Samenvatting risicomanagement; integratie van risico- en prestatiemanagement
2e herziene druk
Samenvatting van hoofstukken die nodig zijn voor de Leergang Compliance Professional
Hoofdstuk 1: inleiding
Nut en noodzaak risicomanagement basisprincipes conformance- en performance-motief
Conformance-motief: betrekking op het voldoen aan wet- en regelgeving, zoals fiscale en
operationele wetgeving of corporate-governancecodes. Door risico’s te inventariseren ten aanzien
van relevante wet- en regelgeving en hiertoe een stelsel van beheersingsmaatregelen in te richten
kan op efficiënte en effectieve wijze worden voldoen aan wet- en regelgeving.
Performance-motief: betrekking op het creëren van toegevoegde waarde voor klanten en burgers.
In het bedrijfsleven zal dit met name betrekking hebben op het creëren van aandeelhouderswaarde.
Performance-motief is gericht op het waarborgen van het (commerciële) bestaansrecht van de
organisatie.
Integraal risicomanagement betekent in de eerste plaats dat risico’s van verschillende risicogebieden in
onderlinge samenhang worden bezien en gemanaged. In de tweede plaats betekent integraal
risicomanagement dat risicomanagementprocessen op verschillende hiërarchische niveaus binnen de
organisatie worden ingericht en dat de verschillende niveaus interactief met elkaar samenwerken bij het
identificeren, analyseren en beheersen van risico’s.
Risicomanagementmodellen: RI&E (Risico-Inventarisatie en -Evoluatie: arbo-veiligheid) en Solvency II
(verzekeringsbranche) houdt verband met specifiek vakgebied, modellen van algemene aard: COSO
ERM, ISO 31000, Management_of_Risk en RISMAN. Focus van dit boek is op COSO ERM en ISO 31000.
Essentie van risicomanagement in zes basisstappen:
- Het formuleren van strategie en doelstellingen;
- Het inventariseren van risico’s;
- Het beoordelen van risico’s;
- Een keuze maken in hoe om te gaan met de risico’s (risicostrategie);
- Het beheersen van risico’s;
- Communicatie en monitoren.
COSO ERM: COSO = Committee of Sponsoring Organizations of the Treadway Commission, opgericht
in 1985. ERM = Enterprise Risk Management. Het COSO-platform had tot doel de Treadway-
commissie (gericht op bestrijden van frauduleuze financiële verslaggeving) te ondersteunen bij het
ontwikkelen van standaarden op het gebied van interne beheersing. Binnen COSO ERM wordt ervan
uitgegaan dat de organisatie al strategische keuzes en doelstellingen heeft gedefinieerd, die als basis
dienen voor het formuleren van strategische risico’s. Het geactualiseerde COSO ERM-raamwerk
bestaat uit twintig principes/kenmerken, die geclusterd zijn tot vijf basiscomponenten, deze vormen
samen het risicomanagement ‘raamwerk’ en hebben tot doel risicomanagement volledig te
integreren binnen de bestaande bedrijfsactiviteiten en bedrijfsprocessen.
1
,Governance & culture Taken en verantwoordelijkheden ten aanzien van cultuur, houding en gedrag
alsmede risicotoezicht en risicobewustzijn.
Strategy & objective setting Risicomanagement is onderdeel van het strategische planningsproces. Risico’s en
de risicobereidheid worden meegewogen in strategische keuzes en bijbehorende
doelstellingen. Doelstellingen dienen als basis voor het identificeren en
beoordelen van en het reageren op risico’s.
Performance Het identificeren en beoordelen van en reageren op risico’s die van invloed zijn op
het behalen van de strategie en bijbehorende doelstellingen. Hierbij wordt
expliciet rekening gehouden met de risicobereidheid van de organisatie.
Stakeholders worden op portefeuilleniveau geïnformeerd over het risicoprofiel van
de organisatie.
Review & revision Beoordelen van de bedrijfsprestaties en de effectiviteit van de risicobeheersing.
Waar nodig worden verbeteringen doorgevoerd.
Information, communication & Het vergaren en delen van informatie binnen en buiten de organisatie en tussen de
reporting verschillende hiërarchische niveaus.
Kritiek COS ERM:
- Geen eenduidig normenkader
- Ontbreken stappenplan
- Strategische, tactische en operationele beheersing wordt in beperkte mate gespecificeerd naar
de verschillende hiërarchische niveaus van een organisatie.
ISO 31000: ISO = International Organization for Standardization. Doelstellingen ISO 31000 het
ontwikkelen van een algemeen kader voor het implementeren van risicomanagement en het
ontwikkelen van een overkoepelende risicomanagementkapstop voor sector- en
onderwerpspecifieke ISO-standaarden. Drie hoofdonderdelen: principes voor risicomanagement,
een raamwerk dat handvatten geeft voor de invulling van de risicomanagementprincipes en het
risicomanagementproces voor de operationele uitvoering van risicomanagement.
2
, - Principes zijn erop gericht waarde te creëren en te beschermen.
- Framework houdt verband met de wijze waarop risicomanagement binnen de organisatie wordt
vormgegeven.
- Proces zijn stappen die gericht zijn op identificatie, analyse, evaluatie en beheersing van risico’s,
met daarnaast aandacht voor consultatie en communicatie (rapportages) en monitoring en
review.
Kritiek ISO 31000:
- Smalle definitie van interne beheersing
- Geen eenduidig normenkader
Hoofdstuk 2: Ontwikkelingen en achtergronden
De publieke aandacht voor continuïteit, waardecreatie en het realiseren van bedrijfsdoelstellingen is in
het afgelopen decennia steeds verder toegenomen met name aanleiding door crisis 2008 en
schandalen.
Sarbanes-Oxley Act geïntroduceerd in US als gevolg van schandelen (Enron/WorldCom). Het doel
van deze wet is het verkrijgen van meer zekerheid over de financiële verslaggeving en de
totstandkoming ervan. Sectie 302 en 404 van deze wet verplichten bedrijven zich te verantwoorden
over de effectiviteit van de interne beheersing van de financiële verslaggeving.
Corporate governance de verantwoordelijkheden van organisaties ten aanzien van stakeholders
(deugdelijk bestuur). Corporate governance heeft in de praktijk in belangrijke mate betrekking op de
verantwoordelijkheden van directies, toezichthouders, externe accountants bij de verantwoording
over beheersing. Waardecreatie staat hierbij centraal.
Strengere wetgeving:
3
2e herziene druk
Samenvatting van hoofstukken die nodig zijn voor de Leergang Compliance Professional
Hoofdstuk 1: inleiding
Nut en noodzaak risicomanagement basisprincipes conformance- en performance-motief
Conformance-motief: betrekking op het voldoen aan wet- en regelgeving, zoals fiscale en
operationele wetgeving of corporate-governancecodes. Door risico’s te inventariseren ten aanzien
van relevante wet- en regelgeving en hiertoe een stelsel van beheersingsmaatregelen in te richten
kan op efficiënte en effectieve wijze worden voldoen aan wet- en regelgeving.
Performance-motief: betrekking op het creëren van toegevoegde waarde voor klanten en burgers.
In het bedrijfsleven zal dit met name betrekking hebben op het creëren van aandeelhouderswaarde.
Performance-motief is gericht op het waarborgen van het (commerciële) bestaansrecht van de
organisatie.
Integraal risicomanagement betekent in de eerste plaats dat risico’s van verschillende risicogebieden in
onderlinge samenhang worden bezien en gemanaged. In de tweede plaats betekent integraal
risicomanagement dat risicomanagementprocessen op verschillende hiërarchische niveaus binnen de
organisatie worden ingericht en dat de verschillende niveaus interactief met elkaar samenwerken bij het
identificeren, analyseren en beheersen van risico’s.
Risicomanagementmodellen: RI&E (Risico-Inventarisatie en -Evoluatie: arbo-veiligheid) en Solvency II
(verzekeringsbranche) houdt verband met specifiek vakgebied, modellen van algemene aard: COSO
ERM, ISO 31000, Management_of_Risk en RISMAN. Focus van dit boek is op COSO ERM en ISO 31000.
Essentie van risicomanagement in zes basisstappen:
- Het formuleren van strategie en doelstellingen;
- Het inventariseren van risico’s;
- Het beoordelen van risico’s;
- Een keuze maken in hoe om te gaan met de risico’s (risicostrategie);
- Het beheersen van risico’s;
- Communicatie en monitoren.
COSO ERM: COSO = Committee of Sponsoring Organizations of the Treadway Commission, opgericht
in 1985. ERM = Enterprise Risk Management. Het COSO-platform had tot doel de Treadway-
commissie (gericht op bestrijden van frauduleuze financiële verslaggeving) te ondersteunen bij het
ontwikkelen van standaarden op het gebied van interne beheersing. Binnen COSO ERM wordt ervan
uitgegaan dat de organisatie al strategische keuzes en doelstellingen heeft gedefinieerd, die als basis
dienen voor het formuleren van strategische risico’s. Het geactualiseerde COSO ERM-raamwerk
bestaat uit twintig principes/kenmerken, die geclusterd zijn tot vijf basiscomponenten, deze vormen
samen het risicomanagement ‘raamwerk’ en hebben tot doel risicomanagement volledig te
integreren binnen de bestaande bedrijfsactiviteiten en bedrijfsprocessen.
1
,Governance & culture Taken en verantwoordelijkheden ten aanzien van cultuur, houding en gedrag
alsmede risicotoezicht en risicobewustzijn.
Strategy & objective setting Risicomanagement is onderdeel van het strategische planningsproces. Risico’s en
de risicobereidheid worden meegewogen in strategische keuzes en bijbehorende
doelstellingen. Doelstellingen dienen als basis voor het identificeren en
beoordelen van en het reageren op risico’s.
Performance Het identificeren en beoordelen van en reageren op risico’s die van invloed zijn op
het behalen van de strategie en bijbehorende doelstellingen. Hierbij wordt
expliciet rekening gehouden met de risicobereidheid van de organisatie.
Stakeholders worden op portefeuilleniveau geïnformeerd over het risicoprofiel van
de organisatie.
Review & revision Beoordelen van de bedrijfsprestaties en de effectiviteit van de risicobeheersing.
Waar nodig worden verbeteringen doorgevoerd.
Information, communication & Het vergaren en delen van informatie binnen en buiten de organisatie en tussen de
reporting verschillende hiërarchische niveaus.
Kritiek COS ERM:
- Geen eenduidig normenkader
- Ontbreken stappenplan
- Strategische, tactische en operationele beheersing wordt in beperkte mate gespecificeerd naar
de verschillende hiërarchische niveaus van een organisatie.
ISO 31000: ISO = International Organization for Standardization. Doelstellingen ISO 31000 het
ontwikkelen van een algemeen kader voor het implementeren van risicomanagement en het
ontwikkelen van een overkoepelende risicomanagementkapstop voor sector- en
onderwerpspecifieke ISO-standaarden. Drie hoofdonderdelen: principes voor risicomanagement,
een raamwerk dat handvatten geeft voor de invulling van de risicomanagementprincipes en het
risicomanagementproces voor de operationele uitvoering van risicomanagement.
2
, - Principes zijn erop gericht waarde te creëren en te beschermen.
- Framework houdt verband met de wijze waarop risicomanagement binnen de organisatie wordt
vormgegeven.
- Proces zijn stappen die gericht zijn op identificatie, analyse, evaluatie en beheersing van risico’s,
met daarnaast aandacht voor consultatie en communicatie (rapportages) en monitoring en
review.
Kritiek ISO 31000:
- Smalle definitie van interne beheersing
- Geen eenduidig normenkader
Hoofdstuk 2: Ontwikkelingen en achtergronden
De publieke aandacht voor continuïteit, waardecreatie en het realiseren van bedrijfsdoelstellingen is in
het afgelopen decennia steeds verder toegenomen met name aanleiding door crisis 2008 en
schandalen.
Sarbanes-Oxley Act geïntroduceerd in US als gevolg van schandelen (Enron/WorldCom). Het doel
van deze wet is het verkrijgen van meer zekerheid over de financiële verslaggeving en de
totstandkoming ervan. Sectie 302 en 404 van deze wet verplichten bedrijven zich te verantwoorden
over de effectiviteit van de interne beheersing van de financiële verslaggeving.
Corporate governance de verantwoordelijkheden van organisaties ten aanzien van stakeholders
(deugdelijk bestuur). Corporate governance heeft in de praktijk in belangrijke mate betrekking op de
verantwoordelijkheden van directies, toezichthouders, externe accountants bij de verantwoording
over beheersing. Waardecreatie staat hierbij centraal.
Strengere wetgeving:
3
