Het COSO ERM-model is verreweg het meest gebruikte raamwerk voor het beoordelen en inrichten van risicomanagement. Al meer dan twintig jaar geleden heeft het Committee of Sponsoring Organizations of the Treadway Commission(COSO), het Interne Beheersing Geïntegreerd Raamwerk (Internal Control Integrated Framework) uitgevaardigd om ondernemingen en andere organisaties te helpen met het beoordelen en verbeteren van de interne beheersingssystemen. Het Raamwerk is door COSO in een kubus weergegeven (zie figuur).
Organisatiedoelstellingen
COSO identificeert de relaties tussen de ondernemingsrisico’s en het interne beheersingssysteem. Binnen de context van de door de onderneming geformuleerde missie en visie, formuleert het management strategische doelstellingen, stelt men afgeleide doelstellingen en richt de organisatie een cyclus van sturen, beheersen, verantwoorden en toezicht in. COSO hanteert hierbij de gedachten dat interne beheersing een proces is dat gericht is op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen in de categorieën:
- bereiken van de strategische doelstellingen (Strategic)
- effectiviteit en efficiëntie van bedrijfsprocessen (Operations)
- betrouwbaarheid van de (financiële) informatieverzorging (Reporting)
- naleving van relevante wet- en regelgeving (Compliance)
8 elementen van een beheerssysteem
Verder stelt COSO dat een beheersing- en controlesysteem uit acht elementen bestaat. Deze elementen zijn afgeleid van de wijze waarop het management een onderneming bestuurt en zijn derhalve verbonden met het managementproces.
- Internal Environment (Interne omgeving): met ‘internal environment’ wordt de houding en het gedrag van de interne organisatie bedoeld. De risicomanagement filosofie, de risicobereidheid en de integriteit en de ethische waarden van de organisatie maken deel uit van de ‘internal environment’.
- Objective Setting (Formuleren van doelstellingen): doelstellingen moeten aanwezig zijn voordat potentiële gebeurtenissen kunnen worden geïdentificeerd die het behalen ervan kunnen beïnvloeden.
- Event Identification (Identificeren van risico's): interne en externe gebeurtenissen die van invloed zijn op het behalen van de doelstellingen
dienen te worden geïdentificeerd. Daarbij dient onderscheid te worden gemaakt tussen risico’s en kansen.
- Risk Assessment (Risicobeoordeling): risico’s worden geanalyseerd in termen van kans en impact. Op basis daarvan kan een passende maatregel worden geformuleerd. Risico’s kunnen worden beoordeeld voor en na de effecten van de getroffen maatregelen.
- Risk Respons (Reactie op risico): per risico wordt de meest geschikte reactie geselecteerd – vermijden, accepteren, beheersen of overdragen- en uitgewerkt in concrete acties om de omvang van de risico’s in lijn te brengen met de risicobereidheid van de organisatie.
- Control Activities (Beheersingsmaatregelen): beleid en procedures worden opgesteld en geïmplementeerd teneinde de gekozen risicoreactie daadwerkelijk in de organisatie te verankeren.
- Information and Communication (Informatie en communicatie): relevante informatie wordt geïdentificeerd, opgeslagen en gecommuniceerd op een wijze die betrokkenen in staat stelt om hun werkzaamheden uit te voeren.
- Monitoring (Bewaking): de effectiviteit van enterprise risk management wordt bewaakt en wijzigingen worden aangebracht ter verbetering. De bestuurder heeft de (eind)verantwoordelijkheid voor de inrichting van het risicomanagementsysteem.
House of Control heeft op basis van het COSO-model en haar eigen ervaringen een Raamwerk Risicomanagement ontwikkeld. Het Raamwerk vertaald het abstracte COSO-model in concrete stappen die u moet nemen om te komen tot een effectief risicomanagement systeem.