U bent hier

Onderneming & Administratie
Risicomanagement9. Aan de slag met modellen9.3 Het invullen van het model
Voor Onderneming & Administratie

9.3 Het invullen van het model

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: augustus 2016

Als u het COSO II-model gaat invullen, heeft u drie vlakken in te vullen.

9.3.1 De bovenkant van de kubus

Dit deel van het model geeft de al in paragraaf 9.1.2 genoemde universele doelen weer van COSO II: strategic control, operational control, reporting control en compliance.

Strategic control

ondernemingsdoelstellingen

Dit onderdeel moet u samen met het management invullen. Denk hierbij bijvoorbeeld aan ondernemingsdoelstellingen zoals het vergroten van het marktaandeel van de organisatie waarvoor u werkt.

Operational control

effectiviteit van processen

Dit onderdeel gaat over het verbinden van de ondernemingsdoelstellingen en de processen van afdelingen. Dit houdt voor u in dat u let op de effectiviteit en efficiency van de processen. In het voorbeeld van het vergroten van het marktaandeel moet u bijvoorbeeld de verkoopprocessen aanpassen om de gewenste winst te realiseren.

Reporting control

informatie

De informatie die u verkrijgt van de verschillende afdelingen en doordat u de diverse processen in de gaten houdt, kunt u ook verwerken in de informatie die u aan het management verstrekt. U bewaakt de correctheid, kwaliteit en tijdigheid van gegevens in het kader van deze reporting control.

Compliance

naleving

Tot slot moet u bij al deze onderdelen letten op de naleving van wet- en regelgeving: compliance. Houd er rekening mee dat u niet alleen let op de voor u bekende wetgeving, zoals de fiscale wetgeving, maar dat u ook bijvoorbeeld de milieuvoorschriften in acht neemt.

9.3.2 De voorkant van de kubus

Nu u de universele doelstellingen in kaart heeft gebracht, vult u de voorkant van de kubus in.

Internal environment

Internal environment gaat over de wijze waarop de werknemers omgaan met risico’s. Dit is de zogenoemde risicovoorkeur. Denk hierbij onder andere aan de verantwoording, taken, verantwoordelijkheden en een eventuele externe toezichthouder met wie u te maken heeft.

Objective setting

Als u weet hoe men in uw onderneming tegen risico’s aankijkt (objective setting), moet u kijken of de doelstellingen binnen deze zienswijze passen. De doelstellingen moeten uiteindelijk passen binnen de risicovoorkeur.

Event identification

interne en 
externe risico’s

Bij event identification gaat u met uw collega’s na welke interne en externe risico’s het realiseren van de doelstellingen dwarsbomen. Denk hierbij niet alleen aan financiële risico’s, maar bijvoorbeeld ook aan de impact die het verlies van uw marktpositie heeft.

Risk assessment

bedreiging

Alle risico’s die u niet kunt vertalen in kansen vormen een bedreiging. U moet deze risico’s nader onderzoeken bij het onderdeel risk assessment. Dit houdt in dat u kijkt naar de kans en het gevolg, bijvoorbeeld de situatie waarin het risico het realiseren van de doelstellingen onmogelijk maakt. Besteed ook hierbij niet alleen aandacht aan de financiële consequenties, maar ook aan negatieve gevolgen die minder voor de hand liggen: een verslechterd imago of negatieve gevolgen voor het milieu.

Risk response

reactie

Nu u weet welke risico’s er zijn, kijkt u hoe u op de risico’s wilt reageren: risk response. Vanzelfsprekend moet u voor dit deel goed overleggen met uw collega’s. Let erop dat de reactie op de risico’s past bij de risicovoorkeur. Er zijn vier soorten reacties mogelijk:

  • u vermijdt het risico;
  • u neemt voorzieningen om het risico te verkleinen;
  • u probeert het risico af te wentelen op een derde, denk hierbij bijvoorbeeld aan een verzekeringsmaatschappij;
  • u accepteert het risico en de gevolgen die het zou kunnen meebrengen.

De genoemde opties verwerkt u in uw voorstel dat u aan het management voorlegt.

Control activities

controle-
activiteiten

Als het management de wijze waarop uw onderneming zal reageren op de risico’s heeft goedgekeurd, kunt u controleactiviteiten plannen. Bij het deel control activities gaat het onder andere om de processen binnen uw onderneming.

Denk bij controleactiviteiten aan beheersmaatregelen, voortgangsrapportages, controle op geautomatiseerde gegevensverwerking en fysieke controles (activa, waarden en voorraden).

Het is belangrijk dat u goed let op de kosten die verbonden zijn aan deze controleactiviteiten. Deze kosten moet u vergelijken met de kosten die een potentieel risico met zich meebrengt. Er moet uiteindelijk een goede balans zijn tussen het voorkomen en realiseren van risico’s.

Information and communication

informatievoorziening

Als u de beheersmaatregelen heeft bepaald, moet u vervolgens aandacht besteden aan de informatievoorziening. Die informatie stroomt niet alleen richting management, maar door de hele organisatie. Denk bij deze stromen onder meer aan KPI’s (zie paragraaf 8.3), incidentrapportages, risk-scorecards en auditverslagen.

Monitoring

beoordelen

Tot slot moet u het gehele risicomanagementsysteem regelmatig beoordelen en waar nodig herzien.

9.3.3 De rechterkant van de kubus

Het is al gezegd: ERM gaat over de hele organisatie! Dat wordt verbeeld aan de rechterkant van de kubus. Alle niveaus binnen de onderneming (entity, division, business unit en subsidiary) krijgen bij ERM aandacht. De processen in uw onderneming worden van hoog tot laag en van begin tot eind onder de loep genomen.