Hoofdstuk 1 – inleiding
Nut en noodzaak voor risicomanagement is gelegen in een tweetal basisprincipes:
- het conformance- motief ( heeft betrekking op het voldoen aan wet- en regelgeving ‘licence to operate’)
- het performance-motief ( heeft betrekking op het creëren van toegevoegde waarde ‘licence to survive’)
COSO-ERM-model: standaard ontwikkelt voor de vormgeving van (integraal) risicomanagement.
Tekortkomingen COSO ERM:
1. geen eenduidig normenkader
2. ontbreken stappenplan ( dit is van belang bij het implementeren)
3. smalle definitie van interne beheersing
4. Permanente actualisering (blijft niet actueel)
Figuur 1.3, blz. 22: invulling tekortkomingen COSO ERM
De kern van risicomanagement: het bevorderen van waardecreatie en het verbeteren van prestaties
Hoofdstuk 2 – Ontwikkelingen en achtergronden
Ten aanzien van regelgeving kan onderscheid worden gemaakt tussen zelfregulering en een regelement waarbij de naleving van
de aanbevelingen verplicht is op grond van wetgeving. Bij zelfregulering is geen sprake van wettelijke verplichting, maar dient de
onderneming toe te lichten als voorschriften niet worden gevolgd.
Renes en Blote structureren corporate governance aan de hand van vier onderling samenhangende kernprocessen:
1. Besturen ( het richting geven aan de organisatie)
2. Beheersen ( richt zich primair op het op koers houden van de organisatie)
3. Toezicht houden ( het monitoren van de activiteiten van het bestuur en het management van de organisatie)
4. Verantwoording afleggen ( verantwoording over de eerste drie governance processen)
COSO ERM: een veelgebruikt conceptueel raamwerk voor het implementeren van corporate-governance structuren
3 stadia in de evolutie van traditioneel risicomanagement naar Enterprise Risk Management (ERM):
1. Traditioneel risicomanagement: richt zich met name op de beheersing van financiële en, in beperkte mate, operationele
risico’s. Worden beheerst door het treffen van interne controlematregelen binnen de bedrijfsprocessen en door gebruik van
specifieke producten zoals contractuele bepalingen, verzekeringen etc. Een kanttekening van traditioneel risicomanagement
is dat risico’s hierbinnen vooral financieel van aard zijn, terwijl risico’s van velerlei aard kunnen zijn. Traditioneel risico is te
beperkt. Er is ook sprake van een ‘hokjesgeest’ en de beleidsvorming vindt reactief plaats naar aanleiding van calamiteiten
(brandjes blussen)
2. Bedrijfsrisicomanagement: rekent behalve de financiële risico’s ook de niet-financiële risico’s tot zijn aandachtspunt. Dit
doorbreekt de hokjesgeest, zodat risicomanagement een verantwoordelijkheid is geworden van alle functionarissen van een
organisatie. bij bedrijfsrisicomanagement wordt er naast risico’s voor het eerst ook melding gemaakt van kansen.
3. Enterprise Risk Management: gaat uit van een procesmatige aanpak
Figuur 2.2 + 2.3 blz. 34,35: de evolutie van risicomanagement
Binnen COSO ERM wordt het realiseren van organisatiedoelstellingen centraal gesteld. Deze worden onderverdeeld in 4 soorten:
1. strategisch: betreft globale doelen en is afgestemd op de visie en missie
2. operationeel: betreft effectief en efficiënt gebruik van de middelen
3. rapportage: betreft betrouwbaarheid van interne en externe financiële en niet-financiële verslaglegging
4. toezicht: betreft naleving van wet- en regelgeving
De 8 componenten uit het COSO-ERM-model (Figuur 2.4, blz. 36):
1. Interne omgeving: omvat de toon van een organisatie en stelt de basis voor hoe risico’s worden beschouwd en geadresseerd
door de mensen van een onderneming.
2. Formuleren van doelstellingen
3. Identificeren van gebeurtenissen: interne en externe gebeurtenissen die invloed hebben op het behalen van de
doelstellingen moeten worden geïdentificeerd, waarbij onderscheid wordt gemaakt tussen risico’s en kansen.
4. Risicobeoordeling
5. Reactie op risico: reacties worden geselecteerd op vermijden, accepteren, verminderen of delen van risico
6. Beheersingsactiviteiten
7. Informatie en communicatie
8. Bewaking: totaliteit van ondernemingsrisicomanagement wordt bewaakt en wijzigingen waar nodig aangebracht
, ERMplus-methodiek: een praktische uitwerking van COSO ERM waarbij een integrale benadering wordt uitgewerkt voor het
beheersen van risico’s en kansen. De ERMplus-methodiek kent twee verschillende dimensies:
- een risicodimensie: heeft betrekking op het risiconiveau waarbij onderscheid wordt gemaakt in strategische en procesrisico’s.
Strategische risico’s hebben betrekking op de strategische doelstelling en procesrisico’s op overige doelstellingen.
- een beheersingsdimensie: heeft betrekking op de verschillende hiërarchische niveaus die betrokken zijn bij het
risicomanagementproces. Figuur 2.6, blz. 40: relatie tussen het COSO ERM en het ERMplus model
Hoofdstuk 3 – een gemeenschappelijke taal
Het belang van een gemeenschappelijke taal: Het levert een risicoprofiel op voor de organisatie als geheel en het biedt de
mogelijkheid voor het opleiden en scholen van mensen. het ontbreken van een gemeenschappelijke risicotaal veroorzaakt in
dergelijke situaties misverstanden en kan leiden tot een incourant risicomanagementproces.
Risico: een gebeurtenis die een negatief of positief effect heeft op het bereiken van de organisatiedoelstellingen
Potentieel gevolg: heeft betrekking op mogelijke schade die kunnen ontstaan bij wijzigingen in externe of interne factoren of
relaties tussen deze factoren.
Onzekerheid: heeft betrekking op het bestaan van mogelijke wijzigingen in externe of interne factoren, zonder rekening te
houden met mogelijke gevolgen hiervan. In dit verband spreken we van onzekerheid als risico-oorzaken in potentie een effect
kunnen hebben op organisatiedoelstellingen of het waardecreatie proces.
De risicogevoeligheid van organisaties wordt bepaald door drie samenhangende variabelen:
1. hoe materieel is het potentieel gevolg van een risico?
2. Wat is de kans dat 1 of meer risicogebeurtenissen zich voordoen?
3. In welke mate is de organisatie in staat het optreden van het risico te voorkomen of de gevolgen hiervan te beperken?
Binnen de ERMplus methodiek kunnen risico’s op twee verschillende manieren worden gecategoriseerd:
1. categorale risico-indeling: heeft primair tot doel risicomanagement op een adequate wijze te kunnen betrekking in de
doorontwikkeling van het bedrijfsmodel en waardecreatie in de brede zin. Gericht op zeven risico categorieën:
1. omgevingsrisico’s
2. organisatierisico’s
3. procesrisico’s
4. projectrisico’s
5. operationele sturingsrisico’s
6. managementinformatierisico’s
7. verantwoordingsrisico’s
Figuur 3.2, blz. 47: voorbeelden categorale risico indeling
1. functionele risico-indeling: heeft tot doel het onderhoud van risico’s op een adequate wijze te kunnen beleggen bij
specialisten en heeft een directe relatie met de twee verdedigingslinie van risicomanagement. Gericht op negen risico
categorieën:
1. Politiek
2. Technologie
3. Juridisch
4. Communicatie
5. Verantwoording
6. Markt
7. Organisatie & personeel
8. Financieel
Figuur 3.6, blz. 50: voorbeelden functionele risico indeling
Zes elementen van het risicomanagement (figuur 3.7, blz. 52):
1. Inventariseren risico’s
2. Beoordelen risicoprofiel
3. Toepassen risicomanagementstrategie ( vermijden, verminderen, overdragen of accepteren)
4. Inrichten beheersingsprocessen
5. Monitoren
6. Continu verbeteren
Hoofdstuk 4 – Organisatiedoelstellingen, - structuur en -cultuur
Tone at the top: stelt de basis voor hoe risicomanagement ‘tussen de oren zit’ in termen van risicobewustzijn,
risicoacceptatiegraad, integriteit, ethische normen en waarden en de consistentie van hetgeen met ‘zegt’ wat men ‘doet’. De ‘tone
at the top’ kan worden onderverdeeld in drie aandachtsgebieden:
Nut en noodzaak voor risicomanagement is gelegen in een tweetal basisprincipes:
- het conformance- motief ( heeft betrekking op het voldoen aan wet- en regelgeving ‘licence to operate’)
- het performance-motief ( heeft betrekking op het creëren van toegevoegde waarde ‘licence to survive’)
COSO-ERM-model: standaard ontwikkelt voor de vormgeving van (integraal) risicomanagement.
Tekortkomingen COSO ERM:
1. geen eenduidig normenkader
2. ontbreken stappenplan ( dit is van belang bij het implementeren)
3. smalle definitie van interne beheersing
4. Permanente actualisering (blijft niet actueel)
Figuur 1.3, blz. 22: invulling tekortkomingen COSO ERM
De kern van risicomanagement: het bevorderen van waardecreatie en het verbeteren van prestaties
Hoofdstuk 2 – Ontwikkelingen en achtergronden
Ten aanzien van regelgeving kan onderscheid worden gemaakt tussen zelfregulering en een regelement waarbij de naleving van
de aanbevelingen verplicht is op grond van wetgeving. Bij zelfregulering is geen sprake van wettelijke verplichting, maar dient de
onderneming toe te lichten als voorschriften niet worden gevolgd.
Renes en Blote structureren corporate governance aan de hand van vier onderling samenhangende kernprocessen:
1. Besturen ( het richting geven aan de organisatie)
2. Beheersen ( richt zich primair op het op koers houden van de organisatie)
3. Toezicht houden ( het monitoren van de activiteiten van het bestuur en het management van de organisatie)
4. Verantwoording afleggen ( verantwoording over de eerste drie governance processen)
COSO ERM: een veelgebruikt conceptueel raamwerk voor het implementeren van corporate-governance structuren
3 stadia in de evolutie van traditioneel risicomanagement naar Enterprise Risk Management (ERM):
1. Traditioneel risicomanagement: richt zich met name op de beheersing van financiële en, in beperkte mate, operationele
risico’s. Worden beheerst door het treffen van interne controlematregelen binnen de bedrijfsprocessen en door gebruik van
specifieke producten zoals contractuele bepalingen, verzekeringen etc. Een kanttekening van traditioneel risicomanagement
is dat risico’s hierbinnen vooral financieel van aard zijn, terwijl risico’s van velerlei aard kunnen zijn. Traditioneel risico is te
beperkt. Er is ook sprake van een ‘hokjesgeest’ en de beleidsvorming vindt reactief plaats naar aanleiding van calamiteiten
(brandjes blussen)
2. Bedrijfsrisicomanagement: rekent behalve de financiële risico’s ook de niet-financiële risico’s tot zijn aandachtspunt. Dit
doorbreekt de hokjesgeest, zodat risicomanagement een verantwoordelijkheid is geworden van alle functionarissen van een
organisatie. bij bedrijfsrisicomanagement wordt er naast risico’s voor het eerst ook melding gemaakt van kansen.
3. Enterprise Risk Management: gaat uit van een procesmatige aanpak
Figuur 2.2 + 2.3 blz. 34,35: de evolutie van risicomanagement
Binnen COSO ERM wordt het realiseren van organisatiedoelstellingen centraal gesteld. Deze worden onderverdeeld in 4 soorten:
1. strategisch: betreft globale doelen en is afgestemd op de visie en missie
2. operationeel: betreft effectief en efficiënt gebruik van de middelen
3. rapportage: betreft betrouwbaarheid van interne en externe financiële en niet-financiële verslaglegging
4. toezicht: betreft naleving van wet- en regelgeving
De 8 componenten uit het COSO-ERM-model (Figuur 2.4, blz. 36):
1. Interne omgeving: omvat de toon van een organisatie en stelt de basis voor hoe risico’s worden beschouwd en geadresseerd
door de mensen van een onderneming.
2. Formuleren van doelstellingen
3. Identificeren van gebeurtenissen: interne en externe gebeurtenissen die invloed hebben op het behalen van de
doelstellingen moeten worden geïdentificeerd, waarbij onderscheid wordt gemaakt tussen risico’s en kansen.
4. Risicobeoordeling
5. Reactie op risico: reacties worden geselecteerd op vermijden, accepteren, verminderen of delen van risico
6. Beheersingsactiviteiten
7. Informatie en communicatie
8. Bewaking: totaliteit van ondernemingsrisicomanagement wordt bewaakt en wijzigingen waar nodig aangebracht
, ERMplus-methodiek: een praktische uitwerking van COSO ERM waarbij een integrale benadering wordt uitgewerkt voor het
beheersen van risico’s en kansen. De ERMplus-methodiek kent twee verschillende dimensies:
- een risicodimensie: heeft betrekking op het risiconiveau waarbij onderscheid wordt gemaakt in strategische en procesrisico’s.
Strategische risico’s hebben betrekking op de strategische doelstelling en procesrisico’s op overige doelstellingen.
- een beheersingsdimensie: heeft betrekking op de verschillende hiërarchische niveaus die betrokken zijn bij het
risicomanagementproces. Figuur 2.6, blz. 40: relatie tussen het COSO ERM en het ERMplus model
Hoofdstuk 3 – een gemeenschappelijke taal
Het belang van een gemeenschappelijke taal: Het levert een risicoprofiel op voor de organisatie als geheel en het biedt de
mogelijkheid voor het opleiden en scholen van mensen. het ontbreken van een gemeenschappelijke risicotaal veroorzaakt in
dergelijke situaties misverstanden en kan leiden tot een incourant risicomanagementproces.
Risico: een gebeurtenis die een negatief of positief effect heeft op het bereiken van de organisatiedoelstellingen
Potentieel gevolg: heeft betrekking op mogelijke schade die kunnen ontstaan bij wijzigingen in externe of interne factoren of
relaties tussen deze factoren.
Onzekerheid: heeft betrekking op het bestaan van mogelijke wijzigingen in externe of interne factoren, zonder rekening te
houden met mogelijke gevolgen hiervan. In dit verband spreken we van onzekerheid als risico-oorzaken in potentie een effect
kunnen hebben op organisatiedoelstellingen of het waardecreatie proces.
De risicogevoeligheid van organisaties wordt bepaald door drie samenhangende variabelen:
1. hoe materieel is het potentieel gevolg van een risico?
2. Wat is de kans dat 1 of meer risicogebeurtenissen zich voordoen?
3. In welke mate is de organisatie in staat het optreden van het risico te voorkomen of de gevolgen hiervan te beperken?
Binnen de ERMplus methodiek kunnen risico’s op twee verschillende manieren worden gecategoriseerd:
1. categorale risico-indeling: heeft primair tot doel risicomanagement op een adequate wijze te kunnen betrekking in de
doorontwikkeling van het bedrijfsmodel en waardecreatie in de brede zin. Gericht op zeven risico categorieën:
1. omgevingsrisico’s
2. organisatierisico’s
3. procesrisico’s
4. projectrisico’s
5. operationele sturingsrisico’s
6. managementinformatierisico’s
7. verantwoordingsrisico’s
Figuur 3.2, blz. 47: voorbeelden categorale risico indeling
1. functionele risico-indeling: heeft tot doel het onderhoud van risico’s op een adequate wijze te kunnen beleggen bij
specialisten en heeft een directe relatie met de twee verdedigingslinie van risicomanagement. Gericht op negen risico
categorieën:
1. Politiek
2. Technologie
3. Juridisch
4. Communicatie
5. Verantwoording
6. Markt
7. Organisatie & personeel
8. Financieel
Figuur 3.6, blz. 50: voorbeelden functionele risico indeling
Zes elementen van het risicomanagement (figuur 3.7, blz. 52):
1. Inventariseren risico’s
2. Beoordelen risicoprofiel
3. Toepassen risicomanagementstrategie ( vermijden, verminderen, overdragen of accepteren)
4. Inrichten beheersingsprocessen
5. Monitoren
6. Continu verbeteren
Hoofdstuk 4 – Organisatiedoelstellingen, - structuur en -cultuur
Tone at the top: stelt de basis voor hoe risicomanagement ‘tussen de oren zit’ in termen van risicobewustzijn,
risicoacceptatiegraad, integriteit, ethische normen en waarden en de consistentie van hetgeen met ‘zegt’ wat men ‘doet’. De ‘tone
at the top’ kan worden onderverdeeld in drie aandachtsgebieden:
