Samenvatting Quantative Risk Analysis
(QRA)
Boek: Reader + statistics for managers using Microsoft Excel
Bryan Cuperus
FEM.1A
Student Bedrijfseconomie
Hanzehogeschool Groningen
, Reader risicoanalyse, risicostandaarden
Het financiële vakgebied
Sinds de jaren 80 is men steeds meer gebruik gaan maken van niet-financiële resultaten. Het nadeel
van financiële resultaten is namelijk dat zij de gevolgen weerspiegelen van allerlei niet-financiële
gebeurtenissen. Financiële cijfers zijn dan ook lagging indicators, ze lopen achter op de feiten.
Doelstelling = visie en de weg daarnaartoe = strategie, de balanced scorecard dient hieraan te
worden afgeleid.
Om in de behoefte van het niet-financiële resultaat te voorzien zijn er modellen ontwikkeld, zoals de
balanced scorecard (financieel, klant, intern en innovatie).
Uit de kritische succesfactoren dienen KPI’s te worden afgeleid, meetbare gegevens die functioneren
als ijkpunten voor het behalen van de doelstellingen.
Men wil naast deze gegevens van al gebeurde gebeurtenissen of dingen die zich op dat moment
voltrokken ook graag informatie over zaken die zich zouden kunnen voltrekken. Ze willen de
onzekere toekomstige gebeurtenissen afdekken (risico’s).
Werkelijke financiële cijfers Financiële budgetten KPI’s Risico’s
Beschikbaarheid 1 week tot 3 maanden achteraf 1 week tot 1 jaar van tevoren Direct Van tevoren
Betrouwbaarheid 99% 85% 95% Onzeker, 5%?
Doelen van risicomanagement
Risicomanagement biedt voordelen op de volgende 4 gebieden:
1. Strategisch, bij het vaststellen van doelstellingen op de lange termijn.
2. Tactisch, bij keuzes uit alternatieven op korte termijn.
3. Operationeel, het vaststellen van risico’s waarmee dagelijkse processen omgeven zijn
4. Compliance, risico’s van strijdigheid tussen acties van de organisatie ene externe eisen
Compliance (=naleving) betreft de overeenstemming van acties, processen en procedures van de
organisatie met externe eisen, meestal wet- en regelgeving.
Doeleinden risicomanagement:
1. Het leveren van relevante informatie over risico’s voor besluitvorming (strategisch en
tactisch)
2. Het creëren van efficiënte en effectieve bedrijfsprocessen (operationeel)
3. Het handelen in overeenstemming met regels (compliance)
Risicostandaarden
• COSO, naar aanleiding van veel boekhoudschandalen en fraudegevallen richtlijnen opgesteld
op het gebied van interne controle. In 2004 kwam COSO2, uitgebreid naar het gehele interne
beheersingssysteem inclusief risicobeheersing.
• ISO, tal van internationale standaarden heeft ontwikkeld en vastgelegd. ISO 31000 kwam in
2009 als standaard voor risicomanagement
• IRM, publiceert materiaal en verzorgt trainingen op het gebied van risicomanagement.
De invloed van COSO gaat het verst, omdat COSO verplicht is voor alle ondernemingen in de VS en
hun dochterondernemingen.
2
,COSO
Bij COSO is het onderscheidt tussen proces en framework het minst duidelijk. De interne controle
dient gericht te zijn op het mogelijk benaderen van 4 verschillende soorten doelstellingen:
1. Doelstellingen op strategisch gebied, lange termijn
2. Doelstellingen op operationeel gebied, dagelijkse processen
3. Doelstellingen op het gebied van financiële rapportage.
4. Doelstellingen op het gebied van naleving van de wet- en regelgeving, compliance
De voorkant van de kubus toont de elementen uit het managementproces dat het
beheersingssysteem omvat:
1. Internal evironment, de organisatieomgeving (zoals maximale toegestane risico van de
organisatie en de integriteit)
2. Objective setting, de doelstellingen die door potentiële gebeurtenissen kunnen worden
beïnvloed
3. Event identification, de identificatie van risico’s, interne en externe gebeurtenissen die
invloed uitoefenen op de mate waarin doelstellingen worden behaald
4. Risk, assessment, inschatting van de omvang van de risico’s
5. Risk response, beheersmaatregelen
6. Control activities, het vaststellen van het beleid die de gewenste beheersing mogelijk maakt
7. Information & communication, de verstrekking van relevante informatie om risicobeheersing
mogelijk te maken
8. Monitoring, de bewaking van de effectiviteit van risicobeheersing
ISO
De eerste 2 stappen van COSO worden bij ISO samengevat als 1, context vaststellen.
Risico-identificatie en risico-inschatting worden bij ISO verdeeld over, risico-identificatie, risico-
analyse (indelen van risico’s en bepalen van de omvang) en risico-evaluatie (vergelijken van risico’s
met daarvoor bedoelde maatstaven).
Het 5e punt van COSO komt overeen met risicobehandeling.
De laatste 3 elementen van COSO komen overeen met communication and consultation en
monitoring and review, het framework van ISO.
ISO verstaat onder risk-assessment dus alle stappen van de identificatie van risico’s tot en met de
evaluatie ervan. Terwijl COSO hier slechts het schatten van de omvang van de risico’s bedoeld.
3
, IRM
1. Vaststellen van strategische doelen van de organisatie
2. Risk assessment (inschatting)
a. Risicoclassificatie, in indeling van alle bronnen van risico’s
b. Risico identificatie, het vaststellen van concrete risico’s voor de eigen organisatie
c. Risicobeschrijving, het vaststellen van de precieze oorzaken en gevolgen van
concrete risico’s
d. Risicoschatting, het vaststellen van de omvang van de concrete risico’s
e. Risico evaluatie, vergelijken en kijken of het acceptabel is
3. Risicorapportage
4. Besluitvorming maatregelen
5. Implementatie maatregelen
6. Rapportage over resterende (=residu) risico’s
7. Monitoring
Een verschil met ISO is dat er 5 stappen risk assessment zijn
De risk response (COSO) en risk treatment (ISO) wordt hier opgesplitst in besluitvorming en
implementatie.
Een 3e verschil is dat hier ook wordt gerapporteerd wat de residu-risico’s zijn.
4
(QRA)
Boek: Reader + statistics for managers using Microsoft Excel
Bryan Cuperus
FEM.1A
Student Bedrijfseconomie
Hanzehogeschool Groningen
, Reader risicoanalyse, risicostandaarden
Het financiële vakgebied
Sinds de jaren 80 is men steeds meer gebruik gaan maken van niet-financiële resultaten. Het nadeel
van financiële resultaten is namelijk dat zij de gevolgen weerspiegelen van allerlei niet-financiële
gebeurtenissen. Financiële cijfers zijn dan ook lagging indicators, ze lopen achter op de feiten.
Doelstelling = visie en de weg daarnaartoe = strategie, de balanced scorecard dient hieraan te
worden afgeleid.
Om in de behoefte van het niet-financiële resultaat te voorzien zijn er modellen ontwikkeld, zoals de
balanced scorecard (financieel, klant, intern en innovatie).
Uit de kritische succesfactoren dienen KPI’s te worden afgeleid, meetbare gegevens die functioneren
als ijkpunten voor het behalen van de doelstellingen.
Men wil naast deze gegevens van al gebeurde gebeurtenissen of dingen die zich op dat moment
voltrokken ook graag informatie over zaken die zich zouden kunnen voltrekken. Ze willen de
onzekere toekomstige gebeurtenissen afdekken (risico’s).
Werkelijke financiële cijfers Financiële budgetten KPI’s Risico’s
Beschikbaarheid 1 week tot 3 maanden achteraf 1 week tot 1 jaar van tevoren Direct Van tevoren
Betrouwbaarheid 99% 85% 95% Onzeker, 5%?
Doelen van risicomanagement
Risicomanagement biedt voordelen op de volgende 4 gebieden:
1. Strategisch, bij het vaststellen van doelstellingen op de lange termijn.
2. Tactisch, bij keuzes uit alternatieven op korte termijn.
3. Operationeel, het vaststellen van risico’s waarmee dagelijkse processen omgeven zijn
4. Compliance, risico’s van strijdigheid tussen acties van de organisatie ene externe eisen
Compliance (=naleving) betreft de overeenstemming van acties, processen en procedures van de
organisatie met externe eisen, meestal wet- en regelgeving.
Doeleinden risicomanagement:
1. Het leveren van relevante informatie over risico’s voor besluitvorming (strategisch en
tactisch)
2. Het creëren van efficiënte en effectieve bedrijfsprocessen (operationeel)
3. Het handelen in overeenstemming met regels (compliance)
Risicostandaarden
• COSO, naar aanleiding van veel boekhoudschandalen en fraudegevallen richtlijnen opgesteld
op het gebied van interne controle. In 2004 kwam COSO2, uitgebreid naar het gehele interne
beheersingssysteem inclusief risicobeheersing.
• ISO, tal van internationale standaarden heeft ontwikkeld en vastgelegd. ISO 31000 kwam in
2009 als standaard voor risicomanagement
• IRM, publiceert materiaal en verzorgt trainingen op het gebied van risicomanagement.
De invloed van COSO gaat het verst, omdat COSO verplicht is voor alle ondernemingen in de VS en
hun dochterondernemingen.
2
,COSO
Bij COSO is het onderscheidt tussen proces en framework het minst duidelijk. De interne controle
dient gericht te zijn op het mogelijk benaderen van 4 verschillende soorten doelstellingen:
1. Doelstellingen op strategisch gebied, lange termijn
2. Doelstellingen op operationeel gebied, dagelijkse processen
3. Doelstellingen op het gebied van financiële rapportage.
4. Doelstellingen op het gebied van naleving van de wet- en regelgeving, compliance
De voorkant van de kubus toont de elementen uit het managementproces dat het
beheersingssysteem omvat:
1. Internal evironment, de organisatieomgeving (zoals maximale toegestane risico van de
organisatie en de integriteit)
2. Objective setting, de doelstellingen die door potentiële gebeurtenissen kunnen worden
beïnvloed
3. Event identification, de identificatie van risico’s, interne en externe gebeurtenissen die
invloed uitoefenen op de mate waarin doelstellingen worden behaald
4. Risk, assessment, inschatting van de omvang van de risico’s
5. Risk response, beheersmaatregelen
6. Control activities, het vaststellen van het beleid die de gewenste beheersing mogelijk maakt
7. Information & communication, de verstrekking van relevante informatie om risicobeheersing
mogelijk te maken
8. Monitoring, de bewaking van de effectiviteit van risicobeheersing
ISO
De eerste 2 stappen van COSO worden bij ISO samengevat als 1, context vaststellen.
Risico-identificatie en risico-inschatting worden bij ISO verdeeld over, risico-identificatie, risico-
analyse (indelen van risico’s en bepalen van de omvang) en risico-evaluatie (vergelijken van risico’s
met daarvoor bedoelde maatstaven).
Het 5e punt van COSO komt overeen met risicobehandeling.
De laatste 3 elementen van COSO komen overeen met communication and consultation en
monitoring and review, het framework van ISO.
ISO verstaat onder risk-assessment dus alle stappen van de identificatie van risico’s tot en met de
evaluatie ervan. Terwijl COSO hier slechts het schatten van de omvang van de risico’s bedoeld.
3
, IRM
1. Vaststellen van strategische doelen van de organisatie
2. Risk assessment (inschatting)
a. Risicoclassificatie, in indeling van alle bronnen van risico’s
b. Risico identificatie, het vaststellen van concrete risico’s voor de eigen organisatie
c. Risicobeschrijving, het vaststellen van de precieze oorzaken en gevolgen van
concrete risico’s
d. Risicoschatting, het vaststellen van de omvang van de concrete risico’s
e. Risico evaluatie, vergelijken en kijken of het acceptabel is
3. Risicorapportage
4. Besluitvorming maatregelen
5. Implementatie maatregelen
6. Rapportage over resterende (=residu) risico’s
7. Monitoring
Een verschil met ISO is dat er 5 stappen risk assessment zijn
De risk response (COSO) en risk treatment (ISO) wordt hier opgesplitst in besluitvorming en
implementatie.
Een 3e verschil is dat hier ook wordt gerapporteerd wat de residu-risico’s zijn.
4
