie zijn de leerpunten die nu aan het licht komen interessant voor de auditor die in tijden van crisis zou moeten presteren. Uit het eerder genoemde special report van The Economist blijkt dat banken die een goede balans hebben gevonden in groei, waardecreatie en good governance, een bepaalde cultuur te hebben waarbij met nadruk aandacht besteed wordt aan de volgende punten:

• Leidinggevenden hebben de juiste ervaring Hoewel dit een vanzelfsprekendheid lijkt, is dit toch vaak niet het geval. Bij Goldman Sachs, een bank die in de huidige krediet crisis met kop en schouders uitsteekt boven haar sectorgenoten, is men sterk gericht op management prudentie. Zo heeft de Chief Executive Officer, Lloyd Blankfein, ruime ervaring als handelaar op de financiële markten. In de bankomgeving waar kennis en kunde voortdurend gechallenged worden door de snelheid waarmee omvangrijke transacties iedere seconde plaatsvinden, is het heel belangrijk dat men goed begrijpt waar men mee bezig is. Dit besef is nog belangrijker tijdens een crisis. Uit onderzoek7, tijdens de crisis bij Société Générale, blijkt dat de supervisors van de verdachte 31-jarige handelaar Jérôme Kerviel niet in staat waren op een gedegen manier diverse alarmsignalen te interpreteren. Hierdoor hebben zij 1071 valse trades over het hoofd gezien, hetgeen mogelijk kwam door onvoldoende relevante ervaring van de supervisors.

• Sterk betrokken Management teams De supervisors bij Société Générale hebben, het niveau van de winsten van Jérôme Kerviel, de cash flows die resulteerden uit zijn transacties, de hoge broker kosten (voor de tussenhandel) en signalen van de Eurex AG (Europa’s grootste Future beurs), niet goed weten te interpreteren. Allemaal redenen genoeg om te vermoeden dat het schortte aan betrokkenheid, kennis en ervaring van management.

7 Bloomberg nieuwsbericht, 23 mei 2008

13



• Vaak en gericht rouleren van personeel

Succesvolle banken zoals Goldman Sachs bouwen een cultuur op, waarbij er getracht wordt om net zoveel ervaring en kennis te cultiveren op lagere niveaus binnen de bank als op Executive niveau. Om dit te bereiken wordt het personeel gerouleerd tussen control functies en business functies met als doel uniformiteit in cachet te creëren en ervoor te zorgen dat zaken besproken worden door zoveel mogelijk diverse insiders.

• Effectieve en transparante reporting lines

Binnen een bank worden er veel rapporten geschreven. Van belang is dat de inhoud van de rapporten ook hout snijdt. Dit stelt eisen aan de inhoudelijke kennis en kunde van degenen die verantwoordelijk zijn voor het opstellen van de rapporten. Hiernaast is van belang dat de rapporten frequent en tijdig ook de juiste personen bereiken die op basis van de verstrekte informatie een goed beeld kunnen vormen over de risico’s en daar, indien nodig, actie bij kunnen ondernemen.

• Risk management afdelingen staan in nauw contact met de Executive

Committee’s De bureaucratie binnen banken kan ertoe leiden dat de risk management afdeling te ver af staat van de Executive Committee’s. Het risico is dat er éénrichtingsverkeer ontstaat en er alleen informatie wordt verstrekt. Dit terwijl blijkt dat juist een actieve dialoog noodzakelijk is om de risico’s goed in beeld te krijgen8 om goed onderbouwde beslissingen te kunnen nemen.

• De organisatie voorkomt dat (risk) afdelingen als “Silo’s” naast elkaar

werken Succesvolle banken hebben een holistische risicobenadering. Het is van belang dat de diverse risicomanagement afdelingen bijvoorbeeld Market Risk, Credit Risk en Operational Risk nauw samenwerken met elkaar, zodat het totale risicobeeld volledig is. Bij veel banken werken de afdelingen ver langs elkaar in plaats van nauw met elkaar9. Deze “Silovorming” is een ernstig knelpunt omdat de complexiteit van de producten, de diverse facetten van een product, door verschillende risk management afdelingen wordt bewaakt. Als er geen nauwe samenwerking bestaat tussen de diverse risico-afdelingen, bestaat de kans dat er onvoldoende inzicht is in de relatie tussen diverse soorten risico’s.

• Men legt bij risk management specifiek de nadruk op kennis over nieuwe, gecompliceerde en innovatieve producten Vaak hebben nieuwe, complexe en innovatieve producten zich nog niet bewezen in tijden van stress of crisis. Deze nieuwe producten zijn vaak ook

8 Artikel uit The Economist, Tightrope artists, 15 mei 2008 9 Special Report, The Economist, May 15th 2008)

14



niet opgenomen in de risicomanagement processen en posities worden vaak bijgehouden door handelaren die zichzelf behelpen met zelf geconstrueerde spreadsheets10. Deze producten blijven dan vaak lange tijd “off radar” met alle risico’s van dien. Van belang is dat er voldoende kennis en ervaring is bij de risk management afdelingen om dit te beseffen en daar adequaat naar te handelen. Succesvolle banken zorgen er tijdig voor dat nieuwe business met een dergelijk karakter onder een streng limieten regiem valt totdat ze volledig kan worden meegenomen in de geldende risk management processen11. Met de limieten tracht men de mogelijke schade te beperken.

• Men is zich bewust dat onverwachte winsten net zo belangrijk zijn als onverwachte verliezen De cultuur binnen banken legt meer de nadruk op grote verliezen. Echter wanneer een groot verlies zich voordoet is het te laat. Binnen de risico-cultuur van een bank is het ook van groot belang om te kijken naar excessieve winsten. Niet alleen aan een groot verlies maar ook aan een plotselinge grote winst kan er een luchtje zitten. Succesvolle banken houden de verhouding risico-rendement goed in de gaten, door ook afwijkende winsten te analyseren met het oog op onacceptabele risico’s en handelingen die een crisis kunnen veroorzaken.

Kennis over de sector en de organisatie en de perceptie en kwalificatie van crises maken allemaal deel uit van de manier waarop de leiding besluit om, om te gaan met crises. Het spreekt voor zich dat het van belang is dat de auditor bekend is met deze (nieuwe) inzichten zodat zij deze kennis kan delen met anderen in de organisatie. Er van uitgaande dat de leiding haar verantwoordelijkheid zo goed mogelijk invult, zal er ook een bepaald type leiderschap nodig zijn in tijden van crisis. Dit is het onderwerp van het volgend hoofdstuk.

10 Special Report, The Economist, May 15th 2008) 11 Artikel uit The Economist, Risk Managers take a hard look at themselves, 15 mei 2008

15



4 Leiderschap gedurende crises Tijdens een crisis draagt de leiding, de Raad van Bestuur, van de organisatie de volledige verantwoordelijkheid voor hetgeen zich voordoet. Vanuit de leiding zal er weer gedelegeerd worden, op basis van de organisatiestructuur, bijvoorbeeld naar het management. Als er door de leiding een beroep op de auditor wordt gedaan een rol te spelen bij het helpen beheersen van de crisis dan is het van belang te begrijpen wat dit leiderschap tijdens een crisis kan inhouden. Het is niet de bedoeling dat de auditor op de stoel van de leiding of het management gaat zitten. Het doel van dit hoofdstuk is dan ook om te bespreken wat de leiderschapscompetenties zijn tijdens een crisis om vervolgens na te gaan hoe de auditor dit inzicht kan gebruiken om haar eigen rol zo goed mogelijk af te stemmen op de behoefte van de organisatieleiding. Het krachtenveld en de dynamiek waar de auditor in terecht kan komen tijdens een crisis kan bepalend zijn voor de manier waarop de auditor haar rol kan invullen. Door deze bewustwording kan de ondersteuning van de auditor mogelijkerwijs meer waarde toevoegen in tijden van crisis.

4.1 De 6 leiderschapscompetenties bij crises Opmerkelijk is dat crisismanagement traditioneel gericht is op het beperken van de schade. Dit is een ééndimensionale benadering. Wat er juist nodig is is niet alleen management van de situatie, maar een bepaald type leiderschap dat verder kijkt dan alleen de hectiek en ernst van het moment. Leiderschap (van de RvB) welke de organisatie, de crisis en de omgeving als geheel meeneemt, een meer holistische benadering kiest, zal veel betere resultaten behalen in tijden van crisis. Volgens Erika Hyes James en Lynn Perry Wooten12 gaat het om de volgende 6 leiderschapscompetenties:

A. Bouwen van een fundament van vertrouwen Het gaat hier vooral om het menselijk aspect van de organisatie. Als er geen vertrouwen is zal het lastig zijn om beslissingen te nemen en de uitgestippelde strategie te implementeren. Het is van groot belang dat er vertrouwen gewekt wordt bij werknemers, de zakenpartners en de gehele value chain van de organisatie. Er dient een bepaalde mate van openheid betracht te worden naar de diverse stakeholders toe, waarbij er op een gecoördineerde manier informatie wordt gedeeld.

12 Artikel; “How to display competence in times of Crises”, Erika Hyes James en Lynn Perry Wooten

16



B. Het creëren van een nieuwe Corporate Mindset Leiders zullen tijdens een crisis een Corporate Mindset moeten creëren, waarbij er ruimte is voor het nemen van beslissingen (onder druk) om de crisis op een zo goed (beheersbaar) mogelijke manier te begeleiden. Deze mindset zal mogelijk leiden tot initiatieven om oplossingen aan te dragen en mogelijk bijdragen aan de verbetering van de controls in het systeem. C. Het identificeren van (niet zo) duidelijke bedrijfsgevoeligheden Door voortdurend te challengen voorkomt het leiderschap inertie binnen de organisatie en voorkomt het de beschuldiging als zou zij hebben bijgedragen aan een omgeving en cultuur die een broeinest vormt voor het ontstaan van crisis. Het gaat hierbij om het stimuleren van out of the box thinking. Het leiderschap zal voortdurend erop toe zien dat het zichzelf en management binnen het bedrijf challenged. Door dit te doen kan het leiderschap trachten scenario’s te verkennen, waarbij het minst denkbare leidt tot verrassingen en risico’s die weer uitmonden in crisis. D. Het nemen van wijze en snelle beslissingen De traditionele benadering voor het nemen van beslissingen: informatie verzamelen, verkennen van alternatieven, het evalueren van de alternatieven en het uiteindelijk nemen van een beslissing, gaat in een crisissituatie niet op. Tijdens een crisis is er sprake van een sub-optimale situatie, waarbij de druk hoog is en er dringend beslissingen genomen moeten worden. Immers, er is tijdsdruk en het verkrijgen van informatie is lastig tot onmogelijk. Volgens Erika Hyes James en Lynn Perry Wooten wijst onderzoek uit dat leiders in dergelijke situaties sterk geneigd zijn hulp in de roepen van specialisten en experts en beslissingsbevoegdheid te delegeren aan deze personen. Dit werkt niet altijd goed. De meerwaarde zit juist in een gebalanceerde combinatie van de brede kennis die de leiding heeft over de organisatie, toegang tot het menselijk netwerk, informele contacten binnen en buiten de organisatie (diverse stakeholders) en de kennis en kunde van de specialisten en experts. Van belang is dus dat de leiding deze gebalanceerde combinatie weet te vinden en te gebruiken om wijze en snelle beslissingen te nemen. E. Moedig stappen ondernemen Door onzekerheid die er heerst tijdens een crisis is de leiding vaak geneigd zich conservatiever op te stellen dan normaal. Een crisis vraagt juist een onconservatieve aanpak, een bepaalde vorm van moed waarbij men juist groot, breed en toch verantwoordelijk moet denken en handelen. In dergelijk situaties zal het noodzakelijk zijn om te beslissen en zich te gedragen op een manier die de bestaande mandaten overstijgt en er tegenin gaat. Leiders die zich op deze manier opstellen stellen zich open voor een frisse benadering waarbij een crisis gezien wordt als een mogelijkheid om een nieuwe, betere organisatie op te bouwen. F. Leren van de crisis om verandering teweeg te brengen Om gebruik te kunnen maken van deze onconservatieve invalshoek, waarbij crisis beschouwd wordt als een mogelijkheid om een organisatie te verbeteren, is het van belang dat men een lerende houding aanneemt en daar ook een goede

17



leeromgeving voor creëert. Van hieruit kunnen dan veranderingen teweeg gebracht worden om de organisatie te verbeteren. Evaluatie van het bestaande (organisatiecultuur, de policies en procedures) zal dan kunnen leiden tot een nieuwe situatie. Van belang hierbij is dat men openstaat voor het volgende:

• het delen van informatie, waarbij men personen stimuleert en beloont voor het delen van eerlijke informatie over problemen binnen de organisatie (bijvoorbeeld klokkenluiders);

• geconfronteerd te worden met informatie die kan suggereren dat er fouten zijn gemaakt door de leiding;

• het fundamenteel aanbrengen van veranderingen in de organisatie op een dusdanige manier dat de organisatie en de (control) systemen worden gereorganiseerd, waarbij mogelijk schadelijke personen worden verwijderd uit de organisatie.

De leiderschapscompetenties zoals besproken in dit hoofdstuk vormen een context waarbinnen de auditor het gedrag van de leiding tijdens een crisis kan plaatsen. De manier waarop de auditor vervolgens kan omgaan met risico’s en risicomanagement in het kader van een crisis is het onderwerp van het volgende hoofdstuk.

5 Het referentiekader van de auditor vanuit ERM In dit hoofdstuk leg ik de relatie tussen risico’s, Enterprise Risk Management (ERM) en de manier waarop de auditor met dergelijke concepten als instrumentarium kan omgaan. Het doel is om te beschrijven over welke kennis de auditor moet beschikken als het gaat om risk management raamwerken en welke bewegingsruimte de auditor heeft om vanuit risicomanagement geredeneerd haar rol in te vullen in tijden van crisis.

5.1 Omgaan met risico’s Als een crisis zich voordoet, kan een bedrijf in het voortraject op twee manieren omgegaan zijn met risico’s:

1) Een bedrijf kan maatregelen getroffen hebben om een crisis te voorkomen. Er is in dit geval sprake van het erkennen van risico’s en het gebruik van een bepaald risico management raamwerk (framework) om de risico’s in kaart te brengen en op een bepaalde manier te beheersen.

2) Een bedrijf heeft helemaal geen kennis van risico’s die zich kunnen voordoen en dus ook geen risicomanagement raamwerk.

In dit referaat ga ik er vanuit dat de bankensector aan actief risicomanagement doet en daar een raamwerk voor heeft opgesteld. Dit actief risicomanagement is tevens opgenomen in de good governance regelgeving waaronder de Nederlandse Corporate Governance Code. Best Practice bepaling II.1.413 gaat als volgt in op de “in control statement”:

13 De Nederlandse corporate governance code, Beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen, pagina 9,

18



In het jaarverslag verklaart het bestuur dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn en geeft hij een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersings- en controlesysteem in het boekjaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissen is besproken. In de toelichting bij bovenstaande best practice bepaling geeft de Commissie Tabaksblat aan dat het in de rede ligt dat het bestuur in de verklaring aangeeft welk raamwerk of normenkader is gehanteerd bij de evaluatie van het risicobeheersings- en controlesysteem. Als voorbeeld wordt hierbij het COSO (Committee of Sponsoring Organizations of the Treadway Commission) raamwerk voor interne beheersing genoemd. Dit raamwerk wordt in het volgende stuk verder belicht. Het risico raamwerk waar de meeste bedrijven en banken mee werken is het Enterprise Risk Management (ERM) raamwerk. Uit een recent rapport gebaseerd op een enquête, verricht door the Economist Intelligence Unit en KPMG14 onder 435 senior executives, toont aan dat ERM een toonaangevende business driver is geworden binnen veel bedrijven. Hier borduur ik op voort in dit referaat en beschouw ERM als een geaccepteerde standaard op het gebied van risicomanagement raamwerken.

5.2 Wat is Enterprise Risk Management?

5.2.1 Definitie

Het IIA definieert Enterprise Risk Management (ERM) als volgt15: “ERM is a structured, consistent and continuous process across the whole organisation for identifying, passing, deciding on responses to and reporting on opportunity and threats that effect the achievement of its objectives.” ERM is hiermee een management tool. Het is het gestructureerd en geïntegreerd in kaart brengen en analyseren van de risico’s en het ontwikkelen en implementeren van beheersmaatregelen binnen de risico-acceptatiegraad van de onderneming. ERM is eenvoudig op te delen in twee aspecten. Het is ten eerste een maatstaf voor het meten van risico voor de gehele onderneming. Ten tweede dient het ingebed te worden in het management van de organisatie en de corporate governance processen.

http://www.corpgov.nl/page/downloads/CODE%20DEF%20COMPLEET%20II.pdf14 The evolution of risk and controls, From score keeping to strategic partnering 2007, page 26, http://us.kpmg.com/microsite/attachments/2008/EvolutionReport0308.pdf 15 Enterprise Risk Management-Integrated Framework, Executive Summary, september 2004, by the Committee of Sponsoring Organizations of the Treadway Commission.

19

http://www.corpgov.nl/page/downloads/CODE%20DEF%20COMPLEET%20II.pdf



5.2.2 Strategie en ERM Om ervoor te zorgen dat risico’s adequaat beheerst worden is het van belang dat ERM aansluit bij de strategie van de onderneming. Immers in de strategie liggen de belangrijkste doelstellingen opgesloten en worden keuzes gemaakt over het gewenste rendement (financieel & maatschappelijk) van de bedrijfsvoering. Naast deze strategische focus biedt ERM nog een groot voordeel: het integreert alle interne risicogebieden met elkaar.

5.2.3 COSO en ERM Een bekend framework is COSO (Committee of Sponsoring Organizations of the Treadway Commission). Dit model richt zich op de interne controle en beheersing van bedrijfsrisico’s. Bij het COSO-ERM-IF (Integrated Framework)16 is het uitgangspunt dat waarde wordt gemaximaliseerd als het management een strategie formuleert en doelen stelt om een optimale balans tussen groei, resultaat en gerelateerde risico’s te realiseren. COSO-ERM-IF is te vatten in een aantal aspecten:

• het is een proces • het wordt bewerkstelligt door mensen (RvB, management en personeel) • het wordt toegepast in de strategische planning • het wordt toegepast in de gehele onderneming • het is ontworpen om risico’s te managen binnen de risico acceptatiegraad van

de onderneming • het zorgt voor een redelijke zekerheid • het is gericht op het bereiken van de bedrijfsdoelstellingen

In figuur 5 is het COSO-ERM-IF raamwerk grafisch weergegeven in een driedimensionale kubus. Hierbij worden een achttal componenten van risicomanagement genoemd namelijk:

1. Interne omgeving 2. Formuleren van doelstellingen 3. Identificeren van gebeurtenissen 4. Risicobeoordeling 5. Reactie op risico 6. Beheersingsactiviteiten 7. Informatie en communicatie 8. Bewaking

16 http://www.theiia.org/guidance/standards-and-practices/additional-resources/coso-related-resources/coso-framework-faq/

20



Figuur 5: COSO-ERM-IF kubus, Committee of Sponsoring Organisations of the Treadway Commission, Enterprise Risk Management – Integrated Framework, Executive Summary, September 2004 Het Integrated Framework incorporeert17 de interne controls framework in het ERM. Hiermee is er een link gelegd tussen waarde, risico, strategie, doelstelling, prestatiemeting, risico response en control processen.

5.2.4 Verantwoordelijkheid voor ERM De Raad van Bestuur ( RvB) heeft de algemene verantwoordelijkheid om ervoor zorg te dragen dat risico’s beheerst worden. In de praktijk zal de RvB de taak voor het operationaliseren van het risk management framework delegeren aan het daarvoor in het leven geroepen management team. Wanneer het misgaat en een crisis zich voordoet, zal uit deze verantwoordelijkheid ook de RvB gevraagd worden verantwoording af te leggen. Inzicht in wat er mis is gegaan en hoe het mis heeft kunnen gaan zal dan ook de focus zijn van de RvB.

5.2.5 Wanneer en wat kan er misgaan? Problemen doen zich vaak voor wanneer de twee aspecten, het meten van risico’s en het risico governance proces, van elkaar worden gescheiden18. In hoofdstuk 3 bij de bespreking van de bankensector en de bankorganisatie heb ik hier reeds bij stilgestaan. Als dit misgaat dan kan uit het geheel als gevolg van elkaar versterkende risico’s een crisis (sluimerend of plotseling) ontstaan. De kans dat dit gebeurd is vooral aanwezig in snelle, dynamische bedrijven en markten zoals de bankensector. In het kader van dit referaat geldt dit zowel voor de krediet crisis als de crisis die zich heeft voorgedaan bij Société Générale. 17 http://www.theiia.org/guidance/standards-and-practices/additional-resources/coso-related-resources/coso-framework-faq/ 18 Artikel van KMPG Insider; ERM may have prevented subprime Writeoffs-if Banks Had Paid Attention.

21



Voorzitter Larry Ritterberg19, van The Committee of Sponsoring Organizations of the Treadway Commission (COSO), geeft aan dat vele financiële service instellingen risico’s meten zonder het te koppelen aan de governance processen. Ritterberg zegt aanvullend: “When we developed the COSO guidelines we talked about following a “portfolio of risks”. Different types of risk need to be linked to each other. Companies need to tie ERM to executive compensation. While boards of directors sometimes include risk in their evaluation of management, compensation package usually focus strictly on returns.”. De loskoppeling van het meten van risico’s en het risico governance proces, doet af aan de effectiviteit van het Good Governance mechanisme. Bij de krediet crisis zien we dat de financiële instellingen, die normaal experts zijn in kwantitatieve analyses en het creëren en gebruiken van financiële modellen, de dupe zijn geworden van manco’s aan hun governance mechanismen20. Een van de manco’s die opvalt, is het niet ondernemen van adequate en tijdige acties op basis van de signalen die de risico modellen afgeven. De Quants (de kwantitatieve medewerkers) kenden de risico’s. Immers zij gebruikten de modellen om onder andere de risico’s bloot te leggen. Echter de business was machtiger dan de Quants en konden hen eenvoudigweg overstemmen met hun eigen belang, het creëren van inkomsten door grotere risico’s te nemen. Het meten van risico’s en het beheersen (governance) van risico’s vonden niet plaats op hetzelfde moment, in “real time”. Ditzelfde manco heeft zich ook voorgedaan in het geval van Société Générale. De activiteiten van de handelaar zijn mogelijkerwijs getolereerd, omdat hij al jarenlang een “Shining Star” was die veel geld verdiende voor de bank. De drang naar resultaten maakte dat de governance werd verwaarloosd.

5.2.6 De rol van de auditor in Enterprise-wide Risk Management Het IIA spitst de rol van de auditor, met betrekking tot ERM, vooral toe op assurance services van de internal auditor. Deze assurance rol wordt benadrukt in de position paper van september 2004 “The Role of the Internal Auditing in Enterprise-wide Risk Management”. Hierin komt duidelijk naar voren: “Internal auditing’s core role with regard to ERM is to provide objective assurance to the board on the effectiveness of an organization’s ERM activities to help ensure key business risks are being managed appropriately and that the system of internal control is operating effectively”.21

19 Artikel van KMPG Insider; ERM may have prevented subprime Writeoffs-if Banks Had Paid Attention 20 Artikel van KMPG Insider; ERM may have prevented subprime Writeoffs-if Banks Had Paid Attention. 21 Het IIA, positionpaper september 2004, “The Role of the Internal Auditing in Enterprise-wide Risk Management”, pagina 6

22



Figuur 6: Internal Audit role in ERM22

De kerntaken van de audit met betrekking tot ERM zijn door het IIA als volgt opgesomd (uiterst links van de waaier):

• Het verstrekken van zekerheid (assurance) over het management proces • Het verstrekken van zekerheid dat risico’s correct geëvalueerd worden • Het evalueren van risico’s in de management processen • Het evalueren en rapporteren van de belangrijkste (key) risico’s • Het reviewen door het management van de belangrijkste (key) risico’s.

Gelegitimeerde rollen die de audit kan spelen zijn volgens het IIA (middenstuk van de waaier):

• Het faciliteren van risico identificatie en evalueren van risico’s • Het coachen van management in hoe om te gaan met risico’s • Het coördineren van ERM activiteiten • Het consolideren van acties met betrekking tot risico rapportages • Het onderhouden en ontwikkelen van het ERM framework • Ervoor pleiten dat het van belang is dat er een ERM framework is • Het ontwikkelen van risico management strategie die ter goedkeuring wordt

aangeboden aan de RvB.

22 IIA Position Statement: The Role of Internal Auditing in Enterprise-wide Risk Management, 29 september 2004, www.theiia.org

23

http://www.theiia.org/



Het is niet de taak van de audit om (uiterts rechts van de waaier):

• De mate van risico acceptatie te bepalen • Risk management processen op te leggen • Namens het management zekerheid te bieden over risico’s • Het nemen van beslissingen nadat er gereageerd is op blootgelegde risico’s • Het implementeren van acties naar aanleiding van reacties op blootlegging van

risico’s gemachtigd door het management • Verantwoordelijk zijn voor risicomanagement

Het IIA benadrukt dat organisaties zich goed bewust moeten zijn dat het management verantwoordelijk is voor risk management. De auditor kan het management voorzien van informatie, kan challengen en kan management beslissingen met betrekking tot risico’s ondersteunen. Dit is dus duidelijk anders dan het nemen van risk management besluiten. Hoewel het bovenstaande een duidelijke afbakening aanbrengt in de taak van de auditor met betrekking tot ERM, kan het beroep dat de leiding van een organisatie tijdens een crisis doet op de services van de auditor drastisch veranderen. Terwijl de kerntaak van de auditor met betrekking tot ERM, blijft het afgeven van assurance aan de RvB over de effectiviteit betreffende het risk management, kan het in tijden van crisis moeilijk zijn voor de operational auditor om op de formele strepen te staan en vanaf de zijlijn de schade te aanschouwen. De urgentie die samenhangt met de realiteit van een crisis kan maken dat de auditor meer naar de voorgrond wordt gehaald. De auditor kan dan samen met de leiding van de organisatie in een rol terecht komen, waarbij meer van haar diensten gevraagd wordt dan normaal het geval is. Gezien het feit dat het COSO-ERM-IF de link legt tussen tussen waarde, risico, strategie, doelstelling, prestatiemeting, risico response en control processen ga ik in het volgende hoofdstuk uitgebreider in op de spanning tussen waardecreatie/-behoud en control23. De spanning kan optreden wanneer de organisatie belemmerd wordt in het creëren van waarde doordat er een overdaad aan control is. Aan de andere kant kan er ook spanning optreden als de organisatie zich vooral richt op het creëren van waarde en het beheersen van risico’s verwaarloosd. De spanning die dan ontstaat kan uitmonden in een crisis. Geredeneerd vanuit ERM gaat het dus om het vinden van een gezonde balans, creatieve spanning tussen waardecreatie en risico management. Nu duidelijk is wat de kerntaken en verantwoordelijkheden van de auditor zijn, met betrekking tot ERM, is het mogelijk om andere aspecten van het referentiekader van de auditor te beschrijven.

23 http://www.12manage.com/methods_simons_levers_nl.html

24



6 De waardeketen van Porter, Simons hefbomen van Control en Merchants model van Controls

In dit hoofdstuk bespreek ik eerst de waardeketen van Porter, vervolgens de hefbomen van Simons en als laatste de Controls van Merchant. Geheel in lijn met het COSO-ERM-IF, ga ik hierbij dieper in op de link tussen strategie, waarde, risico’s en control activiteiten. Het doel is om na te gaan waar de auditor zich tijdens een crisis op zou kunnen richten om waardevernietiging stop te zetten.

6.1 De waardeketen van Porter

Figuur 7: Waardeketen van een bank24

De waardeketen is een concept dat in 1985 door Michael Porter25 is geïntroduceerd. Als men het heeft over rollen en processen binnen organisaties en de toegevoegde waarde die de rollen en processen hebben bij het creëren van waarde voor de organisatie dan komt men onder andere uit bij de waardeketen en het concept zoals Michael Porter dat heeft ontwikkeld. Het concept is gebaseerd op het idee dat producten en ook diensten een bepaalde keten van activiteiten doorlopen en dat er tijdens de doorloop waarde toegevoegd wordt aan het product of de dienst.

24 Power point presentation of Markus Lammers, Strategic Sourcing in Banking A Framework, E-Finance Lab, University of Frankfurt, www.is-frankfurt.de/publikationenNeu/ StrategicSourcinginBankingAFr1102.ppt 25 http://en.wikipedia.org/wiki/Value_chain, verwijzend naar de Competitive Advantage: Creating and Sustaining Superior Performance. Auteur: Michael Porter

25

http://en.wikipedia.org/wiki/Value_chain



De waardecreatie vindt dus plaats tijdens de doorloop. De keten geeft het product meer toegevoegde waarde dan de som van de afzonderlijke activiteiten. Het is van belang het concept van de waardeketen niet te verwarren met de kosten die zich voordoen bij het doorlopen van de activiteiten. Niet alleen kosten bepalen de eindwaarde van het product. Een goedkope diamantslijper kan een relatief grote waarde toevoegen bij het slijpen van een ruwe diamand. Porter onderscheidt primaire en secundaire activiteiten. Hieronder zijn de activiteiten zoals weergegeven in de waardeketen van de bank genoemd: Primaire activiteiten

• Products o Funding; Deposits, Securitization, Credits o Investment; Credits, Securities, Financial Products, Corporate

Investments, Other Assets o Services; Account management, Asset Management, Issuance / Initial

Public Offering (IPO), Mergers & Acquisitions, Advisory Services, Other services

• Marketing; Advertising, Branding, Sales Support • Sales; Aquisitie, Offering, Mutichannel Management • Transactions; Payments, Trading, Clearing & Settlement, custody

Secundaire (Ondersteunende) activiteiten

• Riskmanagement • Technology Development • Human Resources • Firm Infrastructure

Zo is het mogelijk om kosten en value drivers (welke activiteiten leiden tot welke bijdrage) te identificeren voor iedere activiteit. De waardeketen als concept is een zeer bruikbare analyse tool bij strategische planning. Het ultieme doel is om waardecreatie te maximaliseren en tegelijkertijd de kosten te minimaliseren. In tijden van crisis zal het eerder gaan om waardebehoud en tegengaan van waardevernietiging. De auditor die vooral te maken heeft met processen kan het waardeconcept van Porter goed gebruiken om waardevernietiging tegen te gaan omdat het gestructureerd inzicht biedt in (waarde creërende) processen. Het kunnen identificeren van de plek, het proces, die het meest geraakt wordt door de waarde vernietigende werking van de crisis is, redenerend vanuit de dynamiek van de crisis situatie, een manier om snel actie te kunnen ondernemen. Dit inzicht kan vervolgens nog worden aangevuld door het inzicht over de aanwezige controls. Dit bespreek ik in het volgende paragraaf.

26



6.2 Simons hefbomen van control en Merchants model van Control

Binnen iedere organisatie en dus ook binnen een bank spelen de volgende vragen:

• Hoe houden managers 'control' over hun organisatie? • Hoe kunnen managers voorkomen dat medewerkers de continuïteit van de

organisatie in gevaar brengen? Om antwoord te kunnen geven op deze vragen behandel ik de interne beheersingsmodellen van Simons en Merchant. De modellen kunnen als kennisconcept dienen voor auditors om tijdens een crisis bijvoorbeeld waardevernietigend gedrag of falen van controls te identificeren .

6.2.1 Simons hefbomen van control Robert Simons meent dat het cybernetische besturingssysteem (Simons noemt dit “diagnostic control system”) ontoereikend is en dat andere beheersingsmechanismen nodig zijn. Daarom spreekt hij over de “levers of control” die managers kunnen toepassen om creativiteit en 'control' in balans te houden. Definitie hefbomen van control26: Formele op informatie gebaseerde routine procedure, welke wordt gebruikt door het management om patronen in organisatorisch gedrag te handhaven of te veranderen.

Figuur 8: Simons Levers (Hefbomen) van Control


27



In bovenstaande figuur 8 worden de vijf hefbomen gelinked aan de strategie van een organisatie. Ook bij een bank kunnen deze Levers of Control aanwezig zijn. Simons spreekt van de volgende hefbomen:

a) Interne Controls Interne controles zijn structurele, persoonlijke en systematische checks en balances om onder andere verdubbeling, onnauwkeurigheid, fraude en ontoereikende documentatie te voorkomen. Het gaat om de gebruikelijke beveiligingen die een bedrijf realiseert om de bedrijfsactiva te beschermen (vb; beveiliging van de bankkluis, personen, gebouwen) en een betrouwbare registratie te waarborgen (bijvoorbeeld: registratie persoonsgegevens).

b) Geloofssystemen (Belief Systems) Deze hebben betrekking op het uitdragen van een visie, missie en gedragscode van de organisatie. Ook het motiveren van personeel valt hieronder. Vaak een taak voor het hoger management om de commitment die van belang is voor elkaar te krijgen.

c) Grenssystemen (Boundary Systems) Hebben betrekking op het positioneren van de organisatie, het definiëren van de product/markt combinaties, instellen van limieten (te denken valt aan het vaststellen van acceptabele risiconiveaus), het vaststellen van bevoegdheden en het bepalen van niet-wenselijk gedrag. Bij banken gaat het bijvoorbeeld om de invulling van de taak van de risk comités die in overleg met de business overeenkomen welke mandaten er gelden en welke limieten (handelslimieten, kredietlimieten) worden vastgesteld. Ook kan hier compliance bij betrokken worden om ervoor te zorgen dat duidelijk wordt wat verstaan wordt onder “niet-wenselijk gedrag”.

d) Diagnose controle systemen (Diagnostic Control Systems) Deze systemen richten zich vooral op het behalen van doelen. Hierbij vindt een vergelijking plaats tussen het gestelde doel en het behaalde resultaat en worden verschillen verklaard. Binnen banken spelen Management Information Systems (MIS) en bijbehorende rapportageprocessen (bijvoorbeeld waarbij de afdeling Finance en ook audit en/of inspectie afdelingen bij betrokken zijn) een belangrijke rol.

e) Interactieve Controle Systemen (Interactive Control Systems) Organisaties gebruiken deze systemen om zich te richten op het zoeken naar kansen, het waarnemen van veranderingen in de markt, lerend vermogen van de organisatie, het goed positioneren van de organisatie voor de toekomst en het bediscussiëren van data, veronderstellingen en plannen.

Tijdens een crisis kan een auditor zijn inzicht vergroten door het model van Simons erbij te halen bij het invullen van zijn rol. De auditor zou aan de hand van dit model de situatie gericht en gestructureerd kunnen verkennen door onder andere de volgende kritische vragen te stellen:

• Hebben de senior managers de kernwaarden van de organisatie op een zodanige manier gecommuniceerd dat de mensen deze begrijpen en er blij mee zijn?

28



• Hebben de managers in uw organisatie duidelijk de specifieke acties en het gedrag geïdentificeerd welke niet worden toegestaan?

• Zijn de diagnosticerende controlesystemen in orde voor het volgen van de kritieke prestatievariabelen?

• Zijn de controlesystemen interactief? En zijn zij ontworpen om het leren te bevorderen?

• Betaalt de organisatie genoeg voor traditionele interne controles? Dit zijn enkele vragen die de auditor vanuit haar betrokkenheid kan stellen om zo meer inzicht te krijgen in waar de plek(ken), de processen zitten waarvan de controls als hefboom hebben gefaald. Hierbij nog een aanvulling in het volgende.

6.2.2 Merchant’s model van Control Volgens Ken Merchant27 zijn control systems nodig omdat mensen, niet altijd weten wat van hun verwacht wordt, iets niet kunnen en/of iets niet willen. Management controls zijn gericht op doelstellingen, zijn toekomstgericht en economisch verantwoord. In dit kader onderkent Merchant de volgende objecten van control; Personeel, Performance, Processen/activiteiten. De controls die volgens Merchant centraal staan zijn:

a) Personnel Controls Deze controls helpen de werknemers “goed” werk te verrichten. Zij zijn gestoeld op de natuurlijke neiging van werknemers om zichzelf te beheersen. Voorbeelden van dergelijke controls zijn; intrinsieke motivatie, ethiek en moraliteit, vertrouwen en loyaliteit en training.

b) Culture Controls Deze controls zijn ontworpen om ervoor te zorgen dat er wederzijdse controle en vaak krachtige sociale druk wordt uitgeoefend door de groep op het individu dat afwijkt van de normen en waarden van de groep. Deze controls zijn gestoeld op gedeelde traditie, normen, ideologie, attitude en vertoond gedrag. Voorbeelden van dergelijke controls zijn; groepsbeloning, gedragscodes, tone at the top.

c) Result Controls Het belonen van de meest getalenteerde en best presterende werknemers (groepen of individuen) voor hun acties en inzet die in lijn zijn met de doelen van de organisatie.

d) Action Controls Deze controls moeten ervoor zorgen dat werknemers bepaalde activiteiten uitvoeren en andere activiteiten juist weer achterwege laten, om te voorkomen dat de organisatie schade lijdt. Action controls zijn:

• Gedragsbeperkingen die moeten voorkomen dat mensen bepaalde acties ondernemen.

• Preaction reviews. Het beoordelen van voorgenomen acties met de mogelijkheid de acties af te wijzen.

27 Merchant 1997, Modern Management Control Systems, Prentice-Hall, Inc, 1998

29



• Duidelijke verantwoordelijkheid om werknemers verantwoordelijk te

kunnen houden voor de acties die zij ondernemen. Voor dit doel betekent het:

i. Het definiëren van (on) acceptabele acties ii. Het communiceren van deze naar de werknemers

iii. Observeren iv. Belonen van toegestane acties of bestraffen van niet toegestane

acties • Zorgdragen voor achtervang, het hebben van meer dan de

noodzakelijke resources om in tijd van nood bij te kunnen springen Dit overzicht in combinatie met de Levers of Control van Simons biedt de auditor inzicht, een referentiekader en een handvat om na te gaan waar de mogelijke waardevernietiging plaats heeft en welke controls mogelijk hebben gefaald en hoe waardevernietiging snel kan worden stopgezet door gericht acties te ondernemen.

6.2.3 Het managen van de spanning tussen (waarde) creatie en controle in tijden van crisis

De hefbomen van Simons en het raamwerk van Merchant zijn voor managers in grote bedrijven een hulpmiddel om de spanning tussen waardecreatie en controle28 (het managen en meten van waarde) te begrijpen, te overdenken en doordacht te managen. Wanneer een crisis zich voordoet, is het mogelijk te beargumenteren dat de hefbomen van control en de controls van Merchant hebben gefaald. In de waardecreërende processen (uit de waardeketen van Porter) kan er iets misgegaan zijn tijdens de altijd heersende spanning tussen het streven om waarde te creëren en de manier waarop het geheel wordt beheerst (management of controls). Om te helpen het geheel beheersbaar te maken kan de auditor een rol spelen. Echter de invulling van de rol zal vooral afhangen van het perspectief dat de auditor besluit te hanteren en de ruimte die de auditor heeft om actie te kunnen ondernemen. In het volgende hoofdstuk gaan we in op de ruimte voor een mogelijke rol.

7 De ruimte voor een mogelijke rol van de auditor Bij het bepalen of de auditor een rol zou kunnen hebben in tijden van crisis, is van belang na te gaan wat de ruimte is die de auditor krijgt om een mogelijke rol in te vullen. Het verkennen van deze ruimte heb ik in het kader van COSO-ERM-IF reeds gedaan in hoofdstuk 5. In dit hoofdstuk bekijk ik ten eerste de Internationale Standaarden voor de Internal Auditor en ten tweede door na te gaan welke services de auditor aanbiedt.


30



7.1 The International Standards for Internal Auditing29 Deze standards geven duidelijk aan wat de rol van de auditor is en hoe die ingevuld dient te worden. In het onderstaande zien we dat de standaarden de volgende ruimte bieden ter invulling van de rol van de auditor: De international standards benadrukken de onafhankelijkheid en objectiviteit 1100 – Independence and Objectivity The internal audit activity should be independent, and internal auditors should be objective in performing their work. 1110 – Organizational Independence The chief audit executive should report to a level within the organization that allows the internal audit activity to fulfill its responsibilities. · "Independence - Free from interference in determining the scope of internal auditing, performing work and communicating results."; · "Objectivity - An unbiased mental attitude that requires internal auditors to perform engagements in such a manner that they have an honest belief in their work product and that no significant quality compromises are made. Objectivity requires internal auditors not to subordinate their judgment on audit matters to others.". De standards benoemen de coördinerende rol: 2050 – Coordination The chief audit executive should share information and coordinate activities with other internal and external providers of relevant assurance and consulting services to ensure proper coverage and minimize duplication of efforts. De standards geven aan hoe het werk in te vullen en waar de auditor zich op dient te richten: 2100 – Nature of Work The internal audit activity should evaluate and contribute to the improvement of risk management, control, and governance processes using a systematic and disciplined approach. 2110 – Risk Management The internal audit activity should assist the organization by identifying and evaluating significant exposures to risk and contributing to the improvement of risk management and control systems. 2120 – Control The internal audit activity should assist the organization in maintaining effective controls by evaluating their effectiveness and efficiency and by promoting continuous improvement.

29 http://www.theiia.org/guidance/standards-and-practices/professional-practices-framework/standards/standards-for-the-professional-practice-of-internal-auditing/

31



2130 – Governance The internal audit activity should assess and make appropriate recommendations for improving the governance process in its accomplishment of the following objectives: - Promoting appropriate ethics and values within the organization. - Ensuring effective organizational performance management and accountability. - Effectively communicating risk and control information to appropriate areas of the organization. - Effectively coordinating the activities of and communicating information among the board, external and internal auditors and management. De standards geven ook aan hoe te handelen als de auditor vermoedt dat er iets mis is: 1340 – Disclosure and Noncompliance: “Although the internal audit activity should achieve full compliance with the Standards and internal auditors with the Code of Ethics, there may be instances in which full compliance is not achieved. When non-compliance impacts the overall “scope” or operation of the internal audit activity, disclosure should be made to senior management and the board.” Ik heb gekozen om stil te staan bij de bovenstaande standaarden omdat deze naar mijn mening van toepassing zijn op de scope van dit referaat. Op basis van de ruimte die deze standards bieden en de duidelijkheid die de standards verschaffen ben ik van mening dat er voldoende ruimte is voor de auditor om een rol te kunnen vervullen tijdens een crisis. Daar waar de auditor tijdens de dienstverlening aanvoelt dat er een belangenconflict kan ontstaan geven de standaards ook duidelijk aan hoe te handelen bij non-compliance (standard 1340). Met name deze standard stelt de auditor gerust dat er voldoende ruimte is om tijdig enige vorm van belangenconflict te melden.

7.2 Consulting en Assurance services30 Het IIA (Institute of Internal Auditors) maakt onderscheid in twee soorten services die een interne auditor kan aanbieden, namelijk assurance services en consulting services. In deze paragraaf ga ik in op het onderscheid tussen deze services. Consulting services are advisory in nature, and are generally performed at the specific request of an engagement client. The nature and scope of the consulting engagement are subject to agreement with the engagement client. Consulting services generaly involve two parties: (1) the person or group offering the advice - the internal auditor, and (2) the person or group seeking and receiving the advice - the engagement client. When performing consulting services the internal auditor should maintain objectivity and not assume management responsibility. Assurance services involve the internal auditor's objective assessment of evidence to provide an independent opinion or conclusions regarding a process, system, or other subject matter. The nature and scope of the assurance engagement are determined by the internal auditor. There are generally three parties involved in assurance services:

30 The Institute of Internal Auditors, International Standards for the Professional Practice of Internal Auditing, www.theiia.org

32




(1) the person or group directly involved with the process, system, or other subject matter - the process owner, (2) the person or group making the assessment - the internal auditor, and (3) the person or group using the assessment - the user. Indien de leiding van de organisatie een beroep doet op de auditor om te helpen tijdens een crisis zullen de services van de auditor vooral bestaan uit consulting services. Zoals omschreven in de definities van de consulting services, zorgt de kennisvraag van de leiding voor relevantie van de audit. De opdrachtgever, of te wel de leiding, bepaalt mede de scope van de audit. Dit is anders bij de assurance services, waarbij de auditor zelf de aard en de scope van de audit bepaalt.

8 Algehele conclusie De centrale onderzoeksvraag van dit referaat is: Welke toegevoegde waarde kan de operationele auditor hebben tijdens een crisis, bij ondersteuning van de leiding van de organisatie? De toegevoegde waarde die de auditor kan hebben tijdens een crisis verschilt van de toegevoegde waarde die de auditor heeft in reguliere tijden. Terwijl het geven van aanvullende zekerheid en het evalueren van de beheersing van de bedrijfsvoering kerntaken31 blijven die vooral samenhangen met de assurance services van de auditor zal de leiding tijdens een crisis ook behoefte kunnen hebben aan consultancy services. De invulling van deze consultancy services zal in tijden van crisis gericht moeten zijn op het stopzetten (of verminderen) van waardevernietiging. De toegevoegde waarde van de auditor zit met name in de kennis die de auditor heeft over de manier waarop de processen binnen een bankorganisatie zijn georganiseerd met het doel om waarde te creëren en voldoende beheersbaarheid te garanderen. Deze kennis in combinatie met de kennis die de auditor heeft over de bankensector en de bankorganisatie maken hem een geschikte partner van de leiding in tijden van crisis. De auditor is één van de partijen binnen de organisatie die de leiding kan helpen bij het beantwoorden van de mogelijke kennisvraag; “Hoe zorgen we ervoor dat we de crisis snel en adequaat onder controle krijgen en waardevernietiging tegengaan?”. Immers van de auditor zou verwacht mogen worden dat zij op basis van ervaring en kennis snel en goed onderbouwd een diagnose kan stellen van oorzaak van de crisis. Gezien de waardevernietigende werking die kan uitgaan van een crisis, de urgentie van de situatie, met name de noodzaak om snel te kunnen handelen, is het van belang dat er goed onderbouwde informatie beschikbaar komt om cruciale beslissingen te kunnen nemen. Ook hier kan de auditor een toegevoegde waarde hebben. De dossiers die gevormd zijn in reguliere tijden vormen een bron aan informatie waar de auditor snel en eenvoudig toegang tot heeft. Deze bron aan informatie in combinatie met ervaring en kennis versterkt de slagvaardigheid van de auditor. 31 Position paper van het IIA, De internal auditor in Nederland, 21 april 2005

33



Zo kan de auditor tijdens crisis een aanwinst zijn als teamgenoot in een divers team van professionals die wordt aangesteld door de leiding van de organisatie. Om te voorkomen dat de auditor, bij het vervullen van zijn/haar rol, op de stoel van het management terecht komt bieden de IIA standards duidelijkheid en voldoende mogelijkheid om de toegevoegde waarde te kunnen bieden zonder terecht te komen in een gevaarlijk belangenconflict. Met name de toegevoegde waarde aspecten van onafhankelijkheid en objectiviteit van de auditor zijn hiermee benadrukt.

9 Suggesties voor verder onderzoek In dit referaat heb ik een keus gemaakt om globaal in te gaan op ERM, de waardeketen van Porter, de modellen van Merchant & Simons en de IIA regelgeving. Vanuit de begrippen en concepten die ik heb behandeld heb ik getracht aan te geven wat de rol van de auditor kan zijn en welke ruimte er is om een toegevoegde waarde te hebben. Er is voldoende ruimte om onderzoek te verrichten naar andere aspecten die de rol van de auditor beïnvloeden. Zo zou bijvoorbeeld onderzocht kunnen worden welke competenties tijdens een crisis het belangrijkst zijn voor de praktiserende auditor. Tevens heb ik bewust gekozen om me in dit referaat te richten op de bankensector. Maar crises kunnen in alle sectoren voorkomen. Ook hier is er ruimschoots de mogelijkheid om middels verder onderzoek en studie na te gaan of de rol die de auditor zou kunnen hebben verschilt per sector. Hiernaast blijkt uit de beknopte survey die ik heb verricht dat het onderwerp leeft onder auditors en dat men een rol ziet voor de auditor in tijden van crises. Hoe deze rol eruit zou kunnen zien, heb ik middels dit referaat geprobeerd te schetsen. Echter er is voldoende ruimte om dieper onderzoek te doen naar de invulling van de rol van de auditor tijdens crises. Te meer omdat crises zich altijd zullen blijven voordoen.

34



Bijlage 1: Literatuurlijst The Economist Special Report, The Economist, May 15th 2008

Fixing Finance, and the risk of getting it wrong, April 5th 2008 Lessons from the credit crunch, October 20th 2007 Tightrope artists, May 15th 2008 Risk Managers take a hard look at themselves, May 15th 2008

Y. Klein Schiphorst, CEO’s over de Internal (Operational) Auditfunctie P.A.Hartog en A. Bast maart 2004 Accountant.nl Verslag aan de Premier betreffende de lering die

kan worden getrokken uit de recente gebeurtenissen bij Societe Generale

Institute for Annual Crisis Report, volume 17 nr 1, March 2007 Crisis Management E.A.M.Wijker Referaat van juni 2006, Auditing.nl verwijzend naar

“Crisis in bedrijfsorganisaties: een literatuur verkenning”, M&O, 1994/4

Erika Hyes James & Artikel; “How to display competence in times of Lynn Perry Wooten Crises” Charles R. Morris The Trillion Dollar Meltdown: Easy Money, High

Rollers, and the Great Credit Crash Bloomberg Nieuwsbericht, 23 mei 2008 De Nederlandse corporate Beginselen van deugdelijk ondernemingsbestuur en governance code best practice bepalingen KMPG The evolution of risk and controls, from score (http://us.kpmg.com) keeping to strategic partnering, 2007 (online

reports) KMPG Insider Artikel, ERM may have prevented subprime Write

offs-if Banks Had Paid Attention

35

http://www.amazon.com/exec/obidos/search-handle-url?%255Fencoding=UTF8&search-type=ss&index=books&field-author=Charles%20R.%20Morris



Committee of Sponsoring Enterprise Risk Management-Integrated Organizations of the Treadway Framework, Executive Summary, september 2004 Commission IIA (www.theiia.org) Positionpaper, “The Role of the Internal Auditing in The Institue of Internal Auditors Enterprise-wide Risk Management”, september

2004

IIA Position Statement: The Role of Internal Auditing in Enterprise-wide Risk Management, 29 september 2004

12 manage methods Simons Levers of Control http://www.12manage.com Markus Lammers Power point presentation, Strategic Sourcing in

Banking A Framework, E-Finance Lab, University of Frankfurt

Michael Porter (Wikipedia) Competitive Advantage: Creating and Sustaining

Superior Performance. Merchant Modern Management Control Systems, Prentice-

Hall, Inc, 1998 Leen Paape Collegesheets Auditing Theory, Postinitiele

Masteropleiding Internal/Operational Auditing, Erasmus Universiteit Rotterdam, 26 januari 2007

Corporate Governance: The impact on the Role,

Position and Scope of Services of the Internal audit Function, ERIM Ph.D Series Research in Management 111, 2007

36


http://www.12manage.com/



Bijlage 2: Praktijktoets, vragenlijst (Survey) & reacties Toelichting De survey bestaat uit 5 vragen. Het betreft 8 respondenten en de antwoorden zijn per vraag opgenomen. De volgorde van de antwoorden zijn per respondent bij iedere vraag hetzelfde.

Vragenlijst en Reacties Introduction In the past we have seen that banks are not immune to crisis. Recently the crisis at Société Générale and the Credit Crisis have shaken up the banking world. The Institute for Crisis Management defines crisis as; “any problem or disruption that triggers negative stakeholder reactions that could impact the organization’s financial strength and ability to do what it does”. By using this short survey I would like to gather your insights, for my final thesis, about the possible role an operational auditor can have during a crisis. Content of the survey The survey consists of 5 questions. The questions are organized in two parts (Part A & Part B) of which part B is for auditors only. Please take maximum 10 minutes to answer the questions. (All information gathered will be confidential and be used solely for the purpose of the thesis without mentioning the name of the person who participates and the organisation where he/she is employed.) Questions Part A:

1. Can the auditor have a value added role during a crisis by using his/her knowledge and experience gained during previous audits and more in general by being familiar with Risk Management Frameworks, Controls and Value Drivers?

If your answer is “Yes”, please explain your answer (max 5 sentences): Yes, although it’s obvious that the (internal) auditor’s activities primarily should focus on “prevention” i.e. a companies ability to master crises if they occur (i.e. cover all significant current and potential risks which could impact the realisation of a companies strategic business objectives). During a crisis the auditor could/should review the (“new”) risks and assess whether the existing controls still work or should be adjusted considering the changed environment. (RR) During the credit crunch Financial Institutions were forced to take substantial losses. First of all, the (external) auditor can have added value with the valuation of financial instruments. Next to that the auditor should challenge management on their value

37



drivers (e.g. profit expectations) and risk appetite, for example by discussing “worst case” scenarios. The value drivers/budget are most of the time not considered as a standard (als een norm) and are in such a way not included in the control framework. (EM) Yes. He can monitor the resolution process, he can challenge decisions, he can help identifying risks and help in priority issues. He cannot take responsibility neither take decisions. His primary role will be based on his independence and risk knowledge. He help in monitor and register waivers in order to make sure that the proper procedures will be implemented after the crisis has been resolved. Furthermore he can do additional investigations, impact analyses (using CAATs). (MB) From a standpoint that the auditor is part of a banking organization and has knowledge of and experience with the organization, the answer should be YES. The risk view the auditor has “by nature” could assist to assess the controls surrounding the framework (to be) set up to manage the crisis. Nevertheless, this should not hamper the auditor’s impartiality and independence in regular auditing activities. (MBS) Yes, during a crisis an auditor can verify if the crisis management procedures are followed correctly, identify risks which can be higher during a crisis and provide management with recommendations to mitigate these risks. (LP) Yes, can assist business in managing crisis by commenting the design of ad hoc processes, doing checks on actions (to be) taken (even prior to execution), brainstorming on solutions, liaising with regulators, challenging intended actions and results thereof. (JB) Because of their place in the organization and their day-to-day activities internal audit should be a able:

- Provide management with information to support their decision making during crisis;

- Provide this information relatively easy and quick; - Provide information which is based on detailed test procedures in local

business units on the one hand and which has been consolidated to company level on the other hand (because of the global function of internal audit with staff performing in depth test procedures); (BO)

Yes, to give assurance, identify issues, etc to Management, external auditors, supervisors on the impact of the crisis on the company. (BvE)

2. What type of knowledge and/or experience should the auditor specifically bring to the table to have a value added role during a crisis?

Please explain your answer (max 5 sentences): This depends on the nature/background of the specific crisis and should in my opinion not differ from the “standard” auditor’s knowledge, skills and experience (of course

38



regarding the auditor’s normal area of attention). An advantage would be that the auditor or audit department has experience with similar crises at other entities within the organisation. (RR) First of all his knowledge of the whole internal control framework and the possible failures of these controls during the crisis. Next to that the auditor should be able to translate market developments in to his (risk based) planning. In such a way the auditor can stress management’s attention. (EM) Knowledge of risks, data analyses, impact analyses (MB) As referred to above, the auditor should bring knowledge / experience that “assists to assess the controls surrounding the framework (to be) set up to manage the crisis”. Other knowledge / experience should be brought in depending on the constraints surrounding the audit function (for example: IIA, market practice, internal audit department position on mission / strategy). (MBS) The type of knowledge / experience is no different, an auditor should always be objective and independent, have sufficient knowledge of the business, be capable of identifying risks.(LP) The usual as for normal audit activities, the difference is that due to the time pressure skills to act, depth of knowledge of specific subjects and, knowledge on how business works and experience (preferably in crisis situations) will be more important. (JB) Because internal audit is a corporate function with representatives in local business units, internal audit could provide added value by efficiently using lines of communications between senior management of audit and auditors which perform in-depth test procedures. The content information will be a given fact at the time the company is confronted with a crisis. (BO) Depends off course on the crisis. But in principle he should have a good understanding of the:

- processes and products (in case of Société Générale); - products, positions, risk appetite, risk positions, etc (in case of credit crisis)

(BvM)

3. Considering the services the auditor can provide, should the auditor provide assurance or consultancy services, or both, during a crisis?

Please explain your answer (max 5 sentences): The auditor should provide consultancy services during a crisis. (RR) I think the auditor first of all can provide assurance by testing and reporting on the effectiveness of the internal control framework. In addition he can provide consultancy services with advice on improvements. I can imagine that during a crisis an auditor is not performing full audits but more a sort of review. Therefore the

39



auditor should be keen to clearly describes his performed activities.(EM) Consultancy during the crisis. For assurance there is no room /time/ attention available. He can have an assurance role in the post crisis management. (MB) I refer to my previous remark(s). In essence, the answer to this question needs to be answered by regulations / standards governing the audit function. This in turn is affected by ongoing (future) changes in the audit profession. In my (current) opinion, I would stress to always separate assurance activities from consultancy activities, possibly even to the extent of segregating the two functions in different departments. In addition, I would like to stress that the auditor can never prevent / solve a crisis and thus give “assurance” in a crisis, as these circumstances are mainly driven by external factors. (MBS) Depending on the circumstance, an auditor could provide assurance services or consultancy services, taking into account not to perform operational activities or management decisions. (LP) In crisis situations there is not much time for extensive audit activities normally, hence, initial focus tends to be consultative. In case there are specific reasons like requirements from regulators, assurance could be provided. (JB) Both. The basis should be assurance, but based on this assurance the auditor should feel free to provide management with specific recommendations. A point of attention is whether the auditor will be able to go back to assurance providing after performing consultancy tasks. In terms of objectivity there is a risk that the auditor should provide assurance on activities for which he/she has provided consultancy. (BO) Depends again on the type of crisis, experience of the auditor. For instance in case of Société Générale, it requires mainly operational audit knowledge, which I think an auditor can do. In case of credit crisis I think it is more difficult to over see what external circumstances impact the position of a bank. I think this is needed to not only determine current impact but also the future risks we are facing. (BvE) Questions Part B: The following questions are for the auditors whom participate in this survey

4. Is there increased risk that the independency of the auditor is impaired while involved in playing a role during a crisis?

Please explain your answer (max 5 sentences): No, as a general “rule” one of the core values that contribute to the auditor’s success is “independence”; be objective and independent and have the determination to present a true and fair value. This is also valid in a crisis situation. (RR) I don’t think there is an increased that an auditor is less independent during a crisis, as

40



his activities are not really different from his “regular” activities, because only the focus of hs work might differ.(EM) I guess so. Its important to make sure what role is requested up front. And the auditor should stick to that role.. The Cause of the crisis should be audited afterwards to assure that this cannot happen again. (MB) Similar to the remarks made above, I would limit the auditor’s role to assess the controls surrounding the framework to manage a (the) crisis. This could be either done upfront before an actual crisis takes place (preventative) or during an evolving crisis similar to a project audit in which the focus is on controls and periodic “milestones” review. From this standpoint the risk of an impaired independence is mitigated to a minimum. The auditor remains outside the actual apparatus managing the crisis. (MB) Yes, in cases of a crisis the organisation might have limited capacity and resources from the audit department might be requested for non-audit tasks. (LP) Not really more than in normal processes, also here it is the responsibility of the auditor to make clear what his role is and therewith manage expectations. It might be that he should be more aware of this given the tension the processes may take place. (JB) Yes. See question 3.(BO) Possibly, because the outcome of your work is looked at with more attention by supervisors, share holders, etc. This gives extra pressure on the work which could potentially influence the auditors judgement. In addition, if the auditor for example just did an audit on Financial markets and later has to investigate for example the Société Générale case, than he would like to have a outcome which is consistent with his earlier audit. Off course depends on the auditor mainly (BvE)

5. What measures should be taken to maintain the independence of an auditor when the auditor plays a role during a crisis?

Please explain your answer (max 5 sentences): In my opinion no other measures than the regular ones. (RR) I don’t think additional measures are necessary. The auditor should be careful with describing his performed activities (see also question 3).(EM) Start with a formal statement of work and understanding the role. During the crisis resolution he should proper log his actions and recommendations. In order to review these afterwards. Based on this logging it may be clear that he took more responsibility than agreed upon. In that case another auditor should do the post crisis assurance. I think that all activities should be evaluated after the crisis. (MB) • Set-up upfront a formalised policy framework to manage business expectations and

control auditor behaviour; • Refrain from being part of the actual decision-making process in crisis management

41



(formalised member of crisis management teams / committees); As a starter I would at least implement the above. Further measures might be needed. (MBS) No additional measures are needed. Apart from crisis management, there are more circumstance were the independence of auditor have an increased risk. The current measures, such as audit charter, training, business values and code of conduct apply also in crisis situations. (LP) See 4. If due to timing the auditor really needs to make short cuts in his approach, then at the start of the assignment clear agreements need to be made on the exact role of the auditor. (JB) See question 3. An auditor could also provide consultancy services. But the question is whether the auditor will then be able to provide assurance services on the same activities again. But at the time of a crisis the most important is the continuity of the organization. An auditor cannot provide assurance within a company that went bankrupt for example. If the crisis has been solved, the question will be relevant whether the auditor will be able to provide assurance again for the same activity. (BO) Assess if auditor already played a role in similar investigation before, see above. (BvE)

42



Bijlage 3: De subprime mortgage crisis The subprime mortgage crisis (Wikipedia): an ongoing economic problem manifesting itself through liquidity issues in the banking system owing to foreclosures which accelerated in the United States in late 2006 and triggered a global financial crisis during 2007 and 2008. The crisis began with the bursting of the US housing bubble[2][3] and high default rates on "subprime" and other adjustable rate mortgages (ARM) made to higher-risk borrowers with lower income or lesser credit history than "prime" borrowers. Loan incentives and a long-term trend of rising housing prices encouraged borrowers to assume mortgages, believing they would be able to refinance at more favourable terms later. However, once housing prices started to drop moderately in 2006–2007 in many parts of the U.S., refinancing became more difficult. Defaults and foreclosure activity increased dramatically as ARM interest rates reset higher. During 2007, nearly 1.3 million U.S. housing properties were subject to foreclosure activity, up 79% from 2006.[4] As of December 22, 2007, The Economist estimated subprime defaults would reach a level between U.S. $200–300 billion.[5] The mortgage lenders that retained credit risk (the risk of payment default) were the first to be affected, as borrowers became unable or unwilling to make payments. Major banks and other financial institutions around the world have reported losses of approximately U.S. $240 billion as of April 18, 2008 as cited below. Owing to a form of financial engineering called securitization, many mortgage lenders had passed the rights to the mortgage payments and related credit/default risk to third-party investors via mortgage-backed securities (MBS) and collateralized debt obligations (CDO). Corporate, individual and institutional investors holding MBS or CDO faced significant losses, as the value of the underlying mortgage assets declined. Stock markets in many countries declined significantly. Diagram van de krediet crisis

43

http://en.wikipedia.org/wiki/Liquidity

http://en.wikipedia.org/wiki/Foreclosure

http://en.wikipedia.org/wiki/United_States

http://en.wikipedia.org/wiki/Financial_crisis

http://en.wikipedia.org/wiki/United_States_housing_bubble

http://en.wikipedia.org/wiki/Subprime_mortgage_crisis#cite_note-Moyers_Morgenson-1

http://en.wikipedia.org/wiki/Subprime_mortgage_crisis#cite_note-WSJ_Housing_Bubble_Burst-2

http://en.wikipedia.org/wiki/Subprime_lending

http://en.wikipedia.org/wiki/Adjustable_rate_mortgage

http://en.wikipedia.org/wiki/Adjustable_rate_mortgage

http://en.wikipedia.org/wiki/Borrower

http://en.wikipedia.org/wiki/Credit_history

http://en.wikipedia.org/wiki/Default_%28finance%29

http://en.wikipedia.org/wiki/Subprime_mortgage_crisis#cite_note-3

http://en.wikipedia.org/wiki/December_22

http://en.wikipedia.org/wiki/2007

http://en.wikipedia.org/wiki/The_Economist

http://en.wikipedia.org/wiki/Subprime_mortgage_crisis#cite_note-4

http://en.wikipedia.org/wiki/Credit_risk

http://en.wikipedia.org/wiki/Securitization

http://en.wikipedia.org/wiki/Mortgage-backed_securities

http://en.wikipedia.org/wiki/Collateralized_debt_obligations

http://en.wikipedia.org/wiki/Institutional_investor

http://en.wikipedia.org/wiki/Stock_market



Bijlage 4: Feiten relaas Société Générale32

De fictieve operaties zouden in 2005 van start zijn gegaan

• De handelaar zou vanaf 2005 onregelmatige operaties hebben uitgevoerd, maar steeds bij geïsoleerde gelegenheden en met betrekkelijk bescheiden bedragen;

• gedurende 2006 ging het vermoedelijk nog steeds om marginale operaties; • met ingang van 2007 zijn de netto posities sterk toegenomen, om in de loop van dat jaar een

omvang van ongeveer 30 miljard euro te bereiken; • in november 2007 heeft de vereffeningskamer Eurex Société Générale gevraagd welke

strategie er door de handelaar in kwestie werd gevolgd; • begin januari 2008: de posities hebben nu een reële waarde van 50 miljard euro (bruto)

bereikt. Het gaat om futures: EUROSTOXX (30 miljard euro), DAX (18 miljard euro) en FTSE (2 miljard euro).

Toen de controleorganen eenmaal op de hoogte kwamen van de aard van de operaties hebben ze het bestuur van de bank ingelicht, waarna de posities snel zijn afgesloten

• vrijdag 18 januari: in de voorgaande dagen is via het middle office een wel zeer omvangrijke operatie met een makelaar aan het licht gekomen. Deze operatie wekt zoveel argwaan dat eerst de directe superieuren en vervolgens het bestuur van de bank worden ingelicht; aan het einde van de avond wordt een intern verificatieteam samengesteld;

• zaterdag 19 januari: door ondervraging van de handelaar en verificatie bij de entiteit die deze heeft aangewezen als zijn partner slaagt het bankbestuur erin vast te stellen dat een groot aantal van de operaties die door de betrokken operator zouden zijn uitgevoerd, fictief zijn;

• zondag 20 januari, begin van de namiddag: de omvang van het risico wordt bekend, waarna:

o Daniel Bouton, de president van de Raad van Bestuur van Société Générale de Rekenkamer op de hoogte brengt van de situatie. De Rekenkamer was reeds bijeen om de schatting van de resultaten voor 2007 te evalueren; de heer Bouton vertelt de Rekenkamer dat het zijn bedoeling is de posities zo snel mogelijk af te sluiten en elke mededeling met betrekking tot de situatie en de resultaten van de bank tót de voltooiing van de afsluiting door te geven;

o Tegelijkertijd brengt hij de president van de Banque de France en de voorzitter van de Bankcommissie op de hoogte; alsook de secretaris-generaal van de Autoriteit Financiële Markten, en wel vlak vóór het begin van de vergadering van de Raad van Bestuur;

o tot slot brengt hij de Raad van Bestuur – die om 18.30 uur was bijeengekomen om de schatting van de resultaten voor 2007 te bespreken – op de hoogte, waarbij hij de leden vertelt dat het niet mogelijk is deze resultaten door te geven, aangezien er in de context van marktactiviteiten mogelijk zware verliezen zijn geleden.

• van maandag 21 januari tot woensdag 23 januari: de reële positie op de markten wordt afgesloten (cf. punt 1.3.); gedurende deze periode onderhouden Société Générale, de Banque de France, het Secretariaat van de Bankcommissie en de AFM voortdurend contact met elkaar.

32 Document: Verslag aan de Premier betreffende de lering die kan worden getrokken uit de recente gebeurtenissen bij Societe Generale.

44

Role of the Auditor in Times of Crisis

Documents

Transcript of Role of the Auditor in Times of Crisis