COSO Enterprise Risk Management

Risicomanagementsysteem

Het COSO ERM-model is verreweg het meest gebruikte raamwerk voor het beoordelen en inrichten van risicomanagement. Al meer dan twintig jaar geleden heeft het Committee of Sponsoring Organizations of the Treadway Commission (COSO), het Interne Beheersing Geïntegreerd Raamwerk (Internal Control Integrated Framework) uitgevaardigd om ondernemingen en andere organisaties te helpen met het beoordelen en verbeteren van de interne beheersingssystemen. 

1   Risicomanagement?

Organisaties zijn omgeven met interne en externe onzekerheden die de realisatie van de doelstellingen in gevaar kunnen brengen. Een organisatie is ‘In Control’ als ze deze onzekerheden onderkent en beheersmaatregelen neemt zodat de kans groter wordt dat de risico’s zich niet gaan voordoen en de organisatie haar doelstellingen behaald. Risicomanagement draagt daarmee direct bij aan de voorspelbaarheid en de realisatie van de doelstellingen van een organisatie.

1a   Voorspelbaarheid

Als eigenaar of bestuurder van een organisatie wil je niet onaangenaam verrast worden door risico’s die zich vanuit het niets voordoen. Risicomanagement helpt bij het op een gestructureerde wijze in kaart brengen van risico’s. Zodat tijdig maatregelen kunnen worden genomen om de risico’s te verkleinen of te vermijden. Het kan dan gaan om allerlei risico’s:

  • het risico van economische neergang
  • Het risico van het niet tijdig verwerken van nieuwe technologieën in de bedrijfsprocessen;
  • Het risico van sterkere concurrentie;
  • Het risico van diefstal of fraude door klanten en/of medewerkers;
  • Het risico van cybercriminaliteit;
  • het risico van onvoldoende personeel;
  • Het risico van ongemotiveerde medewerkers;
  • Het risico van reputatieschade;
  • Het risico van nieuwe wet- en regelgeving.

Let op! Ook bij een effectief risicomanagementsysteem gaan risico’s zich voordoen. Als organisatie heb je immers niet altijd invloed op het gesignaleerde risico. Zo heb je als organisatie geen invloed op een wereldwijde financiële crisis of nieuwe wet- en regelgeving. Het voordeel van risicomanagement is dat je problemen ziet aankomen. Zodat je daarop kunt anticiperen. En daarmee het risico kan verkleinen dan wel helemaal vermijden. 

1b   Soorten Risico’s

Om risico’s te kunnen beheersen en tot een effectief risicomanagementsysteem te komen is het van belang om een het begrip ‘risico’ beter te duiden. Op deze pagina worden de verschillende soorten risico’s kort toegelicht;

  1. Strategische, tactische en operationele risico’s; veelal wordt deze categorisering gebruikt om het soort risico te duiden. Veelal in combinatie met het begrip risicogebieden. Probeer uw risicomanagement risicomanagement risk pngniet allen op de concrete operationele risico’s te richten maar ook op de tactische en strategische risico’s.
  2. Risicogebieden; geven een beeld van de risico’s die een organisatie kan lopen. Risicogebieden zijn die organisatieaspecten waarvan de organisatie denkt dat ze daar risico kan lopen. En fungeren als het ware als een checklist zodat geen risico’s vergeten worden. Denk hierbij aan inkopen, treasury activiteiten, projectmanagement, etc.    
  3. Imago- en financiële risico’s; binnen organisaties die werkzaam zijn in een maatschappelijke context wordt vaak een onderscheid gemaakt tussen imago- en financiële risico’s. Daarmee wordt dan aangegeven dat het risicoprofiel van de organisatie in termen van financiële stabiliteit en een goede reputatie wordt uitgedrukt. 
  4. Bruto en netto risico’s; een bruto risico is de inschatting van een risico zonder daarbij eventueel aanwezige beheersmaatregelen in ogenschouw te nemen. Een netto (rest) risico is het risico waarbij de huidige aanwezige beheersmaatregelen wel in beschouwing worden genomen.
  5. (Niet) beïnvloedbare risico’s; zowel beïnvloedbare als niet beïnvloedbare risico’s maken onderdeel uit van het risicomanagement. Immers ook niet beïnvloedbare risico’s kunnen de continuïteit van uw organisatie bedreigen. En hoewel het risico niet beïnvloedbaar is zijn er waarschijnlijk wel maatregelen die de consequenties van het risico kunnen verkleinen. Voorbeeld van een niet beïnvloedbare risico zijn macro-economische ontwikkelingen.
  6. (Niet) kwantificeerbare risico’s; binnen het risicomanagement wordt onderscheid gemaakt tussen kwantificeerbare en niet kwantificeerbare risico’s. Risico’s die niet kwantificeerbaar zijn worden op een andere wijze gewaardeerd. Zo wordt bijvoorbeeld reputatieschade uitgedrukt in het aantal negatieve persberichten.

In het Raamwerk Risicomanagement worden de verschillende soorten risico’s verder uitgewerkt en met elkaar in relatie gebracht.

1c   Risicobeleid

Om richting te geven aan de risico activiteiten binnen je organisatie raad ik je aan om eerst het risicobeleid van de organisatie op- en vast te stellen. In de praktijk van House of Control worden daarbij veelal de volgende uitgangspunten gehanteerd.

  • Lijnverantwoordelijkheid; risicomanagement is een lijnverantwoordelijkheid en geen speeltje van de staf. De lijn is verantwoordelijk voor het managen van de risico’s. De staf is verantwoordelijk voor opzet, implementatie en onderhoud van het risicomanagementsysteem.
  • Continu proces; risicomanagement is een continu proces. Het uitvoeren van een risicoanalyse is niet hetzelfde als het hebben van een effectief risicomanagementsysteem. 
  • Integraal risicomanagement; integraal wil zeggen dat alle soorten risico’s bij het risicomanagement worden betrokken en (nog belangrijker) dat deze risico’s in onderlinge samenhang worden beschouwd en gewaardeerd.
  • Continu verbeteren; een organisatie kan alleen succesvol zijn als zij continu zoekt naar mogelijkheden om producten, processen en de organisatie efficiënter en effectiever in te richten. Het beheersen van risico’s levert een belangrijke bijdrage aan het verbeteren van de bedrijfsprocessen.  
  • Risicobewustzijn; de effectiviteit van het risicomanagement wordt niet bepaald door de opzet, maar door de betrokkenen die ermee werken. Het ontwikkelen van risicobewustzijn is doorslaggevend van een effectief risicomanagementsysteem.
  • Pragmatisch; om van het hernieuwde risicomanagement een succes te maken is het van belang om de opzet ervan zo simpel mogelijk te houden. En om daar waar mogelijk aan te sluiten bij de al bestaande beheersingsmaatregelen en de reguliere planning & controlcyclus. 
  • risicovisie; in de risicovisie  wordt omschreven waarom er aan risicomanagement wordt gedaan. Denk daarbij bijvoorbeeld aan het waarborgen van de financiële stabiliteit en de bescherming van de reputatie van de organisatie. 
  • Risicobereidheid; met het bepalen van de risicobereidheid wordt aangegeven welke mate van risico acceptabel is voor het behalen van de doelstellingen. Een woningcorporatie heeft dat als volgt beschreven: “Als maatschappelijk ondernemer kiezen wij voor een risico averse en behoudende positie.”
  • Risicomanagementdoelstellingen; door het expliciet formuleren van risicomanagementdoelstellingen wordt in feite het maximaal geaccepteerd risicoprofiel vastgesteld waaraan alle betrokkenen zich kunnen spiegelen. Zo kan het streven naar financiële stabiliteit concreet vorm worden gegeven door liquiditeits- en solvabiliteitsnormen te formuleren.
  • Risicotoleranties; door het opnemen van risicotoleranties geeft het management aan welke risico’s wel of niet gewenst zijn. Veelal worden risicotoleranties gedefinieerd als een maximale afwijking van een specifieke doelstelling. Risico’s met een impact van > 1% van het afdelingsbudget worden gemanaged. Of alle risico’s die de reputatie van de organisatie bedreigen worden per definitie in het managementteam behandeld.
  • Risicostrategie; met behulp van de risicostrategieën wordt aangegeven hoe met bepaalde risico’s wordt omgegaan. Zo heeft een gemeente, waar House of Control met succes een risicomanagementsysteem heeft geïmplementeerd, besloten om alle risico’s die het imago van de gemeente bedreigen per direct op de agenda van het managementeam te plaatsen.
  • Planningshorizon; geeft het tijdsbestek aan van de risico’s die bij het risicomanagement worden betrokken. Veelal ligt de planningshorizon rond de 5 jaar. Gebeurtenissen die zich daarna nog mogelijk kunnen voordoen worden buiten beschouwing gelaten.

2   Organisatiedoelstellingen

COSO identificeert de relaties tussen de ondernemingsrisico’s en het interne beheersingssysteem. Binnen de context van de door de onderneming geformuleerde missie en visie, formuleert het management strategische doelstellingen, stelt men afgeleide doelstellingen en richt de organisatie een cyclus van sturen, beheersen, verantwoorden en toezicht in. COSO hanteert hierbij de gedachten dat interne beheersing een proces is dat gericht is op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen in de categorieën:

  • bereiken van de strategische doelstellingen (Strategic)
  • effectiviteit en efficiëntie van bedrijfsprocessen (Operations)
  • betrouwbaarheid van de (financiële) informatieverzorging (Reporting)
  • naleving van relevante wet- en regelgeving (Compliance)

3   COSO = Risicomodel

COSO stelt dat een beheersing- en controlesysteem uit acht elementen bestaat. Deze elementen zijn afgeleid van de wijze waarop het management een onderneming bestuurt en zijn derhalve verbonden met het managementproces van sturen en beheersen.

  1. Internal Environment (Interne omgeving): met ‘internal environment’ wordt de houding en het gedrag van de interne organisatie bedoeld. De risicomanagement filosofie, de risicobereidheid en de integriteit en de ethische waarden van de organisatie maken deel uit van de ‘internal environment’.
  2. Objective Setting (Formuleren van doelstellingen): doelstellingen moeten aanwezig zijn voordat potentiële gebeurtenissen kunnen worden geïdentificeerd die het behalen ervan kunnen beïnvloeden.
  3. Event Identification (Identificeren van risico’s): interne en externe gebeurtenissen die van invloed zijn op het behalen van de doelstellingen risicomanagementdienen te worden geïdentificeerd. Daarbij dient onderscheid te worden gemaakt tussen risico’s en kansen.
  4. Risk Assessment (Risicobeoordeling): risico’s worden geanalyseerd in termen van kans en impact. Op basis daarvan kan een passende maatregel worden geformuleerd. Risico’s kunnen worden beoordeeld voor en na de effecten van de getroffen maatregelen.
  5. Risk Respons (Risicostrategieën): per risico wordt de meest geschikte reactie geselecteerd – vermijden, accepteren, beheersen of overdragen- en uitgewerkt in concrete acties om de omvang van de risico’s in lijn te brengen met de risicobereidheid van de organisatie.
  6. Control Activities (Beheersingsmaatregelen): beleid en procedures worden opgesteld en geïmplementeerd teneinde de gekozen risicoreactie daadwerkelijk in de organisatie te verankeren.
  7. Information and Communication (Informatie en communicatie): relevante informatie wordt geïdentificeerd, opgeslagen en gecommuniceerd op een wijze die betrokkenen in staat stelt om hun werkzaamheden uit te voeren.
  8. Monitoring (Bewaking): de effectiviteit van enterprise risk management wordt bewaakt en wijzigingen worden aangebracht ter verbetering. De bestuurder heeft de (eind)verantwoordelijkheid voor de inrichting van het risicomanagementsysteem. 

House of Control heeft op basis van het COSO-model en haar eigen ervaringen een Raamwerk Risicomanagement ontwikkeld. Het Raamwerk vertaald het abstracte COSO-model in concrete stappen die u moet nemen om te komen tot een effectief risicomanagement systeem.

4   Andere Risicomodellen

Risicomanagement is een continu proces van het managen van onzekerheden. Waarbij duidelijk moet zijn wie binnen de organisatie welke taken en verantwoordelijkheden heeft in het risicoproces. In dat geval spreken we van een risicomanagementsysteem. Organisaties zijn vanuit de statuten of governancecode overigens verplicht zorg te dragen voor een effectief risicomanagementsysteem. Bekende risicomodellen zijn:

  • Three Lines of Defence (IIA); het Three lines Model of Defense model (3LoD-model) van het Institute of Internal Auditors (IIA) wordt als instrument ingezet om risico’s te beheersen en om aan de buitenwereld te laten zien dat je als organisatie ‘in control’ bent. Het model wordt gebruikt om taken en verantwoordelijkheden rondom risicomanagement binnen een organisatie te beleggen. Wie is binnen de organisatie verantwoordelijk voor het beheersen van de (afzonderlijke) risico’s en het stelsel van beheersmaatregelen als geheel?  
  • Raamwerk Risicomanagementsysteem (House of Control); In het raamwerk wordt op eenvoudige wijze uiteengezet hoe je in 8 stappen kunt komen tot een effectief risicomanagementsysteem. Zodat risico’s tijdig worden onderkend, de impact ervan kan worden ingeschat zodat medewerkers tijdig kunnen reageren en indien nodig passende maatregelen nemen. Begrippen zoals risicobereidheid, risicoanalyse en tolerantiematrix worden hier verder uitgewerkt.
  • Typologie van Starreveld; de typologie van Starreveld is dé klassieker op het gebied van administratieve organisatie en interne beheersing (AO/IB). Het typologiemodel van Starreveld geeft concrete handvatten hoe je de interne beheersing van een organisatie vorm kan/moet geven. Waarbij de focus van Starreveld ligt op de beheersing van financiële risico’s. De borgen van de volledigheid en juistheid van de opbrengsten en uitgaven staan daarbij centraal. 

Andere bekende risicomodellen zijn ISO31000, de Baseline Informatiebeveiliging Overheid (BIO), de Risman methode en het Watermeloen model van Naris.

5   Gratis Risicoscan

Hoe groot is de kans dat jouw organisatie over een ‘bananenschil’ uitglijdt? House of Control biedt een gratis Risicomanagement Scan aan. Op basis van deze scan kun je vaststellen of jouw organisatie beschikt over een effectief risicomanagementsysteem. De scan geeft antwoord op de vraag of jouw organisatie de risico’s beheerst. Op basis van de resultaten van de scan ontvang je direct een gratis advies.

Gratis
15 vragen
Maximaal 8 minuten
Direct Advies!

Start de scan
Deel via Social Media:

Plaats een reactie