Samenvatting Risicomanagement
Handboek voor Risicomanagement; Drs. Urjan Claassen; H1-6
Hoofdstuk 1: Inleiding
Waarom doen organisaties aan risicomanagement? Het antwoord op deze vraag, in combinatie met
hoe organisaties hun risicomanagement inrichten, staat centraal in dit boek.
Nut en noodzaak van risicomanagement
dit is gelegen in twee belangrijke basis principes, namelijk:
- Conformance: organisaties dienen te voldoen aan wet- en regelgeving. Door risico’s ten
aanzien hiervan te identificeren en vervolgens te beheersen, kan hier op efficiënte wijze aan
worden voldaan.
- Performance: hieronder verstaan we het creëren van toegevoegde waarde (waardecreatie)
voor met name stakeholders, gericht op het waarborgen van het commerciële bestaansrecht
(missie).
Het COSO ERM-model
is een integraal risicomanagement-model dat verreweg het meest gangbare is in de afgelopen
decennia. Het kent echter wel een aantal punten van kritiek, waaronder:
- Geen eenduidig normenkader: té theoretisch, te weinig uitgewerkt waardoor het voor veel
organisaties te vaag en abstract is om er mee te kunnen werken.
- Geen concreet stappenplan
- Smalle definitie van interne beheersing (IB)
- Permanente actualisering: organisaties ervaren veel problemen met het actueel houden van
hun risicomanagement, aangezien COSO ERM hier weinig handreikingen voor geeft.
,Hoofdstuk 2: Ontwikkelingen en achtergronden
Waardoor is risicomanagement zo populair geworden de afgelopen jaren, en hoe heeft dit zich in de
loop der jaren ontwikkeld? Deze twee vragen zullen het rode draad vormen in dit hoofdstuk.
Corporate Governance
Onder Corporate Governance (= deugdelijk bestuur) verstaan we de verantwoordelijkheden van
organisaties t.o.v. stakeholders.
Als gevolg van grote financiële schandalen (zoals Enron en Worldcom) zijn organisaties zich ervan
bewust geworden hoe belangrijk risicomanagement is, maar vooral wat de gevolgen kunnen zijn als
dit beheersingsproces niet op orde is. Belanghebbenden (stakeholders) verlangen als gevolg hiervan
een stuk meer naar transparantie over doelstellingen, activiteiten, beleid, strategie etc. Dit heeft
geleid tot toenemende wet- en regelgeving op het gebied van Corporate Governance.
Deze toenemende wet- en regelgeving kent twee verschillende dimensies, namelijk:
a. Zelfregulering: regelgeving die niet per sé moet worden nagekomen. Echter, als men er voor
kiest om het niet te doen, moet dit wel toegelicht worden.
b. Verplichte naleving volgens wet: hierbij geldt er wel strikte naleving.
Naast het beheersen van risico’s is creatie van waarde minstens zo belangrijk bij risicomanagement.
Wat het begrip ‘waarde’ hierbij precies inhoudt wordt bepaald door de stakeholders. Naast het
beheersen van risico’s spelen kansen en het verzilveren hiervan ook een rol binnen integraal
risicomanagement.
Tussen kansen en bedreigingen zijn wel verschilleen op gebied van risicomanagement. Kansen zijn
namelijk doorgaans niet direct te relateren aan beheersingsmaatregelen, waar dit bij bedreigingen
wel het geval is.
Corporate Governance wordt veelal gezien als een geheel van een viertal kernprocessen:
(zie afbeelding)
1. Besturen
2. Beheersen
3. Verantwoording afleggen
4. Toezicht houden: monitoren van bestuur en managers.
De evolutie van Risicomanagement
Door de toenemende behoefte aan Corporate Governance ontstond er ook behoefte aan een
raamwerk voor Risicomanagement, iets waar men zich aan vast kan houden bij het inrichten het
beheersingsproces.
In de loop der jaren heeft Risicomanagement zich ontwikkeld van traditioneel risicomanagement,
waarbij voornamelijk aandacht was voor financiële risico’s en waar kansen niet geïntegreerd zijn, tot
bedrijfsrisicomanagement waar wel de niet-financiële risico’s belicht worden en in wordt gegaan op
kansen. Uiteindelijk is uit bedrijfsrisicomanagement het huidige Enterprise Risk Management
ontstaan. ERM gaat uit van een procesmatige aanpak om gebeurtenissen die effect hebben op de
,organisatie(doelstellingen) te identificeren en risico’s te beheersen. ERM besteedt naast risico’s veel
aandacht aan waardecreatie.
Hieronder is deze evolutie ook figuurlijk weergegeven.
Risicomanagement heeft zich in de loop der jaren vooral ontwikkeld op de volgende fronten:
- De organisatie van risicomanagement
- De uitvoering van het risicomanagementproces
- De reikwijdte van risicomanagement
Belangrijkste punten uit het traditioneel risicomanagement
- Gefragmenteerd per afdeling, dus niet integraal in de gehele organisatie
- Functioneel georiënteerd
- Gericht op verlies van waarde
- Reactief: pas na een incident wordt er handelend opgetreden
- Ad Hoc: niet continu, maar specifiek voor een geval of situatie, pas op het moment dat deze
zich voordoet
Belangrijkste punten Enterprise Risk Management (ERM)
- Geïntegreerd in de hele organisatie, i.p.v. gefragmenteerd per afdeling (zie traditioneel)
- Proces georiënteerd: risico’s worden gekoppeld aan processen
- Gericht op waardecreatie: kansen worden ook bekeken i.p.v. alleen negatieve risico’s
- Proactief systeem
- Continue uitvoering
- Brede reikwijdte
,Zie de figuur hieronder voor een samenvatting van bovengenoemde punten in tabelvorm,
gecombineerd met de fronten/deelgebieden waarop risicomanagement zich heeft ontwikkeld.
ERM in het algemeen
ERM is een voortdurend proces dat de gehele onderneming raakt, iedereen is er dus bij betrokken.
Het wordt bewerkstelligd door elk niveau in de organisatie o.b.v. strategisch doelstellingen, gericht
op het beheersen van potentiële gebeurtenissen (proactief!) om een redelijke zekerheid te
verschaffen aan het topmanagement en raad van commissarissen. Uiteindelijk is alles gericht op het
halen van doelstellingen.
Strategisch: o.b.v. missie en visie
Operationeel: effectief/efficiënt gebruik van middelen
Rapportage: betrouwbare (financiële) verslaggeving, zowel intern als extern
Toezicht (=Compliance): naleven van wet- en regelgeving
COSO Enterprise Risk Management
COSO staat voor het raamwerk rondom het huidige ERM en is bedoeld om organisaties een uniform
en gemeenschappelijk referentiekader te bieden voor het inrichten van een intern
beheersingssysteem (IB-systeem).
,Op basis van de eerder genoemde 4 soorten strategieën, bestaat het COSO ERM uit de volgende 8
samenhangende componenten:
1. Interne omgeving: toon van de organisatie.
Stelt de basis voor hoe risico’s worden
beschouwd door medewerkers, inclusief
binnen de organisatie geldende normen en
waarden
2. Doelen formuleren: zonder doelen is er
namelijk niets om te vergelijken waardoor
er niet gemonitord kan worden.
3. Risico’s & kansen definiëren, die invloed
(kunnen) hebben op het behalen van
doelen.
4. Risico’s beoordelen: op basis van kans en
impact.
5. Reactie op risico’s (als gevolg van 4.):
Vermijden, Verkleinen, Delen, Accepteren
6. Beheeringsactiviteiten opzetten:
richtlijnen/procedures om risico’s te
tackelen
7. Informatie + communicatie: relevante
informatie doorspelen naar
verantwoordelijken hiervoor.
8. Bewaking: totaliteit van risicomanagement wordt bewaakt en waar nodig bijgestuurd door
voortdurend activiteiten te managen en evalueren (monitoren).
Op basis van deze 8 componenten ontstaat een voortdurende regelkring. De volgorde van uitvoeren
van de componenten is niet strikt, dit hangt af van de situatie.
ERM-plus: praktische uitwerking van het theoretische COSO-raamwerk, met integrale benadering van
risico’s en kansen.
, De ERM-plus methodiek kent twee dimensies:
1: Risicodimensie 2: Beheersingsdimensie
Strategisch risico Procesrisico 5 ‘lines of defence’
Strategisch doel operationeel-, rapportage-, compliance- doel
Applicatie controls
Ad. 1: Zoals schematisch weergegeven, is de risicodimensie verder uitgewerkt in strategische- en
procesrisico’s met bijbehorende soorten doelstellingen. Het onderscheid naar soort risico en soort
doel is belangrijk vanwege de aanpak van het beheersproces. Procesrisico’s verdienen een andere
aanpak dan strategische risico’s. Procesrisico’s hebben vaak betrekking op bepaalde stromen of
transacties binnen een organisatie. Beheersing hiervan vindt vaak plaats d.m.v. handmatige
beheersingsmaatregelen (= application controls). De strategische risico’s worden daarentegen
beheerst d.m.v. management control via de hiërarchisch hoger gevestigde afdelingen.
Ad. 2: De beheersingsdimensie heeft betrekking op de verschillende hiërarchische niveaus die
betrokken zijn bij het risicomanagementproces. Deze dimensie staat ook wel bekend als de ‘lines of
defence’ binnen de organisatie.
De vijf ‘lines of defence’
1. Bedrijfsvoering & Organisatie: mensen op de werkvloer en tactisch/strategisch
management.
2. Staffuncties: specialiserende afdelingen, zoals compliance of HRM-afdeling
3. Internal auditor: oordeelt objectief over risicomanagement en interne
beheersingsmaatregelen
4. Externe accountant: Geeft een verklaring en advies omtrent IB
5. Toezichthouder: zowel intern, zoals de raad van commissarissen, als extern in specifieke
branches (denk hierbij aan het NIVRA of AFM).
In hoofdstuk 4 gaan we uitgebreider in op deze verdedigingslinies.
Handboek voor Risicomanagement; Drs. Urjan Claassen; H1-6
Hoofdstuk 1: Inleiding
Waarom doen organisaties aan risicomanagement? Het antwoord op deze vraag, in combinatie met
hoe organisaties hun risicomanagement inrichten, staat centraal in dit boek.
Nut en noodzaak van risicomanagement
dit is gelegen in twee belangrijke basis principes, namelijk:
- Conformance: organisaties dienen te voldoen aan wet- en regelgeving. Door risico’s ten
aanzien hiervan te identificeren en vervolgens te beheersen, kan hier op efficiënte wijze aan
worden voldaan.
- Performance: hieronder verstaan we het creëren van toegevoegde waarde (waardecreatie)
voor met name stakeholders, gericht op het waarborgen van het commerciële bestaansrecht
(missie).
Het COSO ERM-model
is een integraal risicomanagement-model dat verreweg het meest gangbare is in de afgelopen
decennia. Het kent echter wel een aantal punten van kritiek, waaronder:
- Geen eenduidig normenkader: té theoretisch, te weinig uitgewerkt waardoor het voor veel
organisaties te vaag en abstract is om er mee te kunnen werken.
- Geen concreet stappenplan
- Smalle definitie van interne beheersing (IB)
- Permanente actualisering: organisaties ervaren veel problemen met het actueel houden van
hun risicomanagement, aangezien COSO ERM hier weinig handreikingen voor geeft.
,Hoofdstuk 2: Ontwikkelingen en achtergronden
Waardoor is risicomanagement zo populair geworden de afgelopen jaren, en hoe heeft dit zich in de
loop der jaren ontwikkeld? Deze twee vragen zullen het rode draad vormen in dit hoofdstuk.
Corporate Governance
Onder Corporate Governance (= deugdelijk bestuur) verstaan we de verantwoordelijkheden van
organisaties t.o.v. stakeholders.
Als gevolg van grote financiële schandalen (zoals Enron en Worldcom) zijn organisaties zich ervan
bewust geworden hoe belangrijk risicomanagement is, maar vooral wat de gevolgen kunnen zijn als
dit beheersingsproces niet op orde is. Belanghebbenden (stakeholders) verlangen als gevolg hiervan
een stuk meer naar transparantie over doelstellingen, activiteiten, beleid, strategie etc. Dit heeft
geleid tot toenemende wet- en regelgeving op het gebied van Corporate Governance.
Deze toenemende wet- en regelgeving kent twee verschillende dimensies, namelijk:
a. Zelfregulering: regelgeving die niet per sé moet worden nagekomen. Echter, als men er voor
kiest om het niet te doen, moet dit wel toegelicht worden.
b. Verplichte naleving volgens wet: hierbij geldt er wel strikte naleving.
Naast het beheersen van risico’s is creatie van waarde minstens zo belangrijk bij risicomanagement.
Wat het begrip ‘waarde’ hierbij precies inhoudt wordt bepaald door de stakeholders. Naast het
beheersen van risico’s spelen kansen en het verzilveren hiervan ook een rol binnen integraal
risicomanagement.
Tussen kansen en bedreigingen zijn wel verschilleen op gebied van risicomanagement. Kansen zijn
namelijk doorgaans niet direct te relateren aan beheersingsmaatregelen, waar dit bij bedreigingen
wel het geval is.
Corporate Governance wordt veelal gezien als een geheel van een viertal kernprocessen:
(zie afbeelding)
1. Besturen
2. Beheersen
3. Verantwoording afleggen
4. Toezicht houden: monitoren van bestuur en managers.
De evolutie van Risicomanagement
Door de toenemende behoefte aan Corporate Governance ontstond er ook behoefte aan een
raamwerk voor Risicomanagement, iets waar men zich aan vast kan houden bij het inrichten het
beheersingsproces.
In de loop der jaren heeft Risicomanagement zich ontwikkeld van traditioneel risicomanagement,
waarbij voornamelijk aandacht was voor financiële risico’s en waar kansen niet geïntegreerd zijn, tot
bedrijfsrisicomanagement waar wel de niet-financiële risico’s belicht worden en in wordt gegaan op
kansen. Uiteindelijk is uit bedrijfsrisicomanagement het huidige Enterprise Risk Management
ontstaan. ERM gaat uit van een procesmatige aanpak om gebeurtenissen die effect hebben op de
,organisatie(doelstellingen) te identificeren en risico’s te beheersen. ERM besteedt naast risico’s veel
aandacht aan waardecreatie.
Hieronder is deze evolutie ook figuurlijk weergegeven.
Risicomanagement heeft zich in de loop der jaren vooral ontwikkeld op de volgende fronten:
- De organisatie van risicomanagement
- De uitvoering van het risicomanagementproces
- De reikwijdte van risicomanagement
Belangrijkste punten uit het traditioneel risicomanagement
- Gefragmenteerd per afdeling, dus niet integraal in de gehele organisatie
- Functioneel georiënteerd
- Gericht op verlies van waarde
- Reactief: pas na een incident wordt er handelend opgetreden
- Ad Hoc: niet continu, maar specifiek voor een geval of situatie, pas op het moment dat deze
zich voordoet
Belangrijkste punten Enterprise Risk Management (ERM)
- Geïntegreerd in de hele organisatie, i.p.v. gefragmenteerd per afdeling (zie traditioneel)
- Proces georiënteerd: risico’s worden gekoppeld aan processen
- Gericht op waardecreatie: kansen worden ook bekeken i.p.v. alleen negatieve risico’s
- Proactief systeem
- Continue uitvoering
- Brede reikwijdte
,Zie de figuur hieronder voor een samenvatting van bovengenoemde punten in tabelvorm,
gecombineerd met de fronten/deelgebieden waarop risicomanagement zich heeft ontwikkeld.
ERM in het algemeen
ERM is een voortdurend proces dat de gehele onderneming raakt, iedereen is er dus bij betrokken.
Het wordt bewerkstelligd door elk niveau in de organisatie o.b.v. strategisch doelstellingen, gericht
op het beheersen van potentiële gebeurtenissen (proactief!) om een redelijke zekerheid te
verschaffen aan het topmanagement en raad van commissarissen. Uiteindelijk is alles gericht op het
halen van doelstellingen.
Strategisch: o.b.v. missie en visie
Operationeel: effectief/efficiënt gebruik van middelen
Rapportage: betrouwbare (financiële) verslaggeving, zowel intern als extern
Toezicht (=Compliance): naleven van wet- en regelgeving
COSO Enterprise Risk Management
COSO staat voor het raamwerk rondom het huidige ERM en is bedoeld om organisaties een uniform
en gemeenschappelijk referentiekader te bieden voor het inrichten van een intern
beheersingssysteem (IB-systeem).
,Op basis van de eerder genoemde 4 soorten strategieën, bestaat het COSO ERM uit de volgende 8
samenhangende componenten:
1. Interne omgeving: toon van de organisatie.
Stelt de basis voor hoe risico’s worden
beschouwd door medewerkers, inclusief
binnen de organisatie geldende normen en
waarden
2. Doelen formuleren: zonder doelen is er
namelijk niets om te vergelijken waardoor
er niet gemonitord kan worden.
3. Risico’s & kansen definiëren, die invloed
(kunnen) hebben op het behalen van
doelen.
4. Risico’s beoordelen: op basis van kans en
impact.
5. Reactie op risico’s (als gevolg van 4.):
Vermijden, Verkleinen, Delen, Accepteren
6. Beheeringsactiviteiten opzetten:
richtlijnen/procedures om risico’s te
tackelen
7. Informatie + communicatie: relevante
informatie doorspelen naar
verantwoordelijken hiervoor.
8. Bewaking: totaliteit van risicomanagement wordt bewaakt en waar nodig bijgestuurd door
voortdurend activiteiten te managen en evalueren (monitoren).
Op basis van deze 8 componenten ontstaat een voortdurende regelkring. De volgorde van uitvoeren
van de componenten is niet strikt, dit hangt af van de situatie.
ERM-plus: praktische uitwerking van het theoretische COSO-raamwerk, met integrale benadering van
risico’s en kansen.
, De ERM-plus methodiek kent twee dimensies:
1: Risicodimensie 2: Beheersingsdimensie
Strategisch risico Procesrisico 5 ‘lines of defence’
Strategisch doel operationeel-, rapportage-, compliance- doel
Applicatie controls
Ad. 1: Zoals schematisch weergegeven, is de risicodimensie verder uitgewerkt in strategische- en
procesrisico’s met bijbehorende soorten doelstellingen. Het onderscheid naar soort risico en soort
doel is belangrijk vanwege de aanpak van het beheersproces. Procesrisico’s verdienen een andere
aanpak dan strategische risico’s. Procesrisico’s hebben vaak betrekking op bepaalde stromen of
transacties binnen een organisatie. Beheersing hiervan vindt vaak plaats d.m.v. handmatige
beheersingsmaatregelen (= application controls). De strategische risico’s worden daarentegen
beheerst d.m.v. management control via de hiërarchisch hoger gevestigde afdelingen.
Ad. 2: De beheersingsdimensie heeft betrekking op de verschillende hiërarchische niveaus die
betrokken zijn bij het risicomanagementproces. Deze dimensie staat ook wel bekend als de ‘lines of
defence’ binnen de organisatie.
De vijf ‘lines of defence’
1. Bedrijfsvoering & Organisatie: mensen op de werkvloer en tactisch/strategisch
management.
2. Staffuncties: specialiserende afdelingen, zoals compliance of HRM-afdeling
3. Internal auditor: oordeelt objectief over risicomanagement en interne
beheersingsmaatregelen
4. Externe accountant: Geeft een verklaring en advies omtrent IB
5. Toezichthouder: zowel intern, zoals de raad van commissarissen, als extern in specifieke
branches (denk hierbij aan het NIVRA of AFM).
In hoofdstuk 4 gaan we uitgebreider in op deze verdedigingslinies.
