Inhoud
Risico management: Drs. Urjan Claassen..........................................................................3
Hoofdstuk 1. Inleiding..................................................................................................... 3
1.1 Waarom integraal risicomanagement?...................................................................3
1.2 Het COSO ERM-model............................................................................................3
Hoofdstuk 2. Ontwikkelingen en achtergronden..............................................................3
2.1 Inleiding................................................................................................................. 3
2.2 Corporate governance........................................................................................... 3
2.3 De evolutie van risico management......................................................................4
2.4 COSO Enterprise Risk Management.......................................................................5
2.5 ERM plus................................................................................................................ 5
Hoofdstuk 3. Een gemeenschappelijke taal.....................................................................6
3.1 Het belang van gemeenschappelijk taal................................................................6
3.2 Definitie van het begrip risico................................................................................6
3.3 Risicocategorieën..................................................................................................6
3.4 Het risicomanagementproces................................................................................7
Hoofdstuk 4. Organisatiedoelstellingen, -structuur en –cultuur.......................................7
4.1 Tone at the top....................................................................................................... 7
4.2 Strategische doelstellingen....................................................................................8
4.3 Procesdoelstellingen.............................................................................................. 9
4.4 risicostrategie en risicobeleid................................................................................9
4.5Oorganisatiestructuur........................................................................................... 10
4.6 Psychologische en sociologische aspecten van risicomanagement.....................11
Hoofdstuk 5. Identificatie van risico’s en risicostrategieën............................................11
5.1 Het risicomanagementproces..............................................................................11
5.2 Inventariseren van risico’s...................................................................................11
5.3 Risicogroepen...................................................................................................... 12
5.4 Beoordelen van het risicoprofiel...........................................................................13
5.3 Ontwikkelen van risico -houding, -strategie en –beleid........................................15
Hoofdstuk 6. Inrichting beheersingsprocessen..............................................................16
6.2 Beheersingsprocessen: de infrastructuur.............................................................16
6.3 Beheersingsprocessen: management control, interne beheersing en interne
controle...................................................................................................................... 16
6.4 Het integraal beheersingskader...........................................................................17
1
,Risico management: Drs. Urjan Claassen.
Hoofdstuk 1. Inleiding
1.1 Waarom integraal risicomanagement?
Nut een noodzaak voor risicomanagement is gelegen in een tweetal basisprincipes die
het bestaansrecht van elke organisatie bepalen:
Het conformance motief: het voldoen aan wet- en regelgeving. Door risico te
inventariseren ten aanzien van relevante wet en regelgeving en hiertoe een stelsel
van beheersingsmaatregelen in te richten, kan op efficiënte en effectieve wijze
worden voldaan aan weet en regelgeving.
Het performance motief: het creëren van toegevoegde waarde. Gericht op het
waarborgen van het bestaansrecht van de organisatie.
1.2 Het COSO ERM-model.
Verschillende instanties standaarden ontwikkeld voor de vormgeving van integraal
risicomanagement. COSO ERM populairste maar punten van kritiek:
Geen eenduidige normenkader: COSO ERM is conceptueel van aard en beschrijft
slechts een aantal aandachtspunten voor de inrichting van risicomanagement en
interne beheersing. Een concreet en eenduidig normenkader voor het beoordelen
van het risicomanagement en interne beheersing systemen.
Ontbreken stappenplan. COSO ERM voorziet niet in een dergelijk stappenplan voor
implementatieplan.
Smalle definitie van interne beheersing. Interne beheersing wordt binnen het
COSO ERM raamwerk gedefinieerd als richtlijnen en procedures gericht op het
waarborgen dat risico’s adequaat worden beheerst. De betekenis van interne
beheersing in relatie tot het verzilveren van kansen wordt niet nader uitgewerkt.
Permanente actualisering. Binnen het COSO ERM raamwerk worden in beperkte
mate handreikingen geboden voor het borgen en actueel houden van
risicomanagement en interne beheersingssystemen.
Hoofdstuk 2. Ontwikkelingen en achtergronden.
2.1 Inleiding.
De publieke aandacht voor het realiseren van bedrijfsdoelstellingen is in de afgelopen
decennia steeds verder toegenomen. Stakeholders wensen meer transparantie rondom
de bederijfsvoering.
Sarbanes-Oxley Act: wet in VS voor het verkrijgen van meer zekerheid omtrent de
financiële verslaggeving en de totstandkoming hiervan.
Code-Tabaksblad: de ondernemingsleiding wordt gevraagd verantwoording af te leggen
over het strategische, operationele en compliance risico’s die onderdeel uitmaken van
het ingerichte risico’s beheersing en interne controlesystemen.
Corporate governance: de verantwoordelijkheden van organisaties ten aanzien van
stakeholders. Het beheerste van risico’s .
Ten aanzien van het managen van bedreigingen en kansen kunnen belangrijke verschillen
worden onderkend. Bedreigingen kunnen veelal direct worden gerelateerd aan
beheersingsmaatregelen die door het managment dienen te worden gemanaged. Kansen
daarentegen kunnen niet worden gerelateerd aan beheersingsmaatregelen. Kansen
dienen te worden uitgewerkt in strategieën en bedrijfsplannen, en te worden gemonitord
door middel van de planning- en controlecyclus of de humanresourcecyclus.
2.2 Corporate governance
Financiële schandalen van de afgelopen jaren hebben geleid tot wet- en regelgeving op
het gebied van corporate governance. Ten aanzien van de regelgeving kan onderscheid
2
,worden gemaakt tussen zelfregulering en een reglement waarbij de naleving van de
aanbevelingen verplicht is op grond van wetgeving. Ingeval van zelfregulering is geen
sprake van een wettelijke verplichting maar dient de onderneming toe te lichten als
voorschriften niet worden gevolgd.
Renes en Blöte structuren corporate governance aan de hand van vier onderling
samenhangende kernprocessen. Elk kern proces is uniek en onderscheidt zich door
middel van een specifiek aandachtsgebied:
besturen: het inrichting geven aan een organisatie
beheersen: richt zich primair op het koers houden van de organisatie
toezicht houden: richt zich op het monitoren van de activiteiten van het bestuur
en het management van de organisatie
verantwoording afleggen: wordt afgelegd over de eerste drie governance
processen aan diegenen die een legitieme eis daartoe hebben.
Een goede corporate-governancestructuur leidt uiteindelijk tot een evenwichtige balans
tussen het realiseren van ondernemingsdoestellingen, het afleggen van verantwoording
aan belanghebbende, gewenst ondernemingsgedrag en een aanvaardbare kosten-
batenafweging. Waarde creatie behoort tot de kernverantwoordelijkheid van het
management.
2.3 De evolutie van risico management
Traditioneel Bedrijf risico Enterprise Risk
risico management= Management=
management= Gericht op zowel Gericht op een
Met name gericht financiële risico’s procesmatige
op de beheersing als niet- financiële aanpak om
van financiële en risico’s. gebeurtenissen
operationele die effect hebben
risico’s. op de organisatie
te identificeren en
risico’s te
beheersen.
De organisatie Gefragmenteerd: risico Risicomanagement Geïntegreerd: risico
van het risico management is verantwoordelijkheid management volledig
management ondergebracht bij een voor alle geïntegreerd binnen
specifiek hiervoor functionarissen van de reguliere
aangewezen afdeling. organisatie. operationele
bedrijfsvoering.
Functioneel Operationeel Proces georiënteerd:
georiënteerd: de management de identificatie en
identificatie en betrokken bij het beheersing van
beheersing van risico’s identificeren en
risico’s is afdeling
is sterk gekoppeld aan beheersen van risico’s.
functies of afdelingen overstijgend en
gekoppeld aan
proces.
Schade: Waarde creatie:
geïdentificeerde geïdentificeerd
risico’s gericht op risico’s gerelateerd
verlies van waarde. aan de ‘value drivers’
van de organisatie.
De uitvoering Reactief: het De focus van Proactief: het
van het risico identificeren en risicomanagement ligt identificeren en
management beheersen van risico’s met name op het beheersen van
proces wordt gestart na het beheersen van risico’s wordt
voordoen van één of individuele risico’s en proactief in gezet ter
3
, meer incidenten. groepen van voorkoming van
gerelateerde risico’s incidenten.
Ad hoc: Continu: risico
risicomanagement management wordt
vind op ad hoc basis op een
plaats. gestructureerde wijze
uitgevoerd met
hantering van voor
gedefinieerde
vervaltermijnen.
Reikwijdte van Smalle reikwijdte: Wordt zowel melding Brede reikwijdte:
risicomanageme risico management gemaakt van risico’s risico management
nt gefocust op de als kansen, maar betreft bedrijfsrisico’s
beheersing van nadere concretisering en bedrijfskansen.
financiële risico’s blijft uit. Correlatie en relaties
tussen risico’s worden
meegenomen.
Kansen Niet: Kansen worden Beetje: Voor het eerst Aanwezig: Verschil
niet in ogenschouw gebruik gemaakt tussen kansen en
genomen. risico’s wordt
benadrukt.
2.4 COSO Enterprise Risk Management
COSO ERM bedoeld om organisaties een uniform en gemeenschappelijke referentiekader
aan te bieden voor het inrichten van een intern beheersingssysteem. Binnen COSO ERM
wordt het realiseren van organisatiedoelstellingen centraal gesteld.
Organisatiedoelstellingen worden onderverdeeld in vier soorten:
strategisch: betreft globale doelen en is afgestemd op
missie en visie
operationeel: betreft effectief en efficiënt gebruik van
middelen
rapportage: betreft betrouwbaarheid van interne en externe
verslaggeving
toezicht: betreft naleving van wet- en regelgeving.
Hierdoor wordt het mogelijk risicomanagement gericht toe te
spitsen op specifieke doelstellingen van de organisatie.
Het COSO ERM model bestaat uit acht samenhangende
componenten, die zijn afgeleid van regulieren
verantwoordelijkheden en taken van het management:
interne omgeving: omvat de toon van een organisatie en stelt de basis voor hoe
risico’s worden beschouwd en geadresseerd door de mensen van een
onderneming.
Formuleren van doelstellingen: doelstellingen moeten bestaan voordat het
management potentiële gebeurtenissen die invloed hebben op het behalen van
deze doelen kan erkennen.
Identificeren van gebeurtenissen: interne en externe gebeurtenissen die invloed
hebben op het behalen van de doelstellingen van de onderneming moeten worden
geïdentificeerd, daarbij onderscheid makend tussen risico’s en kansen.
Risicobeoordeling: risico’s worden geanalyseerd door middel van
waarschijnlijkheid en impact.
Reactie op risico: management selecteert de risico’s waarbij een set acties wordt
ontwikkeld om risico’s af te stemmen op de risicotolerantie en risicoacceptatie.
4
Risico management: Drs. Urjan Claassen..........................................................................3
Hoofdstuk 1. Inleiding..................................................................................................... 3
1.1 Waarom integraal risicomanagement?...................................................................3
1.2 Het COSO ERM-model............................................................................................3
Hoofdstuk 2. Ontwikkelingen en achtergronden..............................................................3
2.1 Inleiding................................................................................................................. 3
2.2 Corporate governance........................................................................................... 3
2.3 De evolutie van risico management......................................................................4
2.4 COSO Enterprise Risk Management.......................................................................5
2.5 ERM plus................................................................................................................ 5
Hoofdstuk 3. Een gemeenschappelijke taal.....................................................................6
3.1 Het belang van gemeenschappelijk taal................................................................6
3.2 Definitie van het begrip risico................................................................................6
3.3 Risicocategorieën..................................................................................................6
3.4 Het risicomanagementproces................................................................................7
Hoofdstuk 4. Organisatiedoelstellingen, -structuur en –cultuur.......................................7
4.1 Tone at the top....................................................................................................... 7
4.2 Strategische doelstellingen....................................................................................8
4.3 Procesdoelstellingen.............................................................................................. 9
4.4 risicostrategie en risicobeleid................................................................................9
4.5Oorganisatiestructuur........................................................................................... 10
4.6 Psychologische en sociologische aspecten van risicomanagement.....................11
Hoofdstuk 5. Identificatie van risico’s en risicostrategieën............................................11
5.1 Het risicomanagementproces..............................................................................11
5.2 Inventariseren van risico’s...................................................................................11
5.3 Risicogroepen...................................................................................................... 12
5.4 Beoordelen van het risicoprofiel...........................................................................13
5.3 Ontwikkelen van risico -houding, -strategie en –beleid........................................15
Hoofdstuk 6. Inrichting beheersingsprocessen..............................................................16
6.2 Beheersingsprocessen: de infrastructuur.............................................................16
6.3 Beheersingsprocessen: management control, interne beheersing en interne
controle...................................................................................................................... 16
6.4 Het integraal beheersingskader...........................................................................17
1
,Risico management: Drs. Urjan Claassen.
Hoofdstuk 1. Inleiding
1.1 Waarom integraal risicomanagement?
Nut een noodzaak voor risicomanagement is gelegen in een tweetal basisprincipes die
het bestaansrecht van elke organisatie bepalen:
Het conformance motief: het voldoen aan wet- en regelgeving. Door risico te
inventariseren ten aanzien van relevante wet en regelgeving en hiertoe een stelsel
van beheersingsmaatregelen in te richten, kan op efficiënte en effectieve wijze
worden voldaan aan weet en regelgeving.
Het performance motief: het creëren van toegevoegde waarde. Gericht op het
waarborgen van het bestaansrecht van de organisatie.
1.2 Het COSO ERM-model.
Verschillende instanties standaarden ontwikkeld voor de vormgeving van integraal
risicomanagement. COSO ERM populairste maar punten van kritiek:
Geen eenduidige normenkader: COSO ERM is conceptueel van aard en beschrijft
slechts een aantal aandachtspunten voor de inrichting van risicomanagement en
interne beheersing. Een concreet en eenduidig normenkader voor het beoordelen
van het risicomanagement en interne beheersing systemen.
Ontbreken stappenplan. COSO ERM voorziet niet in een dergelijk stappenplan voor
implementatieplan.
Smalle definitie van interne beheersing. Interne beheersing wordt binnen het
COSO ERM raamwerk gedefinieerd als richtlijnen en procedures gericht op het
waarborgen dat risico’s adequaat worden beheerst. De betekenis van interne
beheersing in relatie tot het verzilveren van kansen wordt niet nader uitgewerkt.
Permanente actualisering. Binnen het COSO ERM raamwerk worden in beperkte
mate handreikingen geboden voor het borgen en actueel houden van
risicomanagement en interne beheersingssystemen.
Hoofdstuk 2. Ontwikkelingen en achtergronden.
2.1 Inleiding.
De publieke aandacht voor het realiseren van bedrijfsdoelstellingen is in de afgelopen
decennia steeds verder toegenomen. Stakeholders wensen meer transparantie rondom
de bederijfsvoering.
Sarbanes-Oxley Act: wet in VS voor het verkrijgen van meer zekerheid omtrent de
financiële verslaggeving en de totstandkoming hiervan.
Code-Tabaksblad: de ondernemingsleiding wordt gevraagd verantwoording af te leggen
over het strategische, operationele en compliance risico’s die onderdeel uitmaken van
het ingerichte risico’s beheersing en interne controlesystemen.
Corporate governance: de verantwoordelijkheden van organisaties ten aanzien van
stakeholders. Het beheerste van risico’s .
Ten aanzien van het managen van bedreigingen en kansen kunnen belangrijke verschillen
worden onderkend. Bedreigingen kunnen veelal direct worden gerelateerd aan
beheersingsmaatregelen die door het managment dienen te worden gemanaged. Kansen
daarentegen kunnen niet worden gerelateerd aan beheersingsmaatregelen. Kansen
dienen te worden uitgewerkt in strategieën en bedrijfsplannen, en te worden gemonitord
door middel van de planning- en controlecyclus of de humanresourcecyclus.
2.2 Corporate governance
Financiële schandalen van de afgelopen jaren hebben geleid tot wet- en regelgeving op
het gebied van corporate governance. Ten aanzien van de regelgeving kan onderscheid
2
,worden gemaakt tussen zelfregulering en een reglement waarbij de naleving van de
aanbevelingen verplicht is op grond van wetgeving. Ingeval van zelfregulering is geen
sprake van een wettelijke verplichting maar dient de onderneming toe te lichten als
voorschriften niet worden gevolgd.
Renes en Blöte structuren corporate governance aan de hand van vier onderling
samenhangende kernprocessen. Elk kern proces is uniek en onderscheidt zich door
middel van een specifiek aandachtsgebied:
besturen: het inrichting geven aan een organisatie
beheersen: richt zich primair op het koers houden van de organisatie
toezicht houden: richt zich op het monitoren van de activiteiten van het bestuur
en het management van de organisatie
verantwoording afleggen: wordt afgelegd over de eerste drie governance
processen aan diegenen die een legitieme eis daartoe hebben.
Een goede corporate-governancestructuur leidt uiteindelijk tot een evenwichtige balans
tussen het realiseren van ondernemingsdoestellingen, het afleggen van verantwoording
aan belanghebbende, gewenst ondernemingsgedrag en een aanvaardbare kosten-
batenafweging. Waarde creatie behoort tot de kernverantwoordelijkheid van het
management.
2.3 De evolutie van risico management
Traditioneel Bedrijf risico Enterprise Risk
risico management= Management=
management= Gericht op zowel Gericht op een
Met name gericht financiële risico’s procesmatige
op de beheersing als niet- financiële aanpak om
van financiële en risico’s. gebeurtenissen
operationele die effect hebben
risico’s. op de organisatie
te identificeren en
risico’s te
beheersen.
De organisatie Gefragmenteerd: risico Risicomanagement Geïntegreerd: risico
van het risico management is verantwoordelijkheid management volledig
management ondergebracht bij een voor alle geïntegreerd binnen
specifiek hiervoor functionarissen van de reguliere
aangewezen afdeling. organisatie. operationele
bedrijfsvoering.
Functioneel Operationeel Proces georiënteerd:
georiënteerd: de management de identificatie en
identificatie en betrokken bij het beheersing van
beheersing van risico’s identificeren en
risico’s is afdeling
is sterk gekoppeld aan beheersen van risico’s.
functies of afdelingen overstijgend en
gekoppeld aan
proces.
Schade: Waarde creatie:
geïdentificeerde geïdentificeerd
risico’s gericht op risico’s gerelateerd
verlies van waarde. aan de ‘value drivers’
van de organisatie.
De uitvoering Reactief: het De focus van Proactief: het
van het risico identificeren en risicomanagement ligt identificeren en
management beheersen van risico’s met name op het beheersen van
proces wordt gestart na het beheersen van risico’s wordt
voordoen van één of individuele risico’s en proactief in gezet ter
3
, meer incidenten. groepen van voorkoming van
gerelateerde risico’s incidenten.
Ad hoc: Continu: risico
risicomanagement management wordt
vind op ad hoc basis op een
plaats. gestructureerde wijze
uitgevoerd met
hantering van voor
gedefinieerde
vervaltermijnen.
Reikwijdte van Smalle reikwijdte: Wordt zowel melding Brede reikwijdte:
risicomanageme risico management gemaakt van risico’s risico management
nt gefocust op de als kansen, maar betreft bedrijfsrisico’s
beheersing van nadere concretisering en bedrijfskansen.
financiële risico’s blijft uit. Correlatie en relaties
tussen risico’s worden
meegenomen.
Kansen Niet: Kansen worden Beetje: Voor het eerst Aanwezig: Verschil
niet in ogenschouw gebruik gemaakt tussen kansen en
genomen. risico’s wordt
benadrukt.
2.4 COSO Enterprise Risk Management
COSO ERM bedoeld om organisaties een uniform en gemeenschappelijke referentiekader
aan te bieden voor het inrichten van een intern beheersingssysteem. Binnen COSO ERM
wordt het realiseren van organisatiedoelstellingen centraal gesteld.
Organisatiedoelstellingen worden onderverdeeld in vier soorten:
strategisch: betreft globale doelen en is afgestemd op
missie en visie
operationeel: betreft effectief en efficiënt gebruik van
middelen
rapportage: betreft betrouwbaarheid van interne en externe
verslaggeving
toezicht: betreft naleving van wet- en regelgeving.
Hierdoor wordt het mogelijk risicomanagement gericht toe te
spitsen op specifieke doelstellingen van de organisatie.
Het COSO ERM model bestaat uit acht samenhangende
componenten, die zijn afgeleid van regulieren
verantwoordelijkheden en taken van het management:
interne omgeving: omvat de toon van een organisatie en stelt de basis voor hoe
risico’s worden beschouwd en geadresseerd door de mensen van een
onderneming.
Formuleren van doelstellingen: doelstellingen moeten bestaan voordat het
management potentiële gebeurtenissen die invloed hebben op het behalen van
deze doelen kan erkennen.
Identificeren van gebeurtenissen: interne en externe gebeurtenissen die invloed
hebben op het behalen van de doelstellingen van de onderneming moeten worden
geïdentificeerd, daarbij onderscheid makend tussen risico’s en kansen.
Risicobeoordeling: risico’s worden geanalyseerd door middel van
waarschijnlijkheid en impact.
Reactie op risico: management selecteert de risico’s waarbij een set acties wordt
ontwikkeld om risico’s af te stemmen op de risicotolerantie en risicoacceptatie.
4
