Inhoud
................................................................................................................................................................ 1
COSO (2004) - Enterprise Risk Management – Integrated Framework..................................................2
COSO (2013) - Internal Control - Integrated Framework........................................................................4
, COSO (2004) - Enterprise Risk Management – Integrated Framework
Nyenrode BIV-IB VJ 2021, onderdeel regulering, Marloes Suur
1. Wat is het "control" probleem?
Het “control” probleem dat in dit artikel centraal staat is de manier waarop een onderneming met
risicomanagement binnen de organisatie omgaat. Het COSO Internal Control- Integrated Framework
wordt vaak gebruikt om de interne beheersing van een organisatie te verbeteren. De afgelopen jaren
is risicomanagement belangrijker geworden, waardoor een nieuw raamwerk ontwikkeld moest worden
om risico’s te identificeren, waarderen en beheersen. Het nieuwe raamwerk moet de interne
beheersing uitbreiden en helpen bij het beheersen van organisatierisico’s.
2. Waarom is het artikel opgenomen in het curriculum?
Dit artikel is in het curriculum opgenomen omdat de COSO modellen in de praktijk veel gebruikt
worden om de interne beheersing van een onderneming in te richten en in beeld te brengen. Doordat
dit model zo veel in de praktijk gehanteerd wordt, is het van belang dat wij dit model kennen en dit
model op de praktijk kunnen toepassen. Op die manier kunnen wij beoordelen of de interne
beheersing van een organisatie voldoende is en aanbevelingen doen voor verbeteringen van de
interne beheersing.
3. Wat is de oplossing of voorgestelde maatregel?
Het eerste model dat gebruikt werd voor het verbeteren van de interne beheersing van een organisatie
is het COSO Internal Control – Integrated Framework. Doordat organisaties meer aandacht kregen
voor risicomanagement is als aanvullend model het COSO Enterprise Risk Management – Integrated
Framework ontwikkeld. Alle organisaties hebben te maken met onzekerheid. Het management dient te
bepalen hoeveel onzekerheid zij accepteert om uiteindelijk de aandeelhouderswaarde te laten
groeien. Enterprise risk management (verder ERM) kan gedefinieerd worden als: een proces dat
beïnvloed kan worden door de directie, het management of ander personeel van een organisatie, wat
wordt toegepast op de strategie van de onderneming en ontworpen is om mogelijke gebeurtenissen
die invloed op de entiteit kunnen hebben te identificeren en risico’s te beheersen zodat deze binnen
de risicobereidheid van de onderneming vallen en zekerheid gegeven kan worden dat de
organisatiedoelstellingen behaald worden. Het management kan zo effectiever omgaan met
onzekerheid en de bijbehorende risico’s en kansen waardoor de capaciteit vergroot wordt om waarde
te creëren. Enterprise risk management omvat:
Overeenstemmen van risk appetite en strategie
Verhogen van de risk response beslissingen
Beperken van operationele verrassingen en verliezen
Identificeren en beheersen van multiple en cross-enterprise risico’s
Het pakken van kansen
Verbeteren van de deployment of capital
ERM helpt een entiteit om haar doel te bereiken zonder valkuilen of verassingen onderweg.
Het COSO-ERM raamwerk is ontwikkeld om de volgende vier organisatiedoelstellingen te behalen:
Strategic: strategische organisatiedoelstellingen
Operations: effectief en efficiënt gebruik van bronnen
Reporting: rapportage verantwoordelijkheid
Compliance: naleven van wet- en regelgeving
De laatste twee doelstellingen kunnen makkelijker door de organisatie beïnvloed worden dan de
eerste twee doelstellingen die deels bepaald worden door externe factoren.
Enterprise risk management bestaat uit de volgende acht componenten die elkaar beïnvloeden:
Internal Environment: de toon van een organisatie en geeft aan hoe binnen de organisatie
naar risico’s gekeken wordt
Objective setting: de doelstellingen moeten geformuleerd worden in overeenstemming met de
missie en de risicobereidheid van de organisatie.
Event Identification: interne en externe gebeurtenissen die het bereiken van de
organisatiedoelstellingen beïnvloeden moeten geïdentificeerd worden als risico’s of kansen.
Risk Assessment: risico’s moeten naar kans en impact geïdentificeerd worden om te kunnen
bepalen op welke manier ze beheerst kunnen worden.
................................................................................................................................................................ 1
COSO (2004) - Enterprise Risk Management – Integrated Framework..................................................2
COSO (2013) - Internal Control - Integrated Framework........................................................................4
, COSO (2004) - Enterprise Risk Management – Integrated Framework
Nyenrode BIV-IB VJ 2021, onderdeel regulering, Marloes Suur
1. Wat is het "control" probleem?
Het “control” probleem dat in dit artikel centraal staat is de manier waarop een onderneming met
risicomanagement binnen de organisatie omgaat. Het COSO Internal Control- Integrated Framework
wordt vaak gebruikt om de interne beheersing van een organisatie te verbeteren. De afgelopen jaren
is risicomanagement belangrijker geworden, waardoor een nieuw raamwerk ontwikkeld moest worden
om risico’s te identificeren, waarderen en beheersen. Het nieuwe raamwerk moet de interne
beheersing uitbreiden en helpen bij het beheersen van organisatierisico’s.
2. Waarom is het artikel opgenomen in het curriculum?
Dit artikel is in het curriculum opgenomen omdat de COSO modellen in de praktijk veel gebruikt
worden om de interne beheersing van een onderneming in te richten en in beeld te brengen. Doordat
dit model zo veel in de praktijk gehanteerd wordt, is het van belang dat wij dit model kennen en dit
model op de praktijk kunnen toepassen. Op die manier kunnen wij beoordelen of de interne
beheersing van een organisatie voldoende is en aanbevelingen doen voor verbeteringen van de
interne beheersing.
3. Wat is de oplossing of voorgestelde maatregel?
Het eerste model dat gebruikt werd voor het verbeteren van de interne beheersing van een organisatie
is het COSO Internal Control – Integrated Framework. Doordat organisaties meer aandacht kregen
voor risicomanagement is als aanvullend model het COSO Enterprise Risk Management – Integrated
Framework ontwikkeld. Alle organisaties hebben te maken met onzekerheid. Het management dient te
bepalen hoeveel onzekerheid zij accepteert om uiteindelijk de aandeelhouderswaarde te laten
groeien. Enterprise risk management (verder ERM) kan gedefinieerd worden als: een proces dat
beïnvloed kan worden door de directie, het management of ander personeel van een organisatie, wat
wordt toegepast op de strategie van de onderneming en ontworpen is om mogelijke gebeurtenissen
die invloed op de entiteit kunnen hebben te identificeren en risico’s te beheersen zodat deze binnen
de risicobereidheid van de onderneming vallen en zekerheid gegeven kan worden dat de
organisatiedoelstellingen behaald worden. Het management kan zo effectiever omgaan met
onzekerheid en de bijbehorende risico’s en kansen waardoor de capaciteit vergroot wordt om waarde
te creëren. Enterprise risk management omvat:
Overeenstemmen van risk appetite en strategie
Verhogen van de risk response beslissingen
Beperken van operationele verrassingen en verliezen
Identificeren en beheersen van multiple en cross-enterprise risico’s
Het pakken van kansen
Verbeteren van de deployment of capital
ERM helpt een entiteit om haar doel te bereiken zonder valkuilen of verassingen onderweg.
Het COSO-ERM raamwerk is ontwikkeld om de volgende vier organisatiedoelstellingen te behalen:
Strategic: strategische organisatiedoelstellingen
Operations: effectief en efficiënt gebruik van bronnen
Reporting: rapportage verantwoordelijkheid
Compliance: naleven van wet- en regelgeving
De laatste twee doelstellingen kunnen makkelijker door de organisatie beïnvloed worden dan de
eerste twee doelstellingen die deels bepaald worden door externe factoren.
Enterprise risk management bestaat uit de volgende acht componenten die elkaar beïnvloeden:
Internal Environment: de toon van een organisatie en geeft aan hoe binnen de organisatie
naar risico’s gekeken wordt
Objective setting: de doelstellingen moeten geformuleerd worden in overeenstemming met de
missie en de risicobereidheid van de organisatie.
Event Identification: interne en externe gebeurtenissen die het bereiken van de
organisatiedoelstellingen beïnvloeden moeten geïdentificeerd worden als risico’s of kansen.
Risk Assessment: risico’s moeten naar kans en impact geïdentificeerd worden om te kunnen
bepalen op welke manier ze beheerst kunnen worden.
