Analyse Riskmanagement,
Governance & Compliance
VERTROUWELIJK
Naam: XXX
Studentnummer: XXX
Datum: XXX 2021
NCOI opleiding: Master Finance & Control (MFC)
Masterclass: Riskmanagement,
Compliance & Governance
Docent: XXX
,Voorwoord
Voor u ligt mijn praktijkplan dat geschreven is ter afsluiting van de masterclass Riskmanagement,
Governance & Compliance. Dit is mijn XXX masterclass van de opleiding Master Finance & Control (MFC).
In dit praktijkplan wordt een analyse gemaakt van het riskmanagement, de governance en het
compliancebeleid bij WERKGEVER. Uit deze analyses worden conclusies getrokken, waarbij wordt
aangegeven welke onderdelen sterk zijn en bij welke onderdelen verbetering mogelijk is. Vervolgens
worden verbetervoorstellen gedaan om deze onderdelen voor WERKGEVER verder te optimaliseren.
Sinds XXX ben ik als XXX werkzaam bij de WERKGEVER. Deze groep bestaat uit XXX
Ik kijk terug op een interessante en leerzame masterclass. Daarbij ben ik van mening dat veel organisaties
riskmanagement, governance en compliance ten onterechte als een kostenpost zien. In mijn ogen is het
niet goed op orde hebben van deze onderdelen veel kostbaarder, zowel financieel als op het gebied van
reputatieschade. Hierbij is het belangrijk om te beseffen dat moreel besef en gezond verstand belangrijker
zijn dan steeds meer regels en vastleggingen. Deze regels en vastleggingen creëren namelijk een cultuur
waarin verondersteld wordt dat alles mag dat niet expliciet verboden is.
Bij deze wil ik XXXX bedanken voor zijn interessante lessen en de interactie tijdens de lessen. Deze
masterclass is als gevolg van de coronamaatregelen volledig via de digitale leeromgeving gegeven.
Ik wens u veel leesplezier toe.
XXX
XXX, XXX 2021
2
,Samenvatting
Het doel van dit praktijkplan is om op basis van een analyse van het riskmanagement, de governance en
het compliancebeleid van WERKGEVER verbetervoorstellen te doen aan het bestuur, de Raad van
Commissarissen (RvC) en de aandeelhouders om deze drie onderdelen verder te optimaliseren.
Het riskmanagement is geanalyseerd met behulp va het COSO ERM-model. Hierbij wordt duidelijk dat
WERKGEVER diverse verdedigingslinies gebruikt om risico’s te beheersen, waaronder een vrijwillige
accountantscontrole en een RvC als toezichthoudend orgaan. De strategie en doelstellingen van de
organisatie zijn slechts deels op elkaar afgestemd, waardoor op dit gebied verbetering mogelijk is. Tevens
zijn de nodige kritische opmerkingen te plaatsen op het in de onderneming aanwezige risico-overzicht.
Daarbij komt naar voren dat de nadruk ligt op de beheersing van de veiligheidsrisico’s. Over het geheel
genomen kan geconcludeerd worden dat WERKGEVER in het perspectief van de beperkte grootte van de
organisatie het risicomanagement redelijk heeft ingericht. Om het risicomanagement te verbeteren dient
de importantie van de risico’s in relatie tot de doelstellingen in beeld gebracht te worden, waarbij deze
geprioriteerd dienen te worden op basis van risico-mapping. Op deze manier wordt per risico de kans
(waarschijnlijkheid) en omvang (impact) tegen elkaar afgezet, waardoor met behulp van kleurscores een
raamwerk van de risico-mapping ontstaat.
De governance is voor de mkb-onderneming WERKGEVER geanalyseerd met het Diamond-model, waarin
vier generieke processen aan bod komen. Het proces sturen is, ondanks dat de strategie niet formeel
vastgelegd is, sterk vormgegeven door consistente aansturing en adequate performancemeting in de vorm
van KPI’s, overlegstructuren en ondersteunende software. De organisatie beschikt over een cultuur en
sfeer van vertrouwen, wat bijdraagt aan de professionaliteit en daarmee aan de beheersing. Het proces
beheersen is derhalve ook sterk vormgegeven. In het proces organiseren van feedback komt naar voren
dat WERKGEVER met de aanwezigheid van een (vrijwillige) RvC als toezichthouder de
informatieasymmetrie als gevolg van het principal agent-probleem verkleint. Tevens fungeert deze RvC,
samen met een aantal andere adviseurs, als sparringpartner van de directie. Op basis hiervan kan
geconcludeerd worden dat dit proces eveneens sterk vormgegeven is. Het proces verantwoorden is ten
aanzien van de externe belanghebbenden goed vormgegeven. Ten aanzien van de interne
belanghebbenden blijkt dat werknemers de belangrijkste groep betreffen. Ondanks dat de organisatie deze
groep via jaarvergaderingen, nieuwsbrieven en kadermeldingen informeert, blijkt uit de afgenomen
interviews dat zij de verantwoording als mager ervaren. Hieruit wordt geconcludeerd dat dit proces
geoptimaliseerd kan worden. Het belangrijkste verbetervoorstel om dit te bereiken is om meer expliciet de
langetermijnvisie van de organisatie te delen, waarbij ook de rol en de ontwikkelmogelijkheden van de
werknemers aan bod komen. Meting van de mate waarin de werknemers zich betrokken voelen bij deze
verantwoording kan opgenomen worden in een medewerkerstevredenheidsonderzoek.
Het compliancebeleid is geanalyseerd met het sure!-ontwikkelmodel. Dit model bestaat uit vier onderdelen.
Voor wat betreft de basiswaarden geldt dat WERKGEVER een platte organisatie is waar de werknemers
veel vertrouwen krijgen. Dit bevordert de professionaliteit en draagt bij aan minder regels, wat gunstig
uitpakt voor de efficiëntie. Op basis hiervan wordt geconcludeerd dat de basiswaarden sterk zijn. In het
tweede onderdeel, het normenkader, blijkt dat de compliancerisico’s te algemeen omschreven zijn en dat
bepaalde risico’s ontbreken die in de context van de organisatie wel te verwachten zijn. De werknemers
zijn met name bekend met het normenkader voor de Arbowetgeving, maar kennis van andere relevante
wetgeving is te beperkt. De basis voor een goed normenkader is aanwezig, maar door het ontbreken van
cruciale componenten wordt dit onderdeel als zwak beoordeeld. Het voorbeeldgedrag daarentegen is sterk
ontwikkeld, mede door de negatieve ervaringen uit het verleden. Dit heeft geleidt tot onbewust bekwaam,
dan wel vanzelfsprekend, voorbeeldgedrag. Het laatste onderdeel, de gedragspatronen, hebben in XXX
veel aandacht gehad. Zo zijn in een aantal XXX de kernwaarden geherformuleerd. Op deze manier
faciliteert de onderneming gedragspatronen die bij het DNA van de organisatie passen. Dit onderdeel
wordt daarom als sterk beoordeeld. Het belangrijkste verbetervoorstel betreft het optimaliseren van het
normenkader. Hiervoor dient op managementniveau een integraal normenkader voor de
compliancerisico’s opgezet te worden, waarbij een inschatting gemaakt dient te worden van de kans en
de impact van non-compliance. Deze inschatting bestaat uit financiële en immateriële schade, waaronder
reputatieschade. Vervolgens dienen de werknemers periodiek via informatiesessies geïnformeerd te
worden over het belang hiervan.
Met deze verbetervoorstellen kan het proces van het risicomanagement, de governance en het
compliancebeleid bij WERKGEVER verder geoptimaliseerd worden.
3
,Inhoudsopgave
VOORWOORD .......................................................................................................................................... 2
SAMENVATTING ...................................................................................................................................... 3
INHOUDSOPGAVE ................................................................................................................................... 4
INLEIDING ................................................................................................................................................. 6
DE ONDERNEMING .................................................................................................................................... 6
SAMENHANG RISKMANAGEMENT, GOVERNANCE EN COMPLIANCE ................................................................. 6
INTERNE EN EXTERNE ONTWIKKELINGEN ..................................................................................................... 6
LEESWIJZER ............................................................................................................................................. 6
1 RISKMANAGEMENT ......................................................................................................................... 7
1.1 INLEIDING ...................................................................................................................................... 7
1.1.1 Definitie ................................................................................................................................. 7
1.1.2 Keuze risicomanagementmodel ........................................................................................... 7
1.2 HET COSO ERM-MODEL ............................................................................................................... 7
1.2.1 Governance en cultuur ......................................................................................................... 7
Vijf verdedigingslinies van risicomanagement ................................................................................................... 8
Cultuur en personeel .......................................................................................................................................... 8
Tone at the top ................................................................................................................................................... 9
Conclusie ........................................................................................................................................................... 9
1.2.2 Strategie en doelstellingen ................................................................................................... 9
Organisatiecontext ............................................................................................................................................. 9
Risicobereidheid (risk appetite) ........................................................................................................................ 10
Vaststellen van de strategie en doelstellingen ................................................................................................. 10
Conclusie ......................................................................................................................................................... 10
1.2.3 Performance ....................................................................................................................... 10
Risico’s ............................................................................................................................................................. 10
Conclusie ......................................................................................................................................................... 11
1.2.4 Review & revision ............................................................................................................... 11
Conclusie ......................................................................................................................................................... 11
1.2.5 Information, communication en reporting ........................................................................... 11
Conclusie ......................................................................................................................................................... 11
2 GOVERNANCE ................................................................................................................................ 12
2.1 INLEIDING .................................................................................................................................... 12
2.1.1 Definitie en context ............................................................................................................. 12
2.2 HET DIAMOND-MODEL .................................................................................................................. 12
2.2.1 Sturen ................................................................................................................................. 12
2.2.2 Beheersen .......................................................................................................................... 13
2.2.3 Organiseren van feedback.................................................................................................. 13
2.2.4 Verantwoorden ................................................................................................................... 14
3 COMPLIANCEBELEID ..................................................................................................................... 16
3.1 INLEIDING .................................................................................................................................... 16
3.1.1 Definitie ............................................................................................................................... 16
3.2 SURE!-ONTWIKKELMODEL ............................................................................................................. 16
3.2.1 Basiswaarden ..................................................................................................................... 16
3.2.2 Normenkader ...................................................................................................................... 16
3.2.3 Voorbeeldgedrag ................................................................................................................ 17
3.2.4 Gedragspatronen ................................................................................................................ 17
4 CONCLUSIES EN VERBETERVOORSTELLEN ............................................................................. 19
4.1 RISKMANAGEMENT ....................................................................................................................... 19
4.1.1 Conclusies .......................................................................................................................... 19
4.1.2 Verbetervoorstel ................................................................................................................. 19
4
, 4.2 GOVERNANCE .............................................................................................................................. 20
4.2.1 Conclusies .......................................................................................................................... 20
4.2.2 Verbetervoorstel ................................................................................................................. 20
4.3 COMPLIANCEBELEID ..................................................................................................................... 21
4.3.1 Conclusies .......................................................................................................................... 21
4.3.2 Verbetervoorstel ................................................................................................................. 21
5 REFLECTIE ...................................................................................................................................... 22
6 LITERATUURLIJST ......................................................................................................................... 23
7 BIJLAGEN ........................................................................................................................................ 25
BIJLAGE 1: PRINCIPES COSO-ERM 2017 ............................................................................................... 25
BIJLAGE 2: VIJF VERDEDIGINGSLINIES VAN RISKMANAGEMENT ................................................................... 25
BIJLAGE 3: DOELSTELLINGEN WERKGEVER .......................................................................................... 26
BIJLAGE 4: BELANGHEBBENDEN EN RISICO’S ............................................................................................ 27
BIJLAGE 5: DIAMOND-MODEL .................................................................................................................. 28
BIJLAGE 6: SURE!-ONTWIKKELMODEL ...................................................................................................... 29
BIJLAGE 7: RISICO-MAPPING (VOORBEELD) .............................................................................................. 30
5
Governance & Compliance
VERTROUWELIJK
Naam: XXX
Studentnummer: XXX
Datum: XXX 2021
NCOI opleiding: Master Finance & Control (MFC)
Masterclass: Riskmanagement,
Compliance & Governance
Docent: XXX
,Voorwoord
Voor u ligt mijn praktijkplan dat geschreven is ter afsluiting van de masterclass Riskmanagement,
Governance & Compliance. Dit is mijn XXX masterclass van de opleiding Master Finance & Control (MFC).
In dit praktijkplan wordt een analyse gemaakt van het riskmanagement, de governance en het
compliancebeleid bij WERKGEVER. Uit deze analyses worden conclusies getrokken, waarbij wordt
aangegeven welke onderdelen sterk zijn en bij welke onderdelen verbetering mogelijk is. Vervolgens
worden verbetervoorstellen gedaan om deze onderdelen voor WERKGEVER verder te optimaliseren.
Sinds XXX ben ik als XXX werkzaam bij de WERKGEVER. Deze groep bestaat uit XXX
Ik kijk terug op een interessante en leerzame masterclass. Daarbij ben ik van mening dat veel organisaties
riskmanagement, governance en compliance ten onterechte als een kostenpost zien. In mijn ogen is het
niet goed op orde hebben van deze onderdelen veel kostbaarder, zowel financieel als op het gebied van
reputatieschade. Hierbij is het belangrijk om te beseffen dat moreel besef en gezond verstand belangrijker
zijn dan steeds meer regels en vastleggingen. Deze regels en vastleggingen creëren namelijk een cultuur
waarin verondersteld wordt dat alles mag dat niet expliciet verboden is.
Bij deze wil ik XXXX bedanken voor zijn interessante lessen en de interactie tijdens de lessen. Deze
masterclass is als gevolg van de coronamaatregelen volledig via de digitale leeromgeving gegeven.
Ik wens u veel leesplezier toe.
XXX
XXX, XXX 2021
2
,Samenvatting
Het doel van dit praktijkplan is om op basis van een analyse van het riskmanagement, de governance en
het compliancebeleid van WERKGEVER verbetervoorstellen te doen aan het bestuur, de Raad van
Commissarissen (RvC) en de aandeelhouders om deze drie onderdelen verder te optimaliseren.
Het riskmanagement is geanalyseerd met behulp va het COSO ERM-model. Hierbij wordt duidelijk dat
WERKGEVER diverse verdedigingslinies gebruikt om risico’s te beheersen, waaronder een vrijwillige
accountantscontrole en een RvC als toezichthoudend orgaan. De strategie en doelstellingen van de
organisatie zijn slechts deels op elkaar afgestemd, waardoor op dit gebied verbetering mogelijk is. Tevens
zijn de nodige kritische opmerkingen te plaatsen op het in de onderneming aanwezige risico-overzicht.
Daarbij komt naar voren dat de nadruk ligt op de beheersing van de veiligheidsrisico’s. Over het geheel
genomen kan geconcludeerd worden dat WERKGEVER in het perspectief van de beperkte grootte van de
organisatie het risicomanagement redelijk heeft ingericht. Om het risicomanagement te verbeteren dient
de importantie van de risico’s in relatie tot de doelstellingen in beeld gebracht te worden, waarbij deze
geprioriteerd dienen te worden op basis van risico-mapping. Op deze manier wordt per risico de kans
(waarschijnlijkheid) en omvang (impact) tegen elkaar afgezet, waardoor met behulp van kleurscores een
raamwerk van de risico-mapping ontstaat.
De governance is voor de mkb-onderneming WERKGEVER geanalyseerd met het Diamond-model, waarin
vier generieke processen aan bod komen. Het proces sturen is, ondanks dat de strategie niet formeel
vastgelegd is, sterk vormgegeven door consistente aansturing en adequate performancemeting in de vorm
van KPI’s, overlegstructuren en ondersteunende software. De organisatie beschikt over een cultuur en
sfeer van vertrouwen, wat bijdraagt aan de professionaliteit en daarmee aan de beheersing. Het proces
beheersen is derhalve ook sterk vormgegeven. In het proces organiseren van feedback komt naar voren
dat WERKGEVER met de aanwezigheid van een (vrijwillige) RvC als toezichthouder de
informatieasymmetrie als gevolg van het principal agent-probleem verkleint. Tevens fungeert deze RvC,
samen met een aantal andere adviseurs, als sparringpartner van de directie. Op basis hiervan kan
geconcludeerd worden dat dit proces eveneens sterk vormgegeven is. Het proces verantwoorden is ten
aanzien van de externe belanghebbenden goed vormgegeven. Ten aanzien van de interne
belanghebbenden blijkt dat werknemers de belangrijkste groep betreffen. Ondanks dat de organisatie deze
groep via jaarvergaderingen, nieuwsbrieven en kadermeldingen informeert, blijkt uit de afgenomen
interviews dat zij de verantwoording als mager ervaren. Hieruit wordt geconcludeerd dat dit proces
geoptimaliseerd kan worden. Het belangrijkste verbetervoorstel om dit te bereiken is om meer expliciet de
langetermijnvisie van de organisatie te delen, waarbij ook de rol en de ontwikkelmogelijkheden van de
werknemers aan bod komen. Meting van de mate waarin de werknemers zich betrokken voelen bij deze
verantwoording kan opgenomen worden in een medewerkerstevredenheidsonderzoek.
Het compliancebeleid is geanalyseerd met het sure!-ontwikkelmodel. Dit model bestaat uit vier onderdelen.
Voor wat betreft de basiswaarden geldt dat WERKGEVER een platte organisatie is waar de werknemers
veel vertrouwen krijgen. Dit bevordert de professionaliteit en draagt bij aan minder regels, wat gunstig
uitpakt voor de efficiëntie. Op basis hiervan wordt geconcludeerd dat de basiswaarden sterk zijn. In het
tweede onderdeel, het normenkader, blijkt dat de compliancerisico’s te algemeen omschreven zijn en dat
bepaalde risico’s ontbreken die in de context van de organisatie wel te verwachten zijn. De werknemers
zijn met name bekend met het normenkader voor de Arbowetgeving, maar kennis van andere relevante
wetgeving is te beperkt. De basis voor een goed normenkader is aanwezig, maar door het ontbreken van
cruciale componenten wordt dit onderdeel als zwak beoordeeld. Het voorbeeldgedrag daarentegen is sterk
ontwikkeld, mede door de negatieve ervaringen uit het verleden. Dit heeft geleidt tot onbewust bekwaam,
dan wel vanzelfsprekend, voorbeeldgedrag. Het laatste onderdeel, de gedragspatronen, hebben in XXX
veel aandacht gehad. Zo zijn in een aantal XXX de kernwaarden geherformuleerd. Op deze manier
faciliteert de onderneming gedragspatronen die bij het DNA van de organisatie passen. Dit onderdeel
wordt daarom als sterk beoordeeld. Het belangrijkste verbetervoorstel betreft het optimaliseren van het
normenkader. Hiervoor dient op managementniveau een integraal normenkader voor de
compliancerisico’s opgezet te worden, waarbij een inschatting gemaakt dient te worden van de kans en
de impact van non-compliance. Deze inschatting bestaat uit financiële en immateriële schade, waaronder
reputatieschade. Vervolgens dienen de werknemers periodiek via informatiesessies geïnformeerd te
worden over het belang hiervan.
Met deze verbetervoorstellen kan het proces van het risicomanagement, de governance en het
compliancebeleid bij WERKGEVER verder geoptimaliseerd worden.
3
,Inhoudsopgave
VOORWOORD .......................................................................................................................................... 2
SAMENVATTING ...................................................................................................................................... 3
INHOUDSOPGAVE ................................................................................................................................... 4
INLEIDING ................................................................................................................................................. 6
DE ONDERNEMING .................................................................................................................................... 6
SAMENHANG RISKMANAGEMENT, GOVERNANCE EN COMPLIANCE ................................................................. 6
INTERNE EN EXTERNE ONTWIKKELINGEN ..................................................................................................... 6
LEESWIJZER ............................................................................................................................................. 6
1 RISKMANAGEMENT ......................................................................................................................... 7
1.1 INLEIDING ...................................................................................................................................... 7
1.1.1 Definitie ................................................................................................................................. 7
1.1.2 Keuze risicomanagementmodel ........................................................................................... 7
1.2 HET COSO ERM-MODEL ............................................................................................................... 7
1.2.1 Governance en cultuur ......................................................................................................... 7
Vijf verdedigingslinies van risicomanagement ................................................................................................... 8
Cultuur en personeel .......................................................................................................................................... 8
Tone at the top ................................................................................................................................................... 9
Conclusie ........................................................................................................................................................... 9
1.2.2 Strategie en doelstellingen ................................................................................................... 9
Organisatiecontext ............................................................................................................................................. 9
Risicobereidheid (risk appetite) ........................................................................................................................ 10
Vaststellen van de strategie en doelstellingen ................................................................................................. 10
Conclusie ......................................................................................................................................................... 10
1.2.3 Performance ....................................................................................................................... 10
Risico’s ............................................................................................................................................................. 10
Conclusie ......................................................................................................................................................... 11
1.2.4 Review & revision ............................................................................................................... 11
Conclusie ......................................................................................................................................................... 11
1.2.5 Information, communication en reporting ........................................................................... 11
Conclusie ......................................................................................................................................................... 11
2 GOVERNANCE ................................................................................................................................ 12
2.1 INLEIDING .................................................................................................................................... 12
2.1.1 Definitie en context ............................................................................................................. 12
2.2 HET DIAMOND-MODEL .................................................................................................................. 12
2.2.1 Sturen ................................................................................................................................. 12
2.2.2 Beheersen .......................................................................................................................... 13
2.2.3 Organiseren van feedback.................................................................................................. 13
2.2.4 Verantwoorden ................................................................................................................... 14
3 COMPLIANCEBELEID ..................................................................................................................... 16
3.1 INLEIDING .................................................................................................................................... 16
3.1.1 Definitie ............................................................................................................................... 16
3.2 SURE!-ONTWIKKELMODEL ............................................................................................................. 16
3.2.1 Basiswaarden ..................................................................................................................... 16
3.2.2 Normenkader ...................................................................................................................... 16
3.2.3 Voorbeeldgedrag ................................................................................................................ 17
3.2.4 Gedragspatronen ................................................................................................................ 17
4 CONCLUSIES EN VERBETERVOORSTELLEN ............................................................................. 19
4.1 RISKMANAGEMENT ....................................................................................................................... 19
4.1.1 Conclusies .......................................................................................................................... 19
4.1.2 Verbetervoorstel ................................................................................................................. 19
4
, 4.2 GOVERNANCE .............................................................................................................................. 20
4.2.1 Conclusies .......................................................................................................................... 20
4.2.2 Verbetervoorstel ................................................................................................................. 20
4.3 COMPLIANCEBELEID ..................................................................................................................... 21
4.3.1 Conclusies .......................................................................................................................... 21
4.3.2 Verbetervoorstel ................................................................................................................. 21
5 REFLECTIE ...................................................................................................................................... 22
6 LITERATUURLIJST ......................................................................................................................... 23
7 BIJLAGEN ........................................................................................................................................ 25
BIJLAGE 1: PRINCIPES COSO-ERM 2017 ............................................................................................... 25
BIJLAGE 2: VIJF VERDEDIGINGSLINIES VAN RISKMANAGEMENT ................................................................... 25
BIJLAGE 3: DOELSTELLINGEN WERKGEVER .......................................................................................... 26
BIJLAGE 4: BELANGHEBBENDEN EN RISICO’S ............................................................................................ 27
BIJLAGE 5: DIAMOND-MODEL .................................................................................................................. 28
BIJLAGE 6: SURE!-ONTWIKKELMODEL ...................................................................................................... 29
BIJLAGE 7: RISICO-MAPPING (VOORBEELD) .............................................................................................. 30
5
