Inspireren. Verbinden. Veranderen.

Boom Management

Artikelen Het Coso enterprise risk management (ERM) framework (2004)

Het Coso enterprise risk management (ERM) framework (2004)

Urjan Claassen19 december 2019Leestijd: 6 minutenStrategie
Urjan Claassen

In 2004 publiceert COSO het ERM Framework, dat inhoudelijk voortbouwt op het COSO-raamwerk uit 1992. Het COSO ERM-raamwerk uit 2004 is op het eerste gezicht een verfijning en uitbreiding van het COSO-raamwerk uit 1992, en is bedoeld om de praktische toepasbaarheid verder te verbeteren. Zo zijn in het COSO ERM-raamwerk de vijf componenten van interne beheersing nader gespecificeerd naar zeventien principes en een groot aantal ‘points of focus’. Hierdoor werd meer richting gegeven bij het ontwerpen en invoeren van COSO. Daarnaast zijn er in het COSO ERM-raamwerk ingrijpende veranderingen doorgevoerd op het gebied van automatisering. Bij alle control-componenten wordt technologie als belangrijk aspect gezien.

Verder valt op dat de doelstelling ‘financial reporting’ in de COSO Internal Control-kubus is vervangen door ‘reporting’ om aan te geven dat het gaat over verslaggeving in een ruimere betekenis dan alleen de jaarrekening. Organisaties dienen er zorg voor te dragen dat ze tijdig en effectief tegemoetkomen aan de toegenomen informatiebehoefte van allerlei stakeholders, los van het feit of het gaat om operationele, financiële of niet-financiële informatie. Verder is er een vierde doelstelling toegevoegd die als basis kan dienen voor het identificeren van risico’s: strategische doelstellingen. In 2004 publiceert COSO het ERM Framework, dat inhoudelijk voortbouwt op het COSO-raamwerk uit 1992. Het COSO ERM-raamwerk uit 2004 is op het eerste gezicht een verfijning en uitbreiding van het COSO-raamwerk uit 1992, en is bedoeld om de praktische toepasbaarheid verder te verbeteren. Zo zijn in het COSO ERM-raamwerk de vijf componenten van interne beheersing nader gespecificeerd naar zeventien principes en een groot aantal ‘points of focus’. Hierdoor werd meer richting gegeven bij het ontwerpen en invoeren van COSO. Daarnaast zijn er in het COSO ERM-raamwerk ingrijpende veranderingen doorgevoerd op het gebied van automatisering. Bij alle control-componenten wordt technologie als belangrijk aspect gezien. Verder valt op dat de doelstelling ‘financial reporting’ in de COSO Internal Control-kubus is vervangen door ‘reporting’ om aan te geven dat het gaat over verslaggeving in een ruimere betekenis dan alleen de jaarrekening. Organisaties dienen er zorg voor te dragen dat ze tijdig en effectief tegemoetkomen aan de toegenomen informatiebehoefte van allerlei stakeholders, los van het feit of het gaat om operationele, financiële of niet-financiële informatie. Verder is er een vierde doelstelling toegevoegd die als basis kan dienen voor het identificeren van risico’s: strategische doelstellingen. Strategievorming en risico’s voor de strategie behoren nu expliciet tot de reikwijdte van COSO. Daarmee is COSO ERM opgeschoven naar de volgende fase van risicomanagement: ‘enterprise-wide risicomanagement’.

Definitie van ERM

Alle genoemde wijzigingen van COSO ERM zijn doorvertaald in de definitie van ERM: ‘Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.’ In vergelijking met de definitie van internal control uit 1992 valt op dat ERM de volgende aanvullingen kent:
  • ERM wordt toegepast bij de formulering van strategische doelstellingen.
  • ERM wordt toegepast in de gehele onderneming, op elk niveau en onderdeel, en omvat een portfoliovisie op ondernemingsniveau op risico.
  • ERM is ontworpen om potentiële gebeurtenissen te herkennen die, als ze voorkomen, van invloed kunnen zijn op de onderneming en om het risico te beheersen binnen de risicoacceptatiegraad.
Binnen COSO ERM wordt het realiseren van organisatiedoelstellingen centraal gesteld, waarbij wordt verondersteld dat organisatiedoelstellingen een volledige en juiste reflectie zijn van de uiteenlopende belangen van stakeholders. Organisatiedoelstellingen worden onderverdeeld in vier soorten:
  • strategisch: betreft globale doelen en is afgestemd op de visie en missie;
  • operationeel: betreft het effectief en efficiënt gebruiken van middelen;
  • rapportage: betreft de betrouwbaarheid van interne en externe financiële en niet-financiële verslaggeving;
  • toezicht: betreft de naleving van wet- en regelgeving.
Door ondernemingsdoelstellingen in te delen in de genoemde categorieën wordt het mogelijk om risicomanagement gericht toe te spitsen op specifieke doelstellingen van de organisatie. Ik merk hierbij op dat de genoemde categorieën een zekere mate van overlap kennen. Een bepaalde doelstelling kan in meerdere categorieën vallen. Daarbij kunnen ondernemingsdoelstellingen tot de verantwoordelijkheid van verschillende directieleden behoren.

Componenten van het COSO ERM Framework

Het COSO ERM-raamwerk bestaat uit acht samenhangende componenten. Deze componenten zijn afgeleid van reguliere verantwoordelijkheden en taken van het management. Hierna licht ik de acht componenten uit het COSO ERM-raamwerk toe:
  1. Interne omgeving omvat de ‘toon’ van een organisatie en legt de basis voor hoe risico’s worden beschouwd en geadresseerd door de medewerkers van een onderneming, inclusief het risicomanagementbeleid en de risicoacceptatiegraad, integriteit, ethische normen en waarden en de omgeving waarin zij opereren;
  2. Formuleren van doelstellingen er moeten doelstellingen zijn voordat het management potentiële gebeurtenissen die invloed kunnen hebben op het behalen van deze doelen kan herkennen. Ondernemingsrisicomanagement bewerkstelligt dat er binnen het management een proces is dat doelstellingen vastlegt, dat checkt of gekozen doelstellingen afgestemd zijn op de missie, deze missie ondersteunt en consistent is met de risicoacceptatiegraad;
  3. Identificeren van gebeurtenissen interne en externe gebeurtenissen die invloed hebben op het behalen van de doelstellingen van de ondernemingen moeten worden geïdentificeerd, daarbij onderscheid makend tussen risico’s en kansen. Kansen worden teruggekoppeld naar het strategie- of doelstellingenformuleringsproces;
  4. Risicobeoordeling risico’s worden geanalyseerd, daarbij de waarschijnlijkheid en de impact in overweging nemend, als basis voor het vaststellen hoe deze moeten worden gemanaged. De inherente en restrisico’s worden ingeschat;
  5. Reactie op risico het management selecteert de reacties op risico’s – vermijden, accepteren, verminderen of het delen ervan – waarbij een set acties wordt ontwikkeld om risico’s af te stemmen op de risicotolerantie en de risicoacceptatiegraad;
  6. beheersingsactiviteiten: richtlijnen en procedures worden geformuleerd en geimplementeerd om te waarborgen dat de reacties op risico effectief worden uitgevoerd;
  7. Informatie en communicatie relevante informatie wordt geïdentificeerd, verzameld en gecommuniceerd in een vorm die en een tijdsbestek dat het medewerkers mogelijk maakt dat ze hun verantwoordelijkheden kunnen uitvoeren. Effectieve communicatie vindt binnen een onderneming ook in ruimere zin, horizontaal, verticaal en bilateraal, plaats;
  8. Bewaking De totaliteit van ondernemingsrisicomanagement wordt bewaakt en waar nodig worden er wijzigingen aangebracht. Deze bewaking wordt mogelijk gemaakt door voortdurende managementactiviteiten, afzonderlijke evaluaties of beide.
Handboek Risicomanagement
Integratie van risico- en prestatiemanagement
De uitvoering van ERM-taken vindt plaats op verschillende hiërarchische niveaus binnen de organisatie en elke functionaris heeft zijn of haar eigen verantwoordelijkheid. Zo draagt de algemeen directeur eindverantwoordelijkheid en houdt deze toezicht op de uitvoering van het gehele risicomanagementproces. Het hoger en middelmanagement dienen het risicobeleid en de risicoacceptatiegraad te ondersteunen en deze uit te dragen binnen de organisatie. Medewerkers op meer operationeel niveau zijn verantwoordelijk voor de operationele uitvoering van ERM. Het ondersteunen en toetsen van de uitvoering kan betrekking hebben op meerdere functies. Veelal spelen de interne accountant en de financieel verantwoordelijke hierin een belangrijke rol. Het is ook mogelijk dat de risicoverantwoordelijke binnen de lijnorganisatie deze rol op zich neemt. Bron: Handboek Risicomanagement Door: Urjan Claassen