Risicobeheersing
Moduleopdracht
Naam: XXXX
Student nr.: XXXX
Datum: 03-07-2020
Instelling: NCOI
Opleiding: Post Bachelor Auditing, Risk & Compliance
Module: Riskmanagement
, Samenvatting
Dit verslag is de uitwerking van de eindopdracht voor de module Riskmanagement en is geschreven
voor ... XXXX. In deze uitwerking wordt verklaard op welke manier door XXXX geprobeerd wordt de
risico’s van de organisatie zo goed mogelijk te beheersen. Hierbij is gebruikgemaakt van de COSO-
ERM methodiek.
De voornaamste taak van XXXX is het zorgen voor de vergoeding van hoge zorgkosten en toegang tot
goede zorg in ruil voor een betaalbare premie. Dit is doorvertaald in de strategie: “het realiseren van
betaalbare zorg”, met als een van de belangrijkste onderdelen “zinnige zorg”. Het uitgangspunt van
zinnige zorg is dat zorgprofessionals worden overtuigd van de verschillende mogelijkheden die er zijn
om betere zorg te verlenen tegen lagere kosten. Ook in de visie komt het blijvend betaalbaar houden
van de zorg terug. Om operationeel te kunnen blijven, is er behoefte aan veiligheid en zekerheid. Dit is
het begin van risicomanagement.
Binnen het COSO ERM-raamwerk worden risico’s benaderd vanuit de insteek van gebeurtenissen die
zich voordoen en invloed hebben op de doelstellingen van de organisatie. Met dit uitgangspunt zijn de
risico’s van XXXX in kaart gebracht. Hiervoor is gebruikgemaakt van de boeken Risicomanagement
(Claes, 2016), Risicomanagement, integratie van risico – en prestatiemanagement (Claassen, 2019),
van de informatie uit het jaarverslag van XXXX (2019) en heeft er een interview plaatsgevonden met
…, Risk & Compliance Officer binnen XXXX.
De geïdentificeerde risico’s zijn onderverdeeld in de volgende categorieën: strategisch, operationeel,
rapportage en toezicht. De risico’s met minder kans/impact zijn in de bijlage opgenomen. Strategische
risico’s hebben veelal betrekking op externe factoren die het realiseren van de doelstellingen van de
organisatie kunnen bedreigen. Voorbeelden hiervan zijn demografische risico’s (vergrijzing, regionale
zorgplicht), economische risico’s (minder aanvullende pakketten), politieke risico’s (wegvallen van
draagvlak voor huidige zorgstelsel), technologische risico’s (Fintech en ontwikkelingen van
analysemethoden) en financiële risico’s (marktrisico, tegenpartijrisico). Operationele risico’s hangen
worden afgeleid van de betreffende afdeling, hierbij gaat het bijvoorbeeld om operationele discontinuïteit
(technische storingen, brandschade), tijdigheid en juistheid van uitvoering en underperformance
(uitvoeren van verzekeringsproduct, niet kunnen voldoen aan klantvragen), fraude en solvabiliteit en
liquiditeit. Risico’s die onder ‘rapportage’ vallen, hebben te maken met de betrouwbaarheid van interne
en externe financiële en niet-financiële verslaglegging. Een voorbeeld hiervan is de jaarrekening en
eventuele fouten die hierin kunnen voorkomen. De laatste categorie betref ‘toezicht/compliance’, en
bevat risico’s m.b.t. productportefeuille (aanbod pakketten en verzekeringen), non-compliant handelen
en ongebalanceerde verzekerdenportfolio.
Na het inventariseren van risico’s, is het de vraag hoe op deze risico’s wordt gereageerd. Volgens COSO
ERM kan dit middels vier basisstrategieën: ‘zelf dragen’, ‘overdragen’, ‘verminderen’ of ‘vermijden’.
Welke strategie het best passend is, wordt bepaald door te kijken naar de kans op schade en het
schadebedrag. In dit verslag hebben de risico’s de strategie “vermijden”, omdat er wordt gewerkt met
een prioritering op basis van interne documentatie en afdeling Risk & Compliance. Hierdoor worden niet
alle risico’s in dit verslag behandeld. Vervolgens wordt bepaald of het management wel of geen actie
dient te ondernemen. Een organisatie kan bijvoorbeeld actie ondernemen middels het inzetten van
beheersmaatregelen. Bij politieke risico’s wordt de zinnige zorg strategie onder andere uitgedragen door
het onderhouden van relaties met maatschappelijk externe stakeholders. Hiermee tracht XXXX het
draagvlak vanuit de politiek op peil te houden. XXXX reageert op de operationele discontinuïteit door
systeembeheer in te zetten en de panden brandveilig te maken. Om de solvabiliteit op peil te houden,
wordt jaarlijks een assessment uitgevoerd. Maandelijks wordt de liquiditeit getoetst middels een
prognose op basis van ontvangen declaraties, historie en marktontwikkeling. Op deze manier tracht
XXXX met risico’s om te gaan en hier adequaat op in te kunnen spelen.
Niet alle risico’s worden gemonitord in een reguliere managementrapportage. Er is vooral behoefte aan
het regelmatig rapporteren over hoge risico’s, omdat ineffectieve beheersmaatregelen grote gevolgen
kunnen hebben voor de organisatie. Binnen XXXX zijn het voornamelijk politieke risico’s en de
operationele discontinuïteit die in reguliere managementrapportages terug zouden moeten komen. Om
risico’s echter goed te kunnen beoordelen, is het ook noodzakelijk om inzicht te hebben in de effectiviteit
van de beheersmaatregelen en te weten welke maatregelen kritisch zijn voor het bereiken van
organisatiedoelstellingen en daarmee ‘key’ zijn. Er ontstaat hierdoor inzicht in of risico’s adequaat
worden beheerst en in de wijze waarop.
1
Moduleopdracht
Naam: XXXX
Student nr.: XXXX
Datum: 03-07-2020
Instelling: NCOI
Opleiding: Post Bachelor Auditing, Risk & Compliance
Module: Riskmanagement
, Samenvatting
Dit verslag is de uitwerking van de eindopdracht voor de module Riskmanagement en is geschreven
voor ... XXXX. In deze uitwerking wordt verklaard op welke manier door XXXX geprobeerd wordt de
risico’s van de organisatie zo goed mogelijk te beheersen. Hierbij is gebruikgemaakt van de COSO-
ERM methodiek.
De voornaamste taak van XXXX is het zorgen voor de vergoeding van hoge zorgkosten en toegang tot
goede zorg in ruil voor een betaalbare premie. Dit is doorvertaald in de strategie: “het realiseren van
betaalbare zorg”, met als een van de belangrijkste onderdelen “zinnige zorg”. Het uitgangspunt van
zinnige zorg is dat zorgprofessionals worden overtuigd van de verschillende mogelijkheden die er zijn
om betere zorg te verlenen tegen lagere kosten. Ook in de visie komt het blijvend betaalbaar houden
van de zorg terug. Om operationeel te kunnen blijven, is er behoefte aan veiligheid en zekerheid. Dit is
het begin van risicomanagement.
Binnen het COSO ERM-raamwerk worden risico’s benaderd vanuit de insteek van gebeurtenissen die
zich voordoen en invloed hebben op de doelstellingen van de organisatie. Met dit uitgangspunt zijn de
risico’s van XXXX in kaart gebracht. Hiervoor is gebruikgemaakt van de boeken Risicomanagement
(Claes, 2016), Risicomanagement, integratie van risico – en prestatiemanagement (Claassen, 2019),
van de informatie uit het jaarverslag van XXXX (2019) en heeft er een interview plaatsgevonden met
…, Risk & Compliance Officer binnen XXXX.
De geïdentificeerde risico’s zijn onderverdeeld in de volgende categorieën: strategisch, operationeel,
rapportage en toezicht. De risico’s met minder kans/impact zijn in de bijlage opgenomen. Strategische
risico’s hebben veelal betrekking op externe factoren die het realiseren van de doelstellingen van de
organisatie kunnen bedreigen. Voorbeelden hiervan zijn demografische risico’s (vergrijzing, regionale
zorgplicht), economische risico’s (minder aanvullende pakketten), politieke risico’s (wegvallen van
draagvlak voor huidige zorgstelsel), technologische risico’s (Fintech en ontwikkelingen van
analysemethoden) en financiële risico’s (marktrisico, tegenpartijrisico). Operationele risico’s hangen
worden afgeleid van de betreffende afdeling, hierbij gaat het bijvoorbeeld om operationele discontinuïteit
(technische storingen, brandschade), tijdigheid en juistheid van uitvoering en underperformance
(uitvoeren van verzekeringsproduct, niet kunnen voldoen aan klantvragen), fraude en solvabiliteit en
liquiditeit. Risico’s die onder ‘rapportage’ vallen, hebben te maken met de betrouwbaarheid van interne
en externe financiële en niet-financiële verslaglegging. Een voorbeeld hiervan is de jaarrekening en
eventuele fouten die hierin kunnen voorkomen. De laatste categorie betref ‘toezicht/compliance’, en
bevat risico’s m.b.t. productportefeuille (aanbod pakketten en verzekeringen), non-compliant handelen
en ongebalanceerde verzekerdenportfolio.
Na het inventariseren van risico’s, is het de vraag hoe op deze risico’s wordt gereageerd. Volgens COSO
ERM kan dit middels vier basisstrategieën: ‘zelf dragen’, ‘overdragen’, ‘verminderen’ of ‘vermijden’.
Welke strategie het best passend is, wordt bepaald door te kijken naar de kans op schade en het
schadebedrag. In dit verslag hebben de risico’s de strategie “vermijden”, omdat er wordt gewerkt met
een prioritering op basis van interne documentatie en afdeling Risk & Compliance. Hierdoor worden niet
alle risico’s in dit verslag behandeld. Vervolgens wordt bepaald of het management wel of geen actie
dient te ondernemen. Een organisatie kan bijvoorbeeld actie ondernemen middels het inzetten van
beheersmaatregelen. Bij politieke risico’s wordt de zinnige zorg strategie onder andere uitgedragen door
het onderhouden van relaties met maatschappelijk externe stakeholders. Hiermee tracht XXXX het
draagvlak vanuit de politiek op peil te houden. XXXX reageert op de operationele discontinuïteit door
systeembeheer in te zetten en de panden brandveilig te maken. Om de solvabiliteit op peil te houden,
wordt jaarlijks een assessment uitgevoerd. Maandelijks wordt de liquiditeit getoetst middels een
prognose op basis van ontvangen declaraties, historie en marktontwikkeling. Op deze manier tracht
XXXX met risico’s om te gaan en hier adequaat op in te kunnen spelen.
Niet alle risico’s worden gemonitord in een reguliere managementrapportage. Er is vooral behoefte aan
het regelmatig rapporteren over hoge risico’s, omdat ineffectieve beheersmaatregelen grote gevolgen
kunnen hebben voor de organisatie. Binnen XXXX zijn het voornamelijk politieke risico’s en de
operationele discontinuïteit die in reguliere managementrapportages terug zouden moeten komen. Om
risico’s echter goed te kunnen beoordelen, is het ook noodzakelijk om inzicht te hebben in de effectiviteit
van de beheersmaatregelen en te weten welke maatregelen kritisch zijn voor het bereiken van
organisatiedoelstellingen en daarmee ‘key’ zijn. Er ontstaat hierdoor inzicht in of risico’s adequaat
worden beheerst en in de wijze waarop.
1
