Risk management & internal control
Examen
- Gesloten boek
- Multiple choic & open vragen
DEEL 1: Introductie tot risk management & internal control
Wie – wat – waar?
Geschiedenis van ERM
1. Oudheid: codex hammurabi van de Babyloniers bevatte regels rond risicospreiding van
handelaars => waar andere handelaars mee deelde in het verlies mocht één handelaar
verlies leiden (verzekering)
2. Maritieme verzekering: maritieme leningen die enkel moesten worden terugbetaald
wanneer het schip veilig terug aan land geraakt
3. Middeleeuwse gilden: Europese gilden betaalde een premie om recht te hebben op
bijdragen in geval van ziekte = risicospreiding
4. Renaissance: ontwikkeling van kansberekening wat wet basis vormde voor risicoanalyse
5. Industriële revolutie: formalisering van hoop nieuwe risico’s zoals brand en ongevallen
Demining cirle: PDA-cyclus
= kwaliteitscyclus die wordt toegepast binnen het risicobeheer
1. Plan: bepaal doelstellingen en risico’s, ontwerp een strategie
2. Do: voer plan uit
3. Check: evalueer resultaten
4. Act: pas waar nodig is aan
Recente wetenschappelijke trends in risk management & internal control
1. Adoptie AI & technologie: brengt mogelijkheden als bedreigingen
- Data verwerkingscapaciteit: grote hoeveelheden data kunnen makkelijker doorgenomen
worden op anomalieën
2. Geopolitieke risico’s: Rusland-Oekraïne conflict wat bedreigingen meebrengt voor
supply chains – grondstofprijzen
3. Proactief risicobeheer: evolutie van reactief beheer naar proactief beheer
- Scenario planning
- diversificatie
4. Cybersecurity & datalekker
Wat is risico?
Deze cursus behandelen we (1) ERM: entreprise risk management (2) IC: internal control (3)
Integrated risk and control management => 3 management benaderingen voor risico beheer
(1) Wat is ERM?
1
, Gaat alle risico’s binnen een organisatie samenvoegen tot één analytisch raamwerk. Dit met
de bedoeling om één risicobeheersysteem te kunnen optrekken
(2) Internal control: IC
Overkoepelende term voor alle mechanismen, procedures en afspraken binnen een organisatie
met als doel de bedrijfsdoelstellingen te realiseren
Definitie van risico (ISO 73)
Risico is het aanwezigheid zijn van onzekerheid over de uitkomst van een bepaalde gebeurtenis
= > ISO 73 guide maakt een classificatie op van alle risico’s
1. HAZARS RISKS: risico’s die enkel een negatieve uitkomst kunnen hebben
Vaak gezien als operationele risico’s die de organisatiedoelstelling in gevaar kan brengen
VB: schade aan gebouw – personeelsprobleem => type risico zal vaak verzekerd
Hazard tolerance: bepaalde perimeter van risico dat elk bedrijf toelaat
VB: juwelier gaat een lagere hazard tolerance hebben dan een gewoon bedrijf want veel
waardevollere spullen in winkel dan normaal kantoor
2. CONTROL RISK: risico’s waarvan de uitkomst onzeker is
Vaak gezien als risico’s met betrekking tot projectbeheer-veranderingsprocessen => zeer
moelijkte kwantificeren
VB: IT bedrijf start nieuw project met onzekerheid of deadline gehaald worden
BEHEER: verminderen van onzekerheid en minimale gevolgen mocht slechte uitkomst
!: sommige control risks zijn onvermijdelijk bij innovatie of vernaderingen in bedrijf
3. OPPORTUNITY RISKS: risico’s die ontstaan wanneer bedrijf een return probeert te
behalen en hiervoor een risico aangaat
- Risico’s voorkomen uit kansen van een financiele aard: ontwikkeling van nieuwe
strategien
- Ook verbeteren van efficientie: productie optimalisatie
Tweezijdig: risico’s door het nemen van een kans & risico’s door het niet nemen van een kans
Opportunity management
Door systematisch beheren van kansen die gepaard gaan let ondernemingsrisico’s => op een
bedachte manier risico’s aangaan om de voordelen hieruit te maximaliseren
ANDERS: traditionele risicobeheer systemen die focussen op minimalisatie van risico’s
Elk bedrijf verschilt van risico-appetijt wat maakt hoeveel risico bedrijf bereid is te nemen
Opportunity management heeft sterke link aan strategische planning: waar een bedrijf haar LT
doelen uitzet en kritische mijlpalen identificeert die kunnen leiden naar einddoel => opportunity
2
,management gaat voor elk van deze tusssentijdse mijlpalen (vb: opening nieuwe fabriek)
evalueren wat het rendement is gezien het risico => om zo een strategie te vormen
Geen universele risicocalssficatie
Bestaat geen één universele manier om risico’s in te delen aangezien organisaties verschillende
modellen hanteren die aansluiten bij hun activiteiten, sector of context
(a) Indeling op basis van impact: hazard-control-opportunity risk
(b) Tijdshorizon: KT – MLT – LT risico’s
(c) COSO: indeling risico’s in 4 categorien
1. Strategisch
2. Operationeel
3. Rapportering
4. Complaince
(d) FIRM risk scorecard: indeling 4 grote risicocategorien
1. Financial
2. Infrastructure
3. Reputational
4. Marketplace risks
3
, Wat is (Interal) Control?
IC: alle activiteiten/afspraken die een bedrijf invoert om haar bedrijfsdoelstellingen te realiseren
Gaan afwijkingen van deze bedrijfsdoelstellingen proberen voorkomen-opmerken-corrigeren
= > 4 soorten controle volgens COSO:
- type 1: preventive controls: focus op treffen van maategelen om preventief bepaalde
risico’s te minimaliseren
VB: aanwerven van competente medewerkers
- Type 2: detective controls: reactieve controles om fouten op te sporen die zich reeds
hebben voortgedaan
VB: interne audits
- Type 3: corrective controls: treden in werking nadat een probleelm geidentificeerd is met
als doel de schade te herstellen
VB: bijkomende training in foutgebied
- Type 4: directive controls: mensen te sturen zodanig ze vanaf de meet gedragingen
vertonen die het gewenste resultaat inleiden aan de hand van communicatie, motivatie
VB: beloningsacties die gedrag positief beinvloeden
- Aanvullend type 5: compensating controls: opvangnet voor zwakke/kritische plekken
binnen bedrijf => VB: bestellingsysteem bedrijf kapot => telefooncentrale die snel
tijdelijk kan worden ingeschakeld
= > voorbeelden van traditionele interne controlemechanismen:
- Autorisatie: toesteming verlenen voor handelingen
- Fysieke toegangsbeperkigen
- Toezicht: leiddinggevende die opvolgt
- Compliance checks: nagaan volgen van procedures
- Werving en personeelsiontwikkeling: bekwaamheid persoon is key voor interne controle
- Organisatiestructuur met rapporteringslijnen
= > Dimensies van controle: formeel vs informeel
1. Formele controle: vastgelegde procedures en systememen die waar de navolging
eenvoudig kan worden gecontroleerd
VB: werkenemer die vaste financiele procedure moet volgen om factuur naar klant te sturen
2. Informele controle: sociale controle gestuurd door de cultuur-waarden-normen binnen
een bedrijf
VB: mederwerkers die mee bepaalde overtuigingen worden gestuurd
Development of ERM
= > Waarom ERM: historische context
Afgelopen decenia zijn bedrijven geraakt geweest door een grote hoeveelheid rampen (2008 –
cyberbedreigingen- corona)
4
Examen
- Gesloten boek
- Multiple choic & open vragen
DEEL 1: Introductie tot risk management & internal control
Wie – wat – waar?
Geschiedenis van ERM
1. Oudheid: codex hammurabi van de Babyloniers bevatte regels rond risicospreiding van
handelaars => waar andere handelaars mee deelde in het verlies mocht één handelaar
verlies leiden (verzekering)
2. Maritieme verzekering: maritieme leningen die enkel moesten worden terugbetaald
wanneer het schip veilig terug aan land geraakt
3. Middeleeuwse gilden: Europese gilden betaalde een premie om recht te hebben op
bijdragen in geval van ziekte = risicospreiding
4. Renaissance: ontwikkeling van kansberekening wat wet basis vormde voor risicoanalyse
5. Industriële revolutie: formalisering van hoop nieuwe risico’s zoals brand en ongevallen
Demining cirle: PDA-cyclus
= kwaliteitscyclus die wordt toegepast binnen het risicobeheer
1. Plan: bepaal doelstellingen en risico’s, ontwerp een strategie
2. Do: voer plan uit
3. Check: evalueer resultaten
4. Act: pas waar nodig is aan
Recente wetenschappelijke trends in risk management & internal control
1. Adoptie AI & technologie: brengt mogelijkheden als bedreigingen
- Data verwerkingscapaciteit: grote hoeveelheden data kunnen makkelijker doorgenomen
worden op anomalieën
2. Geopolitieke risico’s: Rusland-Oekraïne conflict wat bedreigingen meebrengt voor
supply chains – grondstofprijzen
3. Proactief risicobeheer: evolutie van reactief beheer naar proactief beheer
- Scenario planning
- diversificatie
4. Cybersecurity & datalekker
Wat is risico?
Deze cursus behandelen we (1) ERM: entreprise risk management (2) IC: internal control (3)
Integrated risk and control management => 3 management benaderingen voor risico beheer
(1) Wat is ERM?
1
, Gaat alle risico’s binnen een organisatie samenvoegen tot één analytisch raamwerk. Dit met
de bedoeling om één risicobeheersysteem te kunnen optrekken
(2) Internal control: IC
Overkoepelende term voor alle mechanismen, procedures en afspraken binnen een organisatie
met als doel de bedrijfsdoelstellingen te realiseren
Definitie van risico (ISO 73)
Risico is het aanwezigheid zijn van onzekerheid over de uitkomst van een bepaalde gebeurtenis
= > ISO 73 guide maakt een classificatie op van alle risico’s
1. HAZARS RISKS: risico’s die enkel een negatieve uitkomst kunnen hebben
Vaak gezien als operationele risico’s die de organisatiedoelstelling in gevaar kan brengen
VB: schade aan gebouw – personeelsprobleem => type risico zal vaak verzekerd
Hazard tolerance: bepaalde perimeter van risico dat elk bedrijf toelaat
VB: juwelier gaat een lagere hazard tolerance hebben dan een gewoon bedrijf want veel
waardevollere spullen in winkel dan normaal kantoor
2. CONTROL RISK: risico’s waarvan de uitkomst onzeker is
Vaak gezien als risico’s met betrekking tot projectbeheer-veranderingsprocessen => zeer
moelijkte kwantificeren
VB: IT bedrijf start nieuw project met onzekerheid of deadline gehaald worden
BEHEER: verminderen van onzekerheid en minimale gevolgen mocht slechte uitkomst
!: sommige control risks zijn onvermijdelijk bij innovatie of vernaderingen in bedrijf
3. OPPORTUNITY RISKS: risico’s die ontstaan wanneer bedrijf een return probeert te
behalen en hiervoor een risico aangaat
- Risico’s voorkomen uit kansen van een financiele aard: ontwikkeling van nieuwe
strategien
- Ook verbeteren van efficientie: productie optimalisatie
Tweezijdig: risico’s door het nemen van een kans & risico’s door het niet nemen van een kans
Opportunity management
Door systematisch beheren van kansen die gepaard gaan let ondernemingsrisico’s => op een
bedachte manier risico’s aangaan om de voordelen hieruit te maximaliseren
ANDERS: traditionele risicobeheer systemen die focussen op minimalisatie van risico’s
Elk bedrijf verschilt van risico-appetijt wat maakt hoeveel risico bedrijf bereid is te nemen
Opportunity management heeft sterke link aan strategische planning: waar een bedrijf haar LT
doelen uitzet en kritische mijlpalen identificeert die kunnen leiden naar einddoel => opportunity
2
,management gaat voor elk van deze tusssentijdse mijlpalen (vb: opening nieuwe fabriek)
evalueren wat het rendement is gezien het risico => om zo een strategie te vormen
Geen universele risicocalssficatie
Bestaat geen één universele manier om risico’s in te delen aangezien organisaties verschillende
modellen hanteren die aansluiten bij hun activiteiten, sector of context
(a) Indeling op basis van impact: hazard-control-opportunity risk
(b) Tijdshorizon: KT – MLT – LT risico’s
(c) COSO: indeling risico’s in 4 categorien
1. Strategisch
2. Operationeel
3. Rapportering
4. Complaince
(d) FIRM risk scorecard: indeling 4 grote risicocategorien
1. Financial
2. Infrastructure
3. Reputational
4. Marketplace risks
3
, Wat is (Interal) Control?
IC: alle activiteiten/afspraken die een bedrijf invoert om haar bedrijfsdoelstellingen te realiseren
Gaan afwijkingen van deze bedrijfsdoelstellingen proberen voorkomen-opmerken-corrigeren
= > 4 soorten controle volgens COSO:
- type 1: preventive controls: focus op treffen van maategelen om preventief bepaalde
risico’s te minimaliseren
VB: aanwerven van competente medewerkers
- Type 2: detective controls: reactieve controles om fouten op te sporen die zich reeds
hebben voortgedaan
VB: interne audits
- Type 3: corrective controls: treden in werking nadat een probleelm geidentificeerd is met
als doel de schade te herstellen
VB: bijkomende training in foutgebied
- Type 4: directive controls: mensen te sturen zodanig ze vanaf de meet gedragingen
vertonen die het gewenste resultaat inleiden aan de hand van communicatie, motivatie
VB: beloningsacties die gedrag positief beinvloeden
- Aanvullend type 5: compensating controls: opvangnet voor zwakke/kritische plekken
binnen bedrijf => VB: bestellingsysteem bedrijf kapot => telefooncentrale die snel
tijdelijk kan worden ingeschakeld
= > voorbeelden van traditionele interne controlemechanismen:
- Autorisatie: toesteming verlenen voor handelingen
- Fysieke toegangsbeperkigen
- Toezicht: leiddinggevende die opvolgt
- Compliance checks: nagaan volgen van procedures
- Werving en personeelsiontwikkeling: bekwaamheid persoon is key voor interne controle
- Organisatiestructuur met rapporteringslijnen
= > Dimensies van controle: formeel vs informeel
1. Formele controle: vastgelegde procedures en systememen die waar de navolging
eenvoudig kan worden gecontroleerd
VB: werkenemer die vaste financiele procedure moet volgen om factuur naar klant te sturen
2. Informele controle: sociale controle gestuurd door de cultuur-waarden-normen binnen
een bedrijf
VB: mederwerkers die mee bepaalde overtuigingen worden gestuurd
Development of ERM
= > Waarom ERM: historische context
Afgelopen decenia zijn bedrijven geraakt geweest door een grote hoeveelheid rampen (2008 –
cyberbedreigingen- corona)
4
